effset — Solutions Web & TI intelligentes
Conformité
10 min read

Incident de confidentialité: Quoi faire dans les 72 premières heures

Alarme d'urgence rouge sur mur

Incident de confidentialité: Quoi faire dans les 72 premières heures

Une fuite de données vient d’être découverte dans votre entreprise. Les minutes qui suivent sont critiques. Que devez-vous faire? Qui devez-vous aviser? Quelles sont vos obligations légales?

Ce guide vous accompagne à travers les 72 premières heures d’un incident de confidentialité selon la Loi 25.

Qu’est-ce qu’un incident de confidentialité?

Selon la Loi 25, un incident de confidentialité est:

L’accès non autorisé par la loi à un renseignement personnel, son utilisation ou sa communication non autorisée, ou sa perte ou toute autre forme d’atteinte à sa protection.

Exemples concrets

  • Cyberattaque: Rançongiciel, vol de données
  • Erreur humaine: Courriel envoyé au mauvais destinataire avec données sensibles
  • Vol physique: Ordinateur portable volé contenant des données clients
  • Accès non autorisé: Employé qui consulte des dossiers sans justification
  • Perte: Clé USB perdue contenant des informations personnelles
  • Fournisseur compromis: Un de vos sous-traitants subit une brèche
Alerte et urgence sécurité
Alerte et urgence sécurité

Vos obligations légales au Québec

Obligation 1: Prendre des mesures raisonnables

  • Dès la découverte de l’incident, vous devez:
  • Limiter les dommages
  • Empêcher que l’incident ne se reproduise

Obligation 2: Évaluer le risque de préjudice

Déterminez si l’incident présente un risque de préjudice sérieux pour les personnes touchées.

Obligation 3: Aviser la CAI (si risque sérieux)

Si le risque est sérieux, vous devez aviser la Commission d’accès à l’information du Québec avec diligence.

Obligation 4: Aviser les personnes touchées (si risque sérieux)

Les personnes dont les renseignements sont compromis doivent être informées.

Obligation 5: Tenir un registre

Vous devez documenter tous les incidents, même ceux sans risque sérieux.

Comment évaluer le risque de préjudice

Facteurs à considérer

Facteur Questions à se poser
——— ———————
Sensibilité S’agit-il de données financières, de santé, NAS?
Conséquences Vol d’identité possible? Dommages financiers?
Probabilité Les données peuvent-elles être utilisées malicieusement?
Nombre Combien de personnes sont touchées?

Exemples de risque sérieux

  • Risque sérieux (notification requise):
  • Numéros d’assurance sociale exposés
  • Informations bancaires volées
  • Données de santé compromises
  • Mots de passe en clair divulgués
  • ⚠️ Évaluation au cas par cas:
  • Noms et adresses courriel
  • Historique d’achats
  • Données de navigation
  • Risque généralement non sérieux:
  • Données déjà publiques
  • Données chiffrées avec clé non compromise
  • Accès limité dans le temps et corrigé rapidement

Les 72 premières heures: Guide étape par étape

Heure 0-4: Réponse immédiate

  • #### 1. Confirmez l’incident
  • Vérifiez qu’il s’agit bien d’un incident réel
  • Identifiez la source et l’étendue initiale
  • #### 2. Activez l’équipe de réponse
  • Responsable de la protection des renseignements personnels
  • TI/Sécurité
  • Direction
  • Juridique (si disponible)
  • #### 3. Contenez l’incident
  • Isolez les systèmes compromis
  • Révoquez les accès compromis
  • Préservez les preuves (logs, captures d’écran)
  • Ne pas éteindre les systèmes (préserve les preuves)

Heure 4-24: Évaluation

  • #### 4. Déterminez l’étendue
  • Quels renseignements sont touchés?
  • Combien de personnes sont affectées?
  • Comment l’incident s’est-il produit?
  • #### 5. Évaluez le risque de préjudice
  • Utilisez la grille d’évaluation ci-dessus
  • Documentez votre analyse
  • En cas de doute, considérez le risque comme sérieux
  • #### 6. Prenez une décision de notification
  • Si risque sérieux → notification CAI + personnes
  • Si risque non sérieux → documentation au registre

Heure 24-72: Notification

#### 7. Avisez la CAI (si risque sérieux)

  • Informations à fournir:
  • Description de l’incident
  • Date et circonstances
  • Renseignements personnels concernés
  • Nombre de personnes touchées
  • Mesures prises pour diminuer les risques
  • Coordonnées d’une personne-ressource
  • Comment notifier:
  • Formulaire en ligne sur le site de la CAI
  • cai.gouv.qc.ca

#### 8. Avisez les personnes touchées (si risque sérieux)

  • Contenu de l’avis:
  • Description de l’incident
  • Renseignements personnels concernés
  • Mesures prises par l’entreprise
  • Mesures que la personne peut prendre pour se protéger
  • Coordonnées pour obtenir plus d’informations
  • Format de l’avis:
  • Direct et personnel (courriel, lettre)
  • Langage clair et simple
  • Pas de jargon juridique
  • #### 9. Avisez les tiers pertinents (si applicable)
  • Institutions financières (si données bancaires)
  • Agences de crédit
  • Assureur cyberrisque
  • Partenaires/fournisseurs affectés

Après 72 heures: Suivi

  • #### 10. Documentez complètement
  • Chronologie détaillée
  • Décisions prises et justifications
  • Preuves conservées
  • Communications envoyées
  • #### 11. Corrigez les vulnérabilités
  • Identifiez la cause racine
  • Mettez en place des correctifs
  • Testez les corrections
  • #### 12. Révisez vos mesures de sécurité
  • L’incident aurait-il pu être prévenu?
  • Vos procédures ont-elles fonctionné?
  • Que devez-vous améliorer?

Modèle d’avis aux personnes touchées

Objet: Avis d'incident de confidentialité

Madame, Monsieur,

Nous vous écrivons pour vous informer d’un incident de confidentialité
qui a touché certains de vos renseignements personnels.

CE QUI S’EST PASSÉ
Le [DATE], nous avons découvert que [DESCRIPTION BRÈVE].
Cet incident a affecté [TYPE DE DONNÉES].

RENSEIGNEMENTS CONCERNÉS
Les renseignements personnels suivants vous concernant ont pu être
consultés: [LISTE].

  • CE QUE NOUS AVONS FAIT
  • Dès la découverte de l’incident, nous avons:
  • [MESURE 1]
  • [MESURE 2]
  • [MESURE 3]
  • CE QUE VOUS POUVEZ FAIRE
  • Nous vous recommandons de:
  • Surveiller vos relevés bancaires
  • Être vigilant face aux tentatives d’hameçonnage
  • Changer vos mots de passe si vous utilisez le même ailleurs
  • [AUTRES RECOMMANDATIONS]

POUR PLUS D’INFORMATIONS
Si vous avez des questions, contactez:
[NOM] – [COURRIEL] – [TÉLÉPHONE]

Nous sommes sincèrement désolés de cette situation et prenons
toutes les mesures nécessaires pour éviter qu’elle ne se reproduise.

[SIGNATURE] « `

Documentation et registre
Documentation et registre

Le registre des incidents

Obligation permanente

Vous devez tenir un registre de tous les incidents de confidentialité, qu’ils présentent ou non un risque sérieux.

Contenu du registre

  • Pour chaque incident:
  • Date de l’incident et date de découverte
  • Description de l’incident
  • Renseignements personnels touchés
  • Nombre de personnes concernées
  • Évaluation du risque de préjudice
  • Mesures prises
  • Notifications effectuées (si applicable)
  • Leçons apprises

Conservation

Le registre doit être conservé pendant 5 ans après la date de connaissance de l’incident.

Erreurs courantes à éviter

1. Tarder à agir
Chaque heure compte. Une réponse rapide limite les dommages et démontre votre diligence.

2. Minimiser l’incident
En cas de doute sur la gravité, traitez l’incident comme sérieux. Mieux vaut surréagir que sous-réagir.

3. Communiquer trop tôt sans faits
Attendez d’avoir des informations fiables avant de communiquer, mais ne tardez pas indûment.

4. Détruire des preuves
Ne supprimez pas de logs, ne réinstallez pas de systèmes avant d’avoir préservé les preuves.

5. Oublier le registre
Même les « petits » incidents doivent être documentés. C’est une obligation légale.

Préparez-vous avant l’incident

Plan de réponse aux incidents

  • Documentez à l’avance:
  • Qui fait partie de l’équipe de réponse
  • Les rôles et responsabilités
  • Les procédures de communication
  • Les contacts d’urgence (TI, juridique, RP)

Exercices de simulation

Pratiquez votre plan au moins une fois par an avec un scénario fictif.

Assurance cyberrisque

  • Envisagez une police qui couvre:
  • Les coûts de notification
  • Les services de surveillance de crédit
  • Les frais juridiques
  • Les pertes d’exploitation

Conclusion

Un incident de confidentialité est stressant, mais une réponse structurée fait toute la différence. Préparez-vous maintenant, avant qu’un incident ne survienne.

Gardez ce guide accessible — vous n’aurez pas le temps de le chercher quand vous en aurez besoin.

Votre site web protège-t-il adéquatement les données de vos clients? Vérifiez sa conformité à la Loi 25 gratuitement.

frederik
frederik
https://effset.ca
Article suivant
Télétravail sécuritaire: 7 mesures essentielles pour les PME

Articles connexes

janvier 14, 2026

Le principe de diligence en cybersécurité: Votre meilleure défense légale

Comprendre le principe de diligence raisonnable en cybersécurité. Comment démontrer que votre PME a pris les mesures nécessaires pour protéger les données.
décembre 17, 2025

Cookies et consentement: Comment être conforme sur votre site web

Guide pratique pour gérer les cookies sur votre site web en conformité avec la Loi 25. Bandeau de cookies, types de témoins et bonnes pratiques.

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *