Amendes Loi 25 : comprendre le vrai calcul des sanctions pour votre cabinet

Quand la Loi 25 parle de sanctions « jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial », le mot « ou » signifie le montant le plus élevé des deux. Ce n'est pas un choix entre deux options. C'est un mécanisme de plafond alternatif inscrit directement dans le texte de loi. Le même principe s'applique aux amendes pénales : 25 M$ ou 4 % du CA mondial, le plus élevé.

Mais pour un cabinet de services financiers de taille moyenne, ces chiffres astronomiques ne racontent pas toute l'histoire. Le vrai risque financier pour une PME n'est pas une sanction administrative de 10 millions de dollars. C'est le recours collectif privé, avec un plancher obligatoire de 1 000 $ par personne touchée, qui peut dépasser votre chiffre d'affaires annuel en quelques semaines.

Voici comment tout ça fonctionne concrètement.

Le « ou » signifie toujours le plus élevé des deux montants

L'article 90.1 de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) prévoit des sanctions administratives pécuniaires (SAP) pouvant atteindre « 10 000 000 $ ou du montant correspondant à 2 % du chiffre d'affaires mondial de l'exercice financier précédent, si ce dernier montant est plus élevé ».

L'article 92 prévoit des amendes pénales pouvant atteindre « 25 000 000 $, ou du montant correspondant à 4 % de son chiffre d'affaires mondial de l'exercice financier précédent, selon le montant le plus élevé ».

La formulation est sans ambiguïté. Le montant fixe sert de seuil de base. Le pourcentage du chiffre d'affaires le remplace uniquement quand il est supérieur. L'interprétation est unanime parmi les cabinets juridiques canadiens (Osler, McCarthy Tétrault, Fasken, BLG) et confirmée par la CAI elle-même.

En pratique, le pourcentage ne dépasse le montant fixe que pour les très grandes entreprises. Pour les SAP, le point de basculement est à 500 M$ de chiffre d'affaires (2 % de 500 M$ = 10 M$). Pour les amendes pénales, il faut atteindre 625 M$ de CA (4 % de 625 M$ = 25 M$).

Pour illustrer l'ampleur du changement : lors de la brèche Desjardins en 2019, l'ancienne loi de 1993 prévoyait des sanctions tellement « ridicules » (le mot de la présidente de la CAI, Diane Poitras) que la Commission n'a même pas jugé utile de les imposer. Le maximum pour une première infraction était d'environ 10 000 $. Sous la Loi 25, avec des revenus de 18 milliards de dollars, Desjardins ferait face à un plafond théorique de 4 % du CA mondial, soit 720 millions de dollars. De 10 000 $ à 720 000 000 $. C'est ça, la différence.

Trois voies de sanctions distinctes et cumulables

La Loi 25 ne prévoit pas un seul type de sanction, mais trois voies indépendantes. Chacune a ses propres instances, procédures et plafonds. Et surtout, elles peuvent se cumuler.

1. Sanctions administratives pécuniaires (SAP)

Qui les impose : La Commission d'accès à l'information (CAI), par l'intermédiaire d'une personne désignée de la Direction de la surveillance. Plafond : 10 M$ ou 2 % du CA mondial (le plus élevé) pour les entreprises. 50 000 $ pour les personnes physiques. Procédure : La CAI envoie d'abord un avis de non-conformité. L'entreprise peut soumettre des observations ou proposer un engagement (des mesures correctives). Si l'engagement est accepté et respecté, aucune SAP n'est imposée. Sinon, la CAI émet un avis de réclamation avec le montant. L'entreprise peut demander un réexamen interne (30 jours), puis porter en appel devant la Cour du Québec (30 jours suivants). Prescription : 2 ans à compter du manquement. Articles de loi : 90.1 à 90.17 LPRPSP.

2. Amendes pénales

Qui les impose : La Cour du Québec, sur poursuite initiée par la CAI. Plafond : 25 M$ ou 4 % du CA mondial (le plus élevé) pour les entreprises. De 5 000 $ à 100 000 $ pour les personnes physiques. Particularité importante : Les amendes sont doublées en cas de récidive (article 92). De plus, l'article 93 prévoit la responsabilité personnelle des administrateurs et dirigeants qui ont autorisé ou acquiescé à l'infraction. Prescription : 5 ans. Infractions couvertes : Spectre plus large que les SAP, incluant l'entrave aux enquêtes de la CAI, la non-conformité à ses ordonnances, et les tentatives de réidentification de données dépersonnalisées ou anonymisées.

3. Droit de poursuite privé

Qui l'exerce : Toute personne victime d'une atteinte illicite à ses droits (article 93.1 LPRPSP). Plancher obligatoire : Le tribunal doit accorder des dommages-intérêts punitifs d'au moins 1 000 $ par personne. C'est un minimum, pas un maximum. Conditions : L'atteinte doit être intentionnelle ou résulter d'une faute lourde. Le demandeur doit démontrer un préjudice réel et un lien de causalité. Recours collectifs : Expressément permis. Cumul : Ce droit est indépendant des SAP et des amendes pénales. Un cabinet peut recevoir une SAP de la CAI, une amende pénale de la Cour et un recours collectif pour les mêmes faits.

Exemple concret : un cabinet à 500 000 $ de chiffre d'affaires

Prenons un cabinet de conseillers financiers avec un chiffre d'affaires annuel de 500 000 $, ce qui est courant au Québec.

Le calcul des plafonds :

Pour les SAP : 2 % de 500 000 $ = 10 000 $. Comparé au plafond fixe de 10 M$, c'est le 10 M$ qui est plus élevé. Le plafond théorique reste donc 10 M$.

Pour les amendes pénales : 4 % de 500 000 $ = 20 000 $. Le plafond théorique reste 25 M$.

Mais en pratique, le cabinet ne risque pas 10 M$. Le Cadre général d'application des SAP, publié par la CAI le 23 mai 2023, prévoit des montants de base selon la gravité : de 1 000 $ (manquement mineur) à 15 000 $ (manquement très grave) pour une entreprise. Ces montants sont ensuite ajustés selon dix critères, dont la capacité de payer (patrimoine, chiffre d'affaires, revenus). Norton Rose Fulbright note qu'une SAP de 10 M$ ne devrait survenir que « dans des circonstances exceptionnelles ».

Pour un cabinet à 500 K$ de CA, une SAP réaliste pour un manquement grave (par exemple, défaut de notification d'un incident de confidentialité) se situerait probablement dans une fourchette de quelques milliers à quelques dizaines de milliers de dollars.

Le vrai danger est ailleurs.

Si ce même cabinet gère 2 000 dossiers clients et qu'une brèche survient par faute lourde (absence totale de politique de confidentialité, aucune mesure de sécurité, incident connu mais ignoré), chaque client touché peut réclamer au minimum 1 000 $ en dommages punitifs. L'exposition théorique en recours collectif : 2 000 × 1 000 $ = 2 000 000 $. Quatre fois le chiffre d'affaires annuel du cabinet.

Les SAP tiennent compte de la capacité de payer. Le recours collectif, lui, ne connaît pas cette limite.

Les 10 critères de la CAI pour fixer le montant des SAP

La CAI ne fixe pas les SAP au hasard. Son Cadre général, publié en mai 2023, structure la détermination en deux étapes.

Étape 1 : catégoriser la gravité. Quatre niveaux (A, B, C, D) avec un montant de base associé à chacun. Pour une entreprise : de 1 000 $ (mineur) à 15 000 $ (très grave). Étape 2 : ajuster selon 10 critères.

1. La nature et la gravité objective du manquement

2. Son caractère répétitif

3. Sa durée

4. La sensibilité des renseignements touchés

5. Le nombre de personnes concernées

6. Le risque de préjudice sérieux

7. Les mesures prises pour remédier au manquement

8. Le degré de collaboration avec la CAI

9. La compensation offerte aux personnes touchées

10. La capacité de payer de l'entité

Ces critères fonctionnent dans les deux sens. Un cabinet qui réagit vite, collabore avec la CAI, compense les personnes touchées et démontre sa bonne foi verra son montant réduit. Un cabinet qui ignore les avertissements, dissimule un incident ou refuse de coopérer verra le montant augmenté.

Pour les amendes pénales, 8 facteurs distincts

L'article 92.1 oblige le juge de la Cour du Québec à considérer huit facteurs spécifiques quand il fixe l'amende :

1. La nature, la gravité, le caractère répétitif et la durée de l'infraction

2. La sensibilité des renseignements

3. Le caractère intentionnel ou la négligence

4. Le caractère prévisible de l'infraction

5. Les tentatives de dissimulation

6. L'omission de prendre des mesures raisonnables de prévention

7. Le fait d'avoir accru ses revenus ou réduit ses dépenses par l'infraction

8. Le nombre de personnes exposées au risque de préjudice

Le facteur 7 est particulièrement pertinent pour les cabinets : si un juge estime que vous avez économisé de l'argent en ne mettant pas en place les mesures de protection requises, cela jouera contre vous.

Où en est l'application en 2026

Depuis l'entrée en vigueur des sanctions en septembre 2023, la CAI n'a encore imposé aucune SAP rendue publique. Son approche initiale est pédagogique et de surveillance. Aucune poursuite pénale sous le nouveau régime n'a été rapportée non plus.

Cela ne veut pas dire que la CAI est inactive. Des avis de non-conformité de plus en plus formels sont émis. Des ordonnances ont été rendues, notamment contre l'utilisation de la reconnaissance faciale en milieu de travail (Imprimeries Transcontinental, septembre 2024) et un projet de reconnaissance faciale en magasin (Metro, 2024-2025).

Plusieurs cabinets d'avocats (Osler, BLG, DLA Piper) qualifient le régime de « pleinement opérationnel » et notent que l'activité d'application s'intensifie progressivement. La trajectoire rappelle les premières années du RGPD européen (2018-2019), où les autorités ont d'abord misé sur l'accompagnement avant de monter en puissance avec des sanctions records. En Europe, les amendes cumulées dépassent maintenant 5,65 milliards d'euros.

Le message est clair : ce n'est pas parce que les sanctions n'ont pas encore été imposées qu'elles ne le seront pas. Les outils sont en place. La question n'est pas « si », mais « quand ».

Ce que ça veut dire pour votre cabinet

Trois réflexes à adopter :

Documentez tout. La collaboration avec la CAI et les mesures correctives prises sont des facteurs atténuants explicites dans le Cadre général. En cas d'incident, votre premier réflexe devrait être de documenter ce qui s'est passé, ce que vous avez fait pour y remédier, et quand. Évaluez votre exposition au recours collectif. Comptez vos dossiers clients actifs et anciens. Multipliez par 1 000 $. C'est votre exposition minimale théorique en cas de faute lourde. Ce chiffre devrait motiver vos investissements en conformité plus que n'importe quel plafond de SAP. Choisissez des fournisseurs conformes. Votre responsabilité ne s'arrête pas à vos murs. Si un fournisseur technologique cause une brèche parce qu'il n'a pas de mesures de sécurité adéquates, c'est vous qui êtes exposé au recours collectif de vos clients. Des certifications comme SOC 2 Type II, ISO 27001 et ISO 27701, combinées à une résidence des données au Canada, réduisent considérablement ce risque.

---

*Cet article fait partie d'une série sur la Loi 25 et la conformité pour les cabinets de services financiers. Consultez aussi :*

• *[Loi 25 du Québec : ce que chaque conseiller financier doit savoir en 2026](/blogue/loi-25-guide-conseiller-financier)*
• *[Les 7 obligations Loi 25 que votre cabinet doit respecter maintenant](/blogue/loi-25-obligations-cabinet-financier)*
• *[Recours collectif Loi 25 : le risque financier que les petits cabinets sous-estiment](/blogue/loi-25-recours-collectif-risque-cabinet)*
• *[Comment évaluer si vos fournisseurs technologiques sont conformes à la Loi 25](/blogue/loi-25-evaluation-fournisseurs-technologiques)*