Cadeau des Fêtes, le Règlement sur les incidents de confidentialité[1] est entré en vigueur le 29 décembre 2022[2], sans grand changement par rapport au projet proposé en juin dernier[3]. Le Règlement s’inscrit dans le cadre de la réforme des lois québécoises en matière de protection des renseignements personnels mise en œuvre par la Loi 25[4]. Le 22 septembre 2022, les dispositions[5] prévoyant la tenue obligatoire d’un registre des incidents de confidentialité et le signalement de ceux qui présentent un risque de préjudice sérieux ont pris effet. Le Règlement détermine la teneur du registre et précise le contenu et les modalités des avis en lien avec ces obligations.
Pour en savoir plus sur le contenu du Règlement, consultez notre bulletin sur le sujet ici.
À partir du 22 septembre 2023, le défaut pour une entreprise ou un organisme public de déclarer un incident de confidentialité à la Commission d’accès à l’information ou aux personnes concernées pourra faire l’objet des sanctions suivantes :
|
|
Loi sur le secteur privé |
Loi sur l’accès |
|
Sanction administrative pécuniaire |
Jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’exercice financier précédent, selon le montant le plus élevé[6] |
Aucune |
|
Sanction pénale |
Jusqu’à 25 000 000 $ ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent, selon le montant le plus élevé[7] De 5 000 $ à 100 000 $, pour une personne physique[8]
|
Jusqu’à 30 000 $[9] |
[1] Règlement sur les incidents de confidentialité, publié dans le Décret 1761-2022 du 30 novembre 2022, dans la Gazette officielle du Québec du 14 décembre 2022, 154e année, no 50, p. 6819.
[2] Sauf à l’égard des partis politiques, des députés indépendants et des candidats indépendants, pour lesquels il entrera en vigueur le 22 septembre 2023; Règlement, art. 9.
[3] Dans l’avis à la Commission d’accès à l’information d’un incident de confidentialité présentant un risque de préjudice sérieux, le mot « délai » a été remplacé par « la date ou la période » où les mesures ont été prises; voir le Règlement, art. 3(10).
[4] Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c. 25 (la « Loi 25 »), laquelle modifie notamment la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1 (la « Loi sur le secteur privé ») et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c. A-2.1 (la « Loi sur l’accès »).
[5] Pour un rappel des différentes dates d’entrée en vigueur, consulter la Loi sur le secteur privé annotée ou la Loi sur l’accès annotée.
[6] Loi sur le secteur privé, supra note 4, art. 90.1 al. 1(3) et 90.12.
[7] Ibid., art. 91 al. 1 et 91 al. 1(3).
[8] La Loi sur le secteur privé prévoit que lorsqu’une personne morale commet une infraction, l’administrateur, le dirigeant ou le représentant de cette personne morale qui a prescrit ou autorisé l’accomplissement de l’acte ou de l’omission qui constitue l’infraction ou qui y a consenti est partie à l’infraction et passible de la peine qui y est prévue pour les personnes physiques.
[9] Loi sur l’accès, supra note 4, art. 158(6).
