Facephi décrypte les nouvelles normes FINTRAC avant l'évaluation du GAFI

Le cadre réglementaire FINTRAC 2026 et ses quatre piliers

La conformité FINTRAC repose en 2026 sur quatre piliers obligatoires : un programme de conformité écrit, la vérification de la clientèle, la déclaration des opérations et l'efficacité démontrable. Le régime s'articule autour de la norme « raisonnablement conçue, fondée sur les risques et efficace » introduite en 2025. L'univers des entités déclarantes s'élève à plus de 38 000 entreprises réparties dans 16 secteurs. Trois lois fédérales de 2026 définissent le cadre : le projet de loi C-12 (Loi renforçant le système d'immigration et les frontières du Canada) a relevé drastiquement les pénalités, le projet de loi C-15 a étendu le champ d'application en matière de lutte anti-blanchiment, et le projet de loi C-29 a créé l'Agence canadienne de lutte contre les crimes financiers et intégré les émetteurs de stablecoin dans le périmètre réglementaire. Depuis 2024, le régime s'est considérablement élargi au-delà du secteur bancaire traditionnel. Les courtiers hypothécaires, les prêteurs et administrateurs hypothécaires, les assureurs de titre, les exploitants de guichets automatiques en libre-service, les entreprises de transport de fonds blindés et les émetteurs de stablecoin sont désormais entièrement assujettis à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT).

Obligations déclaratives et régime de pénalités renforcé

Les entités déclarantes doivent produire six types de rapports distincts : les déclarations de transactions en espèces (10 000 dollars ou plus), les déclarations de transactions suspectes, les déclarations de transferts de fonds électroniques (10 000 dollars ou plus à l'international), les déclarations de transactions en monnaies virtuelles (10 000 dollars ou plus), les déclarations de biens terroristes et les déclarations de débours de casino. La règle des 24 heures exige l'agrégation de plusieurs opérations du même client totalisant 10 000 dollars ou plus sur une fenêtre statique de 24 heures, appliquée désormais tant aux transferts SWIFT qu'aux autres transferts. Le régime de pénalités 2026 a profondément transformé le calcul financier de la non-conformité. Les pénalités maximales atteignent désormais 4 millions de dollars pour les violations graves et 20 millions de dollars pour les violations très graves. Un plafond cumulatif supplémentaire s'applique : le plus élevé de 20 millions de dollars ou 3 % du chiffre d'affaires mondial brut de l'entité au cours de l'exercice précédent. Les Accords de conformité sont obligatoires après chaque pénalité administrative pécuniaire et précisent les mesures correctives et les délais stricts. Le non-respect d'un Accord de conformité déclenche une Ordonnance de conformité, dont la violation elle-même constitue une infraction passible de pénalités pouvant atteindre 30 millions de dollars.

Identité numérique et vérification biométrique multimodale

En 2026, de simples numérisations de documents ne satisfont plus aux normes de FINTRAC pour les opérations à distance à risque plus élevé. Le Centre s'attend désormais à ce que les entités combinent l'authentification des documents avec la biométrie comportementale et la reconnaissance faciale, incluant à la fois la détection de vivacité active et passive pour contrer les deepfakes et la fraude à l'identité assistée par l'intelligence artificielle. Pour la vérification des personnes physiques, FINTRAC accepte cinq méthodes : les pièces d'identité officielles avec photo, les vérifications de dossier de crédit auprès d'un bureau de crédit canadien, la méthode à deux volets (combinant deux sources fiables indépendantes), la vérification par un affilié ou membre, et la confiance en une autre entité déclarante ayant déjà complété l'identification. Depuis le 1er octobre 2025, FINTRAC a autorisé l'utilisation d'agents ou de mandataires pour vérifier l'identité des entités constituées en société, alors que cette permission était auparavant limitée aux personnes physiques. L'entité déclarante demeure toutefois responsable en dernier ressort, et l'agent doit appliquer les mêmes normes.