Qu'est-ce qu'un incident de confidentialitu00e9 sous la Loi 25?

Un incident de confidentialitu00e9 est tout u00e9vu00e9nement ru00e9sultant en : accu00e8s non autorisu00e9, utilisation non autorisu00e9e, communication non autorisu00e9e, perte, vol ou destruction de renseignements personnels. Cela inclut les cyberattaques mais aussi les erreurs humaines : courriel envoyu00e9 au mauvais destinataire, liste en CC au lieu de BCC, ordinateur portable perdu.

Un courriel envoyu00e9 au mauvais destinataire est-il un incident de confidentialitu00e9?

Oui. Envoyer un courriel contenant des renseignements personnels au mauvais destinataire constitue une u00abcommunication non autorisu00e9eu00bb au sens de la Loi 25. Il doit u00eatre consignu00e9 dans le registre des incidents. Si le risque de pru00e9judice su00e9rieux est faible, la notification u00e0 la CAI peut ne pas u00eatre requise , mais la consignation est obligatoire.

Qu'est-ce qu'un risque de pru00e9judice su00e9rieux sous la Loi 25?

Un risque de pru00e9judice su00e9rieux existe lorsque l'incident est susceptible de causer : vol d'identitu00e9, fraude financiu00e8re, dommages au cru00e9dit, perte d'emploi, humiliation publique, ou exposition de donnu00e9es particuliu00e8rement sensibles (santu00e9, orientation sexuelle, origine ethnique). Ce seuil du00e9clenche l'obligation de notifier la CAI et les personnes affectu00e9es.

Combien de PME canadiennes ont subi une cyberattaque en 2024?

Selon la CFIB, 44% des PME canadiennes ont subi au moins une cyberattaque en 2024. La majoritu00e9 n'avait aucun registre des incidents, aucun plan de ru00e9ponse et aucun processus de notification , trois violations directes de la Loi 25 s'ajoutant aux dommages de l'attaque elle-mu00eame.

10 min

Leçon 5.1 : Qu’est-ce qu’un incident de confidentialité selon la Loi 25?

Une définition beaucoup plus large que le piratage informatique

La Loi 25 définit l’incident de confidentialité de manière exceptionnellement large. La majorité des entreprises pensent uniquement au cyberpiratage, mais la loi englobe une gamme bien plus vaste d’événements qui se produisent quotidiennement dans les organisations.

siteqc-loi25-incident-de-confidentialite

La définition légale : accès, utilisation, communication, perte

Un incident de confidentialité est tout événement résultant en :

Accès non autorisé à des renseignements personnels (piratage, intrusion).
Utilisation non autorisée (un employé qui consulte les dossiers de clients sans raison professionnelle).
Communication non autorisée (envoi d’une infolettre avec les courriels en CC au lieu de BCC, courriel envoyé au mauvais destinataire).
Perte ou vol du support physique (ordinateur portable volé, clé USB perdue, dossier papier égaré).
Destruction non autorisée ou accidentelle de renseignements personnels.

Exemples concrets d’incidents fréquents

Vous envoyez une infolettre et les 500 adresses courriel sont visibles en CC = incident.
Un employé ouvre un fichier client par erreur depuis son domicile sur un réseau non sécurisé = potentiel incident.
Votre site web est victime d’une attaque par injection SQL exposant les données de vos clients = incident grave.
Un tableur contenant des données clients est envoyé par erreur à un fournisseur = incident.
Un prestataire externe perd l’accès à votre système et voit vos données = incident à évaluer.

La statistique alarmante : 44 % des PME canadiennes attaquées en 2024

Selon le rapport de la CFIB (Fédération canadienne de l’entreprise indépendante), 44 % des PME canadiennes ont subi au moins une cyberattaque en 2024. La plupart n’avaient aucun registre des incidents, aucun plan de réponse et aucun processus de notification à la CAI, trois violations immédiates de la Loi 25.

La question n’est plus « est-ce que je vais subir un incident? » mais « quand est-ce que je vais le subir? » Et quand ça arrive sans registre ni plan, l’amende s’ajoute au dommage.

siteqc-pme-graphique-a-barre-pme-incident

Le « risque de préjudice sérieux » : la ligne de démarcation

Tous les incidents doivent être consignés dans le registre, mais seuls les incidents présentant un risque de préjudice sérieux déclenchent l’obligation de notification à la CAI et aux personnes affectées. Un préjudice sérieux inclut :

Vol d’identité potentiel.
Fraude financière possible.
Atteinte à la réputation professionnelle.
Risque d’humiliation publique.
Données de santé ou d’orientation sexuelle exposées.

SiteQC : détection et registre automatiques

SiteQC surveille les tentatives d’intrusion, les accès anormaux et les erreurs de transmission. Tout incident potentiel est consigné automatiquement dans le registre, avec horodatage et catégorisation. L’assistant de triage guide le RPRP pour évaluer si le seuil de « préjudice sérieux » est atteint.

Points clés

Incident = accès, utilisation, communication, perte ou destruction non autorisée de données personnelles.
44 % des PME canadiennes attaquées en 2024, la majorité sans plan de réponse.
Tous les incidents doivent être consignés, même les mineurs.
Notification CAI déclenchée seulement si risque de préjudice sérieux.