Amendes Loi 25 en 2026 : premières sanctions CAI et ce que ça change pour votre entreprise

La période de grâce est terminée

Depuis l'entrée en vigueur progressive de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25) entre 2022 et 2024, beaucoup d'entreprises québécoises ont adopté une posture d'attente. Les premières années, la Commission d'accès à l'information (CAI) avait surtout joué un rôle éducatif et préventif. En 2026, la dynamique a changé.

Les ressources d'inspection de la CAI ont été renforcées, les plaintes de citoyens sont en hausse, et les premières sanctions administratives commencent à marquer concrètement les entreprises visées. Comprendre le processus et les montants en jeu est devenu une nécessité pour tout dirigeant qui veut éviter une surprise désagréable.

Les montants prévus par la loi

La Loi 25 prévoit deux paliers de sanctions pécuniaires administratives :

• Violations moins graves : jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial de l'exercice précédent, selon le montant le plus élevé.
• Violations graves : jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé.

Ces montants sont des plafonds — la CAI dispose d'un pouvoir discrétionnaire important pour calibrer la sanction en fonction du contexte. Pour une PME locale avec un chiffre d'affaires de 2 millions, 2 % représente 40 000 $. Ce n'est pas négligeable.

En plus des sanctions administratives, la Loi 25 prévoit des sanctions pénales pour les manquements intentionnels, incluant des amendes pour les personnes physiques (dirigeants).

Le processus : de la plainte à la sanction

Étape 1 — La plainte ou l'inspection proactive

Une enquête CAI peut être déclenchée de deux façons. D'abord, par une plainte : un citoyen estime que ses droits ont été violés (données collectées sans consentement, demande d'accès ignorée, incident non signalé) et saisit la CAI. Ensuite, par une inspection proactive : la CAI choisit elle-même de vérifier la conformité d'une organisation ou d'un secteur d'activité. Ces inspections ciblent souvent des secteurs à risque — e-commerce, services professionnels, associations qui gèrent des données sensibles.

Étape 2 — L'enquête préliminaire

La CAI analyse d'abord si la plainte est recevable et si elle a compétence. Elle peut demander à l'organisation de fournir des informations dans un délai défini. À ce stade, une réponse rapide, transparente et bien documentée peut influencer significativement la suite.

Étape 3 — L'enquête formelle

Si la CAI décide d'aller plus loin, elle mène une enquête formelle : demandes de documents, entrevues, analyse technique du site web et des systèmes. L'organisation a le droit de se faire entendre et de présenter ses arguments. C'est à cette étape que les mesures correctives prises entre la plainte et l'enquête peuvent jouer en votre faveur.

Étape 4 — La décision et la sanction

La CAI rend une décision écrite qui peut inclure des ordonnances (mesures correctives obligatoires), des sanctions pécuniaires administratives, ou les deux. La décision est publique — ce qui constitue en soi un impact réputationnel significatif.

Tableau : manquements, amendes et facteurs atténuants

Type de manquement	Amende potentielle	Facteur aggravant	Facteur atténuant
Absence de bannière de cookies conforme	Jusqu'à 10 M$ ou 2 % CA	Manquement persistant après mise en demeure	Correction rapide dès la plainte
Collecte sans consentement explicite	Jusqu'à 25 M$ ou 4 % CA	Volume élevé de données, données sensibles	Aucune plainte antérieure, bonne foi démontrée
Incident non déclaré à la CAI	Jusqu'à 25 M$ ou 4 % CA	Tentative de dissimulation	Déclaration spontanée, mesures de sécurité en place
Demande d'accès ignorée ou refusée abusivement	Jusqu'à 10 M$ ou 2 % CA	Refus répété, délais excessifs	Processus documenté, erreur isolée
Absence de politique de confidentialité	Jusqu'à 10 M$ ou 2 % CA	Secteur sensible (santé, finance, mineurs)	Organisation de petite taille, première infraction

Ce que font les entreprises après une enquête

Les organisations qui ont traversé une enquête CAI, même sans sanction pécuniaire majeure, rapportent plusieurs impacts concrets :

• Coûts juridiques : Se faire accompagner par un avocat spécialisé en protection des données pendant une enquête coûte entre 5 000 $ et 30 000 $ selon la complexité.
• Coûts de mise en conformité urgente : Les corrections imposées sous pression et sous délai coûtent généralement 3 à 5 fois plus cher que si elles avaient été planifiées.
• Impact réputationnel : La décision de la CAI est publiée en ligne. Des clients, partenaires ou journalistes peuvent la retrouver.
• Mobilisation interne : Une enquête mobilise des dizaines d'heures de gestion et crée un stress organisationnel significatif.

Dans tous les cas documentés, le coût total d'une enquête — même « favorable » — dépasse largement le coût d'un audit de conformité préventif.

Les secteurs les plus exposés en 2026

La CAI a signalé son intérêt particulier pour certains secteurs : le commerce électronique (données de paiement et de navigation), les services de santé et paramédicaux (données sensibles par nature), les agences immobilières et financières, ainsi que les organisations qui gèrent des données concernant des mineurs. Si votre entreprise opère dans l'un de ces secteurs, la question n'est pas de savoir si vous serez inspectés, mais quand.