Cet article fait partie de notre série de blogs sur la Loi 25 (aussi connue sous le nom de Projet de loi 64), qui vise à donner aux lecteurs une vue d’ensemble de la loi et des changements importants apportés à la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le privé »). Pour consulter les autres articles de blog de la série, veuillez visiter cette page.

Introduction

Le 22 septembre 2023, la majorité des nouvelles dispositions de la Loi sur le privé introduites par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« Loi 25 ») entreront en vigueur. Parmi les changements les plus importants à la loi, la Commission d'accès à l'information du Québec (« CAI ») disposera de nouveaux pouvoirs pour émettre des sanctions administratives pécuniaires (« SAPs »). Le législateur québécois a adopté une approche inspirée du RGPD[1]: pour les organisations[2], les nouveaux montants des SAPs peuvent atteindre le plus élevé des deux montants suivants : 10 000 000 $ ou 2 % du chiffre d'affaires mondial de I’exercice financier précédent, pour toute non-conformité aux obligations de la Loi sur le privé. Pour les personnes physiques, le montant maximal est de 50 000 $.

La CAI a partiellement dévoilé la manière dont elle exercera ses nouveaux pouvoirs avec la publication d'un nouveau Cadre général pour l'application des SAPs (« Cadre général ») le 23 mai 2023. Dans la continuité de nos précédentes publications sur la Loi 25, ce blog présente un récapitulatif du processus et des critères que la CAI utilisera pour imposer ces SAPs, ainsi que sa nouvelle catégorisation des SAPs et les facteurs atténuants et aggravants pris en compte lors de l'imposition des SAPs.

Un récapitulatif

1. Ce que dit la Loi 25

Avec l'article 90.2 de la loi, le législateur québécois a confié à la CAI le mandat d'élaborer un "cadre général" énonçant les objectifs visés par les SAPs ainsi que les critères qui doivent guider leur application. Selon la Loi 25, ces critères doivent comprendre au minimum les éléments suivants :

• La nature et la gravité objective du manquement, le risque de préjudice pour les personnes et les mesures prises pour y remédier ;
• le caractère répétitif et la durée du manquement, la sensibilité des renseignements personnels et le nombre d’individus affectés ; et
• la capacité de paiement de la personne en défaut et la compensation qu'elle a offerte aux individus concernés par le manquement.

Sur la base de cette directive, le Cadre général précise que l’imposition de SAPs par la CAI poursuivra deux objectifs: (1) inciter la personne en défaut à prendre rapidement des mesures correctives ; et (2) dissuader la récidive. À noter, le Cadre général n’ajoute pas de nouveaux critères à liste inclue dans la Loi 25.

2. Procédures pour l'imposition de SAPs

Le Cadre général reprend le processus prévu dans la Loi 25. Lorsqu'elle décide d'imposer des SAPs, la CAI, agissant par l'intermédiaire d'une personne désignée, à savoir le directeur de la section "Surveillance" de la CAI, suit une procédure spécifique. La CAI enverra un avis de non-conformité informant la personne ou l'organisation ("personne") de son manquement à la Loi sur le privé. La personne en défaut aura alors la possibilité de prendre des mesures immédiates pour remédier à la violation.

À la suite d'un avis de non-conformité, la CAI peut imposer des SAPs par notification d'un avis de réclamation, qui comprendra le montant de la pénalité et le raisonnement de la CAI. Néanmoins, la personne en défaut bénéficie de certains droits. Par exemple, la personne en défaut aura le droit de demander un réexamen de la décision et le droit de contester la décision réexaminée devant la Cour du Québec. La Figure 1 ci-dessous résume le processus pour l'imposition de SAPs :

Il est à noter que les délais pour demander la révision d'une décision, par la CAI ou la Cour du Québec (30 jours de la notification de l'avis de réclamation ou d'une décision)   sont assez courts et nécessiteront de la proactivité de la part des organisations assujetties au processus de SAP afin de préserver leurs droits. D'autre part, la CAI dispose d'un délai de deux ans à compter de la date de la violation pour imposer une SAP, à défaut de quoi une telle action est prescrite (art. 90.10).

3. Sanctions pénales

Comme indiqué dans une publication précédente, la Loi 25 confère également à la CAI le pouvoir d'intenter des poursuites pénales pour les infractions visées à l'article 91 de la Loi (qui sont définies de manière générale et comprennent le traitement de renseignements personnels en violation de la Loi sur le privé, le défaut de déclaration d'un incident de confidentialité et le non-respect d'une ordonnance de la CAI).[3]  En imposant des sanctions pénales, le ou la juge tiendra compte de divers facteurs, notamment la gravité de l'infraction, la sensibilité de l'information et l'intention de la personne en défaut. Pour les organisations, les amendes pénales prévues par la Loi 25 vont de 15 000 à 25 millions de dollars, ou 4 % du chiffre d'affaires mondial de I'exercice financier précédent si ce montant est plus élevé.[4] 

Le Cadre général donne des indications sur les cas où la CAI a l'intention d'engager des poursuites pénales. Elle le fera principalement lorsque les conséquences de la violation de la Loi sur le privé sont sérieuses, notamment en raison de sa gravité, de la vulnérabilité des individus concernés et de la sensibilité des informations en cause. D'autres facteurs seront pris en compte, tels que l'incapacité de la personne en défaut à remédier à la violation, l'intention ou la négligence, ainsi que le fait que la personne en défaut a entravé le travail de la CAI.

Catégorisation des SAPs, pouvoirs accrus accordés à la CAI

Le Cadre général défini des montants de base variant selon la gravité du manquement. La CAI utilise un processus en deux étapes pour décider des sanctions.

La gravité du manquement est classée selon quatre niveaux : (A) mineur, (B) modéré, (C) grave et (D) très grave. Cette catégorisation sert à indiquer le montant de base imposé en cas de non-conformité, comme le montre le tableau ci-dessous, que nous reproduisons à partir du Cadre général :

Tableau 1 : Montant de base pour les SAPs

Après la catégorisation initiale, la CAI peut augmenter ou diminuer le montant de base en fonction de facteurs aggravants et atténuants, notamment la nature et la gravité objective du manquement, le risque de préjudice pour les individus et la sensibilité des renseignements personnels concernés. Par conséquent, les montants de base ne sont pas des montants minimums (c'est-à-dire qu'un SAP peut être inférieur au montant de base pertinent énuméré dans le Tableau 1 si des facteurs atténuants suffisants sont présents). En outre, en cas de circonstances aggravantes, les sanctions peuvent être considérables et atteindre, dans le cas d'une organisation, 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé

CONCLUSION

L'entrée en vigueur, en septembre 2023, de l'essentiel des modifications apportées par la Loi 25 à la Loi sur le privé augmentera les risques liés à la conformité pour les organisations traitant des renseignements personnels, notamment en raison de l'introduction d'importantes sanctions pécuniaires. Le Cadre général offre un aperçu de la méthodologie de la CAI pour évaluer les manquements, mais une incertitude importante demeure quant à ce qui déclenchera l'imposition des sanctions plus sévères.

Pour en savoir plus sur la façon dont notre Groupe Cyber/Données peut vous aider à vous orienter dans le contexte de la protection de la vie privée et des données, veuillez communiquer avec les co-leaders nationaux Charles Morgan et Daniel Glover.

[1] « RGPD » signifie le Règlement Général sur la Protection des Données.

[2] C’est-à-dire les cas autres que les personnes physiques.

[3] Loi modifiée sur le privé, articles 91 à 93.

[4] Loi modifiée sur le privé, articles 91.

[5] « Manquement mineur en général de nature administrative dont la conséquence appréhendée est nulle ou mineure.»

[6] « Manquement modéré lié à la non-conformité aux règles qui régissent la protection des renseignements personnels dont la conséquence appréhendée est modérée.»

[7] « Manquement grave qui en raison de sa nature, est préjudiciable aux objectifs généraux de la protection des renseignements personnels dont la conséquence appréhendée est majeure.»

[8] « Manquement très grave qui porte atteinte à l’intégrité de la protection des renseignements personnels dont la conséquence appréhendée est majeure, réelle et /ou irréparable.»