CapGRC
Retour aux ressources
Loi 25Article

Gestion des incidents de sécurité sous la Loi 25 : obligations et bonnes pratiques

Depuis septembre 2023, toutes les organisations québécoises doivent notifier leurs incidents de confidentialité. Voici un guide complet pour structurer votre processus de réponse et respecter vos obligations légales.

10 min de lecture5 mars 2026

Un rançongiciel frappe votre organisation à 3 h du matin. Des données clients ont été exfiltrées. Vous avez maintenant quelques heures pour décider si vous devez notifier la Commission d’accès à l’information du Québec (CAI) et les personnes affectées. Sans plan préétabli, cette décision devient un cauchemar juridique et opérationnel. La Loi 25 ne laisse aucune place à l’improvisation.

Sanctions en cas de non-conformité

Le non-respect des obligations de notification des incidents peut entraîner des amendes administratives jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial. La CAI peut également publier les décisions, ce qui crée un risque réputationnel majeur.

Qu’est-ce qu’un incident de confidentialité selon la Loi 25 ?

La Loi 25 définit un incident de confidentialité comme tout accès, utilisation ou communication non autorisé d’un renseignement personnel, ou perte de contrôle de celui-ci. Cela inclut les cyberattaques, les fuites internes, les erreurs d’envoi et les pertes de supports physiques.

Types d’incidents couverts

  • Cyberattaques (rançongiciels, exfiltration de données, hameçonnage)
  • Accès non autorisé par un employé ou un tiers
  • Envoi accidentel de données à une mauvaise personne
  • Perte ou vol d’un appareil contenant des renseignements personnels
  • Destruction accidentelle ou non autorisée de données
  • Compromission d’un fournisseur tiers ayant accès à vos données

Le processus de réponse aux incidents en 6 étapes

1

Détection et signalement interne

Immédiat
  • L’employé qui découvre l’incident le signale immédiatement à son responsable
  • Le responsable avise le RPRP (Responsable de la protection des renseignements personnels)
  • L’incident est consigné dans le registre des incidents avec horodatage
  • Une équipe de réponse est activée si l’incident est significatif
2

Confinement et évaluation initiale

0–24 heures
  • Isoler les systèmes compromis pour limiter la propagation
  • Préserver les preuves numériques (journaux, captures mémoire)
  • Évaluer préliminairement la nature et l’ampleur de l’incident
  • Déterminer si des renseignements personnels sont impliqués
3

Évaluation du risque de préjudice

24–48 heures
  • Identifier les catégories et le nombre de personnes affectées
  • Évaluer la sensibilité des données exposées (santé, finances, biométrie, etc.)
  • Déterminer si le risque de préjudice sérieux est présent
  • Documenter l’analyse avec les critères évalués
4

Notification à la CAI

Le plus tôt possible
  • Remplir le formulaire de déclaration d’incident de la CAI
  • Transmettre le formulaire via le portail en ligne de la CAI
  • Inclure : nature de l’incident, données impliquées, mesures prises
  • Conserver une copie de la déclaration avec horodatage
5

Notification aux personnes affectées

Sans délai raisonnable
  • Identifier les coordonnées des personnes dont les données ont été compromises
  • Rédiger un avis clair : nature de l’incident, données impliquées, mesures prises et recommandations
  • Envoyer l’avis par le moyen le plus susceptible d’atteindre les personnes
  • Conserver la preuve des notifications envoyées
6

Remédiation et enregistrement

Post-incident
  • Mettre en place les mesures correctives pour éviter la récurrence
  • Documenter l’incident complet dans le registre des incidents
  • Conduire un examen post-incident (« lessons learned »)
  • Mettre à jour les politiques et procédures si nécessaire

Le registre des incidents : une obligation légale

Toute organisation doit tenir un registre de tous les incidents de confidentialité, même ceux qui ne présentent pas de risque sérieux de préjudice. Ce registre doit être conservé pendant au moins 5 ans et mis à disposition de la CAI sur demande.

  • Date et heure de la découverte de l’incident
  • Nature de l’incident et causes connues
  • Catégories et nombre approximatif de personnes affectées
  • Catégories de renseignements personnels impliqués
  • Mesures prises pour réduire le risque de préjudice
  • Indication si la CAI et les personnes ont été notifiées (avec dates)

Articles connexes

CapGRC automatise votre gestion des incidents Loi 25

Registre des incidents intégré, évaluation guidée du risque de préjudice et génération automatique des formulaires de déclaration à la CAI.

Demander une démoNous contacter