Module 6 · Guide pratique · Formation Loi 25 pour employés
Réflexes, signalement et gestion des incidents
Que faire quand un courriel est envoyé
à la mauvaise personne?
Un incident n'est pas une faute à cacher — c'est un événement à gérer. Ce guide présente les réflexes à avoir au quotidien et la bonne façon de réagir.
Dans la majorité des PME québécoises, les incidents de confidentialité ne sont pas des cyberattaques sophistiquées — ce sont des erreurs du quotidien. Un courriel envoyé à la mauvaise adresse, un fichier client partagé dans le mauvais groupe, un document oublié sur une imprimante partagée, un téléphone de travail perdu. Ces situations sont fréquentes — et la façon dont l'organisation réagit compte plus que l'incident lui-même.
La réalité
Dans une PME, ce n'est pas une question de savoir si un incident va arriver — c'est une question de quand.
Parce que :
- les outils sont simples et rapides à utiliser ;
- les communications internes et externes sont nombreuses ;
- les erreurs humaines sont inévitables à grande échelle.
Ce qui fait la différence n'est pas l'incident — c'est la façon dont il est géré.
Définition : qu'est-ce qu'un incident de confidentialité?
Un incident ne signifie pas nécessairement une faute grave. La plupart viennent d'erreurs humaines simples : clic trop rapide, distraction, manque de vérification. Ce qui distingue une PME mature d'une PME exposée, c'est la capacité à reconnaître rapidement ces situations et à les gérer selon un protocole clair.
Les 3 réflexes essentiels quand un incident survient
Peu importe la nature de l'incident, trois actions sont systématiques :
- Signaler rapidement au RPRP (ou à son supérieur si le RPRP n'est pas désigné) — dans l'heure si possible, dans la journée au maximum.
- Évaluer les impacts — quelles personnes sont concernées, quelles données, quel risque de préjudice sérieux.
- Documenter l'incident et les mesures prises dans le registre des incidents de l'organisation.
Ce que ça veut dire concrètement
Si vos employés ne savent pas quoi faire face à un incident :
- ils essaient de corriger en silence — le réflexe humain par défaut ;
- l'incident n'est ni consigné ni analysé — il se reproduira ;
- un incident mineur peut devenir une crise organisationnelle si la CAI enquête sans trace préalable.
Ce que ça révèle souvent
Dans beaucoup de PME québécoises :
- aucun registre des incidents n'a jamais été ouvert ;
- personne ne sait qui contacter en cas d'incident ;
- le réflexe général est de « régler entre nous » sans documentation.
Ce n'est pas de la mauvaise volonté — c'est l'absence d'un protocole connu et pratiqué.
Le réflexe naturel (et dangereux)
Quand un incident arrive, le réflexe humain est universel :
- on veut corriger vite, en espérant effacer l'erreur ;
- on veut éviter d'en parler, par gêne ou peur de sanction ;
- on pense que ce n'est « pas si grave » et qu'il n'y a pas lieu de signaler.
Ce réflexe est normal — mais c'est lui qui transforme un petit incident en problème majeur.
Dans la réalité des PME québécoises…
Courriel mal adressé : Un employé envoie la liste complète des clients à un prestataire externe au lieu d'un fichier interne. Incident à consigner, évaluer et possiblement notifier.
Téléphone perdu : Un téléphone de travail avec contacts clients est perdu sur un chantier. Même sans certitude qu'il a été consulté, c'est un incident à gérer.
Document oublié : Un dossier contenant des informations de santé est oublié sur une imprimante partagée pendant 30 minutes. Accès non autorisé potentiel, à documenter.
Cas réel simplifié
Un incident géré en silence
- Un employé envoie par erreur un fichier Excel avec 120 dossiers clients à un mauvais destinataire ;
- Il réalise son erreur, tente de rappeler le message, ne parvient pas à le corriger ;
- Il ne signale pas — par gêne, par peur de sanction, ou par ignorance du protocole.
Résultat 3 mois plus tard :
- un second incident similaire se produit ;
- un client concerné par le premier dépose une plainte à la CAI ;
- l'enquête révèle l'absence de registre des incidents et d'action corrective.
Le premier incident, géré proprement, aurait coûté 30 minutes. Le second, combiné à l'absence de trace du premier, devient une enquête formelle.
Erreurs fréquentes à éviter
- « Je vais le régler moi-même discrètement » — Faux réflexe. La dissimulation aggrave systématiquement les conséquences si l'incident est découvert plus tard.
- « Ce n'est pas si grave, pas besoin de signaler » — Dangereux. L'évaluation du risque doit être faite par le RPRP, pas par l'employé concerné.
- « Signaler = être puni » — Faux. La Loi 25 récompense la transparence et la réactivité. Un incident signalé rapidement démontre la diligence.
- « Si c'est un petit fichier, on n'écrit rien » — Erreur. Tous les incidents doivent être consignés au registre, même mineurs. C'est la trace qui protège l'organisation.
Ce que la Loi 25 implique concrètement
La gestion des incidents se traduit par des obligations claires :
- Tenir un registre des incidents — obligation formelle pour toute organisation au Québec.
- Évaluer le risque de préjudice sérieux — nature des données, contexte, conséquences possibles.
- Notifier la CAI sans délai si le risque de préjudice sérieux existe.
- Notifier les personnes concernées dans les mêmes conditions.
- Prendre les mesures correctives pour éviter la répétition.
- Documenter la gestion complète de l'incident du début à la fin.
Pourquoi c'est critique
Une gestion désordonnée des incidents amplifie les conséquences :
- Incident mineur → sanction majeure — la dissimulation aggrave la situation plus que l'incident lui-même.
- Plaintes multipliées — les personnes concernées apprennent par d'autres canaux et perdent confiance.
- Incapacité à démontrer la diligence — sans registre et sans trace des décisions, pas de défense crédible.
🚨 En cas d'incident — rappel rapide
Peu importe la situation, ces 5 gestes s'appliquent toujours :
- Stopper la situation si possible (rappeler un courriel, bloquer un accès) ;
- Informer le RPRP immédiatement — pas dans quelques heures ;
- Ne rien cacher — la transparence protège l'organisation ;
- Ne rien supprimer — chaque trace peut être utile à l'enquête ;
- Documenter ce qui s'est passé, l'heure, les personnes concernées.
Cette séquence doit être connue avant qu'un incident survienne — c'est la formation qui l'installe.
En résumé
Définition : Un incident de confidentialité est tout accès, utilisation ou communication non autorisée de renseignements personnels — intentionnel ou accidentel.
3 faits clés
- Un incident est un événement à gérer, pas une faute à dissimuler
- Trois réflexes obligatoires : signaler, évaluer, documenter
- Notification à la CAI requise en cas de risque de préjudice sérieux
👉 Action : Assurez-vous que vos employés savent à qui signaler un incident — et que le RPRP dispose d'un protocole clair pour en gérer le traitement.
⚖️ Pour aller plus loin sur le cadre légal
Consultez la page détaillée sur les obligations de notification, les seuils de préjudice sérieux et la tenue du registre des incidents selon la Loi 25.
Incidents selon la Loi 25 — exigences légales →Test rapide
Prenez 10 secondes. Dans votre organisation…
Si vous avez répondu non à une ou plusieurs questions,
il est probable qu'un incident survienne un jour et soit géré en silence — amplifiant silencieusement votre exposition jusqu'à ce qu'une plainte formelle arrive.
Pas certain de votre niveau de préparation aux incidents?
Obtenez un bilan rapide de votre situation en quelques minutes.
Initier votre équipe aux bases de la protection des renseignements personnels
La formation d'initiation PRP d'une heure permet à vos employés de comprendre les concepts de base — reconnaissance d'un renseignement personnel, cadres juridiques applicables, cycle de vie des données, rôle du RPRP, gestion des incidents et prise de décision. Conçue pour les PME et entrepreneurs québécois — sans jargon juridique, avec des exemples tirés du terrain.