Formation Numérique · Module 7 · Guide pratique
Détection, réponse, notification CAI

Comment détecter, gérer et notifier un incident de confidentialité?

Un incident ne se gère pas le jour où il survient — il se prépare. Sans protocole, votre organisation perd des heures critiques dans des réactions improvisées. Articles 3.5 à 3.8 de la Loi 25 + standards ISO/CIS/NIST.

Découvrir le mandat RPRP externe Planifier l'accompagnement →

L'article 3.5 de la Loi 25 oblige toute organisation à prendre des mesures raisonnables pour diminuer les risques en cas d'incident de confidentialité, et à aviser la CAI et les personnes concernées si un préjudice sérieux est possible. L'article 3.6 définit l'incident largement (accès non autorisé, communication non autorisée, perte). L'article 3.8 impose un registre. Sans protocole de réponse documenté, ces obligations sont impossibles à respecter dans les délais.

Applicable à tout environnement. Le protocole de réponse aux incidents est universellement applicable.

Définition

Un incident de confidentialité (art. 3.6) est : un accès, une utilisation ou une communication d'un renseignement personnel non autorisée par la loi ; OU la perte d'un RP ou toute autre atteinte à sa protection. Le protocole de réponse est le processus documenté qui couvre la détection, le confinement, la notification, la reprise et l'apprentissage.

Les phases d'une réponse aux incidents (NIST SP 800-61r2, adaptées PME)

  1. Préparation — politiques, plan, équipe désignée, outils, formation, simulations
  2. Détection et analyse — surveillance, alertes, qualification, classification du risque
  3. Confinement, éradication, reprise — isoler le système, supprimer la cause, restaurer
  4. Activité post-incident — registre, notifications, leçons retenues

Modèle de protocole minimal pour une PME

À J0 (découverte)

  • Activer la cellule incident : RPRP + responsable IT/MSP + direction
  • Préserver la preuve — ne pas effacer les traces avant de les sauvegarder
  • Évaluer rapidement : Quoi? Quand? Combien de personnes? Sensibilité?
  • Décider du confinement immédiat : isoler poste, désactiver compte, etc.

À J0+24h

  • Évaluation formelle du risque de préjudice sérieux (art. 3.7) documentée
  • Si préjudice sérieux possible → préparer la notification CAI
  • Inscription initiale au registre des incidents (art. 3.8)

À J0+72h (cible)

  • Notification CAI via formulaire officiel
  • Notification aux personnes concernées avec contenu obligatoire
  • Notification éventuelle à des tiers utiles (banques, police, fournisseurs)

À J0+30j

  • Mesures correctives mises en place (technique, organisationnel, formation)
  • Mise à jour de la politique / des contrôles
  • Bilan post-incident documenté

Contenu de l'avis aux personnes concernées

  • Description des RP affectés (ou explication si inconnu)
  • Brève description des circonstances
  • Date ou période de l'incident (ou approximation)
  • Mesures prises pour diminuer les risques de préjudice
  • Mesures que la personne peut elle-même prendre pour se protéger
  • Coordonnées du responsable où poser des questions

Le registre des incidents — contenu attendu (art. 3.8)

  1. Description des RP visés
  2. Brève description des circonstances
  3. Date ou période de l'incident (ou approximation)
  4. Date ou période de prise de connaissance
  5. Nombre de personnes concernées (ou approximation)
  6. Description des éléments amenant à conclure (ou non) au risque de préjudice sérieux
  7. Date et nature des avis transmis (CAI, personnes, autres)
  8. Mesures prises pour diminuer les risques
  9. Mesures prises pour éviter la récurrence

Conservation du registre : minimum 5 ans après prise de connaissance.

Ce que ça veut dire concrètement

  • Sans protocole, vous improvisez sous pression — perte de temps critique.
  • Sans cellule incident désignée, le délai « avec diligence » devient indéfendable.
  • Sans registre, vous violez l'article 3.8 — registre exigible par la CAI à tout moment.

Ce que ça signifie concrètement pour un dirigeant

  • « Avec diligence » se traduit en pratique par 72h — référence implicite au standard international RGPD.
  • L'évaluation du risque de préjudice sérieux (art. 3.7) doit être documentée — pas seulement intuitive.
  • Un registre absent ou désuet est une non-conformité directe à l'article 3.8.

Un incident ne se gère pas le jour où il survient — il se prépare.

🎯 Diagnostic rapide

  • Avez-vous un protocole d'incident écrit avec liste de contacts à jour?
  • Tenez-vous un registre des incidents conforme à l'art. 3.8 (9 éléments + conservation 5 ans)?
  • Avez-vous testé votre protocole par une simulation table-top dans les 12 derniers mois?

Si non à une seule, votre capacité de réponse n'est pas démontrable.

Quatre erreurs fréquentes

  • « On verra quoi faire le moment venu. » Faux. Le moment venu, le délai légal court, la pression est maximale, et les bonnes décisions exigent une préparation préalable.
  • « On notifie seulement si on est sûrs du préjudice. » Faux. L'article 3.5 parle de « motifs de croire qu'il s'est produit » — le seuil est bas. Le doute joue contre l'organisation.
  • « Le registre, c'est juste un fichier Excel. » Faux. Les 9 éléments de l'article 3.8 sont obligatoires — une simple liste informelle ne respecte pas l'obligation.
  • « On n'a jamais eu d'incident. » Faux probablement. La majorité des PME ont eu des incidents — souvent non détectés ou non documentés (courriel envoyé au mauvais destinataire, fichier oublié, mot de passe partagé compromis).

Un incident ne se gère pas le jour où il survient — il se prépare.

Sans protocole / Avec protocole

✗ Sans protocole

  • Improvisation sous pression
  • Délai « avec diligence » dépassé
  • Registre absent ou non conforme
  • Aucune simulation, aucun test
  • Notifications mal rédigées ou manquantes

✓ Avec protocole

  • Cellule incident désignée + contacts
  • Cible 72h pour notification CAI
  • Registre conforme art. 3.8
  • Simulation table-top annuelle
  • Modèles d'avis prêts (CAI + personnes)

Ce que la Loi 25 et les standards impliquent

  • Loi 25 art. 3.5 — mesures pour diminuer les risques + notification CAI/personnes si préjudice sérieux
  • Art. 3.6 — définition (accès, utilisation, communication non autorisés ou perte)
  • Art. 3.7 — évaluation du risque de préjudice sérieux : sensibilité + conséquences appréhendées + probabilité d'utilisation préjudiciable
  • Art. 3.8 — registre des incidents (9 éléments, conservation 5 ans)
  • ISO 27001 — A.5.24 (planification) + A.5.25 (évaluation) + A.5.26 (réponse) + A.5.27 (apprendre des incidents) + A.8.16 (surveillance)
  • CIS Controls v8 IG1 #17 — Incident Response Management (3 sous-mesures) + #8 Audit Log Management
  • NIST SP 800-61r2 — référence internationale en 4 phases

Concrètement pour une PME :

  • Chaque jour sans protocole est un risque opérationnel et juridique
  • Chaque incident sans registre est une obligation non remplie (art. 3.8)
  • Chaque notification tardive aggrave les conséquences juridiques

Le coût vient de l'improvisation — pas du protocole.

En résumé

  • Articles 3.5, 3.6, 3.7, 3.8 — incident, évaluation, notification, registre
  • Protocole en 4 phases (préparation → détection → confinement → post-incident)
  • Cible pratique : notification CAI dans les 72h
  • Registre conforme art. 3.8 (9 éléments, conservation 5 ans)
  • Simulation table-top annuelle

Le registre des incidents et la coordination du RPRP sont traités dans la Formation Gouvernance PRP, modules Registres obligatoires et RPRP et mandat. Ce module-ci se concentre sur la mécanique technique : détection, simulation, communication. Si vous voulez confier la coordination des incidents à un tiers expert, le mandat RPRP externe couvre cette fonction.

Pour aller plus loin

Voir les exigences légales →

Test rapide — votre capacité de réponse tient-elle?

Découvrir le mandat RPRP externe →

Confier la coordination des incidents

Le mandat RPRP externe couvre la coordination des incidents de confidentialité — protocole en place, notifications dans les délais, registre tenu.

Découvrir le mandat RPRP externe Analyser mon infrastructure

← Retour au plan de la formation Numérique