Données personnelles: des amendes pouvant aller jusqu'à 25 millions

(Québec) Une entreprise qui serait négligente avec les renseignements personnels de ses clients se verrait imposer une amende salée allant jusqu’à 25 millions, en vertu du projet de loi déposé vendredi par la ministre de la Justice, Sonia LeBel. Il s’agit d’une forte hausse des sanctions pécuniaires actuellement prévues, qui pouvaient aller au maximum à une amende de quelques milliers de dollars.

La ministre LeBel a présenté vendredi son attendu projet de loi visant la modernisation de la Loi sur la protection des renseignements personnels. La pièce législative augmente notamment de façon considérable les sanctions pouvant être imposées à une entreprise qui conviendrait à la loi.

« Malheureusement, nos lois actuelles, on l'a constaté, manquent de mordant. Il faut obliger les organisations qui utilisent nos renseignements à faire le nécessaire pour protéger les renseignements personnels », a affirmé la ministre LeBel en conférence de presse.

« Au moment où on se parle, les sanctions imposées aux contrevenants sont bien loin d'être à la hauteur des conséquences qu'entraîne une fuite de renseignements personnels pour les citoyens. Ceux qui ont vécu un vol d'identité le savent, les conséquences peuvent être très lourdes et vous suivent pendant de nombreuses années », a-t-elle poursuivi.

Au pénal, une infraction à la loi pourrait se traduire par l’imposition d’une amende de 15 000 $ à 25 millions ou d’un montant de 4 % du chiffre d’affaires de l’entreprise si ce montant est plus élevé. Dans le cas d’une personne physique, on parle d’une sanction de 5000 $ à 50 000 $.

Pour l’heure, même dans un cas comme celui de Desjardins, où 4,2 millions de personnes ont été touchées par un vol de données, une entreprise trouvée coupable ne s’expose qu’à une amende de 10 000 $, 50 000 $ en cas de récidive.

« Le privilège de pouvoir utiliser nos renseignements personnels vient avec une responsabilité. Ce sont nos renseignements. Ils nous appartiennent. Donc, ils n'appartiennent pas aux entreprises et aux organismes. Nous instaurons des balises claires que plusieurs entreprises ont déjà mises en pratique, et je les salue, et malgré les lacunes de la loi actuelle », a admis M^me LeBel.

Autre nouveauté, projet de loi (PL) 64 propose aussi donner le pouvoir à la Commission d’accès à l’information (CAI) d’émettre des sanctions administratives pécuniaires dans le secteur privé, ce qui n’était pas possible. Dans ce cas, l’amende pourrait aller jusqu’à 50 000 $ dans le cas d’une personne physique et de 10 millions ou un montant correspondant à 2 % du chiffre d’affaires.

Le PL64 vient aussi obliger les organismes publics et les entreprises privées à demander un « consentement distinctivement » pour chacune des nouvelles utilisations des données et il retire aux entreprises la possibilité de communiquer certaines informations sans le consentement de l’usager.