/investigations
Navigation

Fuite de données personnelles: le ministre Éric Caire vise des amendes salées aux entreprises fautives

Lors d’une entrevue avec le Bureau d’enquête, le ministre Éric Caire a dit prendre au sérieux la sécurité des données des citoyens et compte imposer des règles strictes aux entreprises, ainsi qu’aux ministères et organismes.
Photo Simon Clark Lors d’une entrevue avec le Bureau d’enquête, le ministre Éric Caire a dit prendre au sérieux la sécurité des données des citoyens et compte imposer des règles strictes aux entreprises, ainsi qu’aux ministères et organismes.

Coup d'oeil sur cet article

Québec songe à punir sévèrement les entreprises comme Desjardins qui ont mis en péril les données des citoyens, et pourrait imposer des amendes atteignant des millions de dollars.  

Préoccupé par la fuite de données qui a touché 6,2 millions de personnes plus tôt cette année, le gouvernement cherche un remède de cheval pour forcer les entreprises à mieux protéger les données.   

Des discussions pour faire payer les compagnies prises en défaut ont lieu en ce moment.   

«L’un des modèles qu’on regarde, c’est le Règlement général sur la protection des données (RGPD) de l’Union européenne, qui introduit la notion d’amendes proportionnelles au chiffre d’affaires», affirme en entrevue le ministre délégué à la Transformation numérique gouvernementale, Éric Caire.   

Lors d’une entrevue avec le Bureau d’enquête, le ministre Éric Caire a dit prendre au sérieux la sécurité des données des citoyens et compte imposer des règles strictes aux entreprises, ainsi qu’aux ministères et organismes.
Photo Simon Clark

En Europe, les amendes pour les infractions les plus graves peuvent être très salées. Le règlement parle de constats d’infraction allant jusqu’à 30 M$ ou, pour une entreprise, jusqu’à 4 % du chiffre d’affaires mondial. C’est le montant le plus élevé qui est retenu.   

Des centaines de millions $  

À titre d’exemple, Desjardins a réalisé un chiffre d’affaires de 15,4 milliards $ en 2017.   

En supposant une amende de 4 %, le Mouvement aurait pu devoir payer 616 M$ après la fuite massive de données survenue cette année.   

«Je ne peux pas dire qu’on va faire ça, parce qu’il y a peut-être d’autres façons de faire. Mais on est en discussion, mentionne M. Caire. On est à l’étape de se poser la question : est-ce que c’est intéressant pour nous?»   

Lors d’une entrevue avec le Bureau d’enquête, le ministre Éric Caire a dit prendre au sérieux la sécurité des données des citoyens et compte imposer des règles strictes aux entreprises, ainsi qu’aux ministères et organismes.
Photo Simon Clark

Toutefois, dans l’esprit du ministre, il n’est pas question de faire payer Desjardins de façon rétroactive si une telle loi est éventuellement adoptée.   

Pour le moment, seul le Directeur des poursuites criminelles et pénales (DPCP) pourrait imposer une amende à Desjardins. Dans le cas d’une récidive, le montant pourrait atteindre au maximum 100 000 $.   

En juillet dernier, la compagnie aérienne British Airways a écopé d’une amende de 300 M$ après un vol de données financières de centaines de milliers de clients, soit 1,5 % de son chiffre d’affaires annuel.   

Le projet de Québec n’est pas encore suffisamment avancé pour savoir à qui serait versé l’argent.   

Plus de pouvoir à la CAI  

La Commission d’accès à l’information (CAI) pourrait également obtenir un pouvoir d’investigation et de sanction pécuniaires auprès des entreprises négligentes.   

Québec donne l’exemple de la Commission nationale de l’informatique et des libertés (CNIL) du gouvernement français.   

«La CNIL entre dans les entreprises privées. Elle regarde la conformité de l’entreprise. [...] Elle peut imposer des amendes», explique Éric Caire. «Dans la majorité des cas, les recommandations sont respectées, parce que les entreprises savent que c’est l’amende l’étape suivante.»   

Lors d’une entrevue avec le Bureau d’enquête, le ministre Éric Caire a dit prendre au sérieux la sécurité des données des citoyens et compte imposer des règles strictes aux entreprises, ainsi qu’aux ministères et organismes.
Photo Simon Clark

Québec voudrait aussi que la CAI puisse aller au-delà de simples recommandations. «La CAI peut déjà entrer, par exemple, chez Desjardins et regarder ce qu’ils font avec les données. Mais tout ce qu’elle peut faire, ce sont des recommandations», signale Éric Caire.   

Exemples d’amendes imposées à travers le monde      

  • En juillet 2019, British Airways a écopé d’une amende de 300 millions $ CAN. Les renseignements de 500 000 personnes auraient été compromis.   
  • Toujours en juillet, la chaîne hôtelière Marriott a reçu une amende de 162 millions $ CAN, également en lien avec un vol de données. Plus de 500 millions de clients auraient été touchés lors d’un piratage.   
  • En janvier dernier, la Commission nationale de l’informatique et des libertés de France a imposé une amende de 73 millions $ à Google pour ne pas avoir fourni assez d’informations aux internautes sur l’utilisation de leurs données.   

À VOIR ÉGALEMENT...