La Commission d'accès à l'information (CAI) est l'autorité chargée de surveiller l'application de la Loi 25 au Québec. Comprendre comment elle fonctionne concrètement aide les organisations à calibrer leur démarche de conformité.
Les pouvoirs d'enquête de la CAI
La CAI peut ouvrir une enquête de deux façons : sur plainte d'un individu ou de sa propre initiative. Dans les deux cas, elle a le pouvoir de :
- Demander des documents, des politiques et des registres internes
- Interroger des membres du personnel
- Inspecter les systèmes informatiques (avec l'assistance d'un expert si nécessaire)
- Rendre des ordonnances contraignantes
Les enquêtes sont généralement déclenchées par des incidents signalés, des plaintes de personnes qui estiment que leurs droits n'ont pas été respectés, ou des secteurs que la CAI identifie comme présentant des risques élevés.
Les sanctions administratives et pénales
La loi prévoit deux types de sanctions distinctes.
Les sanctions administratives pécuniaires (SAP) sont imposées directement par la CAI. Elles peuvent atteindre :
- 10 millions de dollars, ou 2 % du chiffre d'affaires mondial de l'exercice précédent (le plus élevé des deux) pour les infractions moins graves
- 25 millions de dollars, ou 4 % du chiffre d'affaires mondial (le plus élevé des deux) pour les infractions plus graves, comme le défaut de notifier un incident ou le non-respect d'une ordonnance
Les sanctions pénales s'appliquent dans les cas les plus graves. Elles peuvent être imposées par un tribunal et comprennent des amendes similaires aux SAP, mais aussi potentiellement des recours civils par des personnes lésées.
La responsabilité personnelle
Un aspect moins discuté de la loi concerne la responsabilité des administrateurs et dirigeants. Si une organisation commet une infraction et qu'un administrateur ou un dirigeant en avait connaissance sans prendre les mesures raisonnables pour l'empêcher, cette personne peut être tenue personnellement responsable.
Cela ne signifie pas que tout manquement entraîne une responsabilité personnelle. Mais cela souligne l'importance d'une gouvernance sérieuse : le responsable de la protection des renseignements personnels doit avoir l'autorité et les ressources nécessaires pour agir.
L'approche actuelle de la CAI : éducation d'abord
Il est important de situer ces pouvoirs dans leur contexte pratique. Depuis l'entrée en vigueur des premières dispositions en 2022, l'approche de la CAI a été principalement éducative. La Commission a publié des guides, des lignes directrices et des formulaires pour aider les organisations à se conformer. Elle a répondu aux questions, émis des recommandations et accordé du temps pour corriger les lacunes avant d'envisager des mesures coercitives.
Les sanctions maximales existent et elles sont significatives. Mais la trajectoire que la CAI a adoptée jusqu'ici ressemble davantage à celle d'un accompagnateur qu'à celle d'un procureur.
Conformité comme maturité organisationnelle
La meilleure raison de se conformer à la Loi 25 n'est pas d'éviter une amende. C'est de gérer de façon responsable les renseignements que des clients, des employés et des partenaires vous ont confiés.
Une organisation qui protège bien les données personnelles réduit son exposition au risque, gagne en crédibilité auprès de ses parties prenantes, et développe des pratiques qui résistent à l'évolution réglementaire. La conformité est davantage une assurance organisationnelle qu'une contrainte imposée de l'extérieur.
Observantia vous aide à documenter votre démarche de conformité et à produire les registres que la CAI pourrait demander en cas d'inspection, y compris le registre des incidents et les politiques internes.
Ce contenu est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour des questions spécifiques à votre situation, consultez un conseiller juridique qualifié.