Module 6 · Guide pratique · Formation Loi 25 pour employés
Réflexes, signalement et gestion des incidents

Que faire quand un courriel est envoyé
à la mauvaise personne?

Un incident n'est pas une faute à cacher — c'est un événement à gérer. Ce guide présente les réflexes à avoir au quotidien et la bonne façon de réagir.

Planifier une formation pour mon équipe Demander un diagnostic PRP →

Dans la majorité des PME québécoises, les incidents de confidentialité ne sont pas des cyberattaques sophistiquées — ce sont des erreurs du quotidien. Un courriel envoyé à la mauvaise adresse, un fichier client partagé dans le mauvais groupe, un document oublié sur une imprimante partagée, un téléphone de travail perdu. Ces situations sont fréquentes — et la façon dont l'organisation réagit compte plus que l'incident lui-même.

La réalité

Dans une PME, ce n'est pas une question de savoir si un incident va arriver — c'est une question de quand.

Parce que :

  • les outils sont simples et rapides à utiliser ;
  • les communications internes et externes sont nombreuses ;
  • les erreurs humaines sont inévitables à grande échelle.

Ce qui fait la différence n'est pas l'incident — c'est la façon dont il est géré.

Définition : qu'est-ce qu'un incident de confidentialité?

Un incident de confidentialité est tout accès, utilisation ou communication non autorisée de renseignements personnels — qu'il soit intentionnel ou accidentel. Cela inclut la perte ou le vol d'un support contenant des renseignements.

Un incident ne signifie pas nécessairement une faute grave. La plupart viennent d'erreurs humaines simples : clic trop rapide, distraction, manque de vérification. Ce qui distingue une PME mature d'une PME exposée, c'est la capacité à reconnaître rapidement ces situations et à les gérer selon un protocole clair.

Les 3 réflexes essentiels quand un incident survient

Peu importe la nature de l'incident, trois actions sont systématiques :

  • Signaler rapidement au RPRP (ou à son supérieur si le RPRP n'est pas désigné) — dans l'heure si possible, dans la journée au maximum.
  • Évaluer les impacts — quelles personnes sont concernées, quelles données, quel risque de préjudice sérieux.
  • Documenter l'incident et les mesures prises dans le registre des incidents de l'organisation.

Comment mettre en place la procédure d'incidents — démarche pas-à-pas

Une procédure d'incident efficace se prépare avant l'incident — pas pendant. L'objectif est que toute personne dans l'organisation sache quoi faire, qui contacter et dans quel délai.

  1. Désigner le point de contact unique. Le RPRP, son adjoint et un remplaçant en cas d'absence. Communiquer ces noms à tout le personnel.
  2. Définir les canaux de signalement. Courriel dédié, formulaire interne, téléphone. Au moins deux canaux pour qu'un employé puisse signaler hors heures de bureau.
  3. Cadrer les délais internes. Signalement par l'employé : immédiat. Évaluation initiale par le RPRP : 24 h. Décision de notification CAI : 72 h max à compter de la prise de connaissance de l'incident significatif.
  4. Mettre en place le registre des incidents. Tableur ou outil dédié avec les colonnes obligatoires (voir template ci-dessous).
  5. Préparer les canevas de notification. Modèle de notification à la CAI et modèle de notification aux personnes concernées prêts d'avance (voir templates ci-dessous).
  6. Former le personnel. Inclure dans l'accueil des nouveaux employés et dans les rappels annuels. Tester avec un exercice fictif au moins une fois par an.
  7. Réviser après chaque incident. Leçons tirées, ajustement des procédures, mise à jour de la formation. Le registre alimente la revue annuelle.

Template — Registre des incidents commenté

Voici la structure minimale du registre des incidents avec un exemple de ligne complète.

Colonne Exemple — Courriel mal adressé
Date et heure de l'incident2026-XX-XX 14:23
Date et mode de détection2026-XX-XX 14:40 — signalement de l'employé qui a envoyé le courriel
Nature de l'incidentCommunication erronée — courriel contenant un dossier client envoyé à une adresse interne incorrecte
Catégories de renseignements touchésCoordonnées (nom, adresse, courriel), historique des services rendus
Catégories et nombre de personnes touchées1 client
Évaluation du risque de préjudice sérieuxFaible — destinataire est un autre employé tenu à la confidentialité, courriel supprimé immédiatement, aucune diffusion externe
Mesures correctives prisesSuppression du courriel chez le destinataire (confirmé), rappel à l'employé sur la procédure de vérification d'adresse, communication interne aux équipes
Notification CAINon requise — risque de préjudice sérieux non atteint, décision documentée et justifiée
Notification personnes concernéesNon requise — même raisonnement
Responsable du suivi[Nom RPRP]
Leçons tiréesActiver la confirmation de destinataire externe sur la messagerie pour les pièces jointes contenant des données clients
💡 Comment l'adapter : placez chaque colonne en en-tête de votre tableur et ajoutez une ligne par incident. La colonne « évaluation du risque » doit toujours être argumentée — c'est ce qui justifie la décision de notifier ou non la CAI.

Template — Canevas de notification à la CAI

À utiliser quand l'évaluation conclut à un risque de préjudice sérieux. La notification doit être faite sans délai indu après la prise de connaissance.

À : Commission d'accès à l'information du Québec
De : [Nom du RPRP], [Nom de l'organisation]
Objet : Avis d'incident de confidentialité — article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé

1. Description de l'incident
[Nature, date et heure approximative, mode de détection, durée]

2. Catégories de renseignements concernés
[Types de données touchées, sensibilité]

3. Nombre estimé de personnes concernées
[Nombre + catégories : clients, employés, etc.]

4. Évaluation du risque de préjudice sérieux
[Analyse des facteurs : sensibilité, finalités du destinataire, durée d'exposition, mesures correctives prises]

5. Mesures prises ou envisagées
[Mitigation immédiate, mesures correctives durables, communication aux personnes concernées]

6. Coordonnées du RPRP
[Nom, courriel, téléphone direct]

Signature : [Nom du RPRP], [Date]

💡 Comment l'adapter : remplir chaque section avec des faits précis et datés. Garder une copie horodatée de l'envoi. Si certaines informations manquent encore au moment de la notification, indiquer « en cours d'évaluation, suivi à venir le [date] ».

Template — Notification aux personnes concernées

À utiliser parallèlement à la notification CAI quand le risque de préjudice sérieux est atteint et qu'il est possible de joindre les personnes concernées.

Objet : Avis important — incident de confidentialité concernant vos renseignements personnels

Bonjour [Prénom],

Nous vous informons qu'un incident de confidentialité touchant vos renseignements personnels est survenu le [date]. Cet avis a pour but de vous expliquer ce qui s'est passé, ce que nous avons fait et ce que vous pouvez faire pour vous protéger.

Ce qui s'est passé : [description claire, sans jargon].

Renseignements concernés : [catégories précises].

Ce que nous avons fait : [mesures correctives prises et leur date].

Ce que vous pouvez faire : [recommandations adaptées au risque — surveiller les comptes, changer le mot de passe, demander un avis de fraude au bureau de crédit, etc.].

Vous pouvez nous joindre en tout temps via [coordonnées RPRP] pour toute question. Vous avez également le droit de déposer une plainte à la Commission d'accès à l'information du Québec (www.cai.gouv.qc.ca).

Nous regrettons sincèrement cette situation et restons à votre disposition.

[Nom du RPRP], [Nom de l'organisation]

💡 Comment l'adapter : ton humain, factuel et utile. Pas de minimisation, pas de juridisme. La personne doit comprendre rapidement ce qui s'est passé et ce qu'elle peut faire. Adapter le canal selon la sensibilité (courriel pour la plupart, lettre recommandée pour les cas graves).

Ce que ça veut dire concrètement

Si vos employés ne savent pas quoi faire face à un incident :

  • ils essaient de corriger en silence — le réflexe humain par défaut ;
  • l'incident n'est ni consigné ni analysé — il se reproduira ;
  • un incident mineur peut devenir une crise organisationnelle si la CAI enquête sans trace préalable.

Ce que ça révèle souvent

Dans beaucoup de PME québécoises :

  • aucun registre des incidents n'a jamais été ouvert ;
  • personne ne sait qui contacter en cas d'incident ;
  • le réflexe général est de « régler entre nous » sans documentation.

Ce n'est pas de la mauvaise volonté — c'est l'absence d'un protocole connu et pratiqué.

Le réflexe naturel (et dangereux)

Quand un incident arrive, le réflexe humain est universel :

  • on veut corriger vite, en espérant effacer l'erreur ;
  • on veut éviter d'en parler, par gêne ou peur de sanction ;
  • on pense que ce n'est « pas si grave » et qu'il n'y a pas lieu de signaler.

Ce réflexe est normal — mais c'est lui qui transforme un petit incident en problème majeur.

Dans la réalité des PME québécoises…

📧

Courriel mal adressé : Un employé envoie la liste complète des clients à un prestataire externe au lieu d'un fichier interne. Incident à consigner, évaluer et possiblement notifier.

📱

Téléphone perdu : Un téléphone de travail avec contacts clients est perdu sur un chantier. Même sans certitude qu'il a été consulté, c'est un incident à gérer.

🖨️

Document oublié : Un dossier contenant des informations de santé est oublié sur une imprimante partagée pendant 30 minutes. Accès non autorisé potentiel, à documenter.

Cas réel simplifié

Un incident géré en silence

  • Un employé envoie par erreur un fichier Excel avec 120 dossiers clients à un mauvais destinataire ;
  • Il réalise son erreur, tente de rappeler le message, ne parvient pas à le corriger ;
  • Il ne signale pas — par gêne, par peur de sanction, ou par ignorance du protocole.

Résultat 3 mois plus tard :

  • un second incident similaire se produit ;
  • un client concerné par le premier dépose une plainte à la CAI ;
  • l'enquête révèle l'absence de registre des incidents et d'action corrective.

Le premier incident, géré proprement, aurait coûté 30 minutes. Le second, combiné à l'absence de trace du premier, devient une enquête formelle.

Erreurs fréquentes à éviter

  • « Je vais le régler moi-même discrètement » — Faux réflexe. La dissimulation aggrave systématiquement les conséquences si l'incident est découvert plus tard.
  • « Ce n'est pas si grave, pas besoin de signaler » — Dangereux. L'évaluation du risque doit être faite par le RPRP, pas par l'employé concerné.
  • « Signaler = être puni » — Faux. La Loi 25 récompense la transparence et la réactivité. Un incident signalé rapidement démontre la diligence.
  • « Si c'est un petit fichier, on n'écrit rien » — Erreur. Tous les incidents doivent être consignés au registre, même mineurs. C'est la trace qui protège l'organisation.

Ce que la Loi 25 implique concrètement

La gestion des incidents se traduit par des obligations claires :

  • Tenir un registre des incidents — obligation formelle pour toute organisation au Québec.
  • Évaluer le risque de préjudice sérieux — nature des données, contexte, conséquences possibles.
  • Notifier la CAI sans délai si le risque de préjudice sérieux existe.
  • Notifier les personnes concernées dans les mêmes conditions.
  • Prendre les mesures correctives pour éviter la répétition.
  • Documenter la gestion complète de l'incident du début à la fin.

Pourquoi c'est critique

Une gestion désordonnée des incidents amplifie les conséquences :

  • Incident mineur → sanction majeure — la dissimulation aggrave la situation plus que l'incident lui-même.
  • Plaintes multipliées — les personnes concernées apprennent par d'autres canaux et perdent confiance.
  • Incapacité à démontrer la diligence — sans registre et sans trace des décisions, pas de défense crédible.

🚨 En cas d'incident — rappel rapide

Peu importe la situation, ces 5 gestes s'appliquent toujours :

  • Stopper la situation si possible (rappeler un courriel, bloquer un accès) ;
  • Informer le RPRP immédiatement — pas dans quelques heures ;
  • Ne rien cacher — la transparence protège l'organisation ;
  • Ne rien supprimer — chaque trace peut être utile à l'enquête ;
  • Documenter ce qui s'est passé, l'heure, les personnes concernées.

Cette séquence doit être connue avant qu'un incident survienne — c'est la formation qui l'installe.

En résumé

Définition : Un incident de confidentialité est tout accès, utilisation ou communication non autorisée de renseignements personnels — intentionnel ou accidentel.

3 faits clés

  • Un incident est un événement à gérer, pas une faute à dissimuler
  • Trois réflexes obligatoires : signaler, évaluer, documenter
  • Notification à la CAI requise en cas de risque de préjudice sérieux

👉 Action : Assurez-vous que vos employés savent à qui signaler un incident — et que le RPRP dispose d'un protocole clair pour en gérer le traitement.

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les obligations de notification, les seuils de préjudice sérieux et la tenue du registre des incidents selon la Loi 25.

Incidents selon la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Dans votre organisation…

Si vous avez répondu non à une ou plusieurs questions,
il est probable qu'un incident survienne un jour et soit géré en silence — amplifiant silencieusement votre exposition jusqu'à ce qu'une plainte formelle arrive.

Pas certain de votre niveau de préparation aux incidents?
Obtenez un bilan rapide de votre situation en quelques minutes.

Évaluer mon niveau de risque →

Initier votre équipe aux bases de la protection des renseignements personnels

La formation d'initiation PRP d'une heure permet à vos employés de comprendre les concepts de base — reconnaissance d'un renseignement personnel, cadres juridiques applicables, cycle de vie des données, rôle du RPRP, gestion des incidents et prise de décision. Conçue pour les PME et entrepreneurs québécois — sans jargon juridique, avec des exemples tirés du terrain.

Planifier une formation pour mon équipe Demander un diagnostic PRP

← Retour à la formation complète (7 modules)