Le tronc commun a évoqué les sanctions à grands traits. Il faut maintenant entrer plus précisément dans la matière, parce que c'est sur la direction que retombe, en bout de ligne, l'analyse des risques. Et ces risques ne se limitent pas aux amendes spectaculaires qui font les manchettes.
Un manquement à la Loi 25 peut activer trois canaux distincts, qui peuvent se cumuler.
Canal 1 : les sanctions administratives pécuniaires
Premier canal, et celui dont on parle le plus.
La Commission d'accès à l'information peut imposer une sanction administrative pécuniaire à toute entreprise qui contrevient à plusieurs articles de la loi (collecte sans avis, défaut de désigner un RPRP, défaut de publier une politique, gestion fautive d'un incident, etc.).
Le plafond est connu : jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial de l'année précédente, selon le plus élevé des deux montants (art. 90.1).
Ce qui est moins connu, et ce qui parle plus directement à un dirigeant, c'est ce que la Commission considère pour décider du montant (art. 90.2) :
- la nature et la gravité du manquement.
- le caractère répétitif.
- la durée du manquement.
- la vulnérabilité des personnes concernées.
- la sensibilité des...