Vers une amende «dérisoire»?

  

Desjardins s’expose à une amende symbolique de «quelques dizaines de milliers de dollars» pour la fuite de données de 2,9 millions de ses membres, alors que les autorités européennes n’hésitent pas à imposer des amendes de millions de dollars aux entreprises qui n’ont pas protégé suffisamment les données de leurs clients.   

•  À LIRE AUSSI: Seulement 11% des victimes inscrites chez Equifax   
•  À LIRE AUSSI: L’ancien PDG de Desjardins s’est fait voler son identité   

Un exemple contrastant, cette semaine, la compagnie aérienne British Airways a écopé d’une amende de 300 millions $ CAN de l’Information Commissioner’s Office (ICO), l’organisme britannique de protection des données personnelles, pour le vol de données financières. Les renseignements de 500 000 personnes auraient été compromis.
 

Mardi, la chaîne hôtelière Marriott a annoncé faire face à une amende de 162 M$ CAN de l’ICO également en lien avec un vol de données. Les informations de plus de 500 millions de clients auraient été touchées lors d’un piratage.
 

En janvier dernier, en France, la Commission nationale de l’informatique et des libertés (Cnil) a imposé une amende de 73 M$ CAN à Google pour ne pas avoir fourni assez d’informations aux internautes sur l’utilisation de leurs données.   

Dans le cadre du nouveau règlement européen de protection des données, en vigueur depuis le 25 mai 2018, les amendes pour les compagnies en lien avec les données personnelles des gens peuvent atteindre jusqu’à 4% de leur chiffre d’affaires mondial.
 

Inspiration


Selon le professeur Vincent Gautrais, de la Faculté de droit à l’Université de Montréal, Québec et Ottawa devraient songer à s’inspirer des mesures européennes et donner des pouvoirs d’action et de sanction à la Commission d’accès à l’information du Québec et au Commissariat à la protection de la vie privée du Canada (CPVP).   

Il s’agit de deux organisations qui veillent à la protection des renseignements personnels. Malgré le fait qu’elles ont récemment annoncé une enquête conjointe, elles n’ont toutefois pas le pouvoir de donner des amendes.   

«Les amendes qui sont dans les lois québécoises sont assez minimalistes. On parle de quelques dizaines de milliers de dollars. Au niveau fédéral, il n’y a aucun pouvoir de sanction pécuniaire», avance M. Gautrais. «Il s’agit de lois avec peu de dents qui sont beaucoup plus dans l’accompagnement et dans la vérification que dans les mesures pour suppléer au manquement. Il faudrait aller plus loin avec des sanctions plus dissuasives contre les négligences», poursuit-il, estimant que dans le cas de Desjardins, l’amende pourrait être passablement «dérisoire».
 

Dans le cas de la Commission d’accès à l’information du Québec, le dossier pourrait aboutir entre les mains du Directeur des poursuites criminelles et pénales. Ce dernier jugera par la suite, notamment en lien avec la Loi sur la protection des renseignements personnels dans le secteur privé, si une amende est imposée à Desjardins. Selon la loi, le montant pourrait atteindre au maximum 100 000 $ (lors d’un cas de récidive).   

«Depuis des années, nous martelons le fait que la loi sur le privé devrait être revue», avance la porte-parole, Isabelle Gosselin. «En 1994, nous étions les précurseurs au Québec avec une telle loi. Je suis forcée d’admettre qu’il n’a jamais eu de modification depuis. Avec tous les enjeux contemporains qu’on connaît, on souhaite que le législateur puisse revoir la loi rapidement», poursuit-elle. 
Quant au CPVP, si un organisme du secteur privé ne se conforme pas à ses recommandations, le Commissariat peut demander à la Cour fédérale de rendre une ordonnance enjoignant au répondant de prendre des mesures pour corriger ses pratiques. La cour peut également accorder des dommages et intérêts à un plaignant.   

Pour les amendes, la porte-parole, Valerie Lawton, rappelle que le commissaire Therrien a appelé à plusieurs reprises à un renforcement des pouvoirs d’exécution pour donner aux Canadiens une meilleure protection de la vie privée grâce à une législation moderne.   

«Il demande le pouvoir de rendre des ordonnances, d’imposer des amendes et de mener des inspections pour s’assurer que les entreprises respectent la loi. Ces pouvoirs nous rapprocheraient à nos homologues internationaux», dit-elle.  

Des acteurs et leur rôle dans le dossier Desjardins

Commission d’accès à l’information du Québec   

•   Réaliser une enquête, émettre des recommandations et ordonner à l’entreprise que des mesures soient prises.    

 

 Commissariat à la protection de la vie privée du Canada   

•  Réaliser une enquête et émettre des recommandations.     

  

 Directeur des poursuites criminelles et pénales   

•  Porter le dossier devant les tribunaux.  
•  Pourrait imposer une amende à Desjardins.    

  

 Autorité des marchés financiers (AMF)   

•  Encadrer et surveiller les activités de Desjardins. 
•  Protéger les consommateurs et les mettre en garde contre toute approche frauduleuse.    

  

 Office de la protection du consommateur   

•  Aucun pouvoir dans le dossier Desjardins. 
•  Peut traiter des plaintes en lien avec l’encadrement des cartes de crédit.    

  

 Centre antifraude du Canada   

•  Recueille de l’information et les renseignements criminels sur les plaintes.