Le Québec est à l’aube de changements importants résultant de l’avènement du projet de loi 64/Loi 25. S’ajoutant aux nombreuses exigences que les entreprises devront mettre en œuvre, les nouvelles sanctions que se verront imposées les entreprises contrevenantes pourraient avoir des conséquences désastreuses. Cet article fait état des pénalités substantielles qui découleront de la non-conformité, de même que des nouveaux pouvoirs accordés aux autorités en ce qui a trait à la mise en application de la loi.  

‍

Les informations présentées ci-dessous ont été vérifiées par notre avocate à l’interne et spécialiste en confidentialité des données. Dans l’éventualité où vous souhaiteriez éviter les heures de recherche nécessaires pour comprendre la portée des changements à venir, nous vous invitons à vous référer à notre programme de formation.    

‍

Qu’est-ce que le projet de loi 64/Loi 25?  

‍

Le Québec a récemment adopté sa loi sur la confidentialité des données la plus restrictive à ce jour, apportant de ce fait un vent de modernisant de l'ensemble du cadre législatif québécois sur la protection des données. Toute entreprise qui procède au traitement de renseignements personnels dans la province devra désormais s’y conformer, et ce, dès septembre 2022.      

‍

Qui sera responsable d’assurer la protection des renseignements personnels et la conformité au sein de l’entreprise?  

‍

‍

Une des premières exigences du projet de loi 64, et qui sera donc requise de la part de chacune des entreprises québécoises dès cette année, est la nomination d'un délégué à la protection des données (DPD). Le rôle de cette personne sera d’abord et avant tout de voir au respect de la conformité et d’assurer par le fait même une protection accrue des renseignements personnels traités par l’entreprise.  

‍

De lourdes responsabilités incomberont au DPD puisque cet individu sera chargé d’établir l’ensemble des démarches à entreprendre au sein de la compagnie quant aux mises en œuvre nécessaires en lien avec la confidentialité des données. L’importance de connaître l’ampleur des responsabilités rattachées à la position sera crucial puisque l’organisation, de même que par extension le DPD, seront imputables en cas d’infractions en lien avec les différentes dispositions de la loi.  

Qu’adviendra-t-il en cas de non-conformité?  

‍

Un des aspects les plus radicaux apportés par la réforme est sans contredit les montants significatifs des nouvelles pénalités auxquelles les organisations seront exposées en cas de non-respect du texte législatif et qui seront pleinement en application dès septembre 2023. Ce nouvel amendement est fort probablement l’aspect qui causera le plus de commotion, comme cela avait d’ailleurs été le cas en Europe avec le Règlement sur la protection des données (RGPD), où les entreprises ont été confrontées au même genre d’amendes.  

‍

Le nouveau régime introduit dorénavant deux types de sanctions auxquelles pourraient faire face les entreprises contrevenantes, à savoir les pénalités d’ordre administratif et celles découlant d’une infraction pénale.

‍

Un nouvel aspect au chapitre des sanctions pécuniaires sera également la possibilité pour une entreprise de se voir condamner à payer des dommages-intérêts punitifs. Un individu lésé pourrait donc se voir octroyer un montant à titre réparation pour un préjudice subi, lequel devra voir été causé par une violation intentionnelle ou par le biais d’une faute lourde ou négligence grave en contravention des dispositions du Code Civil du Québec ayant trait à la vie privée.  

‍

Quels montants pourraient atteindre les amendes en cas d’infraction?  

‍

Actuellement, la principale préoccupation des entreprises est bien évidemment de se questionner à savoir jusqu’où s’élèveront les montants des amendes. Tel que mentionné précédemment, les pénalités seront significatives et risquent ainsi d’affecter considérablement de nombreuses entreprises du secteur privé qui décideraient de ne pas se plier aux exigences législatives. Le gouvernement tenait à ce que cette nouvelle loi protège davantage les données personnelles traitées par les organisations et pour ce faire, a donc instaurer des amendes onéreuses en cas de manquement.  

‍

Les amendes administratives pourront atteindre 10 millions de $ ou 2% du chiffre d'affaires mondial de l'organisation pour l'année fiscale précédente ou alors jusqu’à 25 millions de $ ou 4% en ce qui a trait aux infractions pénales, le montant le plus élevé sera par ailleurs imposé dans chacun des cas. À noter que, contrairement au régime juridique européen, en cas de récidive, les amendes seront par conséquent doublées.  

‍

Qui sera l’autorité qui veillera à l’application du projet de loi 64?  

‍

Considérant les lourdes sanctions auxquelles les organisations seront assujetties, il devenait nécessaire de voir à la mise en application de telles sanctions. Ainsi, la Commission d’accès à l’information (CAI) s’est vue accorder des pouvoirs accrus dans l’optique de veiller au respect du projet de loi 64.

‍

La CAI aura désormais un rôle beaucoup plus prédominant et ne sera ainsi pas limitée à émettre simplement des recommandations en la matière. Parmi les nouveaux pouvoirs qui lui sont conférés, à l’issue d’une enquête, elle aura notamment la possibilité d’imposer des amendes ainsi que d’intenter des poursuites pénales.

‍

Qu’est- ce qui sera considéré comme étant une violation aux yeux de la loi?  

‍

L’imposition de pénalités sera évaluée en fonction du contexte particulier qui sous-tend l’action ou l’omission ayant mené au non-respect d’une ou de plusieurs des dispositions. Il pourrait donc y avoir un chevauchement entre certains éléments se rapportant à la fois aux sanctions administratives et pénales. Généralement, les intentions ou la gravité du manquement en question constitueront les facteurs pris en compte pour l’établissement des pénalités.  

‍

Or, en vue de tout de même faciliter l’imposition de sanctions appropriées et équitables selon des critères prédéterminés, CAI a procédé à l’élaboration d’un cadre général sur lequel elle se basera pour juger des conduites en lien avec la conformité. À titre d’exemple, la gravité, la sensibilité des renseignements personnels et le degré de collaboration des entreprises seront notamment analysés lors de la prise de décision.

‍

Conclusion

‍

À la lumière de ce qui précède, il peut sembler préoccupant de réaliser l’ampleur des conséquences en cas de non-conformité. D’où la raison pour laquelle il s’avère en premier lieu essentiel de nommer un individu qualifié qui occupera la fonction de DPD et verra à maintenir le respect des dispositions de la loi.

‍

Cependant, il est vrai que nous sommes encore à un stade prématuré afin de prévoir exactement comment se déroulera la mise en application par la CAI du projet de loi 64/Loi 25. Nous ne pouvons qu’attendre et voir quelles ressources seront déployées en ce qui a trait à l’imposition des nouvelles sanctions et quelle sera l’étendue du bassin d’entreprises québécoises qui sera visé dès l‘entrée en vigueur des dispositions portant sur les pénalités.  

‍

Or, dans l’intervalle, il serait judicieux et opportun de débuter immédiatement vos démarches quant à la panoplie de changements qui vous attendent. Pour ce faire, la formation offerte par Assurance IT s’avère un excellent moyen de départ pour vous préparer aux différentes mises en œuvre requises par le projet de loi 64.

‍