Gérer un incident de confidentialité : procédure d'urgence pour les PME

Vendredi 16 h : un employé envoie la liste des clients au mauvais destinataire. C'est peut-être un incident de confidentialité — pas le moment d'improviser. La panique coûte cher ; une procédure simple, testée à l'avance, protège les personnes et l'entreprise.

Qu'est-ce qu'un incident ?

En général, il s'agit d'un accès non autorisé, d'une utilisation non autorisée, d'une communication non autorisée ou d'une perte de renseignements personnels. Exemples classiques en PME :

• Envoi d'une liste de clients en pièce jointe à la mauvaise personne.
• Rançongiciel sur un serveur contenant des dossiers RH.
• Compte courriel compromis utilisé pour hameçonnage interne.
• Clé USB perdue avec des données non chiffrées.

Un incident « petit » mérite quand même une ligne au registre. Même sans notification obligatoire à la CAI, documenter montre votre diligence si la situation évolue ou si une plainte arrive plus tard.

Que faire dans les premières heures ?

1. Contenir — couper l'accès, réinitialiser les mots de passe, isoler le système. Agissez vite, sans effacer les preuves utiles à l'enquête.
2. Documenter — heure, nature des données, nombre approximatif de personnes, cause présumée.
3. Évaluer le risque de préjudice sérieux — sensibilité des renseignements, probabilité d'utilisation malveillante.
4. Consulter le PRP et, au besoin, un avocat — décision de notifier la CAI et les personnes concernées (rôle du PRP).

Notification à la CAI et aux personnes

Lorsque l'incident présente un risque de préjudice sérieux, la loi exige de notifier la Commission d'accès à l'information (CAI) et, sauf exception, les personnes concernées. Le contenu de l'avis doit être clair : description, renseignements visés, mesures prises, recommandations pour se protéger.

Les délais sont courts. Préparez un modèle d'avis à l'avance — rédiger sous pression, un vendredi soir, c'est garanti d'oublier un élément.

Registre et procédure interne minimale

Votre registre d'incidents devrait inclure, pour chaque événement :

• Date de découverte et de l'incident.
• Description et catégories de renseignements.
• Mesures correctives et preuves (billets, courriels, rapports TI).
• Décision et date de notification CAI / personnes, le cas échéant.

Pour le risque financier en cas de négligence, voir sanctions financières Loi 25. Croisez avec la check-list express — la question sur le registre d'incidents est souvent un « non » révélateur.

En bref

Contenir, documenter, évaluer, notifier si requis — dans cet ordre. Une page de procédure affichée dans l'équipe vaut mieux qu'un manuel de 40 pages que personne n'a lu.

Références utiles

• CAI — Incidents de confidentialité — obligations de notification et formulaires.
• Loi P-39.1 (LégisQuébec) — cadre légal du secteur privé.
• Sanctions et amendes — pourquoi la négligence peut coûter cher.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

Votre politique Web doit expliquer comment vous informez les personnes en cas d'incident. Notre analyse technique gratuite aide à repérer les écarts observables sur le site public — elle complète, sans remplacer, votre programme de conformité.