Le 22 septembre dernier, des articles de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels[1] sont entrés en vigueur. Cette Loi 25 modifie la Loi sur la protection des renseignements personnels dans le secteur privé[2], notamment, le volet pénal.
La Commission d’accès à l’information[3] a établi un cadre d’application traitant, entre autres, des sanctions pénales[4]. Mais quelles sont les circonstances pouvant inciter la Commission à entreprendre une poursuite pénale[5]? Qui peut être visé? Quel est le montant des amendes?
Une personne physique qui commet une infraction est passible d’une amende de 5 000 $ à 100 000 $. Dans les autres cas, par exemple une personne morale, celle-ci est passible d’une amende de 15 000 $ à 25 000 000 $, ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent, si ce dernier montant est plus élevé[6].
Ces amendes[7] peuvent être imposées, notamment dans les situations suivantes :
- recueille, utilise, communique, conserve ou détruit des renseignements personnels en contravention à la loi[8];
- omet de déclarer, s’il est tenu de le faire, un incident de confidentialité à la Commission ou aux personnes concernées[9];
- ne prend pas les mesures de sécurité propres à assurer la protection des renseignements personnels[10].
Une poursuite pénale peut être privilégiée en présence d’un manquement à la loi dont les conséquences sont très graves. Par exemple, dans une affaire impliquant des renseignements personnels et sensibles, il s’avère que des préjudices ont été causés à plusieurs personnes à la suite d’un incident de confidentialité. Une entreprise aurait omis de signaler un incident de confidentialité présentant un risque de préjudice sérieux à la Commission et aux personnes concernées. De plus, l’enquête établirait que des renseignements personnels (prénom, nom, adresse civique, code postal, numéro de téléphone) ainsi que des renseignements sensibles (financiers) ont été utilisés par des personnes malveillantes pour commettre une fraude. Aussi, cette enquête révèlerait notamment les lacunes suivantes : absence d’une politique de confidentialité, de registre en matière d’incident de confidentialité, de mesures appropriées pour sécuriser le système informatique, de formation dispensée aux employés et omission de publier le titre et les coordonnées du responsable de la protection des renseignements personnels sur le site internet de l’entreprise.
Toute poursuite pénale doit être intentée dans un délai de cinq ans de la perpétration de l’infraction[11]. Dans le cadre de la détermination d’une peine, un juge peut tenir compte d’une série de facteurs tels la nature de l’infraction, la sensibilité des renseignements personnels concernés par l’infraction, la preuve de négligence ou d’insouciance, l’omission d’avoir pris des mesures raisonnables pour empêcher la commission de l’infraction, le nombre de personnes visées par l’infraction ainsi que le risque de préjudice auquel ces personnes sont exposées[12].
Le meilleur moyen d’éviter une poursuite pénale est de prendre les mesures nécessaires pour respecter la loi. Toutes les personnes et entreprises ont intérêt à être proactives et diligentes.
Si vous avez des questions en matière de protection des renseignements personnels, nous vous invitions à communiquer avec les Services juridiques de l’APCHQ aux numéros suivants : 438 315-6888 ou 1 800 468-8160.
Pour en connaître davantage au sujet de la protection des renseignements personnels, vous pouvez consulter les articles suivants :
Dois-je procéder à une évaluation des facteurs relatifs à la vie privée?
La protection des renseignements personnels : êtes-vous prêt à faire face à vos obligations?
Quels sont les types de renseignements prévus par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels?
Serez-vous prêt à exercer la fonction de responsable de la protection des renseignements personnels?
Quels sont les critères à respecter avant de collecter un renseignement personnel?
Quelles sont vos obligations lorsqu’un incident de confidentialité présente un risque de préjudice sérieux?
Registre des incidents de confidentialité : quels renseignements doit-il contenir?
Dois-je adopter des politiques et des pratiques en matière de protection des renseignements personnels?
Loi 25 : obligation d’information en matière de renseignements personnels
Loi 25 : consentement et exceptions
Quelles sont les conditions pour communiquer un renseignement personnel sans le consentement de la personne concernée dans le cadre d’un mandat ou contrat?
Loi 25 : la politique de confidentialité
Loi 25 : sanctions administratives pécuniaires
[1] L.Q 2021, c. 25. Ci-après « Loi 25 ».
[2] Chapitre P-39.1. Ci-après « Loi du secteur privé ».
[3] Ci-après « Commission ».
[4] Microsoft Word – CAI_Cadre_application SAP.docx (gouv.qc.ca)
[5] Le pouvoir de la Commission est prévu à l’article 92 de la Loi du secteur privé.
[6] Art. 91 de la Loi du secteur privé.
[7] En sus de l’amende, un contrevenant s’expose à payer une contribution ainsi que des frais indiqués sur un constat d’infraction en cas de transmission d’un plaidoyer de culpabilité ou d’un verdict de culpabilité rendu par un tribunal.
[8] Art. 91(1) de la Loi du secteur privé.
[9] Art. 91 (2) et art. 3.5 (2) de la Loi du secteur privé. L’obligation d’aviser la Commission avec diligence si un incident de confidentialité présente un risque de préjudice sérieux, ainsi que toute personne dont un renseignement personnel est concerné par un tel incident, existe depuis le 22 septembre 2022.
[10] Art. 91 (4) de la Loi du secteur privé.
[11] Art. 92.2 de la Loi du secteur privé.
[12] Art. 92.3 de la Loi du secteur privé.
