Amendes Loi 25 : Combien risquez-vous vraiment?

La Loi 25 est en vigueur depuis septembre 2024. Et si vous pensez que les amendes ne concernent que les grandes entreprises, détrompez-vous. Aucune exemption n'existe pour les PME ou les travailleurs autonomes. Les pénalités peuvent atteindre des montants astronomiques — et les premières sanctions sont déjà tombées.

Deux types de sanctions : administratives et pénales

La Loi 25 prévoit deux catégories de pénalités distinctes, selon la gravité de l'infraction.

Sanctions administratives

Ces amendes sont imposées par la Commission d'accès à l'information (CAI) pour des manquements comme l'absence de politique de confidentialité, le défaut de désigner un responsable de la protection des renseignements personnels, ou le non-respect des délais de réponse aux demandes d'accès.

Montants maximums :

• Jusqu'à 10 millions de dollars
• Ou 2% du chiffre d'affaires mondial

Le montant le plus élevé des deux s'applique.

Sanctions pénales

Réservées aux infractions graves — comme la collecte illégale de données, l'obstruction à une enquête de la CAI, ou les récidives.

Montants maximums :

• Jusqu'à 25 millions de dollars
• Ou 4% du chiffre d'affaires mondial

Encore une fois, c'est le montant le plus élevé qui s'applique.

Tableau récapitulatif des amendes

| Type de sanction | Individu | Entreprise |

|-----------------|----------|------------|

| Administrative | 5 000 $ à 100 000 $ | 15 000 $ à 10 M$ (ou 2% CA) |

| Pénale | 5 000 $ à 100 000 $ | 15 000 $ à 25 M$ (ou 4% CA) |

| Récidive | Amendes doublées | Amendes doublées |

Important : Les minimums s'appliquent même aux plus petites entreprises. Un travailleur autonome peut recevoir une amende de 5 000 $ minimum pour non-conformité.

Le droit de poursuite privé : une menace supplémentaire

La Loi 25 introduit quelque chose d'unique au Canada : le droit de poursuite privé. Cela signifie que vos clients peuvent vous poursuivre directement en justice.

Ce que ça implique :

• Minimum de 1 000 $ par personne en dommages punitifs
• Possibilité de recours collectifs
• Applicable en cas de faute intentionnelle ou de négligence grave

Imaginons un scénario : une fuite de données touche 500 clients. Chacun pourrait réclamer au moins 1 000 $. C'est 500 000 $ de dommages potentiels — sans compter les frais juridiques et les dommages à votre réputation.

Premier cas d'application : Transcontinental (septembre 2024)

La CAI n'attend pas. En septembre 2024, elle a rendu sa première décision formelle contre Transcontinental Printing Inc.

Les faits :

• L'entreprise utilisait la reconnaissance faciale pour le contrôle d'accès des employés
• Elle avait obtenu le consentement des employés
• Elle avait déclaré sa base de données biométrique à la CAI

Malgré ces mesures apparemment conformes, la CAI a conclu que les pratiques de Transcontinental contrevenaient aux exigences de la loi.

La décision :

• L'entreprise n'a pas pu démontrer que l'objectif était « réel » ou « important »
• L'atteinte à la vie privée n'était pas suffisamment minimisée
• Les avantages du système ne l'emportaient pas sur les préjudices potentiels

Ordonnance de la CAI : cesser l'utilisation de la reconnaissance faciale et détruire tous les renseignements biométriques recueillis.

Leçon importante : Le consentement et la déclaration à la CAI ne suffisent pas. Vous devez également prouver la nécessité et la proportionnalité de votre collecte de données.

Comment éviter ces sanctions?

La meilleure protection est la conformité proactive. Avec Meo, vous disposez d'outils intégrés pour :

• Gérer le consentement de manière automatisée
• Documenter vos politiques de rétention
• Répondre aux demandes d'accès en un clic
• Héberger vos données 100% au Québec

Essayez Meo gratuitement pendant 30 jours et assurez votre conformité à la Loi 25.