Version bêta — Contenu en cours de vérification

Ce guide Loi 25 est en cours de révision et peut contenir des inexactitudes. Ne l'utilisez pas seul pour prendre des décisions juridiques ou réglementaires. Pour toute décision à portée légale, consultez un avocat ou la Commission d'accès à l'information (CAI).

⚖️
Information juridique — pas un avisCe contenu est éducatif et général. Il ne constitue pas un avis juridique (art. 128, Loi sur le Barreau, RLRQ c. B-1) et ne qualifie pas votre situation particulière. Consultez un avocat ou la CAI pour toute décision.
CHAPITRE 7 · PRIORITÉ OPÉRATIONNELLE

Gestion des incidents de confidentialité

Obligatoire depuis septembre 2022. Tout incident doit être consigné au registre — même les mineurs. La notification à la CAI n'est requise qu'en cas de risque de préjudice sérieux.

7.1 · Définition légale

Qu'est-ce qu'un incident de confidentialité?

Défini à l'article 3.6 de la loi comme : tout accès, utilisation ou communication non autorisés d'un renseignement personnel, la perte d'un renseignement personnel, ou toute autre atteinte à sa protection.

Exemples concrets :

  • Courriel envoyé au mauvais destinataire contenant des données personnelles
  • Vol ou perte d'un ordinateur portable contenant des dossiers (chiffré ou non)
  • Attaque par rançongiciel chiffrant des serveurs contenant des données clients
  • Base de données mal configurée exposée publiquement sur Internet
  • Employé qui consulte des dossiers sans raison légitime
  • Document confidentiel jeté sans déchiquetage
Principe de précaution : en cas de doute sur le fait qu'un événement constitue un incident, consignez-le, puis évaluez. Il vaut mieux surreporter que sous-reporter.
7.2 · Deux obligations distinctes

Registre (toujours) vs Notification (si préjudice sérieux)

Obligation 1 — TOUJOURS
Consigner au registre

Chaque incident — même mineur, même sans risque de préjudice — doit être inscrit au registre.

Obligation 2 — SI PRÉJUDICE SÉRIEUX
Notifier la CAI + les personnes

Uniquement quand l'incident présente un risque de préjudice sérieux pour les personnes concernées.

7.3 · Évaluation

Évaluer le risque de préjudice sérieux — 4 facteurs

Pour déterminer s'il y a un risque de préjudice sérieux, évaluez :

  1. La sensibilité des renseignements concernés
  2. Les utilisations malveillantes possibles de ces renseignements
  3. Les conséquences appréhendées de leur utilisation (vol d'identité, fraude, atteinte à la réputation, dommage corporel)
  4. La probabilité qu'ils soient utilisés à des fins préjudiciables
Exemples de préjudice sérieux : vol d'identité, fraude financière, atteinte à la réputation, humiliation, dommage corporel. Si vous êtes incertain — notifiez.
7.4 · Délais

72 heures pour aviser la CAI

Lorsque l'évaluation conclut à un risque de préjudice sérieux :

  • Aviser la CAI avec diligence — référence : 72 heures selon les lignes directrices de la CAI
  • Aviser les personnes concernées dans un délai qui leur permet de se protéger (changer un mot de passe, surveiller leur crédit)
7.5 · Processus complet

6 étapes de réponse à un incident

  1. Détecter et contenir : isoler le système, limiter la propagation. Toute l'équipe TI en alerte.
  2. Consigner au registre dès la découverte — même avant de savoir si c'est sérieux.
  3. Évaluer le risque de préjudice sérieux avec le RPRP (4 facteurs ci-dessus).
  4. Notifier la CAI et les personnes concernées si le seuil est atteint — viser 72 heures.
  5. Remédier : corriger la cause, renforcer les contrôles, appliquer les correctifs.
  6. Documenter la clôture et les leçons apprises — mettre à jour le PRI.
7.6 · Le registre

Contenu obligatoire du registre des incidents

Pour chaque incident, le registre doit contenir :

  • Description des renseignements touchés (ou raisons si impossible à préciser)
  • Brève description des circonstances
  • Date ou période de l'incident et date de découverte
  • Nombre approximatif de personnes concernées
  • Description des éléments menant à la conclusion sur le préjudice sérieux
  • Dates de transmission des avis à la CAI et aux personnes (si applicable)
  • Description des mesures prises pour réduire les risques
Conservation minimale : 5 ans. Le registre peut être exigé par la CAI lors d'une inspection ou d'une enquête. Voir le gabarit de registre (chapitre 13).

✓ Checklist incidents

  • ☐ Un registre des incidents est-il en place et à jour depuis sept. 2022?
  • ☐ Avons-nous un plan de réponse aux incidents (PRI) écrit avec des rôles clairs?
  • ☐ Savons-nous comment et quand aviser la CAI (formulaire officiel disponible sur cai.gouv.qc.ca)?
  • ☐ Le personnel sait-il reconnaître et signaler un incident à qui?
  • ☐ Le registre est-il conservé depuis au moins sept. 2022 et accessible pour 5 ans?
← L'ÉFVPDroits des personnes →