Sanctions financières Loi 25 : ce que vous risquez vraiment

Un client vous écrit : « Où sont mes données ? » Vous répondez trois mois plus tard, après une fuite déjà connue en interne mais jamais documentée. Ce genre de retard attire l'attention de la CAI — et ce n'est pas qu'une question de réputation. La direction d'une PME doit comprendre les risques financiers réels avant qu'un incident ne force la main.

Sanctions administratives et sanctions pénales

La Commission d'accès à l'information du Québec peut enquêter, imposer des mesures correctives et, selon les cas, des sanctions administratives pécuniaires (SAP). Ce sont des amendes civiles administratives, distinctes des poursuites pénales qui peuvent aussi être intentées pour certaines infractions à la loi.

Point à retenir : les plafonds ont été rehaussés depuis la modernisation — pour les entreprises, les montants peuvent atteindre plusieurs millions de dollars selon la gravité, la récidive et, pour certaines catégories, un pourcentage du chiffre d'affaires mondial. Les personnes physiques peuvent aussi être visées.

Les montants exacts dépendent du type d'infraction et du régime applicable — consultez la CAI et un avocat pour votre situation. Par contre, le coût réel dépasse presque toujours l'amende : réputation, arrêt de projets, audits externes et corrections urgentes sur le site Web et les systèmes.

Exemples concrets de manquements à risque

• Sécurité insuffisante — absence de mesures raisonnables (MFA, sauvegardes, chiffrement) menant à une fuite.
• Incident non déclaré — risque de préjudice sérieux sans notification à la CAI ou aux personnes concernées.
• Collecte non conforme — formulaires ou traceurs sans consentement valide, finalités floues (consentement).
• Droits ignorés — demandes d'accès ou de suppression non traitées dans les délais.

Impact sur une PME

Une sanction ou une plainte médiatisée peut réduire la confiance des clients, faire échouer un appel d'offres B2B ou augmenter les primes d'assurance cyber. Pour une PME à liquidités limitées, prévoir un budget conformité progressif (PRP, registres, formation) coûte presque toujours moins cher qu'une remédiation d'urgence.

Situations qui attirent l'attention

• Collecte excessive ou non transparente via formulaires et traceurs.
• Absence de réponse aux demandes d'accès ou de rectification dans les délais.
• Incident de confidentialité mal documenté ou non notifié (procédure d'incident).
• Site public qui contredit la politique interne (cookies actifs malgré un refus affiché, politique obsolète).

Prévention pragmatique pour une PME

1. PRP visible — nommer ou identifier un responsable et le publier (responsable PRP).
2. Registres tenus — incidents et traitements à risque, même les « petits » événements.
3. Site aligné — bannière, politique, formulaires reflètent la réalité (cookies).
4. EFVP sur les gros projets — lorsqu'un traitement présente un risque élevé (EFVP).

Relation avec les autres articles

Les problèmes de cookies documentés par la CAI sont détaillés dans bannière cookies Loi 25 : ce qu'exige la CAI. Pour le contenu de votre politique en ligne, voir politique de confidentialité Loi 25 modèle PME.

En bref

• La CAI peut imposer des mesures correctives, des SAP et des poursuites pénales selon les cas.
• Le coût indirect (réputation, arrêt de projets, remédiation) dépasse souvent l'amende elle-même.
• Fuites, retards sur les droits, incidents non notifiés et site incohérent : signaux d'alarme fréquents.
• PRP, registres, site aligné et EFVP ciblée : prévention réaliste pour une PME.

Références utiles

• CAI — Sanctions et pouvoirs — cadre des sanctions administratives et des mesures.
• Loi P-39.1 (secteur privé) — dispositions sur les infractions et les recours.
• Plan d'action en 7 étapes — feuille de route progressive pour réduire l'exposition.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

Un site qui promet une chose et en fait une autre est un déclencheur classique de plainte. Notre analyse technique gratuite aide à repérer les écarts observables — elle complète, sans remplacer, votre programme de conformité.