Stratégie nationale antifraude : Document de consultation

Question

Dans son budget de 2025, le gouvernement a annoncé son intention d'élaborer une stratégie nationale antifraude (la stratégie) pangouvernementale, fondée sur une approche multisectorielle visant à protéger les Canadiens contre les stratagèmes de fraude en constante évolution et très complexes. La stratégie aura pour but d'élaborer des solutions de lutte contre les fraudes dans les secteurs des finances et des télécommunications, et les plateformes numériques. De plus, elle permettra de faire avancer les mesures visant à soutenir les procédures pénales en matière de fraude et à prévenir les fraudes dirigées contre le gouvernement du Canada.

Le présent document de consultation vise à recueillir les commentaires du public sur trois mesures initiales qui pourraient être prises pour faire progresser la stratégie.

• Mettre en place un cadre antifraude multisectoriel complet pour protéger les Canadiens qui pourrait prévoir de nouvelles obligations relatives aux pratiques commerciales (et améliorer celles déjà en vigueur) pour les organisations réglementées afin qu'elles prennent des mesures pour prévenir, détecter et contrer les fraudes perpétrées contre les Canadiens et intervenir en cas de fraude, en veillant à ce que les Canadiens ne soient pas tenus responsables lorsque les organisations réglementées ne respectent pas leurs obligations. Il peut s'agir :
  • d'un ensemble d'obligations générales applicables à tous les secteurs d'activité;
  • d'un ensemble d'obligations propres à chaque secteur.
• Sensibiliser davantage les Canadiens afin qu'ils soient mieux à même de se protéger contre les fraudes, ce qui permettrait de réduire leur exposition au risque de fraude et de favoriser l'amélioration des résultats.
• Soutenir la capacité des organismes d'application de la loi à lutter contre les fraudes en établissant des règles strictement définies et peu contraignantes pour l'échange d'informations et en renforçant la coordination des efforts nationaux de lutte contre la fraude transfrontalière déployés par les services de police aux niveaux fédéral, provincial, territorial et municipal.

Portée

La stratégie se concentrera dans un premier temps sur les types de fraudes visant les particuliers canadiens, puis s'étendra aux petites organisations, le cas échéant.

Les types de fraudes ci-dessous, peu importe leur origine, pourraient être pris en compte dans la portée.

Toute tentative, réussie ou non, pour :

1. tromper ou contraindre une personne à autoriser un paiement, à transférer des fonds ou à communiquer ses renseignements personnels ou financiers afin de lui causer une perte ou un préjudice;
2. obtenir des renseignements personnels ou financiers ou inciter une personne à communiquer de tels renseignements afin de lui causer une perte ou un préjudice;
3. accéder au compte financier d'une personne ou d'utiliser son compte dans le but de lui causer une perte ou un préjudice;
4. usurper l'identité de clients afin d'accéder à des comptes du gouvernement fédéral ou de réacheminer des paiements.

L'Agence canadienne des crimes financiers

Dans le budget de 2025, le gouvernement a annoncé la création d'une nouvelle agence de lutte contre les crimes financiers chargée d'enquêter sur les cas complexes de blanchiment d'argent, d'activités liées au crime organisé et d'arnaques financières en ligne, et de récupérer les produits illicites générés par de telles activités. La stratégie aura pour but de soutenir la capacité des organismes d'application de la loi à lutter contre les fraudes, bien que le présent document ne vise pas à obtenir des commentaires sur la création de cette agence.

État actuel

Évolution des cas de fraude

La fraude au Canada continue de croître tant en ampleur qu’en sophistication, les fraudeurs exploitant de plus en plus les nouvelles technologies pour cibler les Canadiens. Par conséquent, les pertes financières ont augmenté de façon marquée. Selon le Centre antifraude du Canada (CAFC), les Canadiens ont déclaré avoir perdu plus de 704 millions de dollars en 2025, portant les pertes déclarées depuis 2022 à plus de 2,4 milliards de dollars. Comme on estime que seulement 5 à 10 % des incidents frauduleux sont signalés, l’ampleur réelle du problème est probablement beaucoup plus élevée.

Les fraudeurs exercent leurs activités dans de nombreux secteurs pour escroquer les Canadiens et attirent leurs victimes éventuelles au moyen de courriels, de messages textes, d'appels téléphoniques et de publications sur les médias sociaux trompeurs et coercitifs, et de publicités payantes. Ils accèdent ainsi aux comptes bancaires des clients pour transférer directement des fonds vers leurs propres comptes ou bien ils trompent ou contraignent les clients à leur envoyer de l'argent.

Les fraudeurs ne se trouvent souvent pas au Canada et peuvent commettre des fraudes à distance, sans se soucier des frontières internationales, provinciales et territoriales. Ils tirent de plus en plus parti des progrès technologiques, comme l'intelligence artificielle (IA), pour dissimuler leur identité et convaincre leurs victimes de leur communiquer des renseignements afin de pouvoir accéder à leurs fonds.

Les fraudeurs utilisent de plus en plus les identifiants émis par le gouvernement, comme les numéros d'assurance sociale, pour compromettre les comptes du gouvernement et les comptes financiers du secteur privé. L'utilisation à mauvais escient de ces identifiants peut permettre le vol d'identité à grande échelle, la création d'identités synthétiques et la fraude intersectorielle.

Les progrès de la technologie sophistiquée augmentent le degré de complexité des actes frauduleux, tout en facilitant l'accès des fraudeurs à des tactiques et techniques, contribuant ainsi à cette menace en constante évolution pour les Canadiens et l'économie canadienne.

Obligations réglementaires existantes

La fraude est une infraction criminelle définie dans le Code criminel.

Il y a certaines règles du marché qui sont en place pour protéger les Canadiens contre les actes frauduleux. Cependant, ces règles ont des limites et sont généralement propres au secteur d'activité, avec peu ou pas de coordination intersectorielle (par exemple, entre les banques et les fournisseurs de télécommunications).

De façon générale, la Loi canadienne antipourriel vise à protéger les consommateurs dans tous les secteurs contre les menaces électroniques, y compris le vol d’identité, l’hameçonnage et la propagation de logiciels malveillants. Toutefois, ces règles ne contraignent pas les entreprises à détecter, à perturber, à prévenir et à contrer de manière proactive les menaces liées à la fraude.

Dans le secteur financier fédéral, les clients ont une responsabilité limitée concernant les opérations non autorisées effectuées avec leurs cartes de débit^{Note de bas de page 1} et de crédit^{Note de bas de page 2} , à condition qu'ils n'aient pas fait preuve de négligence grave (ou, au Québec, de faute grave) dans la protection de leurs cartes, des renseignements sur leur compte ou de leurs renseignements personnels d'authentification. Toutefois, il s'agit là de mesures de protection qui ne s'appliquent pas à d'autres types d'opérations à partir de comptes (comme les virements télégraphiques). Les contrats des titulaires de comptes bancaires précisent généralement les comportements des clients que les banques considèrent comme indiquant une autorisation de paiement ou une négligence grave.

Dans le cadre de la première étape de la stratégie, le gouvernement a proposé des modifications de la Loi sur les banques afin de mieux protéger les clients contre les actes frauduleux. Le projet de loi C-15 : Loi portant exécution de certaines dispositions du budget déposé au Parlement le 4 novembre 2025 propose des modifications qui auraient pour effet d'obliger les banques à :

• disposer de politiques et de procédures visant à détecter et à prévenir les fraudes dirigées ciblant les consommateurs et à en atténuer les conséquences pour ceux-ci;
• obtenir le consentement exprès des consommateurs avant d'offrir certaines fonctionnalités visées par règlement pour les comptes;
• permettre aux consommateurs de désactiver certaines fonctionnalités visées par règlement pour les comptes;
• permettre aux consommateurs d'ajuster les limites de retrait et d'opération liées à leurs comptes;
• communiquer annuellement les données visées par règlement relatives aux fraudes à l'Agence de la consommation en matière financière du Canada (ACFC).

Le gouvernement est en train d'élaborer un règlement pour préciser davantage les obligations des banques en matière de fraude. Une fois le règlement en vigueur, il appartiendrait à l'ACFC de superviser et d'assurer le respect par les banques de ces obligations en matière de protection des clients.

Les fournisseurs de services de télécommunications (FST) n'ont généralement pas le droit d'interférer avec le trafic des communications, notamment les appels téléphoniques, les messages textes ou les courriels. Toutefois, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a élaboré un certain nombre d'exigences à l'intention des FST afin de réduire le nombre d'appels vocaux indésirables, illégitimes et frauduleux grâce à des mesures pour les bloquer ou les signaler.

En plus de ce qui précède, certains FST ont mis au point d'autres méthodes pour détecter les communications frauduleuses présumées et signaler les appels aux destinataires qui peuvent alors y répondre ou les refuser. Il s'agit notamment d'outils basés sur l'IA qui permettent de détecter les appels suspects. Certains FST ont également reçu du CRTC l'autorisation de bloquer les appels indésirables connus, ce qui leur permet de mettre fin à l'appel entrant avant qu'il ne parvienne aux destinataires prévus.

Les règles sur les télécommunications non sollicitées qui traitent de pratiques telles que la sollicitation au hasard peuvent aider à réduire le nombre de cas de fraude. Cependant, ces règles sont conçues pour faire respecter les pratiques commerciales exemplaires par les entreprises plutôt que pour les obliger explicitement à détecter, à perturber et à prévenir les menaces de fraude et à y répondre de manière proactive.

Les plateformes numériques, y compris les plateformes de médias sociaux, n'ont actuellement aucune obligation législative en matière de lutte contre la fraude visant les consommateurs. En l'absence d'un cadre législatif, les propriétaires des plateformes de médias sociaux s'abstiennent de prévenir, de détecter et de supprimer les annonces et les messages frauduleux et peuvent même s'enrichir grâce aux frais publicitaires qu'ils perçoivent auprès des fraudeurs pour diffuser leurs fausses annonces.

Un cadre multisectoriel de lutte contre la fraude pour protéger les Canadiens

Les acteurs malveillants utilisent les services fournis par des secteurs clés et exploitent les lacunes entre ces secteurs afin de commettre des actes frauduleux. Un élément clé de la stratégie pourrait comprendre l'imposition de nouvelles obligations en matière de pratiques commerciales et le renforcement des obligations existantes pour les organisations sous réglementation fédérale dans ces secteurs.

Les secteurs suivants pourraient initialement faire partie du champ d'application du cadre multisectoriel de lutte contre la fraude (le cadre) :

• secteur financier fédéral, y compris les banques et les autres institutions financières sous réglementation fédérale;
• secteur des télécommunications, y compris les fournisseurs de services de télécommunications (fil, câble, système radio ou optique ou autre système électromagnétique, ou tout autre système technique semblable);
• les plateformes numériques, y compris les services de médias sociaux, les services de messagerie instantanée et les moteurs de recherche.

Le cadre pourrait exiger des organisations réglementées qu'elles remplissent un ensemble d'obligations générales applicable, quel que soit le secteur d'activité, renforcé par des obligations distinctes pour chaque secteur d'activité concernant les pratiques commerciales propres à certains secteurs.

Ces obligations pourraient compléter, plutôt que reproduire, les mesures de protection des clients contre les fraudes qui sont en place dans chaque secteur.

Les obligations s'appliquant aux organisations réglementées pourraient porter sur quatre domaines clés.

1. Prévention

Le cadre pourrait avoir pour objectif de mettre en place de nouvelles obligations et de renforcer celles qui existent déjà pour les organisations réglementées afin qu'elles conçoivent, exploitent et gèrent leurs services de manière à réduire les risques de fraude, à limiter la capacité des fraudeurs à exploiter les lacunes au sein des secteurs et entre eux, et à empêcher leurs utilisateurs d'être victimes de fraude et des préjudices qui en découlent. Les organisations seraient alors tenues d'éduquer leurs clients en complément de ces mesures de protection au niveau du système afin de s'assurer qu'ils sont conscients des menaces de fraude et qu'ils savent quoi faire avant que l'activité frauduleuse ne se produise et s'ils soupçonnent avoir été victimes d'une fraude, notamment en signalant la fraude aux fournisseurs de services et en déposant une plainte s'ils estiment que leur fournisseur de services n'a pas respecté les obligations prévues dans le cadre.

2. Détection

Le cadre pourrait prévoir des mesures pour obliger les organisations réglementées à s'assurer de pouvoir détecter efficacement les actes frauduleux dès qu'ils se produisent et de mener une enquête en fonction de l'information obtenue, en plus d'informer les personnes concernées qu'elles peuvent être ou ont été victimes d'un acte frauduleux. Les organisations pourraient être tenues de communiquer l'information sur l'acte frauduleux aux organisations d'autres secteurs, tout en respectant le droit à la vie privée des utilisateurs.

3. Perturbation

Le cadre pourrait exiger des organisations réglementées qu'elles prennent des mesures pour empêcher les activités frauduleuses de se produire et prévenir les pertes actuelles et futures résultant de ces activités, une fois qu'une fraude ou un risque élevé de fraude a été cerné, notamment en supprimant l'accès des fraudeurs à leurs services et en avertissant leurs utilisateurs si elles cernent des risques de fraude liés à l'utilisation de leurs services.

4. Réponse

Le cadre pourrait exiger que les personnes aient accès à des moyens de signaler les fraudes confirmées et les tentatives de fraude, ainsi qu'à des processus internes clairs et transparents de règlement des différends, en plus d'avoir la possibilité de s'adresser à un organisme externe de traitement des plaintes aux fins de résolution. Les organisations réglementées pourraient être tenues de rembourser les utilisateurs qui ont subi des pertes pouvant être liées au fait qu'elles n'ont pas respecté leurs obligations prévues dans le cadre.

Question pour la consultation

1. Les trois secteurs susmentionnés conviennent-ils pour la phase initiale d'un cadre? Faudrait-il prendre en considération d'autres secteurs?

Surveillance du cadre

Les obligations générales prévues dans le cadre devraient probablement faire l'objet d'une surveillance et d'une mise en application par un organisme de réglementation central, qui serait chargé de s'assurer que l'ensemble des organisations visées par le cadre respectent leurs obligations. Un organisme de réglementation central, indépendant des trois secteurs visés par le cadre, pourrait être chargé d'adopter une vision globale du respect des obligations du cadre et de coordonner les réponses réglementaires intersectorielles.

Les règles propres au secteur pourraient être surveillées et appliquées par des organismes de réglementation sectoriels possédant les connaissances et l'expertise nécessaires (par exemple, l'ACFC pourrait surveiller le respect des obligations par les institutions financières sous réglementation fédérale et le CRTC, les règles propres aux secteurs des FST).

Questions pour la consultation

2. Quel rôle un organisme de réglementation central pourrait-il jouer en ce qui concerne un cadre multisectoriel de lutte contre la fraude?

3. Quel rôle les organismes de réglementation sectoriels pourraient-ils jouer en ce qui concerne le cadre?

4. Comment peut-on assurer une surveillance efficace du cadre, sans chevauchement de la surveillance existante des trois secteurs?

Échange d'information entre les organismes de réglementation

L'accès à de l'information en temps opportun peut permettre aux organismes de réglementation de mieux comprendre la nature évolutive de la fraude et d'orienter la surveillance antifraude dans leur secteur d'activité et l'élaboration des messages antifraude destinés au public. Par exemple, sous réserve des dispositions relatives à la confidentialité, les observations de l'organisme de réglementation du secteur financier, tirées de sa surveillance de la conformité des banques au cadre, telles que les tendances dans le type de stratagèmes frauduleux et les méthodes d'exécution qui ont une incidence sur les clients de produits et services financiers, pourraient être communiquées aux organismes de réglementation du secteur des télécommunications et de celui des plateformes numériques afin d'orienter leur surveillance des obligations en matière de pratiques commerciales liées à la fraude applicables à ces secteurs.

L'organisme de réglementation central pourrait être autorisé à communiquer des informations pertinentes et très précises sur les activités frauduleuses aux organismes de réglementation sectoriels, qui pourraient également être autorisés à communiquer de telles informations à l'organisme de réglementation central et à leurs homologues responsables des autres secteurs visés par le cadre.

Toutefois, il y aurait lieu de définir de manière rigoureuse les pouvoirs d'échanger des informations et de respecter la confidentialité des renseignements commerciaux sensibles et le droit à la vie privée des Canadiens.

Questions pour la consultation

5. À quel moment les organismes de réglementation du cadre devraient-ils être autorisés à communiquer à un autre organisme de réglementation des informations sur l'activité frauduleuse afin de contribuer à la réalisation des objectifs de la stratégie qui consistent à prévenir, à détecter et à perturber les activités frauduleuses et à mener des enquêtes à cet égard?

6. Le cas échéant, quelles sont précisément les informations qui devraient être communiquées et dans quelles circonstances et à quelles fins précises devraient-elles l'être?

7. Quels mécanismes de protection de la vie privée ou de surveillance faudrait-il mettre en place pour de telles initiatives d'échange d'information?

Communication des informations sur un cas de fraude aux organismes d'application de la loi

Les connaissances et la sensibilisation des organismes de réglementation du cadre en matière de fraude pourraient être utiles pour soutenir les efforts des organismes d'application de la loi visant la lutte contre la fraude. Lorsqu'elles sont opportunes et fiables, les informations relatives à l'activité frauduleuse fournies par les organismes de réglementation du cadre pourraient aider les organismes d'application de la loi à structurer leurs enquêtes sur les fraudes et à cerner les activités illégales.

Encore une fois, les pouvoirs d'échanger des informations devraient être définis de façon rigoureuse et précise afin de garantir que les mesures de protection en vertu de la Charte canadienne des droits et libertés (Charte) et les droits à la vie privée sont respectés en tout temps.

Questions pour la consultation

8. Quand les organismes de réglementation du cadre devraient-ils être autorisés à communiquer des informations sur les activités frauduleuses aux organismes d'application de la loi aux fins de prévention, de détection et de perturbation des fraudes, et d'enquête sur celles-ci?

9. Quand [les organismes d'application de la loi] devraient-ils être autorisés à communiquer des informations sur les activités frauduleuses à des organisations du secteur privé?

10. Le cas échéant, quelles sont précisément les informations qui devraient être communiquées et dans quelles circonstances et à quelles fins précises devraient-elles l'être?

11. Quels mécanismes de protection de la vie privée ou de surveillance faudrait-il mettre en place pour de telles initiatives d'échange d'information?

Aspects d'un cadre

Les obligations générales propres aux secteurs visés par le cadre pourraient s'articuler autour des principes ci-dessous.

1. Prévention

Les organisations des trois secteurs réglementés pourraient être tenues de prendre des mesures proactives pour empêcher leurs clients d'être victimes de fraude. Il pourrait s'agir d'une solide gouvernance antifraude, de programmes de formation pour le personnel et les tiers concernés, d'exigences liées à « l'obligation de bien connaître son client » et à la sensibilisation des clients. Les obligations en matière de prévention pourraient permettre d'atteindre un équilibre, en assurant à la fois l'efficacité et une perturbation minimale de l'utilisation légitime des plateformes bancaires, numériques et de télécommunications par les Canadiens.

Obligations générales

Gouvernance

Le succès d'un cadre dépendrait de la mise en œuvre des obligations, des rôles et des responsabilités au plus haut niveau par les organisations réglementées. Les organisations réglementées de tous les secteurs pourraient être tenues d'intégrer la responsabilité du respect des obligations du cadre dans leur cadre de gouvernance interne, y compris les fonctions de gestion des risques et de conformité.

Les organisations pourraient également être tenues de désigner un cadre supérieur comme responsable de la conformité de l'organisation avec le cadre, notamment les politiques et procédures de l'organisation pour la prévention, la détection et la perturbation des activités frauduleuses, et la réponse à celles-ci, et la sensibilisation des clients à cet égard. De plus, elles pourraient mettre sur pied un comité de leur conseil d'administration chargé d'examiner dans quelle mesure l'organisation respecte ses obligations en vertu du cadre.

Question pour la consultation

12. Comment les organisations devraient-elles être tenues d'intégrer la conformité au cadre dans leur modèle de gouvernance?

Formation

Le cadre devrait permettre de garantir que les organisations réglementées comprennent et respectent les obligations en matière de lutte contre la fraude. Les organisations pourraient être tenues de former leur personnel et les tiers fournisseurs de services sur leurs politiques et procédures relatives à la lutte contre la fraude, notamment en ce qui a trait à la prévention, à la détection et à la perturbation des activités frauduleuses et à la communication des incidents, ainsi qu'à leurs politiques de mesures correctives. Pour répondre aux attentes en matière de formation, il pourrait être nécessaire de mettre régulièrement à jour le contenu de la formation afin de tenir compte des nouvelles menaces et des pratiques exemplaires et d'expliquer le rôle des employés dans la prévention, la détection et la perturbation des activités frauduleuses, et la réponse à celles‑ci.

Question pour la consultation

13. Comment les organisations peuvent-elles s'assurer que la formation sur la lutte contre la fraude est efficace, et comment cela devrait-il être pris en considération dans les politiques ou les lois du gouvernement?

Exigences liées à l'obligation de bien connaître son client

Les Canadiens devraient avoir l'assurance que les services qu'ils reçoivent des organisations sont pour leur usage exclusif et que les autres utilisateurs avec lesquels ils interagissent sont bien ceux qu'ils prétendent être. Les organisations pourraient être tenues de mettre en place des processus pour s'assurer que les utilisateurs de leurs services sont des personnes réelles et vérifier que les personnes qui se présentent comme titulaires de comptes sont en fait les véritables titulaires de ces comptes, et ce, d'une manière conçue pour éviter les obstacles ou les interruptions de service involontaires.

Question pour la consultation

14. Quand et comment les organisations devraient-elles être tenues de vérifier l'identité des utilisateurs de leurs services?

Sensibilisation des clients

Lorsqu'ils sont soutenus par de solides mesures de protection, les Canadiens sont mieux à même d'éviter d'être victimes de fraude. Ils peuvent également intervenir efficacement en cas de fraude lorsqu'ils comprennent le mode d'opération des fraudeurs et la façon dont ils cherchent à mobiliser les victimes, et savent quelles mesures prendre s'ils sont victimes d'une fraude ou soupçonnent une fraude.

Les organisations pourraient être tenues d'élaborer, de publier et de mettre à la disposition des clients de l'information sur les activités frauduleuses courantes ayant une incidence sur leurs services, ainsi que sur les indicateurs clés et les signes avant-coureurs de telles activités. Elles pourraient également être tenues de décrire les mesures qu'elles prennent pour empêcher que les activités frauduleuses aient des répercussions sur les utilisateurs de leurs services.

Les organisations pourraient être tenues de publier des informations générales sur les mesures qu'elles prennent pour prévenir, détecter et perturber les activités frauduleuses, et y répondre. Elles pourraient aussi être tenues d'aligner ces informations sur les informations centralisées et faisant autorité concernant les activités frauduleuses qui sont produites par les organismes de réglementation ou les organismes d'application de la loi.

Les organisations pourraient également être tenues de rendre facilement accessibles des informations sur la façon de signaler un cas de fraude présumé à l'organisation et de déposer une plainte concernant la façon dont une organisation a traité un cas de fraude présumé, ainsi que sur le processus de renvoi aux échelons supérieurs si la personne n'est pas satisfaite de la résolution proposée par l'organisation.

Questions pour la consultation

15. Quelles informations sur la fraude les organisations devraient-elles être tenues de mettre à la disposition des personnes qui utilisent ou pourraient utiliser leurs services?

16. Comment devrait-on évaluer l'efficacité des activités de sensibilisation des organisations en matière de fraude pour s'assurer qu'elles permettent de réduire de manière appréciable les préjudices?

Obligations propres aux secteurs

En plus des obligations générales de prévention susmentionnées, les organisations pourraient être tenues de prendre des mesures de prévention des fraudes propres à leur secteur d'activité.

Secteur financier

Les institutions financières sous réglementation fédérale pourraient être tenues :

• de fournir des mises en garde précises au sujet du risque de fraude aux personnes qui effectuent des paiements de transfert à grande échelle (par exemple, virements télégraphiques, transferts de fonds internationaux);
• d'envoyer des notifications en temps réel aux clients lorsqu'un paiement de transfert est effectué ou lorsqu'un nouveau bénéficiaire ou destinataire est ajouté;
• de mettre en place des méthodes sécurisées d'authentification multifactorielle pour valider le versement d'un paiement ou l'ajout d'un nouveau bénéficiaire ou destinataire.

Secteur des télécommunications

Les FST pourraient être tenus de :

• mettre en œuvre un processus pour déterminer les numéros de téléphone frauduleux ou hautement suspects, et les bloquer ou les signaler, ainsi que des mécanismes pour corriger les faux positifs;
• dresser une « liste blanche » des agrégateurs légitimes connus autorisés à envoyer des messages textes agrégés;
• bloquer ou signaler les appels de fraudeurs « usurpant » l'identité d'entreprises légitimes, d'institutions gouvernementales et d'organismes d'application de la loi.

Les plateformes numériques

Les propriétaires de plateformes numériques pourraient être tenus de :

• limiter l'accès à la publicité sur leurs plateformes aux utilisateurs vérifiés;
• s'assurer que les utilisateurs bannis ne peuvent pas contourner les processus de vérification des comptes de l'organisation;
• mettre en œuvre un filtrage des profils et des pages frauduleux et bloquer les liens malveillants.

Question pour la consultation

17. Quelles règles sectorielles de prévention de la fraude faudrait-il mettre en place?

2. Détection

Les acteurs des secteurs d'activité pourraient être tenus de surveiller et d'évaluer leurs services pour détecter les activités frauduleuses, et d'enquêter sur les rapports d'activités frauduleuses présumées, dont la nature de la fraude et les conséquences pour leurs clients.

Obligations générales

Repérer les activités frauduleuses et enquêter sur celles-ci

Les organisations ne peuvent perturber efficacement les activités frauduleuses que si elles prennent des mesures proactives pour connaître la façon dont les fraudeurs prennent leurs clients pour cible et mener des enquêtes à cet égard.

Les organisations pourraient être tenues de prendre des mesures pour repérer les activités susceptibles d'être frauduleuses visant leurs clients et suivre et détecter les incidents confirmés de fraude qui touchent leurs clients, notamment de disposer des ressources et des capacités nécessaires pour détecter les fraudes.

Lorsqu'une organisation prend connaissance d'une activité frauduleuse présumée, soit par le biais de ses propres processus internes ou d'un rapport ou d'une plainte d'une personne, elle pourrait être tenue d'enquêter pour confirmer si une activité frauduleuse a vraiment eu lieu dans le cadre de l'utilisation de ses services. À la suite de l'enquête, l'organisation pourrait être tenue d'informer les utilisateurs touchés par l'activité frauduleuse, le cas échéant.

Question pour la consultation

18. Comment inciter les organisations à détecter efficacement les activités susceptibles d'être frauduleuses au sein de leurs services et à mener des enquêtes à leur sujet?

Évaluation des conséquences d'une activité frauduleuse

Lorsqu'une activité frauduleuse se produit, les organisations peuvent minimiser les préjudices futurs causés à leurs clients en prenant des mesures pour comprendre la gravité des conséquences qui en découleront. Lorsqu'une organisation confirme qu'une activité frauduleuse a eu lieu, elle pourrait être tenue d'évaluer les préjudices qui peuvent en découler, y compris les préjudices financiers, subis par les personnes touchées, et le risque de préjudices futurs (par exemple, perte financière future, vol d'identité).

Les organisations pourraient être tenues de fournir l'accès à de nouveaux comptes pour s'assurer que les fraudeurs ne peuvent plus continuer à accéder à un compte compromis. Les évaluations du degré de préjudice pourraient en fin de compte orienter la détermination des mesures à prendre par les organisations pour répondre aux activités frauduleuses.

Questions pour la consultation

19. Comment les organisations devraient-elles être tenues d'évaluer les préjudices causés par les activités frauduleuses aux personnes qui utilisent leurs services?

20. Quelles mesures les organisations devraient-elles être tenues de prendre pour évaluer le risque de préjudice futur pour les personnes touchées par une activité frauduleuse?

Échange d'information entre les organisations

Les organisations peuvent posséder des informations que d'autres organisations peuvent utiliser pour prévenir, détecter et perturber les fraudes. Outre l'échange d'information entre les organismes de réglementation du cadre, et en plus des outils internes de détection des fraudes des organisations, la détection pourrait être renforcée par la mise en place de processus d'échange d'information entre les organisations et entre les secteurs. L'échange d'information entre les organisations peut leur permettre de déceler plus tôt et plus efficacement les activités frauduleuses et d'être mieux à même de détecter et perturber les activités frauduleuses avant qu'elles ne touchent les personnes.

Par exemple, sur la base des informations signalées par les clients, une banque peut constater qu'un bon nombre de ses clients sont victimes de publicité mensongère sur des produits et services financiers hébergés par une plateforme de médias sociaux. Dans de telles circonstances, la banque pourrait aviser le propriétaire de la plateforme en question et demander que la publicité soit retirée.

Cependant, comme il a été mentionné précédemment, le droit à la vie privée doit toujours être respecté. Ce pouvoir d'échanger des informations doit avoir une portée limitée et tenir compte du droit à la vie privée des Canadiens.

Questions pour la consultation

21. Quand une organisation réglementée du secteur privé devrait-elle pouvoir communiquer des informations sur une activité frauduleuse à une autre organisation réglementée du secteur privé?

22. Le cas échéant, quelles sont précisément les informations qui devraient être communiquées et dans quelles circonstances et à quelles fins précises devraient-elles l'être?

23. Quels mécanismes de protection de la vie privée ou de surveillance faudrait-il mettre en place pour de telles initiatives d'échange d'informations?

Communication des renseignements sur la fraude aux organismes d'application de la loi

Les connaissances et les points de vue des organisations réglementées pourraient être utiles pour soutenir le travail des organismes d'application de la loi dans la lutte contre la fraude. Lorsqu'elles sont opportunes et fiables, ces informations pourraient aider les organismes d'application de la loi à structurer leurs enquêtes sur les fraudes et à cerner les activités illégales.

Comme il a été mentionné précédemment, le pouvoir d'échanger des informations doit avoir une portée limitée et précise afin de garantir que la Charte et le droit à la vie privée sont toujours respectés.

Questions pour la consultation

24. Quand les organisations devraient-elles être autorisées à communiquer des informations sur une activité frauduleuse aux organismes d'application de la loi dans le but de prévenir, de détecter et de perturber l'activité frauduleuse et d'enquêter sur celle-ci?

25. Quand les organismes d'application de la loi devraient-ils être autorisés à communiquer des informations sur une activité frauduleuse à des organisations du secteur privé?

26. Quand le gouvernement devrait-il être autorisé à communiquer des informations sur une activité frauduleuse aux organismes d'application de la loi?

27. Quand le gouvernement devrait-il être autorisé à communiquer des informations sur une activité frauduleuse à des organisations du secteur privé?

28. Le cas échéant, quelles sont précisément les informations qui devraient être communiquées et dans quelles circonstances et à quelles fins précises devraient-elles l'être?

29. Quelles mesures de protection de la vie privée ou quels mécanismes de surveillance faudrait-il mettre en place pour de telles initiatives d'échange d'information?

Obligations propres aux secteurs

En plus des obligations générales de prévention susmentionnées, les organisations pourraient être tenues de prendre des mesures de détection de la fraude propres à leur secteur d'activité.

Secteur financier

Les institutions financières sous réglementation fédérale pourraient être tenues :

• de surveiller en temps réel l'activité dans les comptes, notamment les opérations, afin de déceler les cas de fraude potentiels;
• de recourir à l'analyse comportementale lors de la surveillance de l'activité dans les comptes pour déceler les cas de comportement inhabituel des utilisateurs (par exemple, virements télégraphiques importants, plusieurs retraits en espèces importants dans un court laps de temps, ajout de nouveaux bénéficiaires ou contacts de transfert).

Secteur des télécommunications

Les FST pourraient être tenus :

• d'analyser les tendances dans le trafic des appels téléphoniques et des messages textes et le contenu pour détecter les activités suspectes et les incidents de fraude potentiels, tout en respectant le droit à la vie privée des Canadiens;
• de cerner les cas où des abonnés répondent à des appels téléphoniques ou à des messages textes frauduleux connus ou interagissent avec ceux-ci, et assurer un suivi au besoin, conformément aux exigences légales applicables;
• de surveiller le volume de numéros frauduleux connus à l'aide de leur infrastructure de télécommunications et rendre compte aux organismes de réglementation, au gouvernement, aux organismes d'application de la loi et au public, selon le cas, des tendances relevées;
• d'envisager la mise en place de mécanismes permettant de mieux authentifier les communications légitimes.

Les plateformes numériques

Les propriétaires des plateformes numériques pourraient être tenus de :

• cerner de manière proactive les comptes et le contenu, notamment les publicités, susceptibles d'être liées à des activités frauduleuses;
• prendre des mesures pour avertir les utilisateurs des services dont le compte pourrait avoir été compromis;
• surveiller le volume d'activités frauduleuses à l'aide de leur plateforme numérique et en faire rapport aux organismes de réglementation et aux organismes d'application de la loi.

Question pour la consultation

30. Quelles règles de détection des fraudes propres aux secteurs faudrait-il mettre en place?

3. Perturbation

Lorsque les organisations confirment qu'une activité frauduleuse a lieu à l'aide de leurs services, elles pourraient être tenues d'interrompre l'activité et de bannir les utilisateurs frauduleux. En cas de soupçon de fraude, celles-ci pourraient avoir l'obligation de prendre des mesures pour suspendre ces activités pendant qu'elles font l'objet d'une enquête.

Obligations générales

Retrait de l'accès aux fraudeurs connus

Les fraudeurs ne devraient pas être en mesure d'accéder à l'infrastructure financière, de télécommunications et de plateforme numérique dans le but de mener des activités illégales. Les organisations pourraient être tenues de bannir les fraudeurs connus, de désactiver les comptes concernés et de bloquer l'accès futur à leurs services.

Questions pour la consultation

31. Comment trouver un équilibre pour limiter l'utilisation des infrastructures des secteurs d'activité à des fins frauduleuses, tout en veillant à ce que les utilisateurs légitimes ne soient pas déraisonnablement privés de l'utilisation des services?

Suspendre les activités susceptibles d'être frauduleuses

Les organisations peuvent utiliser les renseignements recueillis dans le cadre des activités de détection des fraudes pour déjouer les activités susceptibles d'être frauduleuses. Si une organisation a des motifs raisonnables de croire qu'une activité susceptible d'être frauduleuse a eu lieu, elle pourrait être tenue de suspendre ou de bloquer l'activité du compte jusqu'à ce qu'elle ait confirmé que l'activité frauduleuse ne constitue plus une menace pour les utilisateurs du service. Les organisations pourraient être tenues de rétablir les services suspendus dans un tel cas.

Questions pour la consultation

32. Dans quelles situations les entités réglementées devraient-elles être tenues de suspendre les activités susceptibles d'être frauduleuses?

33. Quelles mesures de protection et de recours faudrait-il mettre en place pour s'assurer que l'accès des personnes n'est pas indûment suspendu ou retiré?

Mises en gade des utilisateurs

Les organisations peuvent également aider les utilisateurs de leurs services à faire des choix éclairés en leur fournissant des renseignements sur les risques de fraude. Lorsque les organisations prennent connaissance d'une activité susceptible d'être frauduleuse ou d'une menace de telles activités, elles pourraient être obligées d'avertir dès que possible les clients concernés, afin de leur permettre de prendre des décisions éclairées quant à l'utilisation de leurs services.

Question pour la consultation

34. Comment assurer l'efficacité des notifications d'activités frauduleuses présumées?

Obligations propres aux secteurs

En plus des obligations générales de prévention susmentionnées, les organisations pourraient être tenues de prendre les mesures de perturbation des activités frauduleuses ci-dessous, selon leur secteur.

Secteur financier

Les institutions financières sous réglementation fédérale pourraient être tenues :

• de fermer les comptes connus pour être contrôlés par des auteurs de fraudes ou d'en bloquer l'accès, en conservant les informations indiquant que ces comptes étaient détenus par des fraudeurs;
• de permettre aux titulaires de comptes de bloquer ou de désactiver des comptes ou certaines fonctionnalités d'un compte si elles soupçonnent que leur compte a été compromis.

Secteur des télécommunications

Les FST pourraient être tenus :

• d'intercepter et de bloquer les messages textes et les appels téléphoniques provenant d'expéditeurs frauduleux ou très suspects et de les identifier comme étant suspects au même titre qu'une fraude présumée;
• de fermer les comptes connus pour être contrôlés par des auteurs de fraudes ou d'en bloquer l'accès.

Les plateformes numériques

Les propriétaires de plateformes numériques pourraient être tenus :

• de supprimer immédiatement les comptes et contenus frauduleux connus, y compris les publicités frauduleuses, et de bannir les utilisateurs concernés;
• d'informer les utilisateurs lorsqu'ils sont contactés par d'autres utilisateurs soupçonnés d'activité frauduleuse et les utilisateurs qui ont interagi avec un contenu frauduleux connu, que le contenu reste actif ou non;
• de suspendre immédiatement les publicités faisant l'objet d'une enquête ou signalées comme étant susceptibles d'être frauduleuses.

Question pour la consultation

35. Quelles règles sectorielles de perturbation de la fraude faudrait-il mettre en place?

4. Réponse

Les organisations pourraient être tenues de mettre en place des canaux permettant à leurs clients de signaler les fraudes présumées, ainsi que des processus internes de règlement des différends clairs, transparents et facilement accessibles. Les Canadiens devraient également avoir accès à un processus externe de règlement des différends si une ou plusieurs organisations ne peuvent pas résoudre une plainte à leur satisfaction.

Obligations générales

Réception d'informations sur une activité frauduleuse

Les organisations peuvent prendre des mesures de prévention, de détection et de perturbation de la fraude en fonction des informations qu'elles reçoivent de leurs clients. Les organisations pourraient être tenues de mettre en place des canaux distincts pour permettre à leurs clients et aux personnes qui utilisent leurs services de signaler les incidents présumés de fraude. Les organisations pourraient également être tenues d'afficher bien en vue de l'information sur ces canaux. Ces canaux pourraient être nécessaires pour informer les personnes du processus de règlement interne des différends de l'organisation.

Le fait de signaler une fraude à une organisation réglementée n'aurait pas d'incidence sur le droit d'une personne de signaler également une fraude aux organismes d'application de la loi.

Questions pour la consultation

36. De quelle manière les organisations devraient-elles être tenues de faciliter la tâche des utilisateurs lorsqu'ils doivent signaler une activité frauduleuse?

Règlement interne des différends

Les victimes de fraude qui estiment que leurs fournisseurs de services n'ont pas respecté leurs obligations en matière de lutte contre la fraude devraient avoir accès à des processus clairs de règlement des différends. Chaque organisation pourrait être tenue de mettre en place des procédures de règlement des différends accessibles au public pour traiter les plaintes des personnes concernant le respect des obligations prévues dans le cadre et de s'assurer de les structurer de manière à pouvoir déterminer si elle a rempli ses obligations générales et celles propres à son secteur.

Les organisations visées par le cadre pourraient être tenues d'adopter des processus pour s'assurer que les plaintes intersectorielles (par exemple, une personne allègue une perte à cause d'une fraude après que son compte-chèques a été compromis par un fraudeur qui a obtenu des renseignements personnels la concernant sur les médias sociaux) ont un point d'entrée unique qui permettent aux personnes de s'y retrouver facilement dans plusieurs processus internes de règlement des différends (par exemple, plaintes distinctes auprès d'une banque, d'une entreprise de télécommunications et d'un propriétaire de plateforme de médias sociaux). Les organisations pourraient ainsi être tenues de communiquer des informations relatives à la fraude.

Les organisations pourraient disposer d'une période déterminée pour conclure leurs enquêtes. Si une organisation ne peut pas clore son enquête dans ce délai, ou si la plainte n'est pas résolue à la satisfaction du plaignant, le plaignant pourrait être en mesure de transmettre sa plainte à l'organe externe chargé de traiter les plaintes déposées au titre du cadre.

Lorsqu'elles règlent une plainte ou ferment le dossier d'une plainte, les organisations pourraient être tenues de fournir aux plaignants un résumé écrit de la façon dont elles se sont conformées aux exigences du cadre, en particulier celles qui sont en cause dans la plainte. Le résumé pourrait devoir comprendre la réparation offerte aux plaignants, ou la raison pour laquelle aucune réparation n'a été offerte.

Les organisations pourraient également être tenues de conserver des renseignements sur les plaintes qu'elles reçoivent et de fournir ces renseignements à l'organe externe chargé de traiter les plaintes déposées au titre du cadre lorsque le plaignant décide de transmettre sa plainte à un échelon supérieur.

Questions pour la consultation

37. Comment les organisations pourraient-elles enquêter efficacement sur les plaintes intersectorielles?

38. De combien de temps les organisations devraient-elles disposer pour enquêter à l'interne sur les plaintes?

39. Quels renseignements les organisations devraient-elles être tenues d'inclure dans un résumé de plainte?

Responsabilité en cas de non-conformité

Si l'enquête menée par une organisation sur une plainte révèle que celle-ci n'a pas rempli ses obligations prévues dans le cadre et qu'une personne a subi un préjudice financier en conséquence, l'organisation pourrait être tenue d'indemniser la personne. Si la plainte vise plusieurs organisations qui n'ont pas rempli leurs obligations, un accord doit être conclu entre elles qui répartit la responsabilité proportionnellement à la faute commise par chacune d'elle (par exemple, un message texte provenant d'un fraudeur connu conduit une personne à effectuer un virement électronique en faveur du fraudeur).

Questions pour la consultation

40. Les organisations devraient-elles être tenues responsables lorsqu'elles ne respectent pas leurs obligations prévues dans le cadre?

41. Quelles normes devraient s'appliquer pour déterminer si une organisation a rempli ou non ses obligations?

42. Comment la responsabilité devrait-elle être répartie lorsque plusieurs organisations n'ont pas rempli leurs obligations?

Règlement externe des différends

Un seul organe externe de règlement des différends pourrait être chargé de l'examen des plaintes renvoyées à un échelon supérieur au titre du cadre. Un processus externe unique de règlement des différends pourrait permettre d'assurer l'adoption d'une approche uniforme du traitement des plaintes et de l'interprétation du respect des obligations prévues dans le cadre par les organisations. Les organisations visées par le cadre pourraient être tenues de participer au processus externe de règlement des différends.

Cet organe pourrait être habilité à formuler des conclusions et à prendre des décisions concernant le respect des obligations qui sont imposées aux organisations. Le résumé sur le respect des obligations par les organisations pourrait servir de base à l'enquête menée par l'organe externe chargé de traiter les plaintes. Celui-ci pourrait être autorisé à demander tout renseignement nécessaire pour déterminer si une organisation a respecté ou non ses obligations générales et celles propres à son secteur.

Si l'organe externe chargé de traiter les plaintes prend connaissance d'un manquement grave aux obligations prévues dans le cadre, il pourrait être tenu de communiquer cette information à l'organisme de réglementation général ou à l'organisme de réglementation sectoriel compétent.

Questions pour la consultation

43. Quels sont les critères qui devraient guider le choix d'un organe externe chargé de traiter les plaintes?

44. Les décisions de l'organe externe chargé de traiter les plaintes devraient-elles être exécutoires?

45. De combien de temps l'organe externe chargé de traiter les plaintes devrait-il disposer pour enquêter sur les plaintes transmises à un échelon supérieur?

Donner plus de pouvoir aux Canadiens pour lutter contre la fraude

Un autre élément de la stratégie pourrait être d'élargir et d'approfondir la compréhension des Canadiens à l'égard de la menace en constante évolution que représente la fraude, en leur donnant les moyens de prendre des décisions éclairées sur la façon dont ils utilisent les services financiers et de télécommunications et les plateformes numériques, notamment sur la façon de réagir efficacement, en signalant la fraude à leurs fournisseurs de services et en demandant réparation, s'il y a lieu.

La portée proposée de la stratégie tient compte de plusieurs types de fraudes, notamment les situations où les fraudeurs obtiennent un accès direct au compte financier d'une personne et commettent une fraude en transférant directement de l'argent dans leur propre compte ou celui d'un tiers, et les cas où une personne est trompée par un fraudeur qui l'incite à effectuer un paiement après l'avoir induite en erreur sur l'utilisation des fonds ou la nature d'un produit ou d'un service proposé (par exemple, escroqueries sentimentales ou escroqueries à l'investissement).

Les efforts de sensibilisation du public pourraient également attirer l'attention sur les risques liés à l'utilisation à mauvais escient des identifiants émis par le gouvernement (par exemple, numéro d'assurance sociale compromis), et la façon dont cette utilisation à mauvais escient peut mener à la fois à des actes frauduleux liés aux prestations et au piratage de comptes financiers. Des commentaires sont sollicités sur la meilleure façon d'intégrer dans les efforts nationaux de sensibilisation les risques de vol des identifiants émis par le gouvernement et de fraude liée à l'identité.

Les secteurs d'activité, les gouvernements et les organismes de réglementation doivent tous jouer un rôle pour que les Canadiens comprennent mieux la nature et la gravité de la menace que représente la fraude et pour s'assurer que ceux-ci sont bien outillés pour se protéger contre tout type de risque de fraude, notamment en :

• protégeant leurs renseignements personnels et l'accès à leurs comptes;
• comprenant bien les dispositifs de sécurité des services qu'ils utilisent et en les utilisant de façon appropriée;
• examinant attentivement les offres et les occasions qui semblent « trop belles pour être vraies »;
• sachant comment et où signaler les fraudes présumées à leurs fournisseurs de services, aux organismes de réglementation et aux organismes d'application de la loi;
• étant au courant de leurs droits, dont les processus de règlement des différends disponibles.

Questions pour la consultation

46. Comment le gouvernement peut-il sensibiliser davantage les Canadiens à la menace que représente la fraude et mieux les aider à se protéger contre la fraude?

47. Comment le gouvernement peut-il sensibiliser davantage les Canadiens au risque d'utilisation à mauvais escient des identifiants émis par le gouvernement, y compris les numéros d'assurance sociale?

Soutenir la capacité des organismes d'application de la loi à lutter contre la fraude

Au Canada, de nombreux organismes d'application de la loi fédéraux, provinciaux, territoriaux et municipaux participent à la lutte contre la fraude, ce qui crée des défis quant à la coordination des activités de détection des stratagèmes et des enquêtes connexes qui touchent des administrations canadiennes et internationales.

Comme il est décrit dans la section sur le cadre, la stratégie pourrait comprendre des mesures visant à soutenir la capacité des organismes d'application de la loi à recueillir des informations sur les activités frauduleuses pour appuyer les enquêtes. Toute mesure proposée devrait être soigneusement examinée au regard des mesures de protection de la Charte et du droit à la vie privée.

Le Centre antifraude du Canada

Le CAFC est géré par la Gendarmerie royale du Canada (GRC), en partenariat avec le Bureau de la concurrence du Canada et la Police provinciale de l'Ontario (PPO). Le CAFC est un service de police national reconnu qui recueille du renseignement et produit des rapports sur les activités frauduleuses et les infractions connexes à l'intention d'autres organismes de réglementation et d'application de la loi pénale nationaux et internationaux. De concert avec le Centre national de coordination en cybercriminalité (CNC3), le CAFC gère le Système national de signalement des incidents de cybercriminalité et de fraude, c'est-à-dire la réception, la conservation et le traitement des rapports d'incident.

Les efforts du CAFC sont axés sur la prévention de la fraude au moyen de séances d'information et de sensibilisation, la perturbation des principaux facteurs de fraude, en collaboration avec les organisations concernées des secteurs financier et des télécommunications, le recouvrement des pertes liées à la fraude et le soutien opérationnel aux enquêtes, grâce à la communication des rapports et du renseignement sur l'activité frauduleuse aux partenaires chargés de l'application de la loi et de la réglementation. Toutefois, le CAFC ne mène actuellement aucune enquête directement.

La stratégie pourrait comprendre des mesures visant à coordonner les efforts d'application de la loi pour lutter contre la fraude dans toutes les administrations canadiennes, notamment des mesures visant à unifier les efforts de lutte contre la fraude aux niveaux fédéral, provincial, territorial et municipal.

Questions pour la consultation

48. Qu'est-ce qui peut être fait pour soutenir la capacité des organismes d'application de la loi fédéraux à enquêter sur les actes frauduleux et à recueillir du renseignement sur la fraude?

49. Que faudrait-il faire pour améliorer la coordination entre les organismes d'application de la loi canadiens à l'échelle fédérale, provinciale, territoriale et municipale, ainsi qu'entre ces organismes et leurs partenaires internationaux?

50. Quel rôle le CAFC devrait-il jouer dans l'avancement de la stratégie?

Annexe 1. Questions pour la consultation

Un cadre antifraude multisectoriel

Surveillance, échange d'information et signalement aux organismes d'application de la loi

1. Les trois secteurs susmentionnés conviennent-ils pour la phase initiale d'un cadre? Faudrait-il prendre en considération d'autres secteurs?
2. Quel rôle un organisme de réglementation central pourrait-il jouer en ce qui concerne un cadre multisectoriel de lutte contre la fraude?
3. Quel rôle les organismes de réglementation sectoriels pourraient-ils jouer en ce qui concerne le cadre?
4. Comment peut-on assurer une surveillance efficace du cadre, sans chevauchement de la surveillance existante des trois secteurs?
5. À quel moment les organismes de réglementation du cadre devraient-ils être autorisés à communiquer à un autre organisme de réglementation des informations sur l'activité frauduleuse afin de contribuer à la réalisation des objectifs de la stratégie qui consistent à prévenir, à détecter et à perturber les activités frauduleuses et à mener des enquêtes à cet égard?
6. Le cas échéant, quelles sont précisément les informations qui devraient être communiquées et dans quelles circonstances et à quelles fins précises devraient-elles l'être?
7. Quels mécanismes de protection de la vie privée ou de surveillance faudrait-il mettre en place pour de telles initiatives d'échange d'information?
8. Quand les organismes de réglementation du cadre devraient-ils être autorisés à communiquer des informations sur les activités frauduleuses aux organismes d'application de la loi aux fins de prévention, de détection et de perturbation des fraudes, et d'enquête sur celles-ci?
9. Quand [les organismes d'application de la loi] devraient-ils être autorisés à communiquer des informations sur les activités frauduleuses à des organisations du secteur privé?
10. Le cas échéant, quelles sont précisément les informations qui devraient être communiquées et dans quelles circonstances et à quelles fins précises devraient-elles l'être?
11. Quels mécanismes de protection de la vie privée ou de surveillance faudrait-il mettre en place pour de telles initiatives d'échange d'information?

1. Prévention

12. Comment les organisations devraient-elles être tenues d'intégrer la conformité au cadre dans leur modèle de gouvernance?
13. Comment les organisations peuvent-elles s'assurer que la formation sur la lutte contre la fraude est efficace, et comment cela devrait-il être pris en considération dans les politiques ou les lois du gouvernement?
14. Quand et comment les organisations devraient-elles être tenues de vérifier l'identité des utilisateurs de leurs services?
15. Quelles informations sur la fraude les organisations devraient-elles être tenues de mettre à la disposition des personnes qui utilisent ou pourraient utiliser leurs services?
16. Comment devrait-on évaluer l'efficacité des activités de sensibilisation des organisations en matière de fraude pour s'assurer qu'elles permettent de réduire de manière appréciable les préjudices?
17. Quelles règles sectorielles de prévention de la fraude faudrait-il mettre en place?

2. Détection

18. Comment inciter les organisations à détecter efficacement les activités susceptibles d'être frauduleuses au sein de leurs services et à mener des enquêtes à leur sujet?
19. Comment les organisations devraient-elles être tenues d'évaluer les préjudices causés par les activités frauduleuses aux personnes qui utilisent leurs services?
20. Quelles mesures les organisations devraient-elles être tenues de prendre pour évaluer le risque de préjudice futur pour les personnes touchées par une activité frauduleuse?
21. Quand une organisation réglementée du secteur privé devrait-elle pouvoir communiquer des informations sur une activité frauduleuse à une autre organisation réglementée du secteur privé?
22. Le cas échéant, quelles sont précisément les informations qui devraient être communiquées et dans quelles circonstances et à quelles fins précises devraient-elles l'être?
23. Quels mécanismes de protection de la vie privée ou de surveillance faudrait-il mettre en place pour de telles initiatives d'échange d'informations?
24. Quand les organisations devraient-elles être autorisées à communiquer des informations sur une activité frauduleuse aux organismes d'application de la loi dans le but de prévenir, de détecter et de perturber l'activité frauduleuse et d'enquêter sur celle-ci?
25. Quand les organismes d'application de la loi devraient-ils être autorisés à communiquer des informations sur une activité frauduleuse à des organisations du secteur privé?
26. Quand le gouvernement devrait-il être autorisé à communiquer des informations sur une activité frauduleuse aux organismes d'application de la loi?
27. Quand le gouvernement devrait-il être autorisé à communiquer des informations sur une activité frauduleuse à des organisations du secteur privé?
28. Le cas échéant, quelles sont précisément les informations qui devraient être communiquées et dans quelles circonstances et à quelles fins précises devraient-elles l'être?
29. Quelles mesures de protection de la vie privée ou quels mécanismes de surveillance faudrait-il mettre en place pour de telles initiatives d'échange d'information?
30. Quelles règles de détection des fraudes propres aux secteurs faudrait-il mettre en place?

3. Perturbation

31. Comment trouver un équilibre pour limiter l'utilisation des infrastructures des secteurs d'activité à des fins frauduleuses, tout en veillant à ce que les utilisateurs légitimes ne soient pas déraisonnablement privés de l'utilisation des services?
32. Dans quelles situations les entités réglementées devraient-elles être tenues de suspendre les activités susceptibles d'être frauduleuses?
33. Quelles mesures de protection et de recours faudrait-il mettre en place pour s'assurer que l'accès des personnes n'est pas indûment suspendu ou retiré?
34. Comment assurer l'efficacité des notifications d'activités frauduleuses présumées?
35. Quelles règles sectorielles de perturbation de la fraude faudrait-il mettre en place?

4. Réponse

36. De quelle manière les organisations devraient-elles être tenues de faciliter la tâche des utilisateurs lorsqu'ils doivent signaler une activité frauduleuse?
37. Comment les organisations pourraient-elles enquêter efficacement sur les plaintes intersectorielles?
38. De combien de temps les organisations devraient-elles disposer pour enquêter à l'interne sur les plaintes?
39. Quels renseignements les organisations devraient-elles être tenues d'inclure dans un résumé de plainte?
40. Les organisations devraient-elles être tenues responsables lorsqu'elles ne respectent pas leurs obligations prévues dans le cadre?
41. Quelles normes devraient s'appliquer pour déterminer si une organisation a rempli ou non ses obligations?
42. Comment la responsabilité devrait-elle être répartie lorsque plusieurs organisations n'ont pas rempli leurs obligations?
43. Quels sont les critères qui devraient guider le choix d'un organe externe chargé de traiter les plaintes?
44. Les décisions de l'organe externe chargé de traiter les plaintes devraient-elles être exécutoires?
45. De combien de temps l'organe externe chargé de traiter les plaintes devrait-il disposer pour enquêter sur les plaintes transmises à un échelon supérieur?

Donner plus de pouvoir aux Canadiens pour lutter contre la fraude

46. Comment le gouvernement peut-il sensibiliser davantage les Canadiens à la menace que représente la fraude et mieux les aider à se protéger contre la fraude?
47. Comment le gouvernement peut-il sensibiliser davantage les Canadiens au risque d'utilisation à mauvais escient des identifiants émis par le gouvernement, y compris les numéros d'assurance sociale?

Soutenir la capacité des organismes d'application de la loi à lutter contre la fraude

48. Qu'est-ce qui peut être fait pour soutenir la capacité des organismes d'application de la loi fédéraux à enquêter sur les actes frauduleux et à recueillir du renseignement sur la fraude?
49. Que faudrait-il faire pour améliorer la coordination entre les organismes d'application de la loi canadiens à l'échelle fédérale, provinciale, territoriale et municipale, ainsi qu'entre ces organismes et leurs partenaires internationaux?
50. Quel rôle le CAFC devrait-il jouer dans l'avancement de la stratégie?