Loi 25 : nouveau régime d’application de la loi québécoise sur la protection des renseignements personnels dans le secteur privé

16 Jan 2024 11 MIN DE LECTURE

Le 22 septembre 2023, la majorité des modifications à la législation québécoise sur la protection des renseignements personnels introduites par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25, aussi connue sous le nom de projet de loi 64) sont entrées en vigueur. Ces modifications accordent notamment plusieurs nouveaux pouvoirs d’application de la loi à la Commission d’accès à l’information du Québec (la Commission).

Le présent bulletin décrit les nouveaux pouvoirs d’enquête de la Commission ainsi que les amendes et sanctions pouvant être imposées en cas d’infractions à la Loi sur la protection des renseignements personnels dans le secteur privé (la Loi sur le secteur privé ou la Loi). Enfin, nous examinerons la nouvelle disposition relative aux dommages-intérêts punitifs.

Pouvoirs d’enquête

Bien que la Loi sur le secteur privé, dans sa version précédente, accorde des pouvoirs d’enquête à la Commission, la Loi 25 élargit le champ d’action de celle-ci et les pouvoirs dont elle dispose pour obtenir des renseignements et rendre certaines ordonnances.

Par exemple, la Commission a désormais le pouvoir :

  • d’exiger d’une personne, assujettie ou non à la Loi sur le secteur privé, la production de tout renseignement ou document permettant de vérifier l’application de la Loi ou de ses règlements (art. 81.3)
  • d’ordonner à une personne l’application de toute mesure visant à protéger les droits des personnes concernées lorsqu’un incident de confidentialité est porté à son attention (art. 81.4)
  • d’exiger d’une personne qui exploite une entreprise qu’elle lui fournisse toute information relative à la mise en œuvre de la Loi sur le secteur privé (art. 83.1)

Sanctions administratives pécuniaires

Le montant maximal de la sanction administrative pécuniaire prévu dans la Loi 25 est de 10 millions de dollars canadiens ou le montant correspondant à 2 % du chiffre d’affaires mondial de l’entreprise pour l’exercice financier précédent, si ce dernier montant est plus élevé.

Une sanction administrative pécuniaire peut être imposée à quiconque :

  • n’informe pas les personnes concernées (à leur demande) de la source des renseignements, des fins auxquelles ils sont recueillis et des moyens par lesquels ils sont recueillis, de leurs droits d’accès et de rectification, ainsi que de leur droit de retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis
  • recueille, utilise, communique, conserve ou détruit des renseignements personnels en contravention à la Loi
  • ne déclare pas à la Commission ou aux personnes concernées, lorsqu’il y est tenu, un incident de confidentialité
  • ne prend pas les mesures de sécurité propres à assurer la protection des renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support
  • n’informe pas la personne concernée par une décision fondée exclusivement sur un traitement automatisé ou ne lui donne pas l’occasion de présenter ses observations
  • s’il est un agent de renseignements personnels (c’est-à-dire une organisation qui constitue des dossiers sur autrui et communique des rapports de crédit), contrevient aux articles 70, 70.1, 71, 72, 78, 79 ou 79.1 de la Loi sur le secteur privé

Le 11 mai 2023, la Commission a publié un cadre général d’application des sanctions administratives pécuniaires [fichier PDF] (le fichier PDF de la version anglaise est accessible sur la plateforme AccessPrivacy d’Osler). Ce cadre précise les objectifs poursuivis par ces sanctions et plusieurs critères guidant la décision d’imposer une sanction, notamment la nature, la gravité, le caractère répétitif et la durée du manquement, la sensibilité des renseignements personnels concernés par le manquement, le nombre de personnes concernées, les mesures prises pour remédier au manquement, et le degré de collaboration offert à la Commission.

Avant d’imposer une sanction administrative pécuniaire, la Commission est censée notifier un avis de non-conformité à la personne en défaut. À la réception de l’avis, la personne en défaut peut présenter des observations additionnelles à la Commission et doit prendre sans délai les mesures requises pour remédier au manquement allégué. Si elle ne remédie pas au manquement, la Commission peut lui imposer une sanction administrative pécuniaire moyennant avis, lequel doit préciser le montant réclamé, les motifs de son exigibilité et le délai à compter duquel il porte intérêt. Cet avis doit également contenir des renseignements sur les modalités de recouvrement du montant réclamé et énoncer le droit de demander le réexamen de la décision, y compris le délai pour exercer ce recours, ainsi que le droit de contester la décision en réexamen devant la Cour du Québec.

Il convient de noter que la Loi 25 prévoit également un mécanisme permettant d’éviter l’imposition de sanctions administratives pécuniaires. Une entreprise visée par une sanction administrative pécuniaire peut s’engager auprès de la Commission à prendre les mesures nécessaires pour remédier au manquement ou en atténuer les conséquences. Cet engagement doit énoncer les actes ou les omissions qui constituent un manquement et les dispositions en cause. La Commission étudiera ensuite l’engagement et peut y inclure toute condition qu’elle estime nécessaire, notamment l’obligation de payer une somme d’argent. Si l’engagement de l’entreprise est accepté par la Commission et qu’il est respecté, l’entreprise ne peut faire l’objet d’une sanction administrative pécuniaire à l’égard des actes ou des omissions mentionnés dans l’engagement.

Poursuites pénales

La Loi 25 prévoit par ailleurs un nouveau régime de poursuites pénales. Depuis le 22 septembre 2023, la Commission dispose du pouvoir d’intenter des poursuites pénales dans un délai de cinq (5) ans de la perpétration de l’infraction et du pouvoir d’imposer une amende maximale de 25 millions de dollars canadiens ou du montant correspondant à 4 % du chiffre d’affaires mondial pour l’exercice financier précédent, si ce dernier montant est plus élevé. L’amende minimale prévue pour les entreprises est de 15 000 $. En cas de récidive, l’amende est portée au double.

Commet une infraction quiconque :

  • recueille, utilise, communique, conserve ou détruit des renseignements personnels en contravention à la Loi
  • omet de déclarer, s’il est tenu de le faire, un incident de confidentialité à la Commission ou aux personnes concernées
  • ne prend pas les mesures de sécurité propres à assurer la protection des renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support
  • procède ou tente de procéder à l’identification d’une personne physique à partir de renseignements dépersonnalisés sans l’autorisation de la personne les détenant ou à partir de renseignements anonymisés
  • s’il est un agent de renseignements personnels (c’est-à-dire une organisation qui constitue des dossiers sur autrui et communique des rapports de crédit), contrevient aux règles applicables à une telle organisation (énoncées aux articles 70, 70.1, 71, 72, 78, 79 et 79.1 de la Loi sur le secteur privé)
  • entrave le déroulement d’une enquête ou d’une inspection de la Commission ou l’instruction d’une demande par celle-ci en lui communiquant des renseignements faux ou inexacts, ou en omettant de lui communiquer des renseignements qu’elle requiert ou autrement
  • refuse ou néglige de se conformer, dans le délai fixé, à une demande transmise par la Commission
  • contrevient à une ordonnance de la Commission

Soulignons que, malgré certains chevauchements, la liste des infractions pouvant donner lieu à des poursuites pénales n’est pas la même que celle des manquements pouvant entraîner l’imposition des sanctions administratives pécuniaires.

Le cadre général publié le 11 mai 2023 par la Commission établit les circonstances dans lesquelles les poursuites pénales sont généralement privilégiées par rapport aux sanctions administratives pécuniaires. Ces circonstances sont notamment les suivantes :

  • les conséquences réelles ou appréhendées de l’infraction sont graves ou très graves
  • la personne en défaut n’a pas pris les mesures adéquates pour remédier à l’infraction malgré l’imposition de sanctions administratives pécuniaires
  • la personne en défaut a agi intentionnellement ou a fait preuve de négligence ou d’insouciance
  • une entrave au déroulement d’une enquête ou d’une inspection de la Commission, notamment en lui communiquant des renseignements faux ou inexacts ou en omettant de lui communiquer des renseignements qu’elle requiert, a été constatée
  • plusieurs manquements ou infractions à la Loi sur le secteur privé ont été commis par la même personne en défaut ou sont récurrents dans le temps

La Loi 25 énonce les facteurs dont le juge doit tenir compte dans la détermination du montant de l’amende, notamment la nature de l’infraction, la sensibilité des renseignements, l’état d’esprit du contrevenant (acte intentionnel, négligence, insouciance, etc.), le caractère prévisible de l’infraction, la tentative du contrevenant de dissimuler l’infraction, les mesures prises pour empêcher la perpétration de l’infraction, l’augmentation intentionnelle ou réelle des revenus liée à l’infraction et le nombre de personnes concernées par l’infraction.

La Loi 25 maintient la responsabilité pénale des dirigeants et des administrateurs qui prescrivent ou autorisent l’accomplissement de l’acte ou de l’omission qui constitue l’infraction ou qui y consentent. Ces dirigeants et administrateurs sont considérés comme des parties à l’infraction et sont passibles de la peine prévue.

Droit à des dommages-intérêts punitifs

Au Québec, des dommages-intérêts punitifs ne peuvent être accordés que s’ils sont expressément prévus dans une loi. Seules quelques lois autorisent les particuliers à demander des dommages-intérêts punitifs. La disposition la plus souvent invoquée dans les poursuites civiles relatives à une atteinte à la vie privée est l’article 49 de la Charte des droits et libertés de la personne du Québec, qui prévoit des dommages-intérêts punitifs en cas d’atteinte illicite et intentionnelle à un droit ou à une liberté reconnu par la Charte, notamment le droit de respect de la vie privée (article 5).

La Loi 25 confère un droit privé indépendant de réclamation en dommages-intérêts punitifs lorsqu’une atteinte à un droit conféré par la Loi sur le secteur privé ou par les articles 35 à 40 du Code civil du Québec cause un préjudice et que cette atteinte est intentionnelle ou résulte d’une faute lourde.

Contrairement aux autres lois prévoyant l’attribution de dommages-intérêts punitifs dans la province de Québec, l’article 93.1 de la Loi sur le secteur privé fixe un montant minimum, stipulant que « le tribunal accorde des dommages-intérêts punitifs d’au moins 1 000 $ », sans tenir compte des critères habituels d’analyse du montant des dommages-intérêts punitifs (par exemple, l’état d’esprit, les profits générés, la capacité de paiement, etc.). Bien que ce nouvel article 93.1 puisse être invoqué dans le cadre de procédures civiles, une demande en dommages-intérêts punitifs en vertu de cet article nécessitera toujours la démonstration d’un préjudice réel (c’est-à-dire un dommage) et d’un lien de causalité, en plus du caractère intentionnel ou de la négligence grave (c’est-à-dire une faute lourde).

Commentaires

Le nouveau régime d’application de la Loi 25 entré en vigueur le 22 septembre 2023 aura sans aucun doute une incidence sur les activités des entreprises au Québec et doit être pris en considération dans la mise à jour des lignes directrices sur la protection des renseignements personnels.

Les nouveaux pouvoirs d’enquête conférés à la Commission ne doivent pas être sous-estimés, surtout compte tenu des dispositions relatives aux sanctions administratives pécuniaires et aux poursuites pénales (et peut-être aussi de la nouvelle disposition sur les dommages-intérêts punitifs).

Pour en savoir plus sur la Loi sur le secteur privé, les exigences de la Loi 25 et les autres faits nouveaux concernant la protection des renseignements personnels et la législation au Canada, abonnez-vous au service AccessPrivacy d’Osler.