L'efficacité du régime de responsabilité civile comme mesure de contrainte au respect de l'obligation de sécurité des renseignements personnels.

Dans un contexte où les renseignements personnels sont aujourd’hui une « devise » commerciale importante, il importe de s’attarder à la responsabilité de leur protection. Les lois encadrant la protection des renseignements personnels imposent notamment aux entreprises du secteur privé une obligation de sécurité. Par contre, elles ne prévoient pas de sanction monétaire en cas de violation. Il faut donc se tourner vers le droit de la responsabilité civile afin de contraindre les entreprises à adopter des mesures de sécurité. Or, le régime de responsabilité civile actuel est mal adapté aux obligations associées à la sécurité des renseignements personnels. Le flou normatif entourant le contenu de l’obligation de sécurité et les difficultés d’exercice du recours rendent peu efficace le régime de responsabilité civile compensatoire. Dans un souci d’améliorer son efficacité, deux propositions méritent d’être considérées, soit : la revalorisation des dommages-intérêts punitifs et l’encadrement statutaire d’une obligation de notification des atteintes à la sécurité des renseignements personnels. Ces deux propositions sanctionnent les violations à l’obligation de sécurité là où le régime de responsabilité civile compensatoire semble échouer. Par contre, elles ne sont elles-mêmes efficaces que si leur exercice respecte les fonctions qui leur sont sous-jacentes. Au final, la responsabilité de la sécurité des renseignements personnels ne repose pas seulement sur un régime responsabilité, mais sur une culture de responsabilité.

In a context where personal information is today a major commercial « currency », it is important to focus on the responsibility of its protection. The laws governing the protection of personal information impose safety requirements, especially to enterprises of the private sector. On the other hand, they do not provide for monetary penalties in the case of violation. One must therefore turn to the law of civil liability in order to force enterprises to adopt security measures. However, the current regime of civil liability is ill-suited to the obligations associated with the security of personal information. The regulatory uncertainty surrounding the contents of the safety requirements and the challenges of exercising an action render the system of compensatory civil liability inefficient. In order to improve its efficiency, two proposals are worth considering, namely: the revaluation of punitive damages, and statutory guidance of an obligation to notify security breaches of personal information. Both proposals sanction violations to the safety requirements where the system of compensatory civil liability seems to fail. On the other hand, these proposals cannot be effective unless their exercise respects the functions underlying them. Finally, the responsibility for the security of personal information does not lie solely on a regime of responsibility, but rather on a culture of accountability.