Non-respect des obligations légales en matière de gestion des renseignements personnels : les sanctions se précisent

Depuis l’adoption en 2021 de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), plusieurs modifications à la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) sont entrées en vigueur. Ces modifications ont été plus amplement décrites dans des publications antérieures (notamment ici et ici).

En vue de la mise en place du dernier jalon de cette réforme le 22 septembre 2024 et à titre de rappel, des mécanismes ayant pour but d’assurer la conformité des entreprises aux nouvelles exigences prévues à la LPRPSP sont en vigueur depuis septembre dernier. Parmi ceux-ci se trouve le régime de sanctions administratives pécuniaires (SAP) administré par la Commission d’accès à l’information du Québec (CAI) et les sanctions peuvent atteindre 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’entreprise. 

Les SAP sont imposées par la CAI lorsqu’une entreprise manque à ses obligations en vertu de la LPRPSP, par exemple si elle omet de déclarer un incident de confidentialité à la CAI ou aux personnes concernées qui doit être déclaré.

Le Cadre général d’application des sanctions administratives pécuniaires (le Cadre), publié par la CAI récemment, présente les éléments qui guident le traitement des manquements et l’imposition des SAP lorsque les entreprises ne se conforment pas à la LPRPSP. La Direction de la surveillance de la CAI (la Direction) est investie d’un large pouvoir discrétionnaire pour évaluer l’opportunité d’imposer une SAP en fonction des circonstances uniques de chaque dossier.

Procédure pour imposer des SAP

Précédant l’imposition d’une SAP, un avis de non-conformité est transmis à l’entreprise afin de l’inciter à prendre sans délai les mesures requises pour remédier au manquement constaté. Si l’entreprise ne se conforme pas à l’avis, une SAP est alors imposée par l’envoi d’un avis de réclamation indiquant notamment le montant réclamé, les motifs de son exigibilité, le délai à compter duquel il porte intérêt ainsi que le délai pour demander une révision de la SAP.

Une entreprise peut, à tout moment, s’engager auprès de la CAI à prendre les mesures nécessaires pour remédier au manquement ou en atténuer les conséquences. Selon le Cadre, si l’engagement est accepté par la CAI et que l’entreprise le respecte, cette dernière ne peut faire l’objet d’une SAP pour les actes ou omissions couverts par l’engagement.

Catégorisation des SAP applicables

La LPRPSP ne prévoit pas de montant fixe pour l’imposition d’une SAP et offre ainsi à la Direction un large pouvoir discrétionnaire. Afin d’établir un montant approprié et proportionnel pour la SAP, la Direction suit une approche en deux étapes. 

1. Montant de base 

Dans l’exercice de son pouvoir discrétionnaire, la Direction doit prendre en considération les critères suivants : 

• la nature, le caractère répétitif et la durée du manquement;
• la sensibilité des renseignements personnels concernés par le manquement;
• le nombre de personnes concernées par le manquement et le risque de préjudice sérieux auquel ces personnes sont exposées.

Suivant ces critères, la CAI a établi quatre catégories de manquement, allant du « manquement mineur […] dont la conséquence appréhendée est nulle ou mineure » jusqu’au « manquement très grave qui porte atteinte à l’intégrité de la protection des renseignements personnels dont la conséquence appréhendée est majeure, réelle et/ou irréparable ». Dans le cas d’une entreprise, le montant de base de la SAP pour chacune de ces catégories varie, se situant entre 1 000 $ et 15 000 $.

2. Facteurs atténuants et aggravants

Afin d’établir un montant approprié et proportionnel pour la SAP, le montant de base peut être augmenté ou diminué à la lumière des facteurs atténuants et aggravants applicables, y compris les suivants :

• les critères susmentionnés fixant le montant de base;
• les mesures prises par la personne en défaut pour remédier au manquement ou en atténuer les conséquences;
• le degré de collaboration offert à la CAI en vue de remédier au manquement ou d’en atténuer les conséquences;
• la compensation offerte par la personne en défaut, à titre de dédommagement, à toute personne concernée par le manquement; 
• la capacité de payer de la personne en défaut, compte tenu notamment de son patrimoine, de son chiffre d’affaires ou de ses revenus.

Conclusion 

La Direction a le pouvoir discrétionnaire d’imposer une SAP allant du montant de base applicable au montant maximal (de 10 000 000 $, ou 2 % du chiffre d’affaires mondial de l’exercice financier précédent) si ce dernier montant est plus élevé.

À ce sujet, soulignons que le Cadre n’encourage pas l’application régulière du montant maximal de la SAP, bien que celui-ci soit possible; en effet, le large éventail des sanctions possibles permet d’adapter la SAP à la situation spécifique qu’elle couvre, et illustre que les SAP de 10 000 000 $ ou plus devraient seulement être imposées dans des cas exceptionnels. Néanmoins, la possibilité demeure, d’où l’importance pour les entreprises d’assurer leur conformité aux exigences introduites par la Loi 25.

Les auteurs tiennent à remercier Marilou Bouthiette, stagiaire, pour son aide dans la préparation de la présente actualité juridique.