Know Your Supplier (KYS) : vérification fournisseurs et conformité au Québec

Le Know Your Supplier (KYS) désigne l'ensemble des procédures de diligence raisonnable qu'une organisation applique à ses fournisseurs, contractants et partenaires de la chaîne d'approvisionnement avant et pendant une relation commerciale. Au Québec et au Canada, ce processus est encadré par la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT), les directives du CANAFE (Centre d'analyse des opérations et déclarations financières du Canada), la Loi canadienne sur la corruption d'agents publics étrangers (LCAPE), et — de manière particulièrement importante au Québec — par la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels).

Selon les données du Centre antifraude du Canada (CAFC), la fraude par compromission des courriels d'affaires (Business Email Compromise — BEC) ciblant les services de comptes fournisseurs et des achats est l'une des catégories de fraude en plus forte croissance au Canada, causant des pertes de plusieurs centaines de millions de dollars annuellement. Un programme KYS structuré est l'une des mesures préventives les plus efficaces.

Cadre réglementaire québécois et canadien du KYS

Un programme KYS efficace au Québec couvre trois dimensions : l'identité légale du fournisseur (NEQ pour les entreprises québécoises, numéro d'entreprise fédéral pour les compagnies fédérales, propriétaires effectifs), la solidité financière (états financiers, vérification de crédit, absence de procédures d'insolvabilité) et la réputation réglementaire (listes de sanctions, médias négatifs, connexions avec des personnes politiquement exposées).

La LRPCFAT (telle que modifiée par le projet de loi C-31 et les révisions réglementaires de 2019) oblige les entités déclarantes — dont les banques, les coopératives de crédit, les courtiers en valeurs mobilières, les négociants en devises étrangères et les commerçants en métaux précieux — à identifier et à vérifier l'identité de leurs clients et, dans certaines situations, des propriétaires effectifs des entités avec lesquelles elles transigent. Le CANAFE supervise la conformité et peut imposer des pénalités administratives pécuniaires pouvant atteindre 500 000 $ par violation pour les personnes physiques et 2 millions de dollars par violation pour les entités.

L'AMF Québec (Autorité des marchés financiers) supervise les entités financières assujetties à la réglementation québécoise, en coordination avec les obligations fédérales du CANAFE. Pour les entreprises des marchés financiers québécoises, les directives de l'AMF Québec complètent les exigences fédérales de la LRPCFAT.

La Loi canadienne sur la corruption d'agents publics étrangers (LCAPE) crée une responsabilité criminelle pour les compagnies canadiennes dont les agents, consultants et fournisseurs commettent des actes de corruption envers des agents publics étrangers. La due diligence sur les tiers est la principale défense disponible.

Les 5 étapes d'un processus KYS au Québec

Étape 1 – Collecte documentaire. Avant tout engagement, demandez systématiquement : un certificat de conformité ou extrait du Registraire des entreprises du Québec (REQ) actualisé (avec NEQ), le numéro d'entreprise (NE) de l'ARC vérifié sur canada.ca, les états financiers les plus récents ou une déclaration de solvabilité, la déclaration de propriétaires effectifs (conformément aux modifications de la LCSA de 2020 pour les compagnies fédérales), et les coordonnées bancaires avec une lettre de confirmation bancaire certifiant le numéro de transit et de compte.

Étape 2 – Vérification des données légales. Confirmez le NEQ sur le portail REQ pour vérifier le statut actif, les administrateurs et l'adresse du siège social. Vérifiez le NE et l'inscription aux taxes (TPS/TVQ) auprès de l'ARC et de Revenu Québec. Contrôlez l'absence de procédure d'insolvabilité ou de mise sous séquestre via le Bureau du surintendant des faillites (BSF) et le Bureau des oppositions et faillites (BOF) du REQ pour les entreprises québécoises.

Étape 3 – Screening des sanctions et des PPE. Le contrôle doit couvrir la Liste consolidée des sanctions canadiennes autonomes (AFFAIRES MONDIALES CANADA), les listes du Conseil de sécurité des Nations Unies, et la liste SDN de l'OFAC pour les transactions en dollars américains. Pour les entités déclarantes selon la LRPCFAT, le screening des Personnes Politiquement Exposées (PPE) et des Dirigeants d'organisations internationales (DOI) est obligatoire en vertu des articles 9.3-9.4 de la LRPCFAT. Utilisez des outils de screening mis à jour quotidiennement.

Étape 4 – Médias négatifs et due diligence LCAPE. Pour les fournisseurs ayant des connexions gouvernementales, des activités internationales ou dans des secteurs à risque élevé, complétez la vérification par une analyse structurée des médias négatifs et un questionnaire de due diligence anticorruption aligné sur l'ISO 37001:2016 (Systèmes de management anticorruption). Pour les entreprises soumises aux exigences de la LCAPE, la guidance de Justice Canada fournit le cadre de référence.

Étape 5 – Surveillance continue. Configurez des alertes automatiques sur les modifications au REQ (changements d'administrateurs, radiation), les publications du Bureau du surintendant des faillites, et les mises à jour des listes de sanctions canadiennes. Toute demande de modification de coordonnées bancaires doit déclencher un protocole de vérification indépendant — c'est le vecteur de fraude fournisseur le plus courant au Canada.

La fraude au faux fournisseur au Québec : contrôles pratiques

Les professionnels de la conformité québécois posent régulièrement la même question : « Notre fournisseur demande un changement de compte bancaire par courriel. Comment valider cette demande sans risque ? »

Les fraudes documentées par le CAFC suivent un schéma constant : des fraudeurs étudient les organigrammes sur LinkedIn, identifient les contacts clés en comptabilité fournisseurs, et envoient des demandes de modification bancaire depuis un domaine qui imite celui du fournisseur légitime à un caractère près. La demande arrive souvent juste avant un paiement important.

Trois contrôles préviennent la majorité de ces fraudes :

1. Rappel téléphonique indépendant. Toute demande de modification bancaire par courriel doit être confirmée par un appel sur le numéro enregistré dans votre ERP — jamais sur un numéro fourni dans le courriel.
2. Double autorisation. Toute modification des coordonnées de paiement exige l'approbation de deux personnes autorisées, dont un responsable des finances.
3. Vérification automatisée des comptes. Un service de vérification documentaire automatisée qui recroise l'identité du titulaire du compte avec les données du registre des entreprises est la protection la plus efficace. CheckFile prend en charge plus de 3 200 types de documents dans 32 juridictions, incluant les documents d'entreprise québécois et canadiens.

Pour plus d'informations sur la détection des fraudes documentaires, consultez notre article sur la détection de fraude documentaire par l'IA.

La Loi 25 et le KYS au Québec : exigences spécifiques

La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, entrée en vigueur par phases entre 2022 et 2023) impose des obligations plus strictes que la loi fédérale LPRPDE pour toutes les entreprises qui collectent des renseignements personnels au Québec :

Évaluation des facteurs relatifs à la vie privée (EFVP) : Si vous utilisez un outil de screening automatisé qui traite des renseignements personnels de représentants de fournisseurs québécois, la Loi 25 exige une EFVP avant le déploiement. L'EFVP doit évaluer les risques pour la vie privée et les mesures d'atténuation.

Clauses contractuelles : Tout fournisseur de service de screening KYS qui traite des renseignements personnels au nom de votre entreprise doit signer un contrat conforme aux exigences de la Loi 25 (article 18.3 de la Loi sur la protection des renseignements personnels dans le secteur privé, LPRPSP).

Registre des fichiers de renseignements personnels : Votre base de données KYS doit figurer dans le registre de vos fichiers de renseignements personnels, avec la description de la finalité, des catégories de personnes concernées et des durées de conservation.

Durée de conservation : Les renseignements personnels collectés dans le cadre du KYS doivent être détruits ou anonymisés dès qu'ils ne sont plus nécessaires à la finalité de leur collecte.

La Commission d'accès à l'information du Québec (CAI) assure la surveillance de la Loi 25 et peut imposer des sanctions administratives pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial.

Construction et conservation du dossier KYS

La LRPCFAT (article 6) exige des entités déclarantes qu'elles conservent les documents d'identification et de vérification pendant cinq ans à compter de la date de la dernière transaction dans le cadre de la relation d'affaires. Pour les autres entreprises, la bonne pratique est de conserver le dossier KYS pendant la durée du contrat plus cinq ans, en cohérence avec les délais de prescription généraux des provinces.

Le dossier KYS doit comprendre :

• Documents collectés avec horodatage de vérification
• Résultats de screening des sanctions et des PPE (date et version du système)
• Entrées du registre des propriétaires effectifs ou équivalents
• Identité du personnel ayant réalisé et approuvé chaque étape de vérification
• Journal des modifications de coordonnées bancaires avec preuve d'appel de confirmation

CheckFile conserve tous les enregistrements de vérification dans une piste d'audit infalsifiable conforme à la norme ISO 27001. Consultez nos tarifs pour les workflows de vérification fournisseurs adaptés aux besoins des entreprises québécoises.

Questions fréquemment posées

La LRPCFAT s'applique-t-elle à toutes les entreprises québécoises ?

La LRPCFAT impose des obligations directes aux entités déclarantes (banques, caisses populaires, courtiers, etc.). Pour les autres entreprises, la LCAPE (pour les chaînes d'approvisionnement internationales), les règles d'approvisionnement provincial, et la pression indirecte des grands donneurs d'ordre qui exigent des certifications de conformité fournisseurs créent un cadre KYS pratique. Le Québec n'a pas encore de loi sur l'esclavage moderne comparable à la loi fédérale, mais les grandes entreprises sont soumises à la loi fédérale de 2018.

Comment vérifier les propriétaires effectifs d'un fournisseur au Québec ?

Pour les compagnies fédérales (LCSA), le registre des propriétaires effectifs est détenu au niveau de la compagnie — vous devez demander la divulgation directement au fournisseur, puis vérifier auprès du registre des sociétés fédérales (Corporations Canada). Pour les compagnies québécoises (constituées en vertu de la Loi sur les sociétés par actions du Québec), vérifiez sur le REQ. La directive du CANAFE (document de directive sur la conformité 2019-3) fournit les exigences spécifiques pour les entités déclarantes.

Quelle est la différence entre la qualification fournisseur et le KYS au Québec ?

La qualification fournisseur évalue la capacité technique, la qualité et les conditions commerciales. Le KYS se concentre spécifiquement sur l'identité légale, la solidité financière, les propriétaires effectifs et le risque réglementaire (sanctions, LCAPE, CANAFE). Les deux peuvent s'intégrer dans un processus unifié de gestion des fournisseurs, mais couvrent des dimensions de risque différentes.

La Loi 25 s'applique-t-elle si nous utilisons un prestataire de screening établi hors du Québec ?

Oui. La Loi 25 s'applique à toute entreprise qui collecte ou traite des renseignements personnels de résidents du Québec, quelle que soit la localisation du prestataire de service. Si vous sous-traitez votre KYS à un prestataire hors Québec qui traite des renseignements personnels de représentants de fournisseurs québécois, vous devez : obtenir une EFVP, signer un contrat conforme à la Loi 25, et vous assurer que le prestataire offre des garanties de protection équivalentes.

À quelle fréquence renouveler la vérification KYS au Québec ?

Au minimum une fois par an pour tous les fournisseurs actifs, et immédiatement à chaque événement déclencheur : changement d'administrateurs, modification de coordonnées bancaires, renouvellement de contrat ou alertes dans les médias. Pour les fournisseurs à risque élevé (secteurs sensibles, pays à risque élevé selon le GAFI), une surveillance en continu avec alertes automatiques est recommandée.

---

Cet article est fourni à titre informatif et ne constitue pas un conseil juridique. Les obligations légales varient selon la taille de l'entreprise, le secteur et la nature des relations commerciales. Consultez un conseiller juridique spécialisé en droit québécois et canadien pour une analyse adaptée à votre situation.