Canada · Conformité réglementaire
Conformité réglementaire au Canada : PCMLTFA, OSFI & Identité numérique
Le cadre réglementaire canadien se renforce dans tous les secteurs. Anticipez les obligations AML/CFT prévues par la PCMLTFA et le projet de loi C‑2, les exigences prudentielles de l’OSFI, la supervision des paiements sous la RPAA et l’obligation d’identification avec photo à compter de décembre 2025 — avant que l’exposition financière ne devienne ingérable.
-
Certifié ISO 27001 et SOC 2. Détection de vivacité biométrique et des attaques par présentation testées selon ISO/IEC 30107‑3, alignées sur CEN/TS 18099 et ISO/IEC 30107‑1.
Demandez votre audit de conformité gratuit
Ils nous font confiance
International Certifications & Standards
Security Alliance
NIST
UK - Digital Identity
UK - DIACC
ISO 30107-3
iBeta Level 2
ISO 27001
SOC 2
Contexte réglementaire
Pourquoi la conformité réglementaire définit désormais la structure du marché au Canada
Au Canada, la conformité est devenue l’un des principaux facteurs déterminant la capacité à opérer, croître et concurrencer. Le modèle canadien est singulier : une autorité distribuée, sans super‑régulateur unique — une supervision prudentielle fédérale aux côtés de l’application fédérale des règles AML, de la supervision fédérale des paiements et de la réglementation provinciale des valeurs mobilières. Ces éléments convergent dans la pratique, tout en restant distribués par conception.
Guide de la régulation financière au Canada 2026 - Regard conformité
PCMLTFA · Projet de loi C‑2 · OSFI · RPAA · Open Banking · Évaluation GAFI
Jalons réglementaires critiques & sanctions
Calendrier de conformité Canada 2025–2026
Trois vagues législatives et une évaluation internationale convergent simultanément. L’exposition financière liée à une conformité insuffisante est déjà active — ce n’est pas un risque futur.
Les sanctions du projet de loi C‑2 sont en vigueur. Une seule violation très grave chez FINTRAC peut entraîner une amende jusqu’à 20 M CAD. Violations cumulées : le plus élevé entre 20 M CAD ou 3 % du chiffre d’affaires mondial brut. L’intensité des examens du GAFI augmentera quel que soit le résultat.
Avril 2025
En vigueur
Amendements PCMLTFA — champ étendu aux sociétés d’affacturage, d’encaissement de chèques et de financement/crédit‑bail. Dispositions de partage d’informations et pouvoirs renforcés de l’ASFC activés le 4 mars 2025.
15 décembre 2025
Obligatoire (actif)
Pièce d’identité officielle avec photo obligatoire pour l’ouverture de compte, les mises à jour de profil et les transactions à haut risque. La vérification biométrique avec détection de vivacité est de plus en plus attendue en complément.
2025–2026
Évaluation GAFI en cours
Évaluation de l’efficacité (au‑delà du cadre législatif). Les examens FINTRAC évaluent de plus en plus les résultats démontrables, pas seulement l’existence de politiques.
Printemps 2026
À venir
Législation attendue sur l’Agence des crimes financiers. Modifications proposées de la Bank Act : politiques de détection de la fraude, consentement explicite pour capacités à haut risque, reporting des données de fraude à la FCAC. Avancement du cadre d’open banking (Bill C‑15).
Synthèse des sanctions
| Type de sanction | Montant / Impact | En vigueur |
|---|---|---|
| Violation FINTRAC très grave (unique) | Jusqu’à 20 M CAD | Projet de loi C‑2 |
| Violations FINTRAC cumulées | 20 M CAD ou 3 % du CA mondial brut | Projet de loi C‑2 |
| Non‑conformité prudentielle OSFI | Surcharges de capital, restrictions opérationnelles, conditions de licence | Continu |
| Violation de l’obligation d’ID photo | Constat FINTRAC — impacte l’évaluation d’efficacité | 15 déc. 2025 |
| Atteinte aux données biométriques (LPRPDE) | Notification obligatoire + enquête OPC | Continu |
Référence : les amendements PCMLTFA ont été mis en œuvre en 25 jours, illustrant l’urgence d’application. Les Canadiens ont perdu 643 M CAD à la fraude en 2024, près de +300 % depuis 2020.
Votre programme de conformité est‑il raisonnablement conçu, fondé sur le risque et efficace?
Diagnostic gratuit de 15 minutes avec nos spécialistes Canada.
AML, identité & prévention de la fraude
Exigences de conformité au Canada : checklist AML, identité numérique & fraude
(Contenu basé sur PCMLTFA 2025, projet de loi C‑2, directives OSFI, RPAA, CDBA et lignes directrices OPC août 2025.)
Solutions Facephi pour le Canada
Solutions spécialisées en conformité pour l’environnement réglementaire convergent du Canada
La plateforme technologique Facephi de lutte contre la criminalité financière, couvrant l’ensemble du cycle client, répond aux trois niveaux de conformité au Canada: contrôles d’onboarding intégrés pour l’obligation d’ID photo, authentification continue pour l’open banking et la stratégie antifraude, et surveillance transactionnelle intégrée avec détection des comptes mules conforme au standard d’efficacité de FINTRAC.
Couche 1 — Onboarding & fraude à l’ouverture de compte
- Vérification de pièces d’identité officielles par capture documentaire et OCR (obligation décembre 2025)
- Détection de vivacité passive contre les deepfakes, replays vidéo et attaques par injection
- Appariement biométrique 1:1 avec la photo du document
- Déduplication biométrique 1:N sur la base clients — détection des identités synthétiques et enrôlements multiples
- Filtrage sanctions, PPE et médias négatifs intégré dès l’onboarding
Couche 2 — Authentification continue & prévention ATO
- Authentification biométrique (visage, empreinte digitale ou combinée) pour la connexion et les transactions à haut risque
- MFA résistante au phishing et liée à l’appareil — alignement Budget 2025
- Biométrie comportementale : dynamique de frappe, schémas de navigation, anomalies de session
- Intelligence de l’appareil : changements matériels, anomalies de géolocalisation, contexte réseau
- Authentification renforcée graduée et alertes en temps réel pour les indicateurs de prise de contrôle de compte
Couche 3 — Surveillance des transactions & détection des comptes mules
- Surveillance transactionnelle conforme aux obligations STR, LCTR et EFTR de FINTRAC
- Analyse dynamique et sensible au comportement — non limitée à des seuils statiques
- Détection des comptes mules : trois niveaux de risque, structuration de micro‑transactions sous 10 000 CAD, schémas dormant‑actif
- Analyse de réseaux corrélant les données biométriques d’identité et les anomalies transactionnelles entre comptes
- Pistes d’audit et historiques d’alertes soutenant le standard « d’efficacité démontrable » de FINTRAC
Comment Facephi accompagne chaque équipe
CISO / Fraude / Risque
Aide à lutter contre la fraude pilotée par l’IA : détection de deepfakes, protection contre les attaques par injection et surveillance comportementale continue.
Détection de vivacité passive, déduplication 1:N, intelligence de l’appareil et détection d’anomalies en temps réel sur tout le cycle client.
Conformité / Réglementaire
Permet de démontrer le standard « raisonnablement conçu, fondé sur le risque et effectif » désormais exigé par FINTRAC.
Pistes d’audit, historiques d’alertes et documentation décisionnelle soutenant les examens FINTRAC et les évaluations d’efficacité du GAFI.
Digital / CX / Produit
Moins de friction à l’onboarding, plus de confiance : vérification biométrique conforme à l’obligation d’ID photo sans dégrader la conversion.
Authentification résistante au phishing et parcours adaptatifs fondés sur le risque, prêts pour l’open banking – phases 1 et 2.
Direction / Business
Transforme la conformité en avantage concurrentiel — la crédibilité réglementaire comme atout stratégique au Canada.
Architecture intégrée présentant un narratif de contrôle cohérent entre l’OSFI, FINTRAC, la Banque du Canada et la FCAC.
Contexte du marché
Canada : réglementation distribuée, attentes convergentes
-
Pas de super‑régulateur unique — mais des préoccupations de supervision convergentes. L’OSFI, FINTRAC, la Banque du Canada, la FCAC et les commissions provinciales conservent des mandats distincts. La gouvernance de l’IA, la fraude et l’architecture des données les recoupent tous simultanément. Les incohérences entre les informations communiquées à chaque autorité finiront par apparaître.
-
Les sanctions atteignent désormais une échelle bilancielle. Le projet de loi C‑2 a porté les amendes FINTRAC jusqu’à 20 M CAD pour une violation très grave ou 3 % du chiffre d’affaires mondial brut en cumul. La conformité n’est plus un simple coût opérationnel — c’est une variable de risque financier directe.
-
Les Canadiens ont perdu 643 M CAD à la fraude en 2024 — près de +300 % depuis 2020. Seuls 5 à 10 % des arnaques sont signalées, ce qui signifie que le chiffre réel est bien supérieur. La Stratégie nationale antifraude (octobre 2025) traite ce phénomène comme une criminalité financière organisée, et non comme un simple enjeu de protection du consommateur.
-
L’accélération des risques réduit drastiquement les fenêtres de détection. La fraude pilotée par l’IA, les identités synthétiques et les réseaux de comptes mules distribués opèrent en temps réel. Le standard d’efficacité de FINTRAC signifie que les superviseurs évaluent la capacité des contrôles à détecter, escalader et répondre — pas seulement leur existence.
-
Horizon 2026–2030 : le contrôle continu comme norme de base. Flux de données de supervision transactionnelle, systèmes d’IA traités comme des objets réglementés nécessitant une gouvernance formelle, authentification résistante au phishing comme standard de l’open banking, et une Agence des crimes financiers dédiée avec pouvoirs d’enquête indépendants.
Foire aux questions
FAQ : Conformité réglementaire au Canada
Réponses aux questions les plus fréquentes des responsables Conformité dans les secteurs bancaire, paiements, néobanques et VASP au Canada concernant la PCMLTFA, FINTRAC, l’OSFI et le paysage réglementaire 2025–2026.
Les institutions financières canadiennes doivent se conformer à la PCMLTFA, telle que modifiée en avril 2025, ainsi qu’au projet de loi C‑2. Les exigences essentielles incluent :
- des évaluations du risque de blanchiment de capitaux et de financement du terrorisme (BC/FT) à l’échelle de l’entreprise, raisonnablement conçues, fondées sur le risque et effectives ;
- la diligence raisonnable client et la vérification des bénéficiaires effectifs ;
- la surveillance continue des transactions ;
- la conservation des documents pendant au moins cinq ans ;
- et la transmission en temps opportun des déclarations d’opérations douteuses (STR) à FINTRAC.
Le projet de loi C‑2 a relevé les sanctions administratives pécuniaires jusqu’à 20 millions CAD par violation très grave, ou 3 % du chiffre d’affaires mondial brut en cas de violations cumulées.
La PCMLTFA exige désormais que les programmes de conformité soient « raisonnablement conçus, fondés sur le risque et effectifs ». FINTRAC n’accepte plus que les politiques existent uniquement sur le papier.
Les examinateurs attendent des preuves concrètes démontrant que :
- les évaluations des risques de l’entreprise évoluent de manière dynamique face aux menaces émergentes ;
- les déclarations d’opérations douteuses (STR) reposent sur de véritables analyses financières et investigations substantielles ;
- les systèmes de surveillance sont calibrés en fonction des typologies actuelles de criminalité financière.
Ce passage d’une conformité documentaire à une efficacité démontrable constitue aujourd’hui l’évolution la plus significative de la réglementation financière canadienne.
En vertu de la PCMLTFA, les entités déclarantes doivent transmettre à FINTRAC les rapports suivants :
- Déclarations d’opérations douteuses (STR) — sans seuil monétaire, déposées dès que raisonnablement possible lorsqu’il existe des motifs raisonnables de soupçonner des activités de blanchiment de capitaux ou de financement du terrorisme ;
- Déclarations de grandes opérations en espèces (LCTR) pour les montants reçus de 10 000 CAD ou plus ;
- Déclarations de transferts électroniques de fonds (EFTR) pour les transferts électroniques internationaux de 10 000 CAD ou plus ;
- Déclarations de devises transfrontalières pour le transport physique de 10 000 CAD ou plus.
Les documents et enregistrements correspondants doivent être conservés pendant au moins cinq ans.
À compter du 15 décembre 2025, la présentation d’une pièce d’identité officielle avec photo devient obligatoire au Canada pour l’ouverture de compte, les mises à jour de profil et certaines transactions à haut risque.
Il s’agit d’une exigence réglementaire minimale, et non d’un plafond. Les autorités de supervision s’attendent à ce que les contrôles d’identité aillent au‑delà de la seule validation documentaire, à mesure que des menaces telles que les deepfakes et les identités synthétiques gagnent en sophistication.
La vérification biométrique, incluant la détection de vivacité et la protection contre les attaques par injection, est de plus en plus attendue en complément du KYC fondé sur les documents.
Le projet de loi C‑2 (Strong Borders Act) a considérablement renforcé le pouvoir de sanction de FINTRAC. Une seule violation qualifiée de « très grave » peut désormais entraîner une sanction administrative pécuniaire pouvant atteindre 20 millions CAD.
En cas de violations multiples, les sanctions cumulées sont plafonnées au montant le plus élevé entre 20 millions CAD et 3 % du chiffre d’affaires mondial brut. À ce niveau, la conformité cesse d’être un simple coût opérationnel pour devenir un facteur de risque bilanciel.
Les conséquences dépassent largement le cadre financier : atteinte à la réputation, retrait de contreparties, et restrictions d’accès au marché peuvent venir amplifier les effets des mesures d’exécution réglementaires.
Le Canada applique un modèle réglementaire distribué, sans super‑régulateur unique.
- L’OSFI supervise la conformité prudentielle des banques en vertu de la Bank Act.
- FINTRAC applique les obligations AML/CFT prévues par la PCMLTFA.
- La Banque du Canada supervise environ 1 500 prestataires de services de paiement dans le cadre de la RPAA.
- La FCAC est responsable de la protection des consommateurs et de l’open banking.
- Les commissions provinciales des valeurs mobilières, regroupées au sein de la CSA, réglementent les valeurs mobilières et les crypto‑actifs.
- Affaires mondiales Canada administre les régimes de sanctions.
- Le Commissariat à la protection de la vie privée du Canada (OPC) supervise les données biométriques et personnelles en vertu de la LPRPDE (PIPEDA).
Le Canada fait l’objet d’une évaluation mutuelle du GAFI (Groupe d’action financière) sur la période 2025–2026. Le GAFI évalue si le dispositif AML/CFT d’un pays fonctionne réellement, et pas uniquement si un cadre législatif existe.
L’évaluation de 2016 avait mis en évidence des faiblesses, notamment en matière de transparence des bénéficiaires effectifs, de poursuites pour blanchiment au‑delà des infractions liées aux stupéfiants et à la fraude, ainsi que dans l’application des sanctions.
Depuis, le Canada a mis en place le Registre fédéral des bénéficiaires effectifs, élargi les obligations de déclaration, et activé des dispositions de partage d’informations à compter du 4 mars 2025.
L’évaluation actuelle examinera si ces réformes produisent des résultats mesurables et concrets. L’intensité des examens de FINTRAC augmentera dans tous les cas, indépendamment du résultat final de l’évaluation.
La Retail Payment Activities Act (RPAA) a placé les prestataires de services de paiement de détail sous la supervision de la Banque du Canada. L’enregistrement au titre de la RPAA soumet les entités à une surveillance continue, incluant des cadres de gestion des risques obligatoires, la ségrégation des fonds des utilisateurs finaux et des obligations de déclaration des incidents.
La loi s’applique aux PSP nationaux comme étrangers qui fournissent des services aux clients canadiens. Environ 1 500 entreprises de paiement relèvent désormais de ce régime de supervision.
Les paiements de détail sont traités comme une infrastructure critique à portée systémique, ce qui implique un niveau de discipline opérationnelle équivalent à celui du secteur bancaire.
La Consumer‑Driven Banking Act (CDBA) du Canada établit un cadre pour le partage sécurisé des données financières avec des applications tierces. La Partie 1 de la loi a reçu la sanction royale en juin 2024. Le projet de loi C‑15, qui constitue le cadre complet (accréditation, exigences de sécurité et interdiction du screen‑scraping), était devant le Parlement en mars 2026. La FCAC est l’autorité de supervision désignée.
Le Budget 2025 mentionne explicitement l’exigence d’une authentification multifacteur résistante au phishing et liée à l’appareil pour les services bancaires numériques.
- Phase 1 : accès en lecture et partage de données
- Phase 2 : extension à l’accès en écriture et à l’initiation de paiements
La LPRPDE (PIPEDA) régit la collecte, l’utilisation et la communication des renseignements personnels dans le secteur privé au Canada. En août 2025, le Commissariat à la protection de la vie privée du Canada (OPC) a publié des lignes directrices classant les données biométriques comme des renseignements hautement sensibles.
Cela implique notamment :
- un consentement explicite préalable à toute collecte ;
- une limitation des finalités strictement au(x) usage(s) déclaré(s) ;
- une minimisation des données collectées ;
- des durées de conservation strictes, avec suppression des données une fois la finalité atteinte ;
- et la mise en place de mesures de sécurité appropriées.
Les lois provinciales sur la protection de la vie privée ajoutent des exigences complémentaires. La Loi 25 du Québec impose des standards plus stricts dans certains domaines, tandis que la Colombie‑Britannique et l’Alberta disposent chacune de leur propre législation PIPA.
Le Canada a lancé sa première Stratégie nationale antifraude en octobre 2025, en traitant les arnaques comme une criminalité financière organisée, et non plus comme un simple enjeu de protection du consommateur.
Les Canadiens ont subi 643 millions CAD de pertes dues à la fraude en 2024, soit une augmentation de près de 300 % depuis 2020, alors que seules 5 à 10 % des arnaques sont signalées.
Les modifications à venir de la Bank Act imposeront aux banques :
- la mise en place de politiques formelles de détection de la fraude ;
- l’obtention d’un consentement exprès avant l’activation de capacités à haut risque ;
- et la déclaration des données de fraude à la FCAC.
Une Agence des crimes financiers dédiée — dont la législation est attendue au printemps 2026 — sera chargée d’enquêter sur les crimes financiers complexes.
Par ailleurs, la Coalition canadienne contre les arnaques, regroupant plus de 50 organisations issues des services financiers, des télécommunications, des plateformes numériques, des forces de l’ordre et des administrations publiques, coordonne une prévention intersectorielle.
La fraude à l’identité synthétique combine des attributs réels et fictifs pour créer des identités artificielles qui constituent progressivement un historique de crédit avant d’être exploitées — un schéma que le KYC fondé uniquement sur les documents ne peut pas détecter à lui seul.
Les réseaux de comptes mules utilisent des groupes de comptes pour déplacer des fonds blanchis via des transactions de faible montant, souvent en dessous du seuil de déclaration de 10 000 CAD, avec des comptes fonctionnant normalement pendant des mois avant leur activation.
Ces deux phénomènes nécessitent une détection au niveau des réseaux, et non au niveau d’un compte isolé. Depuis mars 2025, les entités déclarantes canadiennes peuvent partager volontairement des informations afin d’identifier des schémas inter‑institutionnels.
Une détection efficace repose sur :
- la dédoublonnage biométrique 1:N ;
- l’analyse comportementale ;
- et l’analyse des liens et des réseaux entre comptes à l’échelle des institutions.
Votre programme de conformité est‑il prêt pour le standard d’efficacité de FINTRAC ?
Demandez un diagnostic de conformité Canada gratuit — 15 minutes avec nos spécialistes.