Sanctions pour non-conformité

Sanctions administratives pécuniaires

La Commission peut imposer des sanctions administratives pécuniaires aux entreprises qui commettent un manquement à certaines obligations de la Loi sur la protection des renseignements personnels dans le secteur privé. Ces sanctions peuvent atteindre jusqu’à 2 % de leur chiffre d’affaires mondial ou 10 millions de dollars.

Une sanction administrative pécuniaire peut être imposée à toute personne qui :

• Recueille, utilise, communique, conserve ou détruit des renseignements personnels en contrevenant à la Loi;
• Néglige d’informer adéquatement les personnes concernées par rapport à la collecte de leurs renseignements personnels;
• Omet de déclarer un incident de confidentialité présentant un risque de préjudice sérieux à la Commission ou aux personnes concernées;

• Néglige de prendre les mesures de sécurité propres à assurer la protection des renseignements personnels;
• Néglige d’informer les personnes concernées :
• Des décisions fondées exclusivement sur un traitement automatisé (sans intervention humaine);
• De leur droit de présenter leurs observations à un membre du personnel de l’organisation en mesure de réviser la décision;
• Se soustrait à ses obligations à titre d’agent de renseignements personnels.

À la suite d’un manquement prévu à la Loi, une personne peut s’engager auprès de la Commission à prendre les mesures nécessaires pour y remédier ou en atténuer les conséquences. La Commission peut y inclure des conditions ou y prévoir l’obligation de payer une somme d’argent. Si elle approuve l’engagement et qu’il est respecté, la personne ne peut pas faire l’objet d’une sanction administrative pécuniaire pour les actes ou les omissions constatés par la Commission.

Comme le prévoit la Loi, la Commission a élaboré et rend public un cadre général d’application des sanctions administratives pécuniaires précisant :

• Les objectifs poursuivis par ces sanctions;
• Les critères devant déterminer la décision d’imposer une sanction lorsqu’un manquement est constaté ainsi que la détermination du montant de la sanction;
• Les circonstances dans lesquelles le recours pénal est priorisé;
• Les autres modalités relatives à l’imposition des sanctions.

Consultez le document.

Poursuites pénales

Les entreprises qui contreviennent à certaines obligations prévues à la Loi sont passibles d’une amende.

Les infractions à la Loi sur la protection des renseignements personnels dans le secteur privé sont passibles d’une amende de :

• Si elles sont commises par une personne physique : 5 000 $ à 100 000 $;
• Si elles sont commises par une organisation : entre 15 000 $ et, selon le montant le plus élevé, 25 000 000 $ ou un montant correspondant à 4 % de son chiffre d’affaires mondial de l’exercice financier précédent.

Ces amendes peuvent être imposées à quiconque :

• Recueille, utilise, communique, conserve ou détruit des renseignements personnels en contravention à la Loi;
• Omet de déclarer, s’il est tenu de le faire, un incident de confidentialité à la Commission ou aux personnes concernées;
• Contrevient aux interdictions relatives au gel de sécurité en matière de dossier de crédit;
• Néglige de prendre les mesures de sécurité propres à assurer la protection des renseignements personnels;
• Procède ou tente de procéder à l’identification d’une personne physique à partir de renseignements dépersonnalisés sans l’autorisation de la personne les détenant ou à partir de renseignements anonymisés;
• Se soustrait à ses obligations à titre d’agent de renseignements personnels;
• Entrave le déroulement d’une enquête ou d’une inspection de la Commission ou l’instruction d’une demande par celle-ci en lui communiquant des renseignements faux ou inexacts, ou en omettant de lui communiquer des renseignements qu’elle requiert, ou autrement;
• Exerce des représailles contre une personne pour le motif qu’elle a, de bonne foi, déposé une plainte à la Commission ou collaboré à une enquête, ou menace une personne de représailles afin qu’elle s’abstienne de poser ces gestes;
• Refuse ou néglige de se conformer, dans le délai déterminé par la Commission, à une demande péremptoire;
• Contrevient à une ordonnance de la Commission.

Facteurs de détermination de la peine

En cas de culpabilité, pour déterminer le montant de l’amende à imposer, le juge doit tenir compte des facteurs suivants :

• La nature, la gravité, le caractère répétitif et la durée de l’infraction;
• La sensibilité des renseignements personnels concernés par l’infraction;
• Le fait que le contrevenant ait agi intentionnellement ou ait fait preuve de négligence ou d’insouciance;
• Le caractère prévisible de l’infraction ou le défaut d’avoir donné suite aux recommandations ou aux avertissements visant à la prévenir;
• Les tentatives du contrevenant de dissimuler l’infraction ou son défaut de tenter d’en atténuer les conséquences;
• Le fait que le contrevenant ait omis de prendre des mesures raisonnables pour empêcher la perpétration de l’infraction;
• Le fait que le contrevenant, en commettant l’infraction ou en omettant de prendre des mesures pour empêcher sa perpétration, ait accru ses revenus ou ait réduit ses dépenses ou avait l’intention de le faire;
• Le nombre de personnes concernées par l’infraction et le risque de préjudice auquel ces personnes sont exposées.

En cas de récidive, la Loi prévoit que les amendes sont doublées.

Délai pour intenter une poursuite

Tant pour les organismes publics que les entreprises, la Commission dispose de cinq ans à compter de la perpétration de l’infraction pour intenter une poursuite pénale.

19 septembre 2023