⚖️ Jusqu'à 25 M$ d'amende

Sanctions et amendes de la Loi 25 : ce que vous risquez

Q: Quelle est l'amende maximale sous la Loi 25?

Jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial de l'exercice précédent pour les sanctions pénales. Les sanctions administratives imposées par la CAI peuvent aller jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial.

Q: Quelle est la différence entre sanction administrative et sanction pénale?

La sanction administrative est imposée directement par la CAI sans tribunal, plafonnée à 10 M$. La sanction pénale passe par le système judiciaire, peut monter à 25 M$ et peut viser les dirigeants personnellement.

Q: Un dirigeant peut-il être poursuivi personnellement?

Oui. Les administrateurs et dirigeants peuvent être tenus personnellement responsables lorsqu'ils ont ordonné, autorisé, consenti ou participé à l'infraction, jusqu'à 100 000 $ par dirigeant pour certaines infractions.

Q: Comment réduire le risque d'amende Loi 25?

Trois leviers : former tous les employés et conserver les preuves, documenter votre conformité (politique, registre des incidents, EFVP), et réagir rapidement et transparents en cas d'incident.

Mis à jour le 16 mars 2026

La Loi 25 ne se contente pas d'imposer des obligations elle prévoit aussi des conséquences sévères pour les entreprises qui ne s'y conforment pas. Avec des sanctions administratives pouvant atteindre 10 millions de dollars et des sanctions pénales allant jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial, le Québec dispose désormais de l'un des régimes de protection des données les plus stricts au Canada.

💰

Sanctions administratives pécuniaires

La Commission d'accès à l'information (CAI) peut imposer des sanctions administratives pécuniaires (SAP) sans passer par les tribunaux. Ces sanctions visent à inciter les entreprises à se conformer rapidement.

Montant maximal

10 000 000 $

ou 2 % du chiffre d'affaires mondial de l'exercice précédent

⚠️

Sanctions pénales

Pour les infractions les plus graves, des poursuites pénales peuvent être intentées. Les sanctions pénales sont nettement plus élevées que les sanctions administratives.

Montant maximal

25 000 000 $

ou 4 % du chiffre d'affaires mondial de l'exercice précédent

⚖️

Droit privé d'action

En plus des sanctions imposées par la CAI, les personnes touchées par une atteinte à leurs renseignements personnels peuvent exercer un recours en dommages-intérêts devant les tribunaux. Ce droit privé d'action peut mener à des réclamations individuelles ou collectives (recours collectifs).

🔍

Facteurs pris en compte pour déterminer la sanction

La CAI tient compte de plusieurs facteurs pour déterminer le montant de la sanction :

La nature et la gravité du manquement
La sensibilité des renseignements en cause
Le nombre de personnes touchées
Les mesures prises par l'entreprise pour atténuer les conséquences
Les antécédents de l'entreprise en matière de conformité
La capacité de payer de l'entreprise
Les avantages tirés du manquement

🛡️

Comment réduire vos risques

La meilleure façon d'éviter les sanctions est de se conformer proactivement. Voici les mesures les plus importantes :

Respecter toutes vos obligations légales
Former vos employés une équipe formée est la première ligne de défense
Documenter votre conformité en cas de vérification, les preuves de bonne foi comptent
Agir rapidement en cas d'incident une réponse rapide et transparente peut atténuer la sanction
Suivre un plan de conformité structuré

📚 Références officielles

Sources officielles

Les informations présentées sur cette page sont tirées du texte de loi officiel du Québec et des publications de la Commission d'accès à l'information. Consultez directement les sources pour la version à jour :

→
LégisQuébec — Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c. P-39.1)
Texte de loi officiel modifié par la Loi 25
→
Commission d'accès à l'information du Québec (CAI) — Section entreprises
Guides, gabarits et décisions de l'autorité de surveillance
→
Québec.ca — Protection des renseignements personnels
Portail gouvernemental sur la Loi 25

Expertise Loi 25

À propos de Loi25Simple

Loi25Simple publie des contenus pratiques pour aider les PME québécoises à comprendre la Loi 25, former leurs employés et documenter leur conformité. Nos pages publiques visent la vulgarisation opérationnelle: obligations, sanctions, rôles internes, incidents et formation par fonction.

Pour qui

PME et équipes québécoises qui manipulent des renseignements personnels.

Ce qu’on couvre

RPRP, politiques, consentement, incidents, sanctions, formation et preuves de conformité.

Portée

Contenu d’information pratique et liens vers les ressources officielles du Québec quand la loi est citée.

❓

Questions fréquentes sur les amendes Loi 25

Quelle est l'amende maximale sous la Loi 25? +

25 millions de dollars ou 4 % du chiffre d'affaires mondial de l'exercice précédent (le plus élevé des deux s'applique) pour les sanctions pénales. Les sanctions administratives imposées par la CAI peuvent aller jusqu'à 10 M$ ou 2 % du chiffre d'affaires mondial.

Quelle est la différence entre sanction administrative et sanction pénale? +

La sanction administrative (SAP) est imposée directement par la CAI sans passer par un tribunal, plus rapide mais plafonnée à 10 M$. La sanction pénale passe par le système judiciaire, peut monter à 25 M$ et peut viser les dirigeants personnellement.

Une entreprise a-t-elle déjà été condamnée sous la Loi 25? +

Depuis l'entrée en vigueur complète en septembre 2024, la CAI a amorcé plusieurs enquêtes et imposé des premières sanctions. La jurisprudence se construit progressivement. Consultez le registre des décisions de la Commission d'accès à l'information pour les cas les plus récents.

Puis-je être poursuivi personnellement comme dirigeant? +

Oui. La Loi 25 prévoit que les administrateurs et dirigeants peuvent être tenus personnellement responsables lorsqu'ils ont ordonné, autorisé, consenti ou participé à l'infraction. Les sanctions peuvent aller jusqu'à 100 000 $ par dirigeant pour certaines infractions.

Les individus peuvent-ils poursuivre mon entreprise? +

Oui. Depuis septembre 2024, les personnes touchées par une atteinte à leurs renseignements personnels ont un droit privé d'action : elles peuvent réclamer des dommages-intérêts, individuellement ou par recours collectif. Les dommages-intérêts punitifs sont possibles en cas de faute intentionnelle ou grave.

Comment réduire le risque d'amende? +

Trois leviers principaux : 1) former tous les employés et conserver les preuves ; 2) documenter votre conformité (politique, registre des incidents, EFVP) ; 3) réagir rapidement et transparents en cas d'incident. Lancez notre vérificateur de conformité en ligne pour identifier vos zones de risque.

🛡️

Ne prenez pas le risque

Évaluez votre conformité en 2 minutes et identifiez vos points à améliorer.

Évaluer ma conformité gratuitement →