CHAPITRES 14–15
Mythes à déboulonner et sanctions financières
8 mythes courants qui créent une fausse sécurité. Suivi du régime de sanctions — l'un des plus sévères du Canada.
14 · Mythes
8 mythes à déboulonner
❌ « On est trop petits pour être visés. »
Faux. La loi ne prévoit aucun seuil de taille. Une PME de 3 employés est tout aussi assujettie qu'une multinationale — avec des attentes proportionnées à ses moyens.
❌ « La CAI ne sanctionne personne, on a le temps. »
Risqué. La CAI a adopté une posture initiale pédagogique, mais elle a depuis amorcé des enquêtes et des sanctions. Une sanction peut être imposée même pour une simple négligence, sans intention malveillante.
❌ « On a une politique de confidentialité, donc on est conformes. »
Insuffisant. Une politique sans pratiques réelles (registre, RPRP, sécurité, processus de droits) ne protège pas. La conformité est opérationnelle, pas seulement documentaire.
❌ « Le consentement dans nos conditions générales suffit. »
Faux. Le consentement doit être manifeste, libre, éclairé, à des fins déterminées et demandé distinctement. Un consentement noyé dans des CGU n'est pas valide.
❌ « Nos données sont chez un fournisseur, c'est son problème. »
Faux. L'organisation demeure responsable et doit encadrer la relation par contrat et, pour l'hébergement hors Québec, réaliser une ÉFVP.
❌ « On peut garder les données indéfiniment, au cas où. »
Faux. La loi exige de détruire ou anonymiser les renseignements une fois les fins accomplies. La conservation « au cas où » est une violation du principe de finalité.
❌ « Si on est conformes au RGPD, on est OK avec la Loi 25. »
Partiellement. Les deux régimes se ressemblent, mais comportent des différences (terminologie, délais, autorité de surveillance, désindexation). Une conformité RGPD est un excellent point de départ, pas une équivalence automatique.
❌ « Anonymiser, c'est juste enlever le nom. »
Faux. L'anonymisation doit être irréversible selon les meilleures pratiques. Retirer le nom tout en gardant des données réidentifiables (recoupement), c'est de la dépersonnalisation — la donnée reste un renseignement personnel.
15 · Sanctions
Les deux types de sanctions financières
| Critère | Sanction administrative (SAP) | Sanction pénale |
|---|---|---|
| Imposée par | La CAI directement — sans tribunal | La Cour du Québec (poursuite pénale) |
| Rapidité | Plus rapide | Processus judiciaire plus long |
| Max. — personne physique | Jusqu'à 50 000 $ | Variable selon l'infraction |
| Max. — entreprise | Jusqu'à 10 M$ ou 2 % du CA mondial (le plus élevé) | Entre 15 000 $ et 25 M$ ou 4 % du CA mondial |
| Peut viser les dirigeants? | Non (personnes morales) | Oui — personnellement |
| Négligence suffit? | Oui — pas besoin d'intention malveillante | Surtout pour infractions graves ou répétées |
| Prescription | 2 ans | 5 ans |
Mise en perspective PME : pour une PME avec un CA de 2 M$, 2 % représente environ 40 000 $ — un montant loin d'être négligeable, et imposable directement par la CAI sans passer par un tribunal.
15.4 · Au-delà des amendes
Dommages punitifs et risque réputationnel
- Dommages-intérêts punitifs : en cas d'atteinte illicite et intentionnelle, le tribunal peut accorder des dommages d'au moins 1 000 $ par personne — ouvrant la porte à des recours collectifs potentiellement très coûteux
- Risque réputationnel : la perte de confiance des clients peut coûter bien plus cher que l'amende elle-même
- Coûts opérationnels d'un incident : interruption d'activité, restauration, notification, surveillance de crédit, honoraires juridiques
15.5 · Déclencheurs
Comment se déclenche une enquête de la CAI?
- Sur plainte : un citoyen estime ses droits violés et saisit la CAI directement
- Sur inspection proactive : la CAI vérifie elle-même un secteur ou une organisation, souvent dans des domaines à risque (commerce en ligne, services professionnels, données sensibles)
✓ Checklist sanctions
- ☐ La direction connaît-elle le risque financier réel (SAP jusqu'à 10 M$ sans tribunal)?
- ☐ Pouvons-nous démontrer notre diligence (preuves documentées de nos démarches)?
- ☐ Avons-nous évalué notre exposition à un recours collectif (dommages 1 000 $/personne)?