Module 6 · Exigences légales · Formation Initiation PRP
Gestion des incidents selon la Loi 25

Incidents de confidentialité selon la Loi 25 —
obligations de notification au Québec

La gestion des incidents de confidentialité est un mécanisme central de la Loi 25. Ce texte présente les obligations de registre, de notification et les critères d'évaluation du préjudice sérieux.

Planifier une formation pour mon équipe Demander un diagnostic PRP →

Contexte : la gestion d'incident comme marqueur de diligence

La Loi 25 transforme la gestion des incidents en indicateur central de la maturité PRP d'une organisation. Tenir un registre, évaluer rapidement les risques, notifier quand c'est requis et documenter les mesures correctives sont autant d'obligations concrètes qui se traduisent en preuves en cas d'enquête. L'objectif de la loi n'est pas d'éliminer les incidents — ils sont inévitables dans toute organisation qui manipule des renseignements. L'objectif est d'encadrer leur gestion pour limiter les impacts et démontrer la diligence.

Le traitement des incidents est souvent la première chose que la CAI examine en cas de plainte. Une organisation qui peut présenter un registre, une évaluation documentée et des mesures correctives renforce considérablement sa position — indépendamment de la gravité initiale de l'incident.

Ce que vous devez retenir — version dirigeant

  • Un registre des incidents est obligatoire — même si aucun incident n'a encore eu lieu.
  • La notification à la CAI est requise en cas de risque de préjudice sérieux.
  • Un incident bien géré renforce votre crédibilité ; un incident dissimulé l'anéantit.
  • La Loi 25 récompense la diligence, pas l'absence d'incidents.

Ce que ça implique pour votre organisation

Si les incidents ne sont pas gérés selon un protocole clair :

  • la réponse tardive transforme un incident mineur en sanction majeure,
  • l'absence de registre rend impossible la démonstration de diligence,
  • une plainte déclenche une enquête sans défense préparée.

Les PME ne se font pas sanctionner pour avoir subi un incident — elles se font sanctionner pour l'avoir géré sans protocole ni trace.

Ce que ça veut dire en pratique

Le jour où un incident survient :

  • il n'y a pas de temps pour réfléchir — les décisions doivent se prendre dans l'heure ;
  • il n'y a pas de temps pour structurer un protocole ou un registre ;
  • il n'y a pas de temps pour décider qui fait quoi — chacun improvise selon sa compréhension.

Si rien n'est préparé en amont, tout se fait dans l'urgence — et c'est là que les erreurs se multiplient.

Définition légale de l'incident de confidentialité

Selon la Loi 25, un incident de confidentialité s'entend de tout accès, utilisation ou communication non autorisée de renseignements personnels, ainsi que de toute perte ou atteinte à leur intégrité.

Cette définition couvre un éventail large : erreurs humaines (courriel mal adressé, fichier partagé par erreur), défaillances techniques (serveur compromis, sauvegarde perdue), actes malveillants (cyberattaque, vol de matériel), et pertes physiques (téléphone perdu, document oublié). La nature intentionnelle ou accidentelle de l'incident ne change pas son statut juridique — seule change l'évaluation du risque et des mesures à prendre.

Cadre juridique de la gestion des incidents

Obligation de tenue du registre

Toute organisation au Québec doit tenir un registre des incidents de confidentialité. Ce registre doit documenter chaque incident, peu importe son ampleur — il n'y a pas de « seuil minimal » pour ignorer un incident. Le registre est le premier élément que la CAI examine lors d'une enquête.

Obligation d'évaluation du risque

Chaque incident doit faire l'objet d'une évaluation du risque de préjudice sérieux pour les personnes concernées. Cette évaluation doit être documentée et traçable, même lorsque le risque est évalué comme faible.

Obligation de notification

Lorsque l'évaluation conclut à un risque de préjudice sérieux, l'organisation doit notifier sans délai la CAI et les personnes concernées. La notification doit contenir la description de l'incident, les renseignements visés, les circonstances, les mesures prises et les coordonnées du RPRP.

Obligations concrètes de gestion des incidents

  • Tenir un registre des incidents à jour, avec date, nature, renseignements visés, évaluation, mesures.
  • Documenter chaque incident, même mineur et sans notification requise.
  • Évaluer le risque de préjudice sérieux selon les facteurs prévus par la loi.
  • Notifier la CAI sans délai si le risque de préjudice sérieux est confirmé.
  • Notifier les personnes concernées dans les mêmes conditions, avec information utile.
  • Prendre des mesures correctives pour limiter les impacts et éviter la récidive.
  • Documenter la clôture de l'incident avec les leçons tirées.

Exemples concrets PME — obligations d'incident

Obligation : registre des incidents

Un courriel envoyé à la mauvaise adresse avec 3 coordonnées clients doit être consigné — même si le destinataire confirme l'avoir supprimé. La trace protège l'organisation mieux que l'absence d'information.

Obligation : évaluation du préjudice sérieux

Un fichier Excel contenant des numéros d'assurance sociale de 200 employés perdu sur un support non chiffré présente un risque de préjudice sérieux évident — notification obligatoire. Une liste de participants à un 5 à 7 interne : non.

Obligation : notification sans délai

« Sans délai » ne signifie pas « sous 30 jours ». L'intention est de notifier dans les heures ou jours suivant la confirmation du risque. Tout retard doit être justifié et documenté.

⚠️ Erreur stratégique fréquente

Beaucoup d'organisations attendent le premier incident pour définir leur protocole :

  • aucun registre ouvert à l'avance,
  • aucun interlocuteur désigné pour gérer un incident,
  • aucun protocole de notification connu des employés.

Résultat :

  • panique au premier incident, réaction improvisée ;
  • délai de réaction qui aggrave les conséquences ;
  • documentation incomplète quand la CAI demande des comptes.

Un protocole se prépare avant l'incident — pas pendant.

Un protocole créé après un incident est toujours incomplet.

Obligation légale ou bonne pratique? La distinction compte.

Les obligations de gestion d'incident sont fermement encadrées par la loi. Certaines pratiques complémentaires renforcent la diligence sans être strictement obligatoires.

⚖️ Obligation légale

  • Tenir un registre des incidents
  • Évaluer le risque de préjudice sérieux
  • Notifier la CAI si risque confirmé
  • Notifier les personnes concernées
  • Prendre des mesures correctives
  • Documenter les incidents même mineurs

💡 Bonne pratique fortement recommandée

  • Protocole écrit de gestion d'incident
  • Formation des employés sur les réflexes
  • Simulations périodiques de gestion
  • Modèles de notification préparés à l'avance
  • Coordination avec TI pour les incidents numériques
  • Revue trimestrielle du registre

L'absence de ces pratiques ralentit la réponse et affaiblit la capacité à démontrer la diligence — particulièrement lorsque plusieurs incidents similaires surviennent.

Exemples d'application concrète

Courriel mal adressé avec données clients

Un employé envoie par erreur un tableau avec 30 coordonnées clients à un destinataire externe. L'organisation : consigne l'incident au registre, contacte le destinataire pour demander la suppression, évalue le risque de préjudice (généralement faible si coordonnées sans données sensibles), documente l'évaluation et les mesures prises. Notification CAI généralement non requise, mais registre obligatoire.

Perte d'un support non chiffré contenant des données sensibles

Un ordinateur portable non chiffré contenant des dossiers d'employés (NAS, santé) est perdu ou volé. Le risque de préjudice sérieux est présumé élevé. L'organisation doit : notifier la CAI sans délai, notifier les employés concernés, documenter toutes les démarches et adopter des mesures correctives (chiffrement des postes).

Cyberattaque avec compromission de base de données

Une attaque informatique compromet une base contenant des renseignements de clients. Le risque est évalué en fonction des données touchées. Mesures : coordination urgente TI + RPRP + direction, notification CAI et clients dans les plus brefs délais, communication transparente, mesures correctives techniques et documentation complète.

Risques en cas de non-conformité

L'exposition se mesure sur deux axes : les sanctions juridiques et les coûts opérationnels d'une mauvaise gestion d'incident.

Angle 1 — Sanctions juridiques

  • Sanctions administratives pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial.
  • Sanctions pénales pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial.
  • Ordonnances de la CAI exigeant des mesures correctives spécifiques.
  • Actions privées pour les personnes ayant subi un préjudice lié à un incident mal géré.
  • Impact réputationnel lié aux décisions publiques de la CAI et à la médiatisation potentielle.

Angle 2 — Coûts opérationnels d'une gestion défaillante

  • Escalade d'un incident mineur — la dissimulation ou le retard multiplie les conséquences.
  • Perte de confiance — clients qui apprennent l'incident par d'autres canaux perdent confiance plus rapidement.
  • Mobilisation démesurée — gestion de crise en urgence vs gestion planifiée.
  • Coût des notifications tardives — communication avec les personnes concernées devient une opération de limitation des dégâts.
  • Impact sur les affaires — donneurs d'ouvrage et partenaires questionnent les pratiques.

Un protocole d'incident préparé à l'avance réduit considérablement ces coûts — et démontre la diligence avant même qu'un incident se produise.

Concrètement pour une PME

Un incident mal préparé :

  • prend plus de temps de gestion en mode crise ;
  • mobilise plus de ressources internes et externes ;
  • augmente le risque de notification mal calibrée à la CAI et aux personnes concernées.

Le coût vient du manque de préparation — pas de l'incident lui-même.

Articulation avec la gouvernance PRP

La gestion des incidents s'inscrit dans la gouvernance PRP globale :

  • RPRP — coordinateur de la gestion d'incident, décideur sur la notification.
  • Registre des incidents — obligation formelle, preuve de diligence.
  • Politique de gestion d'incident — protocole connu et applicable par tous.
  • Formation des employés — condition pour que les réflexes soient appliqués.
  • Contrats sous-traitants — obligation de notification rapide des incidents à l'organisation.
  • Mesures de sécurité — prévention des incidents en amont.

🚨 En cas d'incident — séquence logique

Cette séquence doit être connue avant qu'un incident survienne — pas inventée dans l'urgence :

  • 1. Identifier l'événement — nature, données touchées, personnes concernées ;
  • 2. Informer le RPRP sans délai — même si l'incident semble mineur ;
  • 3. Évaluer le risque de préjudice sérieux selon les critères de la Loi 25 ;
  • 4. Décider de notifier la CAI et les personnes concernées si le risque est confirmé ;
  • 5. Documenter chaque étape dans le registre des incidents et conserver les traces.

La formation des employés installe ces cinq étapes comme automatisme organisationnel.

Questions fréquentes

Peut-on notifier la CAI et attendre pour notifier les personnes concernées?

Non. Les deux notifications doivent se faire sans délai dès que le risque de préjudice sérieux est confirmé. Toutefois, dans certains cas, la CAI peut autoriser un délai dans la notification des personnes concernées pour des raisons d'enquête ou de sécurité — cette autorisation doit être demandée explicitement.

Un incident interne entre employés doit-il être notifié?

Cela dépend du contexte. Si un employé accède à des renseignements qu'il n'est pas autorisé à consulter, c'est un incident à consigner au registre. La notification externe (CAI, personnes concernées) dépend de l'évaluation du risque de préjudice sérieux.

Faut-il notifier pour chaque tentative d'hameçonnage ou attaque bloquée?

Non. Les tentatives bloquées sans accès effectif aux renseignements ne constituent pas un incident de confidentialité au sens de la Loi 25. Il est toutefois recommandé de tenir un registre séparé des tentatives et menaces, à des fins de suivi et de prévention.

Le sous-traitant est-il responsable de la notification en cas d'incident?

Le sous-traitant doit notifier l'organisation cliente sans délai. La responsabilité de notifier la CAI et les personnes concernées revient à l'organisation qui a confié le traitement. Les contrats doivent prévoir explicitement ces obligations et délais.

Que faire si on n'est pas certain que l'incident est « sérieux »?

En cas de doute, il est recommandé de notifier. La CAI valorise la transparence et la prudence plus que l'évaluation optimiste a posteriori. Dans le pire des cas, une notification « pour rien » est toujours préférable à une notification omise.

🎯 Diagnostic rapide

Votre organisation :

  • tient-elle un registre des incidents prêt à être utilisé?
  • a-t-elle un protocole écrit et connu des employés?
  • sait-elle clairement qui décide de notifier ou non la CAI?

Si non à une ou plusieurs questions, votre organisation réagira en panique au premier incident — amplifiant des conséquences qui seraient limitées avec un protocole préparé.

Concrètement

Les obligations de gestion d'incident existent indépendamment du fait qu'un incident soit déjà survenu. Sans registre ouvert, sans protocole documenté, sans formation des employés :

  • vos obligations existent quand même ;
  • mais la réponse au premier incident sera improvisée et tardive ;
  • votre capacité à démontrer la diligence est nulle — aucun document, aucune trace préalable.

La formation des équipes et la préparation d'un protocole sont les deux conditions opérationnelles minimales. Un incident bien géré est une démonstration de maturité ; un incident mal géré est un élément à charge.

En résumé — Incidents selon la Loi 25

  • Incident : tout accès, utilisation ou communication non autorisée de RP
  • Registre : obligatoire pour tous les incidents, peu importe l'ampleur
  • Notification CAI : requise en cas de risque de préjudice sérieux
  • Documentation : la meilleure démonstration de diligence en cas d'enquête

📘 Version pratique du même sujet

Pour un guide concret avec exemples tirés du terrain — courriel, téléphone, imprimante — consultez la version pratique de ce module.

Guide — Réagir à un incident →

Besoin d'accompagnement pour préparer votre protocole d'incident?

Formation pour vos employés, diagnostic de maturité, accompagnement RPRP externe — plusieurs options adaptées aux PME québécoises.

Planifier une formation pour mon équipe Demander un diagnostic PRP

← Retour à la formation complète (7 modules)

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.