Données : Québec veut mettre les entreprises à l’amende

Par La rédaction | 18 Décembre 2019 | Dernière mise à jour le 15 août 2023
3 minutes de lecture
Cadenas ouvert sur une carte de circuit informatique.
Photo : Weerapat Kiatdumrong / 123RF

Le gouvernement québécois envisage de « punir sévèrement » les entreprises qui, à l’instar de Desjardins, mettent en danger les renseignements personnels de leurs clients, rapporte le Journal de Québec.

Dans son édition de mercredi, le quotidien indique que les pouvoirs publics pourraient décider de leur imposer des pénalités financières atteignant plusieurs millions de dollars, voire bien davantage dans le cas de problèmes à grande échelle. Cette option envisagée est l’une des conséquences de la récente fuite de données qui a touché 6,2 millions de particuliers chez Desjardins il y a quelques mois. Selon le JdeQ, le gouvernement Legault serait en quête d’un « remède de cheval » pour contraindre les entreprises à mieux protéger les données de leurs clients, et « des discussions pour faire payer les compagnies prises en défaut » se dérouleraient en ce moment même.

« L’un des modèles qu’on regarde, c’est le Règlement général sur la protection des données [RGPD] de l’Union européenne, qui introduit la notion d’amendes proportionnelles au chiffre d’affaires », confirme en entrevue avec le journal Éric Caire, ministre délégué à la Transformation numérique. Le quotidien rappelle que, sur le Vieux Continent, les amendes peuvent atteindre un montant très élevé dans le cas des infractions les plus graves. Concrètement, le règlement mentionne l’existence de constats d’infraction allant jusqu’à l’équivalent de 30 millions de dollars ou, dans le cas d’une société, représentant jusqu’à 4 % de son chiffre d’affaires mondial.

QUÉBEC POURRAIT S’INSPIRER DU RGPD EUROPÉEN

Prenant l’exemple du Mouvement Desjardins, qui réalisé un chiffre d’affaires de 15,4 milliards en 2017, le quotidien calcule que celui-ci aurait pu devoir payer quelque 616 millions s’il avait été astreint à une telle mesure après la fuite de données qui l’a affecté. « Je ne peux pas dire qu’on va faire ça, parce qu’il y a peut-être d’autres façons de faire. Mais on est en discussion, on est à l’étape de se poser la question : est-ce que c’est intéressant pour nous? », indique encore Éric Caire.

Selon le ministre, il ne serait toutefois pas question de faire payer Desjardins de manière rétroactive si une loi similaire au RGPD européen voyait le jour au Québec. « Pour le moment, seul le Directeur des poursuites criminelles et pénales pourrait imposer une amende à Desjardins. Dans le cas d’une récidive, son montant pourrait atteindre au maximum 100 000 dollars », précise l’article. À titre d’exemple, y lit-on, au mois de juillet, la compagnie aérienne British Airways avait écopé d’une amende de 300 millions, soit 1 % de son chiffre d’affaires annuel, après avoir subi un vol de données financières concernant quelques centaines de milliers de clients.

Toujours d’après Éric Caire, une autre piste étudiée par le gouvernement provincial consisterait à donner davantage de pouvoirs à la Commission d’accès à l’information, qui pourrait désormais être habilitée à enquêter et à imposer des sanctions pécuniaires à des entreprises négligentes. Québec pourrait ici s’inspirer de l’exemple de la Commission nationale de l’informatique et des libertés (CNIL) instaurée par le gouvernement français dès la fin des années 1970. « La CNIL entre dans les entreprises privées. Elle regarde la conformité de l’entreprise. […] Elle peut imposer des amendes. Dans la majorité des cas, ses recommandations sont respectées, parce que les entreprises savent que l’étape suivante, c’est l’amende », relève Éric Caire.

La rédaction