Desjardins : 200M$ pour une fuite évitable444 incidents déclarés à la CAI en un an+469% d'incidents depuis la Loi 25Meta, Tim Hortons, RBC : nommés par la CAISun Life : 7 fuites en 2 ansAmendes : jusqu'à 25M$ ou 4% du CA mondial1M de Québécois sur le dark web en 20251000$ minimum par victime de fuite25% des fuites causées par des cyberattaquesLa CAI reçoit un signalement par jourVotre PME est-elle conforme?Desjardins : 200M$ pour une fuite évitable444 incidents déclarés à la CAI en un an+469% d'incidents depuis la Loi 25Meta, Tim Hortons, RBC : nommés par la CAISun Life : 7 fuites en 2 ansAmendes : jusqu'à 25M$ ou 4% du CA mondial1M de Québécois sur le dark web en 20251000$ minimum par victime de fuite25% des fuites causées par des cyberattaquesLa CAI reçoit un signalement par jourVotre PME est-elle conforme?

La CAI

La Commission d'accès à l'information du Québec

L'organisme qui veille au respect de la Loi 25 — et qui peut sanctionner votre entreprise.

QU'EST-CE QUE LA CAI?

La Commission d'accès à l'information (CAI) est un organisme public indépendant créé en 1982. Son mandat : veiller à la transparence des institutions publiques et à la protection des renseignements personnels des citoyens du Québec.

Depuis l'entrée en vigueur de la Loi 25 en septembre 2023, la CAI dispose de pouvoirs élargis pour inspecter, enquêter et sanctionner les entreprises qui ne respectent pas leurs obligations en matière de protection des données personnelles.

La CAI supervise l'application de trois lois : la Loi sur l'accès aux documents des organismes publics (1982), la Loi sur la protection des renseignements personnels dans le secteur privé (1994), et la Loi sur les renseignements de santé et de services sociaux.

La Loi 25 s'applique aux entreprises de compétence provinciale au Québec. Les entreprises de compétence fédérale (banques, télécommunications, transport interprovincial) sont quant à elles assujetties à la LPRDE (Loi sur la protection des renseignements personnels et les documents électroniques), aussi connue sous le nom de PIPEDA.

Consulter le texte officiel de la Loi 25 sur LégisQuébec

DATES CLÉS

1982

Création de la CAI. La Loi sur l'accès aux documents des organismes publics entre en vigueur. Le Québec devient pionnier en matière d'accès à l'information.

1994

La Loi sur la protection des renseignements personnels dans le secteur privé entre en vigueur. Le Québec est la première province canadienne à protéger les données dans le secteur privé.

2021

La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est sanctionnée le 22 septembre.

2022

Première phase de la Loi 25 : obligation de désigner un RPRP, de déclarer les incidents de confidentialité et de signaler à la CAI.

2023

Deuxième phase : politiques de confidentialité obligatoires, consentement explicite, droit à la portabilité. 444 incidents déclarés en un an.

2024

Troisième phase : droit à la portabilité des données pleinement en vigueur. Me Lise Girard nommée présidente de la CAI.

POUVOIRS ET SANCTIONS

La CAI n'est pas un organisme consultatif. Elle a le pouvoir d'inspecter, d'enquêter, d'ordonner des correctifs et d'imposer des amendes.

Inspections proactives

La CAI peut inspecter votre entreprise de sa propre initiative, sans plainte préalable. Elle vérifie vos politiques, vos pratiques et vos documents.

Enquêtes sur plainte

Tout citoyen peut déposer une plainte à la CAI. L'organisme enquête et peut ordonner des mesures correctives dans des délais précis.

Ordonnances exécutoires

La CAI peut ordonner des correctifs et fixer des échéances. Le non-respect d'une ordonnance constitue une infraction supplémentaire.

Sanctions administratives

Amendes administratives pouvant atteindre 10 millions de dollars ou 2% du chiffre d'affaires mondial.

Sanctions pénales

Amendes pénales entre 15 000$ et 25 millions de dollars ou 4% du chiffre d'affaires mondial. Doublées en cas de récidive.

Publication des noms

La CAI publie sur son site web les noms des entreprises ayant déclaré des incidents. La liste est publique et consultable par tous.

CE QUE LA CAI VÉRIFIE CHEZ VOUS

Lors d'une inspection, la CAI cherche des preuves concrètes de conformité. Voici les 10 points qu'un inspecteur vérifie.

01

Politique de confidentialité publiée sur votre site web, rédigée en langage clair

02

Coordonnées du RPRP (responsable de la protection des renseignements personnels) accessibles publiquement

03

Politique de gouvernance des renseignements personnels documentée et communiquée

04

Registre des incidents de confidentialité tenu à jour et conservé 5 ans

05

Procédure de gestion des incidents incluant la notification CAI et aux personnes touchées

06

EFVP (évaluation des facteurs relatifs à la vie privée) réalisée pour les projets impliquant des RP

07

Inventaire des renseignements personnels détenus par l'entreprise

08

Mécanismes de consentement manifeste, libre et éclairé à chaque point de collecte

09

Processus documenté pour traiter les demandes d'accès, de rectification et de suppression (délai 30 jours)

10

Politique de conservation et de destruction sécurisée des renseignements personnels

PRÉSIDENTE ACTUELLE

Me Lise Girard

Présidente et juge administrative

Nommée le 7 novembre 2024

Me Girard avait auparavant créé le premier « eTribunal » de la CAI en 2006.

COORDONNÉES DE LA CAI

1-888-528-7741

525, boul. René-Lévesque Est, bureau 2.36, Québec (Québec)

Lundi au vendredi, 8h30 à 12h et 13h à 16h30

ÊTES-VOUS PRÊT SI LA CAI VOUS CONTACTE?

Testez votre conformité en 2 minutes. Score gratuit sur les 10 obligations de la Loi 25.

Tester ma conformité

Respect de votre vie privée

Ce site utilise des témoins de connexion (cookies) strictement nécessaires à son fonctionnement. Les témoins analytiques et marketing sont désactivés par défaut et ne sont activés qu'avec votre consentement explicite.