Poursuites pénales
La Commission d'accès à l'information (CAI) peut intenter une poursuite dans les cinq (5) ans suivant une infraction à la Loi sur la protection des renseignements personnels dans le secteur privé.
Infractions passibles d'amende
- Recueillir, utiliser ou communiquer des données personnelles sans respecter la Loi
- Omettre de déclarer un incident de confidentialité à la CAI
- Négliger la sécurité des renseignements personnels
- Entraver une enquête de la CAI
- Exercer des représailles envers un plaignant
Facteurs de détermination de la peine
En cas de culpabilité, pour déterminer le montant de l'amende à imposer, le juge doit tenir compte des facteurs suivants :
- La nature, la gravité, le caractère répétitif et la durée de l'infraction
- La sensibilité des renseignements personnels concernés par l'infraction
- Le fait que le contrevenant ait agi intentionnellement ou ait fait preuve de négligence ou d'insouciance
- Le caractère prévisible de l'infraction ou le défaut d'avoir donné suite aux recommandations ou aux avertissements visant à la prévenir
- Les tentatives du contrevenant de dissimuler l'infraction ou son défaut de tenter d'en atténuer les conséquences
- Le fait que le contrevenant ait omis de prendre des mesures raisonnables pour empêcher la perpétration de l'infraction
- Le fait que le contrevenant, en commettant l'infraction ou en omettant de prendre des mesures pour empêcher sa perpétration, ait accru ses revenus ou ait réduit ses dépenses ou avait l'intention de le faire
- Le nombre de personnes concernées par l'infraction et le risque de préjudice auquel ces personnes sont exposées
⚠️ Attention : En cas de récidive, les amendes sont doublées.
Montant des amendes
Dans le cas d'une personne physique :
5 000 $ à 100 000 $
Dans le cas d'une entreprise :
Entre 15 000 $ et, selon le montant le plus élevé :
- 25 000 000 $ ou
- 4 % du chiffre d'affaires mondial de l'exercice financier précédent
Obligations des entreprises
En vertu de la Loi 25, les entreprises privées du Québec doivent :
- Désigner un responsable de la protection des renseignements personnels (RPRP)
- Mettre en place des mesures de sécurité appropriées pour protéger les données
- Informer la CAI et les personnes concernées en cas d'incident de confidentialité
- Rédiger et publier une politique de confidentialité claire et accessible
- Effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) pour certains projets
- Respecter le consentement des personnes et leurs droits d'accès et de rectification
- Conserver les données uniquement pour la durée nécessaire aux fins prévues
- Assurer la confidentialité des renseignements personnels collectés
Droits des citoyens
En vertu de la Loi 25, vous avez le droit :
- D'accès : Demander une copie de vos renseignements personnels détenus par une entreprise
- De rectification : Corriger des renseignements inexacts ou incomplets
- De retrait du consentement : Retirer votre consentement à la collecte ou à l'utilisation de vos données
- D'être informé : Être informé de la collecte, de l'utilisation et de la communication de vos données
- De portabilité : Obtenir vos données dans un format structuré et couramment utilisé
- D'opposition : Vous opposer à certaines utilisations de vos renseignements personnels
- De déposer une plainte : Déposer une plainte auprès de la CAI si vos droits ne sont pas respectés
- À une réparation : Obtenir réparation en cas de violation de vos droits
Ressources officielles
Commission d'accès à l'information (CAI)
Organisme responsable de l'application de la Loi 25 au Québec.
Visiter la CAILoi 25 (LPRPDE)
Loi sur la protection des renseignements personnels dans le secteur privé.
Consulter la Loi 25