Aller au contenu
découvrez Hilo Intelligence
Guide Loi 25

Sanctions et pénalités

Les trois régimes de sanction de la Loi 25 — sanctions administratives pécuniaires jusqu'à 10 M$ ou 2 % du CA mondial, amendes pénales jusqu'à 25 M$ ou 4 % du CA mondial, et recours civil avec dommages punitifs minimaux de 1 000 $.

Mis à jour le 20 avril 20266 min de lectureRédigé par Pascal DupuissanctionsamendesCAIrecoursart. 90.1-93.1

La Loi 25 a introduit trois régimes de sanction simultanés qui peuvent s'appliquer au même incident. Pour une PME, le seuil d'exposition est maintenant comparable à ce qu'on voit sous le RGPD européen — un incident mal géré peut coûter des centaines de milliers de dollars, même pour une entreprise de 20 employés.

Ce chapitre détaille chaque régime, les critères de calcul et les décisions déjà rendues par la CAI.

Le régime administratif — sanctions pécuniaires de la CAI

Plafond (art. 90.1)

La Commission peut infliger une sanction administrative pécuniaire d'un montant maximal de 50 000 $ dans le cas d'une personne physique et, dans les autres cas, de 10 000 000 $ ou, s'il est plus élevé, du montant correspondant à 2 % du chiffre d'affaires mondial de l'exercice financier précédent.

Quels manquements?

Les sanctions administratives visent les manquements aux obligations prévues par la loi, par exemple :

  • Défaut de désigner un responsable RP (art. 3.1).
  • Défaut d'adopter une politique de gouvernance (art. 3.2).
  • Défaut de réaliser une EFVP avant un transfert hors Québec (art. 3.3).
  • Défaut de notifier un incident à la CAI (art. 3.5).
  • Défaut d'obtenir un consentement valable (art. 12-14).
  • Défaut de répondre à une demande d'accès dans les 30 jours (art. 32).

Critères de gradation (art. 90.3)

La CAI tient compte notamment :

  • La nature et la gravité du manquement.
  • La durée du manquement.
  • Le caractère répétitif ou non.
  • Les avantages tirés du manquement.
  • La capacité financière de l'entreprise.
  • Les mesures correctrices adoptées.
  • La collaboration avec la Commission.

Autrement dit : une PME qui découvre un manquement, le signale proactivement, corrige rapidement et collabore avec la CAI s'expose à une sanction nettement moindre que celle qui le dissimule.

Processus (art. 90.4-90.8)

  1. La CAI enquête (d'office, sur plainte ou sur signalement).
  2. Elle transmet un avis d'intention avec le montant proposé et les motifs.
  3. L'entreprise dispose de 30 jours pour présenter ses observations écrites.
  4. Décision finale, avec motifs.
  5. Appel possible devant la Cour du Québec dans les 30 jours.

Le régime pénal — amendes à l'issue de poursuites

Plafond (art. 91)

Quiconque contrevient à [liste d'articles] commet une infraction et est passible d'une amende de 5 000 $ à 50 000 $ dans le cas d'une personne physique et de 15 000 $ à 25 000 000 $ ou, s'il est plus élevé, du montant correspondant à 4 % du chiffre d'affaires mondial dans les autres cas.

Différence avec le régime administratif

  • Le pénal vise des comportements plus graves (communication volontaire non autorisée, collecte illégale, refus intentionnel).
  • Le pénal exige une poursuite par le Directeur des poursuites criminelles et pénales (DPCP), avec procès. Le fardeau de preuve est plus élevé (hors de tout doute raisonnable).
  • Le pénal s'ajoute à l'administratif — ils peuvent coexister.

Doublement pour récidive

En cas de récidive (art. 91 in fine), les amendes sont doublées. Un deuxième manquement de même nature expose à des montants potentiellement démultipliés.

Le recours civil — dommages punitifs

Article 93.1

Lorsqu'une atteinte à un droit conféré par la présente loi ou par les articles 35 à 40 du Code civil du Québec cause un préjudice et qu'elle est intentionnelle ou résulte d'une faute lourde, le tribunal accorde à la personne lésée des dommages-intérêts punitifs d'au moins 1 000 $, sans qu'ils soient liés aux dommages-intérêts compensatoires.

Les caractéristiques clés :

  • Plancher de 1 000 $ par personne — une action collective de 10 000 personnes expose donc à un plancher de 10 M$.
  • S'ajoute aux dommages compensatoires (perte financière, préjudice moral, perte d'opportunité).
  • Exigence de faute lourde ou d'intention — mais « faute lourde » est interprétée largement : absence de contrôles de base suffit souvent.

Actions collectives

Le Québec est un terrain favorable aux actions collectives (class actions), notamment en matière de vie privée. Depuis 2023, on voit plus de demandes d'autorisation d'action collective liées à des fuites de données québécoises. Quelques cas se sont soldés par des règlements significatifs.

Cas concrets de sanctions déjà rendues par la CAI

Les décisions de la CAI sont publiques, consultables sur le site de la Commission. Sans citer d'entreprise spécifique, voici des patterns que nous observons :

  • Petites PME sanctionnées pour défaut de désignation d'un responsable RP et de publication des coordonnées, alors que l'entreprise fonctionnait depuis plus d'un an.
  • Fuites de données non notifiées à temps, avec amende proportionnelle à la durée du silence.
  • Consentements invalides obtenus par cases pré-cochées, corrigés sous ordonnance.
  • Transferts hors Québec sans EFVP documentée, avec obligation d'en produire une et de suspendre les transferts en attendant.

La CAI a clairement annoncé qu'elle allait intensifier l'application dans les années à venir — les trois premières années (2022-2025) ont été principalement formatrices, avec beaucoup d'avis et d'ordonnances. À compter de 2026, les sanctions pécuniaires sont attendues en hausse.

Qui porte la responsabilité?

L'entreprise, d'abord

Les sanctions visent l'entreprise (la personne morale). Le président et les administrateurs ne sont généralement pas personnellement responsables — sauf :

  • Faute lourde personnelle.
  • Complicité dans un acte intentionnel.
  • Fausse déclaration au responsable RP ou à la CAI.
  • Violation du devoir fiduciaire (pour les administrateurs de sociétés par actions).

Le responsable RP

Le responsable RP n'est pas personnellement sanctionnable sous la Loi 25 pour les manquements de l'entreprise. Sa responsabilité est interne (envers l'employeur), non réglementaire.

Les fournisseurs

Un fournisseur TI (comme nous) peut être co-responsable si :

  • Il a commis lui-même un manquement (fuite côté fournisseur).
  • Il a refusé de coopérer à une demande d'accès ou à une notification d'incident.
  • Il a dépassé le mandat contractuel (utilisation des données à ses propres fins).

Nos contrats clients prévoient explicitement la ségrégation des responsabilités Loi 25 et l'engagement d'agir uniquement aux fins du mandat.

Liste de contrôle rapide — réduire l'exposition

  • Désignation écrite d'un responsable RP, coordonnées publiées.
  • Politique de gouvernance des RP publiée et datée.
  • EFVP documentées pour tous les transferts hors Québec.
  • Registre des incidents tenu, même pour les incidents mineurs.
  • Procédure écrite de gestion d'incident, testée au moins une fois.
  • Formation annuelle de l'équipe sur la Loi 25.
  • Contrats fournisseurs alignés avec les exigences Loi 25.
  • Assurance cyber qui couvre les sanctions administratives et les frais de défense.

Erreurs fréquentes qui aggravent les sanctions

  • Tenter de cacher un incident. — Dissimulation = aggravation. La CAI retient fortement les cas de mauvaise foi.
  • Refuser de collaborer avec la CAI. — La collaboration est un facteur de mitigation explicite.
  • Ne pas documenter. — Sans documentation, impossible de démontrer la diligence. La CAI présume le pire.
  • Délégation sans pouvoir. — Si le responsable RP n'a pas l'autorité de corriger, la responsabilité remonte à la haute direction avec agrément plus lourd.

Questions à poser à votre conseiller juridique

  • Notre assurance cyber couvre-t-elle les sanctions administratives de la CAI (elles ne le sont pas automatiquement — certaines polices excluent les amendes)?
  • Avons-nous une exposition à une action collective (taille de la base client × sensibilité des données)?
  • En cas d'enquête de la CAI, quel est notre protocole de communication avec la Commission?
  • Nos administrateurs sont-ils exposés personnellement dans certains scénarios?
PrécédentTransferts hors QuébecSuivantModèles et gabarits
Retour au sommaire de la collection Guide Loi 25

Une question sur ce guide?

Pascal et Jérémie peuvent répondre directement par courriel ou lors d'un appel de découverte.

Nous écrire