Agents de renseignements personnels : inscription, obligations et sanctions

Antoine Guilmain

Associé

Co-chef, Groupe national Cybersécurité et protection des données

Rafael Escalante Franco

Étudiant en droit du programme d’été

En matière d’encadrement des activités des « agents de renseignements personnels » faisant le commerce de constituer des dossiers contenant des renseignements personnels, le Québec fait figure d’exception. La Loi 25 (connue également comme le « projet de loi 64 ») est venue solidifier cette notion en précisant les conditions d’inscription des agents de renseignements personnels, en renforçant leurs obligations particulières et en alourdissant considérablement les sanctions en cas de non-conformité. Tour d’horizon de ce régime unique en son genre.

1. Modalités d’inscription

En vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le privé »), un agent de renseignements personnels est défini comme « toute personne qui, elle-même ou par l’intermédiaire d’un représentant, fait le commerce de constituer des dossiers sur autrui, de préparer et de communiquer à des tiers des rapports de crédit au sujet du caractère, de la réputation ou de la solvabilité des personnes concernées par ces dossiers ». Cette définition repose sur trois critères cumulatifs, qui ne sont pas toujours simples à évaluer : exploiter une entreprise au Québec, faire le commerce de constituer des dossiers sur autrui, et préparer et communiquer à des tiers des rapports de crédit au sujet du caractère, de la réputation ou de la solvabilité d’individus.

La Commission d’accès à l’information du Québec (la « Commission ») considère que les entreprises suivantes sont susceptibles de se qualifier à titre d’agents de renseignements personnels :

les agences de recouvrement détenant ou non un permis auprès de l’Office de la protection du consommateur;
les agences d’investigation titulaires d’un permis auprès du Bureau de la sécurité privée conformément à la Loi sur la sécurité privée;
les bureaux de crédit;
les filiales d’un groupe financier qui recueille des renseignements personnels et qui prépare et transmet des rapports de crédit sur des individus aux sociétés commerciales membres de ce groupe;
les services d’autorisation de chèques.

Tout agent de renseignements personnels doit s’inscrire auprès de la Commission en remplissant son formulaire d’inscription et en payant les frais fixes. Le formulaire doit inclure certaines informations, notamment l’identité et les coordonnées de l’agent, les informations sur le responsable de la protection des renseignements et des modalités d’opérations, ainsi que les mesures de sécurité en place. Les agents de renseignements personnels sont également tenus d’informer la Commission de toute modification ou cessation de leurs activités dans un délai prescrit.

2. Obligations supplémentaires

Outre les obligations générales découlant de la Loi sur le privé, les agents de renseignements personnels sont soumis à des obligations supplémentaires, telles que :

garantir que les renseignements personnels qu’ils détiennent sont à jour et conformes à la loi;
permettre aux personnes concernées d’accéder à leurs données et de les corriger si nécessaire;
informer le public sur les renseignements personnels détenus et les droits associés;
assurer la confidentialité et la sécurité des renseignements personnels;
détruire un renseignement personnel recueilli il y a plus de sept ans, sauf exception.

3. Sanctions spécifiques

Les agents de renseignements personnels font l’objet d’un régime de sanction renforcé et unique puisque tout manquement aux obligations supplémentaires décrites ci-dessus peut mener à :

des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 2 % de leur chiffre d’affaires mondial de l’exercice financier précédent, selon ce qui est le plus élevé;
des sanctions pénales de 15 000 $ à 25 millions de dollars, ou 4 % de leur chiffre d’affaires mondial, avec un doublement en cas de récidive.

Mentionnons par ailleurs que les administrateurs et dirigeants peuvent aussi être tenus personnellement responsables, et des dommages-intérêts punitifs d’au moins 1 000 $ en cas de violation intentionnelle ou de faute lourde de la Loi sur le privé pourraient être imposés.

Pour toute question (notamment sur l’application de ce cadre à vos activités ou aux modalités d’inscription), n’hésitez pas à contacter notre groupe de Cybersécurité et de protection des données.

Pour vous aider à mieux comprendre ce cadre juridique unique en son genre, nous avons élaboré ce diagramme.

Télécharger le diagramme

CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.