Incident de confidentialité : que faire dans les 72 premières heures

Un employé envoie un relevé de placement au mauvais client par courriel. Un ordinateur portable contenant des dossiers financiers est volé dans une voiture. Un ancien employé accède au CRM trois semaines après son départ. Chacune de ces situations est un incident de confidentialité au sens de la Loi 25, et chacune déclenche des obligations précises.

Voici, étape par étape, ce que votre cabinet doit faire quand un incident survient.

Qu'est-ce qu'un incident de confidentialité

La Loi 25 définit quatre types d'événements qui constituent un incident de confidentialité :

L'accès non autorisé. Quelqu'un qui n'aurait pas dû voir les renseignements y a accédé. Par exemple, un employé qui consulte le dossier d'un client sans raison professionnelle, ou un pirate informatique qui accède à votre système. L'utilisation non autorisée. Des renseignements sont utilisés à une fin qui n'a pas été prévue ou autorisée. Par exemple, un employé qui utilise la liste de clients du cabinet pour solliciter des affaires personnelles. La communication non autorisée. Des renseignements sont transmis à une personne ou une organisation qui n'aurait pas dû les recevoir. Par exemple, envoyer un document contenant des NAS à un mauvais destinataire par courriel. La perte. Des renseignements ne sont plus accessibles et leur localisation est inconnue. Par exemple, une clé USB contenant des dossiers clients égarée, ou un ordinateur portable volé.

Le point important : l'incident n'a pas à être le résultat d'une cyberattaque spectaculaire. Les erreurs humaines banales (mauvais destinataire, document oublié sur une imprimante partagée, appareil perdu) sont les incidents les plus fréquents dans les cabinets de services financiers.

Étape 1 : Contenir l'incident immédiatement

Avant même d'évaluer le risque, prenez les mesures nécessaires pour limiter l'étendue de l'incident.

Courriel envoyé au mauvais destinataire : Contactez le destinataire immédiatement pour lui demander de supprimer le message sans le lire ni le transférer. Documentez l'échange. Accès non autorisé à un système : Révoquez l'accès concerné. Changez les mots de passe compromis. Vérifiez les journaux d'accès pour déterminer quels renseignements ont été consultés ou copiés. Appareil perdu ou volé : Activez l'effacement à distance si la fonctionnalité est disponible. Vérifiez si l'appareil était chiffré (si oui, le risque de préjudice est considérablement réduit). Signalez le vol à la police si applicable. Cyberattaque ou rançongiciel : Isolez les systèmes touchés du réseau. Ne payez pas la rançon sans consulter un expert en cybersécurité. Contactez votre assureur cyber si vous en avez un.

Chaque minute compte pour le confinement. Plus l'incident dure, plus le nombre de personnes touchées et le risque de préjudice augmentent.

Étape 2 : Évaluer le risque de préjudice sérieux

C'est l'étape qui détermine si vous devez notifier la CAI et les personnes touchées, ou simplement inscrire l'incident au registre.

La loi vous demande d'évaluer si l'incident présente un risque de préjudice sérieux pour les personnes concernées. Trois facteurs guident cette évaluation :

La sensibilité des renseignements touchés. Les renseignements financiers (relevés bancaires, placements, revenus), les numéros d'assurance sociale, les données de santé et les données biométriques sont considérés comme hautement sensibles. Un incident impliquant un NAS est presque toujours considéré comme présentant un risque sérieux. Un incident impliquant uniquement un nom et une adresse postale est généralement moins grave. Les conséquences appréhendées de l'utilisation des renseignements. Vol d'identité, fraude financière, atteinte à la réputation, discrimination, perte d'emploi. Dans le secteur financier, les données que vous détenez permettent directement de commettre des fraudes. Le risque de conséquences graves est donc élevé par défaut. La probabilité que les renseignements soient utilisés à des fins malveillantes. Un courriel envoyé par erreur à un autre client de votre cabinet (qui comprend la situation et supprime le message) présente un risque plus faible qu'une exfiltration de données par un pirate informatique. Le contexte compte. Règle pratique pour les cabinets financiers : Si l'incident touche des NAS, des données bancaires, des informations de crédit ou des données de santé pour l'assurance, considérez par défaut que le risque de préjudice sérieux est présent. Il vaut mieux notifier par excès de prudence que de sous-évaluer le risque et s'exposer à des sanctions pour défaut de notification.

Étape 3 : Notifier la CAI (si risque de préjudice sérieux)

Si votre évaluation conclut à un risque de préjudice sérieux, vous devez notifier la CAI « avec diligence ». La loi ne fixe pas un délai précis en heures, mais le terme « avec diligence » est interprété comme « le plus rapidement possible dans les circonstances ». En pratique, visez les 72 heures suivant la prise de connaissance de l'incident, un délai aligné sur le standard du RGPD européen et considéré comme raisonnable par la communauté juridique.

Comment notifier : La CAI a mis en ligne un formulaire de déclaration d'incident de confidentialité sur son site web (cai.gouv.qc.ca). Le formulaire vous demande de fournir :

• La description de l'incident (quoi, quand, comment)
• Les catégories de renseignements personnels touchés
• Le nombre de personnes concernées (ou une estimation)
• Les mesures prises pour limiter les conséquences
• Les coordonnées du responsable de la protection des RP dans votre organisation

Ce qu'il ne faut pas faire : Attendre d'avoir terminé votre enquête interne complète avant de notifier. Si vous savez qu'un incident présentant un risque sérieux s'est produit, notifiez d'abord avec les informations disponibles. Vous pourrez compléter votre déclaration par la suite à mesure que votre enquête progresse.

Étape 4 : Aviser les personnes touchées (si risque de préjudice sérieux)

En parallèle de la notification à la CAI, vous devez aviser les personnes dont les renseignements sont concernés. L'avis doit leur permettre de prendre des mesures pour se protéger.

Contenu de l'avis :

• La description de l'incident en termes clairs
• Les types de renseignements touchés
• Les mesures que vous avez prises pour limiter les risques
• Les mesures que la personne peut prendre pour se protéger (par exemple, surveiller ses relevés bancaires, activer une alerte de crédit, changer ses mots de passe)
• Les coordonnées du responsable RP pour poser des questions

Comment aviser : Par communication directe (courriel, lettre, appel téléphonique) aux personnes identifiées. Si le nombre de personnes est trop élevé pour une communication individuelle, ou si vous n'avez pas les coordonnées à jour, un avis public (sur votre site web, par exemple) peut être utilisé. Le ton compte. Soyez transparent et factuel. Décrivez ce qui s'est passé, ce que vous faites et ce que la personne peut faire. Les clients d'un cabinet financier ont déjà une relation de confiance avec vous. Un avis honnête et rapide protège cette confiance. Un silence ou un avis tardif la détruit.

Étape 5 : Documenter dans le registre

Tous les incidents doivent être inscrits au registre, qu'ils présentent ou non un risque de préjudice sérieux. C'est une obligation distincte de la notification. Même un incident mineur (un courriel au mauvais destinataire qui est rapidement supprimé) doit figurer au registre.

Le registre doit contenir au minimum :

• La date de l'incident et la date à laquelle il a été découvert
• La description de l'incident
• Les catégories de renseignements personnels touchés
• Le nombre de personnes concernées (ou une estimation)
• L'évaluation du risque de préjudice sérieux (avec votre raisonnement)
• Les mesures prises pour limiter les conséquences
• Si la CAI et les personnes ont été notifiées, les dates de notification

Le registre doit être conservé pendant au moins 5 ans et être accessible à la CAI sur demande. En cas d'enquête, c'est le premier document que la CAI demandera à consulter. Un registre bien tenu démontre votre diligence. Un registre absent ou incomplet est un manquement en soi.

Les erreurs fréquentes à éviter

Sous-évaluer le risque pour éviter de notifier. C'est la plus dangereuse. Si la CAI découvre après coup qu'un incident présentait un risque sérieux et que vous n'avez pas notifié, vous vous exposez à des sanctions pour deux manquements au lieu d'un : l'incident lui-même et le défaut de notification. Dans le doute, notifiez. Attendre la certitude absolue avant d'agir. Vous ne saurez peut-être jamais exactement combien de personnes sont touchées ou si les données ont été utilisées à des fins malveillantes. La loi ne vous demande pas une certitude absolue. Elle vous demande d'évaluer le risque avec les informations disponibles et d'agir « avec diligence ». Ne pas documenter les incidents « mineurs ». Le courriel envoyé au mauvais client et supprimé dans la minute, c'est un incident. L'ancien stagiaire qui a encore accès à un dossier partagé pendant 48 heures, c'est un incident. Inscrivez-les au registre. Ce qui vous semble mineur aujourd'hui peut devenir significatif si un patron d'incidents se dessine (par exemple, plusieurs courriels envoyés au mauvais destinataire sur quelques mois, ce qui révèle un problème systémique). Improviser la réponse le jour de l'incident. Le pire moment pour rédiger un plan de réponse, c'est quand l'incident vient de se produire. Préparez vos gabarits, votre liste de contacts et votre procédure à l'avance. Faites un exercice fictif au moins une fois par année avec votre équipe. Oublier de notifier les personnes après avoir notifié la CAI. Les deux notifications sont des obligations distinctes. Notifier la CAI ne vous dispense pas d'aviser les personnes touchées. Et inversement.

Préparez-vous avant que ça arrive

La préparation fait toute la différence entre un incident bien géré qui renforce la confiance de vos clients et un incident mal géré qui se transforme en crise réputationnelle et en poursuite.

Créez votre plan de réponse maintenant. Un document de 2 à 3 pages qui décrit : qui est le responsable RP, qui est contacté en premier (TI, direction, juridique), les étapes de confinement, le gabarit de notification à la CAI, le gabarit d'avis aux personnes, et la procédure d'inscription au registre. Formez votre équipe. Chaque employé doit savoir quoi faire quand il détecte un incident : ne pas tenter de le résoudre seul, signaler immédiatement au responsable RP, ne pas supprimer de preuves. Un incident non signalé est un incident non documenté, ce qui aggrave la situation. Testez votre plan. Une fois par année, simulez un incident fictif. Un courriel au mauvais destinataire, un ordinateur volé, un accès non autorisé. Chronométrez le temps de réponse de votre équipe. Identifiez les failles. Corrigez-les.

---

*Cet article fait partie d'une série sur la Loi 25 et la conformité pour les cabinets de services financiers. Consultez aussi :*

• *[Loi 25 du Québec : ce que chaque conseiller financier doit savoir en 2026](/blogue/loi-25-guide-conseiller-financier)*
• *[Amendes Loi 25 : comprendre le calcul des sanctions pour votre cabinet](/blogue/loi-25-amendes-calcul-sanctions)*
• *[Les 7 obligations Loi 25 que votre cabinet doit respecter maintenant](/blogue/loi-25-obligations-cabinet-financier)*
• *[Recours collectif Loi 25 : le risque financier que les petits cabinets sous-estiment](/blogue/loi-25-recours-collectif-risque-cabinet)*