Depuis le 22 septembre 2022, toute entreprise québécoise doit notifier les incidents de confidentialité à la Commission d'accès à l'information (CAI) et aux personnes concernées lorsque l'incident présente un risque de préjudice sérieux. L'omission d'aviser est elle-même une violation de la loi, indépendamment de l'incident initial.
Ce chapitre décrit la procédure pas à pas, avec les délais et les outils à préparer avant qu'un incident ne survienne.
Qu'est-ce qu'un incident de confidentialité?
L'article 3.6 de la LPRPSP définit un incident de confidentialité comme :
l'accès non autorisé par la loi à un renseignement personnel, l'utilisation non autorisée par la loi d'un tel renseignement, la communication non autorisée par la loi d'un tel renseignement ou la perte d'un renseignement personnel ou toute autre atteinte à la protection d'un tel renseignement.
Exemples concrets que nous voyons régulièrement :
- Ordinateur portable volé contenant des dossiers clients non chiffrés.
- Clé USB perdue avec des exports RH.
- Courriel envoyé à la mauvaise personne contenant une pièce jointe avec des renseignements personnels.
- Accès non autorisé à une boîte Microsoft 365 après compromission de mot de passe.
- Rançongiciel ayant exfiltré des données avant chiffrement.
- Fichiers SharePoint mal partagés (lien public au lieu de lien privé).
- Employé qui consulte des dossiers auxquels il n'a pas droit (par curiosité, pour un tiers).
L'incident existe même si les renseignements n'ont pas été utilisés — le seul fait qu'ils aient été exposés suffit à enclencher les obligations.
La règle du « risque de préjudice sérieux »
L'article 3.5 impose de notifier uniquement lorsque l'incident présente un risque de préjudice sérieux. Il faut donc procéder à une évaluation documentée dès la découverte.
Les trois facteurs à évaluer (art. 3.7) :
- La sensibilité du renseignement — des renseignements de santé, financiers, biométriques ou d'identité (NAS, permis) présentent un risque plus élevé qu'une simple adresse courriel professionnelle.
- Les conséquences appréhendées — vol d'identité, fraude financière, préjudice psychologique, atteinte à la réputation, perte d'emploi, discrimination.
- La probabilité d'utilisation malveillante — incident accidentel (courriel mal adressé à un employé de confiance, destinataire contacté pour détruire) vs. incident malicieux (vol, rançongiciel, publication en ligne).
Le test est cumulatif et qualitatif : un seul facteur très élevé peut suffire. Il n'y a pas de seuil numérique.
Exemple d'évaluation
Un ordinateur portable chiffré disparaît d'un véhicule. Le chiffrement est valide, aucun mot de passe noté sur l'appareil, rapport de police déposé.
- Sensibilité : élevée (données RH de 120 employés).
- Conséquences : vol d'identité possible.
- Probabilité : faible (chiffrement intact — la CAI reconnaît le chiffrement adéquat comme atténuateur déterminant).
Conclusion : l'incident est consigné au registre mais ne déclenche pas de notification. Si le chiffrement avait été absent ou faible, la conclusion aurait été inverse.
La notification à la CAI
Quand un risque de préjudice sérieux est retenu, l'entreprise doit aviser la CAI dans les meilleurs délais (la loi ne précise pas d'heures fixes, mais la CAI attend de l'ordre de quelques jours, pas de semaines).
La notification se fait via le formulaire en ligne de la CAI et doit contenir :
- La description de l'incident (date, lieu, nature, nombre de personnes touchées).
- Les circonstances (comment, pourquoi, qui a découvert).
- La date ou période à laquelle l'incident est survenu.
- Une description des renseignements concernés.
- Les mesures prises ou envisagées pour atténuer les préjudices.
- Les mesures pour éviter la récurrence.
- Les coordonnées d'une personne à joindre à la CAI.
Important : une notification préliminaire peut être envoyée avec les informations disponibles, puis complétée au fur et à mesure de l'enquête. N'attendez pas d'avoir toute l'information avant d'aviser.
La notification aux personnes concernées
Chaque personne dont les renseignements sont concernés doit être avisée, sauf exception (par exemple, si cela compromet une enquête criminelle en cours, art. 3.5 in fine).
L'avis doit contenir :
- La date ou période de l'incident.
- Les renseignements touchés.
- Les mesures prises pour atténuer le préjudice.
- Les mesures que la personne peut elle-même prendre (changer son mot de passe, surveiller son crédit, etc.).
- Le nom et les coordonnées d'une personne à joindre chez vous pour plus d'information.
Le moyen doit être adapté : courriel si adresse connue, lettre postale pour dossiers anciens, avis public (site web + communiqué) si le volume est trop important ou les coordonnées inconnues.
Le registre des incidents (art. 3.8)
L'entreprise doit tenir un registre des incidents de confidentialité pour tous les incidents, y compris ceux qui ne déclenchent pas de notification. Ce registre doit être mis à la disposition de la CAI sur demande.
Champs minimum à consigner pour chaque incident :
| Champ | Exemple |
|---|---|
| Date et heure de la découverte | 2026-04-20 08:14 |
| Date et heure de l'incident (si connue) | 2026-04-18 entre 22 h et 23 h |
| Description de l'incident | Vol de sacoche contenant un portable de travail |
| Catégories de renseignements | Identifiants + dossiers RH |
| Nombre de personnes touchées | ~120 |
| Niveau de sensibilité | Élevée |
| Évaluation du risque de préjudice sérieux | Faible (chiffrement AES-256 actif, mot de passe non noté) |
| Notification CAI | Non |
| Notification personnes | Non |
| Mesures prises | Rapport de police, révocation d'accès, audit Entra ID |
| Mesures préventives | Formation renouvelée, chiffrement vérifié sur l'ensemble du parc |
| Responsable du dossier | Pascal Dupuis (responsable RP) |
Le registre peut être tenu dans un tableau Excel sécurisé, un outil GRC spécialisé ou un module de HaloPSA / ServiceNow — l'important est l'accessibilité, la traçabilité et la non-altération des entrées historiques.
La procédure à avoir prête (avant l'incident)
La pire situation : un incident se produit un vendredi à 17 h et personne ne sait quoi faire. Une procédure écrite, testée et connue est la différence entre une heure de gestion propre et trois jours de panique.
Procédure type (à adapter à votre réalité)
Heure 0 — Détection : qui signale? À qui? Par quel canal (téléphone dédié, adresse dédiée, alerte EDR)?
Heure 0 à +2 h — Confinement :
- Isolation du poste / du compte / du réseau affecté.
- Changement immédiat des mots de passe des comptes à risque.
- Préservation des traces (logs Entra ID, NinjaOne, Defender, Bitdefender).
Heure +2 h à +24 h — Évaluation :
- Qui : responsable RP + TI (interne ou Hilo Tech) + direction + avocat.
- Quoi : quels renseignements, combien de personnes, quelle sensibilité, quelle probabilité d'utilisation.
- Document : fiche d'évaluation du risque de préjudice sérieux.
Heure +24 h à +72 h — Décisions :
- Notifier la CAI? (formulaire en ligne)
- Notifier les personnes? (moyen, libellé)
- Police? (vol physique, rançongiciel, menace)
- Assurance cyber?
Jour +3 à +30 — Exécution et suivi :
- Envoi des notifications.
- Mesures correctives (techniques + organisationnelles).
- Entrée au registre des incidents.
- Post-mortem avec l'équipe.
Notre rôle côté TI
Chez Hilo Tech, nous participons à la préparation (rédaction du playbook IT, configuration des outils de détection, exercices de simulation) et à l'exécution (confinement, préservation des traces, restauration, audit post-incident). La décision de notifier et la rédaction des avis officiels sont prises par le client et son avocat — nous apportons les faits techniques qui étayent la décision.
Liste de contrôle rapide
- Nous avons une procédure écrite de gestion d'incident de confidentialité.
- La procédure inclut les coordonnées 24/7 du responsable RP et du fournisseur TI.
- Nous tenons un registre des incidents, accessible à la CAI sur demande.
- Nos portables, téléphones et clés USB sont chiffrés.
- Les logs Microsoft 365 / Entra ID / EDR sont conservés au moins 6 mois.
- Nous avons un modèle d'avis aux personnes concernées, validé par notre avocat.
- Notre équipe sait qui appeler en premier en cas de soupçon.
Erreurs fréquentes
- « On attend de comprendre avant d'aviser la CAI. » — La loi exige une notification dans les meilleurs délais. Une notification préliminaire, même incomplète, est attendue.
- « Ce n'est pas grave, c'était juste un courriel mal adressé à un collègue. » — C'est tout de même un incident qui doit être consigné au registre. L'évaluation du risque peut conclure qu'aucune notification n'est requise, mais l'analyse doit exister.
- « On n'a pas de procédure écrite, on verra le moment venu. » — Le moment venu, c'est un vendredi soir. Une procédure préparée est l'investissement le plus rentable.
- Ne pas documenter les chiffrements. — Si un portable chiffré est volé, vous devez pouvoir prouver que le chiffrement était actif (BitLocker + politique Intune). Sans preuve, la CAI peut considérer l'incident comme s'il n'y avait pas de chiffrement.
Questions à poser à votre conseiller juridique
- Quelle version du modèle d'avis aux personnes concernées correspond à notre secteur?
- Dans quelles circonstances pouvons-nous retarder une notification pour ne pas compromettre une enquête policière?
- Devons-nous aviser également d'autres autorités (CAI fédérale via PIPEDA, autorités américaines si clients non-québécois touchés)?
- Quel est notre niveau d'exposition au recours civil de l'art. 93.1 (dommages punitifs de 1 000 $ minimum) en cas de fuite?
Une question sur ce guide?
Pascal et Jérémie peuvent répondre directement par courriel ou lors d'un appel de découverte.
Nous écrire