Ressources

Gérer un incident de confidentialité : guide étape par étape sous la Loi 25

Elite Consultation·2026-06-08
Loi 25incidentsRPPprocédures

Les incidents de confidentialité ne se produisent pas seulement dans les grandes organisations. Une télécopie envoyée au mauvais numéro, un fichier client transféré par erreur, un courriel d'hameçonnage qui aboutit à un compromis de compte : ces situations sont fréquentes dans toutes les PME québécoises. Sous la Loi 25, ce qui distingue une réponse adéquate d'un manquement, c'est la rigueur de la démarche après la découverte de l'incident.

L'article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25) impose une démarche précise dès qu'un incident est constaté. Cette démarche comprend la documentation, l'évaluation du risque, la notification éventuelle à la Commission d'accès à l'information (CAI) et aux personnes concernées, et la mise à jour du registre des incidents.

Ce guide présente le déroulé en sept étapes d'un incident de confidentialité, les délais qui s'appliquent à chacune, et les erreurs les plus fréquentes.

Ce qui constitue un incident sous la Loi 25

La Loi 25 définit un incident de confidentialité comme :

  • L'accès non autorisé à un renseignement personnel
  • L'utilisation non autorisée d'un renseignement personnel
  • La communication non autorisée d'un renseignement personnel
  • La perte d'un renseignement personnel
  • Toute autre atteinte à la protection d'un renseignement personnel

Cette définition est large. Elle couvre autant les attaques externes (rançongiciel, hameçonnage qui réussit) que les erreurs internes (envoi au mauvais destinataire, perte d'un appareil, mauvaise configuration d'un partage de fichiers).

Tout incident doit être documenté dans le registre, même lorsqu'il ne déclenche pas d'obligation de notification. Cette documentation démontre la diligence de l'organisation.

Le déroulé en sept étapes

Étape 1 : Détection et documentation initiale (T+0)

Dès qu'un incident est constaté, la personne qui le découvre devrait pouvoir le signaler immédiatement à un point de contact unique dans l'organisation. Pour une PME, ce point de contact est généralement le responsable de la protection des renseignements personnels (RPP) ou un membre de la direction désigné.

À cette étape, il s'agit de :

  • Capturer l'heure et la date exactes de la découverte
  • Identifier qui a découvert l'incident et comment
  • Décrire ce qui a été observé en termes factuels
  • Préserver les éléments de preuve (courriels, fichiers, journaux d'accès)

Un formulaire interne d'une page suffit. Cette saisie initiale n'a pas à être complète. Elle doit simplement être faite rapidement.

Étape 2 : Contenance (premières heures)

Avant d'analyser, on contient. L'objectif est d'empêcher l'incident de s'aggraver pendant que vous l'évaluez. Les actions varient selon le type d'incident :

  • Compte compromis : changer le mot de passe, révoquer les sessions actives, activer ou renforcer l'authentification multifacteur
  • Partage de fichier mal configuré : retirer les accès, supprimer les liens publics
  • Courriel envoyé au mauvais destinataire : tenter le rappel (Outlook, Gmail Workspace), demander la suppression au destinataire
  • Appareil perdu : déclencher l'effacement à distance si possible

Chaque action de contenance doit être documentée avec son heure d'exécution.

Étape 3 : Investigation et évaluation (24 à 48 heures)

L'investigation répond à plusieurs questions précises :

  • Quels renseignements personnels sont touchés (catégories et volumes) ?
  • Combien de personnes sont concernées ?
  • Quelle est la sensibilité des renseignements (financier, santé, identifiants gouvernementaux, simples coordonnées) ?
  • Comment l'incident s'est-il produit ?
  • Les renseignements ont-ils été consultés, copiés, exfiltrés ?
  • Y a-t-il un risque de mauvaise utilisation des renseignements ?

Pour les incidents complexes (rançongiciel, intrusion), faire appel à un expert externe en cybersécurité est généralement recommandé. Les frais sont nettement inférieurs au coût d'une notification mal calibrée.

Étape 4 : Évaluation du risque de préjudice sérieux

C'est l'étape qui détermine la suite. La Loi 25 utilise le critère du « risque qu'un préjudice sérieux soit causé » à la personne concernée. Pour évaluer ce risque, considérez :

  • La sensibilité des renseignements (un dossier médical n'a pas le même poids qu'une adresse courriel professionnelle)
  • Les conséquences appréhendées (vol d'identité, fraude financière, dommage réputationnel, discrimination)
  • La probabilité que les renseignements soient utilisés à des fins préjudiciables
  • Si les renseignements ont été récupérés ou détruits avant utilisation

L'évaluation devrait être documentée par écrit. Elle constitue la base de la décision de notifier ou non. En cas de doute, l'orientation prudente est de notifier.

Étape 5 : Notification à la CAI (si applicable)

Lorsque vous concluez à un risque de préjudice sérieux, vous devez aviser la CAI sans délai. La Loi 25 n'impose pas de délai chiffré (contrairement aux 72 heures du RGPD), mais utilise l'expression « avec diligence ».

En pratique, la CAI s'attend à recevoir la notification dans un délai de quelques jours après la découverte de l'incident. Tout délai supérieur à une semaine doit pouvoir être justifié.

La notification se fait via le formulaire en ligne de la CAI. Elle inclut :

  • La description de l'incident
  • Les renseignements personnels concernés (catégories et volumes)
  • Le nombre de personnes touchées
  • Les mesures prises pour réduire les risques
  • Le contact du responsable de la protection des renseignements personnels

Si certains éléments ne sont pas encore connus au moment de la notification initiale, vous pouvez les compléter par la suite.

Étape 6 : Notification aux personnes concernées (si applicable)

Lorsque le risque de préjudice sérieux est confirmé, les personnes concernées doivent également être informées. Cette notification doit leur être adressée individuellement, sauf circonstances exceptionnelles.

La notification aux personnes inclut généralement :

  • La nature de l'incident
  • Les renseignements personnels touchés
  • Les conséquences possibles
  • Les mesures prises par l'organisation
  • Les mesures que la personne peut prendre pour se protéger
  • Les coordonnées du responsable de la protection des renseignements personnels

Le ton doit être direct, factuel et utile. Une notification floue ou défensive entraîne souvent plus de plaintes qu'une notification claire et complète.

Étape 7 : Documentation et clôture dans le registre

L'incident doit être consigné au registre des incidents, qui doit être conservé pendant au moins cinq ans après la survenue. Pour chaque incident, le registre devrait contenir :

  • La date et la description de l'incident
  • Les renseignements concernés
  • Le nombre de personnes touchées
  • Les conclusions de l'évaluation du risque
  • Les notifications réalisées (CAI, personnes concernées) ou la justification de ne pas notifier
  • Les mesures correctives appliquées
  • Les leçons retenues pour éviter la récurrence

Une rétrospective interne après chaque incident sérieux ajoute de la valeur. Les organisations qui le font réduisent significativement leur taux de récurrence.

Les délais : ce que la Loi 25 exige réellement

Contrairement au RGPD européen, la Loi 25 n'impose pas de délai chiffré pour la notification d'un incident. L'expression utilisée est « avec diligence ». La CAI a clarifié dans ses communications publiques que cette diligence se mesure en jours, pas en semaines.

Pour les incidents simples (envoi d'un courriel au mauvais destinataire, par exemple), 24 à 48 heures sont généralement suffisantes pour évaluer et notifier. Pour les incidents complexes (rançongiciel), plusieurs jours peuvent être nécessaires pour avoir une image fidèle de la portée. Documenter chaque heure de retard reste essentiel.

Erreurs fréquentes

  • Attendre d'avoir toutes les réponses avant de notifier. Une notification initiale partielle, suivie de mises à jour, est généralement préférable à une notification tardive complète.
  • Sous-estimer la portée. Les premières évaluations rapportent souvent moins d'enregistrements ou de personnes touchées que la réalité. Une réévaluation est presque toujours nécessaire après 72 heures.
  • Sauter l'étape de contenance. Documenter sans contenir laisse l'incident s'aggraver et augmente la portée finale.
  • Notifier seulement les personnes faciles à joindre. Toutes les personnes touchées doivent être notifiées, même celles dont les coordonnées sont difficiles à retrouver.
  • Oublier le registre pour les « petits » incidents. Tous les incidents doivent être consignés, même ceux qui ne déclenchent pas de notification.

Comment Observantia accompagne cette démarche

Observantia centralise le registre des incidents, guide le RPP à travers les sept étapes via des formulaires structurés, et conserve la documentation pendant les cinq années requises. Le tableau de bord donne une vue d'ensemble des incidents en cours et clos, et signale les notifications à compléter. Essayez gratuitement pendant 14 jours.

Articles connexes

Ce contenu est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour des questions spécifiques à votre situation, consultez un conseiller juridique qualifié.

Prêt à simplifier votre conformité?

Essayez Observantia gratuitement pendant 14 jours.

Commencer l'essai gratuit