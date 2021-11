Cet article fait partie de notre série de blogues sur le projet de loi 64, qui offre aux lecteurs une vue d'ensemble du projet de loi 64 et des modifications importantes qu'il apporte à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « Loi sur le secteur privé »). Pour consulter les autres entrées de la série de blogues, veuillez visiter cette page.

La Loi modernisant les dispositions législatives en matière de protection des renseignements personnels (le « Projet de loi 64 ») a reçu la sanction royale le 22 septembre 2021, et apportera des changements importants à la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le secteur privé ») au Québec, qui entreront en vigueur progressivement au cours des trois prochaines années. Dans le cadre d'une série de blogues visant à guider les entreprises quant à ces nouvelles obligations, le présent article traite des mécanismes de mise en Suvre introduits par le Projet de loi 64, qui auront une incidence considérable sur la façon dont seront appliquées les lois relatives à la protection de la vie privée dans l'ensemble de la province.

Les modifications apportées à la Loi sur le secteur privé comprennent de nouvelles fonctions et des pouvoirs accrus d'application de la Loi sur le secteur privé pour la Commission d'accès à l'information (la « Commission »), ainsi que des modifications importantes exposant les entreprises à l'imposition de sanctions monétaires significatives en cas de contraventions à la Loi sur le secteur privé. Voici ce que votre organisation doit savoir afin de naviguer dans ce nouveau régime d'application.

DE NOUVEAUX MÉCANISMES DE MISE EN RUVRE

1. Introduction d'un régime d'imposition de sanctions administratives pécuniaires

L'un des grands changements apporté par le Projet de loi 64 est l'instauration d'un régime prévoyant l'imposition de sanctions administratives pécuniaires importantes1. Ce régime entrera en vigueur le 22 septembre 2023.

Ce régime confère à la Commission le pouvoir d'imposer des sanctions administratives pécuniaires, afin de favoriser l'accomplissement des objectifs poursuivis par la Loi sur le secteur privé, d'inciter les organismes à prendre rapidement les mesures de remédiation requises en cas d'infraction, ainsi que de dissuader la répétition de manquements2. La Commission est habilitée à imposer ces sanctions administratives pécuniaires pour un très large éventail d'infractions prévues à l'article 90.1 de la Loi sur le secteur privé.

La Loi sur le secteur privé telle qu'amendée par le Projet de loi 64 prévoit que la décision d'imposer des sanctions administratives pécuniaires et leur montant seront évalués par la Commission en fonction de plusieurs critères, incluant notamment:

La nature, la gravité, la durée et le caractère répétitif des contraventions;

La sensibilité des renseignements personnels impliqués;

Le nombre de personnes concernées et le risque de préjudice auquel elles s'exposent;

La capacité de payer de l'entreprise3.

La réponse des organisations aux contraventions aura également une incidence importante dans l'évaluation par la Commission de l'opportunité d'imposer des sanctions. En effet, la Loi sur le secteur privé prévoit que la Commission pourra considérer les mesures déjà prises par les entreprises pour remédier au manquement ou en atténuer les conséquences, le degré de collaboration offert à la Commission et les compensations déjà offertes par les entreprises aux personnes dont les renseignements personnels sont compromis4.

Les montants des sanctions administratives pécuniaires susceptibles d'être imposées à une entreprise pourront s'élever jusqu'à dix millions de dollars, ou encore à un montant correspondant à 2% du chiffre d'affaires mondial de son exercice financier précédent lorsque ce montant est plus élevé. Ces montants significatifs sont comparables à ceux prévus par le Règlement général sur la protection des données ("RGPD") de l'Union européenne.

Certaines garanties procédurales sont cependant accordées aux entreprises. Il est prévu que celles-ci seront notifiées avant l'imposition de toute sanction, qu'elles pourront présenter des observations, qu'il y aura un processus de réexamen interne de la décision ainsi qu'un droit de contestation de la décision en réexamen devant la Cour du Québec5.

2. De nouvelles infractions pénales et des amendes significatives

En vertu du droit présentement applicable, les violations de la Loi sur le secteur privé par une entreprise peuvent constituer des infractions pénales passibles d'amendes qui varient selon la nature des infractions. À titre d'exemple, les amendes peuvent s'élever jusqu'à 50 000$ en cas d'infraction.

Les modifications apportées par le Projet de loi 64 intègrent des changements importants à ce régime et augmentent de manière significative les montants des amendes auxquels s'exposent les contrevenants. Ces modifications entreront en vigueur le 22 septembre 2023. Le Projet de loi 64 accorde à la Commission le droit d'intenter une poursuite pénale pour une infraction à la Loi sur le secteur privé. Ainsi, des procureurs de la Commission pourront instituer devant la Cour du Québec des poursuites pénales dans un rôle similaire à celui du DPCP. Ces poursuites pénales pourront mener pour les entreprises contrevenantes à des amendes variant entre 15 000$ et 25 millions de dollars, ou à 4% du chiffre d'affaires mondial de l'exercice précédent si cette somme est plus élevée6. Ces montants sont doublés en cas de récidive7. Les critères que le juge doit prendre en considération dans la détermination du montant d'une amende ont été ajoutés à la dernière version du Projet de loi 64 et incluent entre autres la gravité des contraventions, le caractère intentionnel ou négligent, l'absence de moyens pris par l'entreprise pour mitiger les dommages et le fait que le contrevenant voulait tirer des profits en commettant l'infraction ou en omettant de prendre des mesures pour la prévenir8.

Les infractions qui peuvent mener à des amendes sont énumérées à l'article 91 de la Loi sur le secteur privé et certaines infractions ont d'ailleurs été ajoutées entre la version initialement présentée du Projet de loi 64 et la version qui a été adoptée le 22 septembre 2021, par exemple le fait de ne pas prendre les mesures de sécurité nécessaires pour s'assurer de la protection des renseignements personnels.

Il s'agit de pouvoirs importants et de montants significatifs, et la Commission devra développer un cadre général d'application des sanctions administratives pécuniaires et prévoir dans quels cas un recours pénal sera envisagé plutôt qu'une sanction administrative pécuniaire. En effet, certaines des contraventions prévues à la Loi sur le secteur privé pourraient donner lieu à une sanction administrative pécuniaire ou à une amende, par exemple, lorsqu'une entreprise omet de rapporter un incident à la Commission ou aux personnes concernées.

3. Réclamation en dommages

En plus de prévoir des sanctions administratives pécuniaires et amendes importantes, le Projet de loi 64 prévoit qu'un manquement à la Loi sur le secteur privé permet l'octroi de dommages punitifs en présence d'une faute lourde ou intentionnelle. Au Québec, pour pouvoir réclamer des dommages punitifs, il faut qu'une loi le prévoit spécifiquement. Ici le législateur facilite la réclamation en dommages punitifs pour les individus qui subissent un préjudice suite à une contravention à la Loi sur le secteur privé. Un individu peut réclamer 1000$ ou plus en dommages punitifs dans un tel cas. L'article 93.1 de la Loi sur le secteur privé a subi des modifications entre la version initiale et celle adoptée en septembre dernier et ne semble plus procurer un recours statutaire en réparation du préjudice mais est circonscrit à la possibilité d'obtenir des dommages punitifs.

NOUVELLES FONCTIONS, POUVOIRS ACCRUS POUR LA COMMISSION

L'éventail des nouveaux pouvoirs introduits par le Projet de loi 64 constitue un changement important par rapport au statu quo qui prévalait depuis plus de 25 ans. La Loi sur le secteur privé telle qu'amendée confère à la Commission le pouvoir d'imposer des sanctions administratives pécuniaires, le pouvoir d'instituer un recours pénal, mais également d'autres pouvoirs étendus par rapport à ceux qui lui étaient préalablement conférés.

À titre d'exemple, la Commission avait par le passé le pouvoir d'effectuer des inspections et des enquêtes ainsi que le pouvoir de recommander ou d'ordonner aux organisations de mettre en place certaines mesures correctives propres à assurer la protection des renseignements personnels. Ce pouvoir s'étend suite au Projet de loi 64 à l'imposition de mesures visant à protéger les droits des personnes dont les renseignements sont concernés, y compris par la remise de renseignements personnels à la personne concernée ou encore par leur destruction9.

La Loi sur le secteur privé telle qu'amendée confirme également les pouvoirs de nature injonctive de la Commission, qui peut notamment ordonner à une partie de faire quelque chose ou de s'abstenir de faire quelque chose, ces décisions ayant le même effet qu'un jugement rendu par la Cour supérieure10.

En outre, la Commission sera notamment habilitée à faire des demandes péremptoires lui permettant d'exiger de toute personne, qu'elle soit assujettie ou non à la Loi sur le secteur privé, la production de tout renseignement permettant de vérifier l'application de la Loi sur le secteur privé11.

CONCLUSION

Alors que les mesures de mise en Suvre et de sanction prévues par les différentes lois sur la protection de la vie privée au Canada et à l'international font présentement l'objet d'importantes révisions et de réformes, le Projet de loi 64 instaure un régime d'application et d'imposition de sanctions dont la nature est hautement prescriptive et sévère.

La législation fédérale actuellement applicable - la Loi sur la protection des renseignements personnels et les documents électronique, fait également l'objet d'une révision et le récent Projet de Loi C-11, au stade de la première lecture, prévoit également des pouvoirs accrus au Commissaire à la protection de la vie privée vie privée du Canada et des pénalités importantes, de l'ordre de dix millions de dollars ou de 3% des recettes globales brutes de l'organisation.

Des incertitudes demeurent bien présentes quant à l'application qui sera faite de ce nouveau régime québécois de protection de la vie privée et à sa coexistence avec le régime fédéral. L'application du régime de sanction dans des cas de manquements ayant des répercussions transfrontalières devra également être définie. Il sera important de déterminer si un même incident lié à la protection de la vie privée pourrait entraîner des amendes ou sanctions de plusieurs régulateurs alors que les sanctions au Québec prévoient déjà la prise en compte du chiffre d'affaires mondial de l'entreprise.

La réforme importante apportée au droit applicable en matière de protection de la vie privée au Québec impose des obligations considérables aux entreprises et sont susceptibles d'entrainer des sanctions importantes en cas de non-conformité. Les organisations seraient avisées de débuter la mise en place d'un plan vers la conformité aux nouvelles exigences prévues par la Loi sur le secteur privé rapidement, à l'aube d'une nouvelle ère de protection des renseignements personnels et avant l'entrée en vigueur du régime d'application beaucoup plus sévère.

