Formation Numérique · Module 7 · Exigences légales
Articles 3.5, 3.6, 3.7, 3.8 de la Loi 25

Incidents et notification CAI — Exigences Loi 25 Québec

Article 3.5 : mesures + notification CAI/personnes si préjudice sérieux. Article 3.8 : registre obligatoire. Voici les obligations exactes et les standards pratiques.

Découvrir le mandat RPRP externe Planifier l'accompagnement →

Contexte légal

Les obligations de notification et de tenue du registre des incidents sont en vigueur depuis le 22 septembre 2022. Quatre articles forment le cadre : 3.5 (notification), 3.6 (définition), 3.7 (évaluation du préjudice), 3.8 (registre). Le Règlement sur les incidents de confidentialité (29 décembre 2022, RLRQ c A-2.1, r. 3.1) précise le contenu du registre. Standards techniques : NIST SP 800-61r2, ISO 27001 A.5.24-A.5.27, CIS Controls v8 IG1 #17.

Applicable à tout environnement. Les obligations s'appliquent à toute organisation québécoise indépendamment de la stack technique.

Ce que vous devez retenir

  • Art. 3.5 — mesures + notification CAI/personnes si préjudice sérieux
  • Art. 3.6 — définition large : accès, utilisation, communication non autorisés OU perte
  • Art. 3.7 — évaluation du préjudice sérieux : sensibilité + conséquences + probabilité
  • Art. 3.8 — registre obligatoire (9 éléments, conservation 5 ans)
  • Standards : ISO 27001 A.5.24-A.5.27, CIS v8 IG1 #17, NIST SP 800-61r2

Ce que ça implique pour votre organisation

  • Sans protocole, le délai « avec diligence » est dépassé — la pratique attendue est ~72h.
  • Sans registre conforme à l'art. 3.8, vous violez directement l'obligation.
  • Sans simulation, votre protocole n'est pas testé — il échouera sous pression.

Ce que ça signifie concrètement pour vous

  • La CAI peut exiger la copie du registre à tout moment (art. 3.8) — un registre absent ou désuet est immédiatement constatable.
  • Une notification tardive aggrave les conséquences juridiques et réputationnelles.
  • L'évaluation du préjudice sérieux doit être documentée — pas seulement intuitive.

Cadre juridique applicable

Article 3.5 — Notification

« Lorsqu'une personne qui exploite une entreprise a des motifs de croire que s'est produit un incident de confidentialité impliquant un renseignement personnel qu'elle détient, elle doit prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent. De plus, si l'incident présente un risque qu'un préjudice sérieux soit causé, elle doit aviser avec diligence la Commission et les personnes concernées... »

Article 3.6 — Définition

Trois situations : (1) accès à un RP non autorisé par la loi ; (2) utilisation ou communication non autorisée par la loi ; (3) perte d'un RP ou toute autre atteinte à sa protection.

Article 3.7 — Évaluation du préjudice sérieux

L'évaluation se fait en tenant compte de : la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation, la probabilité qu'il soit utilisé à des fins préjudiciables. Cette évaluation doit être documentée pour démontrer la diligence.

Article 3.8 — Registre

« La personne qui exploite une entreprise doit tenir un registre des incidents de confidentialité dont une copie doit être transmise à la Commission, à sa demande. »

Règlement sur les incidents de confidentialité (RLRQ c A-2.1, r. 3.1)

Précise le contenu du registre (9 éléments) et la conservation minimum 5 ans. S'applique aux organismes publics et inspire les bonnes pratiques pour le secteur privé.

Les 9 éléments obligatoires du registre

  1. Description des RP visés (ou raison de l'impossibilité)
  2. Brève description des circonstances de l'incident
  3. Date ou période de l'incident (ou approximation)
  4. Date ou période de prise de connaissance
  5. Nombre de personnes concernées (ou approximation)
  6. Éléments d'évaluation du risque de préjudice sérieux : sensibilité, utilisations malveillantes possibles, conséquences appréhendées, mesures prises pour diminuer
  7. Date et nature des avis transmis (CAI, personnes concernées, autres)
  8. Mesures prises pour diminuer les risques
  9. Mesures prises pour éviter la récurrence

Contenu obligatoire de l'avis aux personnes

  • Description des RP affectés (ou explication si inconnu)
  • Brève description des circonstances
  • Date ou période de l'incident (ou approximation)
  • Mesures prises pour diminuer les risques de préjudice
  • Mesures que la personne peut elle-même prendre pour se protéger
  • Coordonnées du responsable où poser des questions

Standards techniques de réponse aux incidents

ISO 27001:2022 — Contrôles applicables

  • A.5.24 Information security incident management planning and preparation
  • A.5.25 Assessment and decision on information security events
  • A.5.26 Response to information security incidents
  • A.5.27 Learning from information security incidents
  • A.8.16 Monitoring activities

CIS Controls v8 IG1

  • #17 Incident Response Management : 17.1 Désigner du personnel ; 17.2 Établir et maintenir des contacts ; 17.3 Établir un processus de signalement
  • #8 Audit Log Management — précondition à la détection

NIST SP 800-61r2 — Référence internationale (4 phases)

  1. Préparation
  2. Détection et analyse
  3. Confinement, éradication, reprise
  4. Activité post-incident

Délais — interprétation de « avec diligence »

La Loi 25 ne fixe pas un délai chiffré. La CAI attend un délai « très court » — règle de pratique : dans les jours, pas les semaines. Référence comparative : RGPD impose 72h. Bonne pratique pour PME = viser 72h pour la notification CAI.

Exemples concrets

  • Courriel au mauvais destinataire contenant une liste de clients — incident art. 3.6, évaluation du préjudice : sensibilité des données + utilisation possible. Souvent sous le seuil du « préjudice sérieux » — pas de notification CAI mais inscription au registre obligatoire.
  • Ordinateur portable non chiffré perdu contenant des dossiers RH — incident, évaluation = préjudice sérieux probable. Notification CAI dans les 72h, notification aux employés concernés.
  • Ransomware avec exfiltration confirmée — incident grave, notification immédiate (24-72h), registre détaillé, mesures correctives, possible recours à police et fournisseurs spécialisés.

Erreur stratégique fréquente

Beaucoup d'organisations attendent la « certitude » du préjudice avant de notifier — alors que la loi parle de « motifs de croire » au seuil bas.

  • Le délai « avec diligence » court à partir de la prise de connaissance, pas de la confirmation
  • Une enquête peut révéler que l'incident a duré des mois sans détection — le délai légal commence à la détection
  • Le doute joue contre l'organisation — la sous-déclaration est plus pénalisée que la déclaration prudente

Mieux vaut notifier et rétracter que de ne pas notifier et être sanctionné.

Deux réalités possibles

✗ Sans préparation

  • Aucun protocole écrit
  • Cellule incident non désignée
  • Registre absent ou non conforme
  • Aucune simulation
  • Notification tardive ou manquante

✓ Avec préparation

  • Protocole NIST/ISO en place
  • Cellule désignée + contacts à jour
  • Registre conforme art. 3.8
  • Simulation table-top annuelle
  • Cible 72h pour notification CAI

Risques en cas de non-conformité

  • SAP / Amende pénale — articles 90.12 / 91 (jusqu'à 25 M$ ou 4 % CA mondial)
  • Ordonnance de la CAI — production du registre, mise en place du protocole
  • Action privée de personnes lésées par incident non notifié
  • Impact réputationnel — la non-déclaration est plus dommageable que l'incident lui-même
  • Référence : décision Imprimeries Transcontinental (4 sept. 2024) — première décision exécutoire post-Loi 25, ordonnance de cessation

Concrètement pour une PME :

  • Chaque incident sans protocole est une improvisation coûteuse
  • Chaque mois sans simulation est un protocole non testé
  • Chaque registre désuet est une non-conformité directe à l'art. 3.8

Le coût vient de l'improvisation — pas du protocole.

Lien avec la gouvernance PRP

Le registre des incidents est traité dans la Formation Gouvernance PRP, module Registres obligatoires. La désignation et coordination du RPRP : module RPRP et mandat. Ce module-ci se concentre sur la mécanique technique — détection, simulation, communication. Si vous voulez confier la coordination à un tiers, le mandat RPRP externe couvre cette fonction.

🛡️ Diagnostic rapide

  • Protocole d'incident écrit avec cellule désignée + contacts à jour?
  • Registre conforme aux 9 éléments de l'art. 3.8?
  • Simulation table-top dans les 12 derniers mois?
Découvrir le mandat RPRP externe →

Concrètement

La capacité de réponse aux incidents est exigée par la loi et démontrable seulement via un protocole écrit, testé, et un registre tenu. Sans préparation, l'organisation passe sous pression alors que les délais courent. Le mandat RPRP externe est l'option si la coordination interne n'est pas réalisable.

En résumé

  • Articles 3.5, 3.6, 3.7, 3.8 — incident, évaluation, notification, registre
  • Règlement A-2.1 r. 3.1 — 9 éléments du registre + conservation 5 ans
  • ISO 27001 A.5.24-A.5.27 + CIS v8 IG1 #17 + NIST SP 800-61r2
  • Cible pratique : notification CAI dans les 72h

Pour la version pratique

Voir le guide pratique →

Confier la coordination des incidents

Découvrir le mandat RPRP externe Analyser mon infrastructure

← Retour au plan de la formation Numérique

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.