Quand doit-on notifier la CAI d'un incident de confidentialitu00e9?

Lorsque l'incident pru00e9sente un risque de pru00e9judice su00e9rieux pour les personnes affectu00e9es (vol d'identitu00e9 potentiel, fraude financiu00e8re, atteinte u00e0 la ru00e9putation, exposition de donnu00e9es sensibles). Tous les incidents doivent u00eatre consignu00e9s dans le registre, mais seuls ceux au-dessus du seuil de pru00e9judice su00e9rieux du00e9clenchent la notification formelle.

En combien de temps doit-on notifier la CAI?

La loi exige la notification u00abavec la plus grande diligenceu00bb. Par analogie avec le RGPD, la pratique standard est 72 heures apru00e8s avoir u00e9tabli qu'un risque de pru00e9judice su00e9rieux existe. La CAI peut tenir compte du du00e9lai lors de l'u00e9valuation des sanctions , une notification tardive aggrave la situation.

Que doit contenir la notification u00e0 la CAI?

La notification doit inclure : date et nature de l'incident, catu00e9gorie et nombre approximatif de personnes affectu00e9es, renseignements personnels en cause, mesures d'attu00e9nuation prises, et coordonnu00e9es du RPRP. La notification se fait via le formulaire en ligne sur cai.gouv.qc.ca.

Les personnes affectu00e9es doivent-elles u00eatre notifiu00e9es individuellement?

Oui. La notification doit u00eatre individuelle (courriel ou courrier personnel) , une mention sur le site web ou un communiquu00e9 de presse ne suffit pas. Elle doit expliquer l'incident, indiquer les donnu00e9es compromises, du00e9crire les mesures prises et recommandu00e9es, et fournir les coordonnu00e9es du RPRP.

10 min

Leçon 5.3 : Notifier la CAI et les personnes concernées : procédure et délais

La notification : une obligation déclenchée par le seuil de risque

La Loi 25 prévoit un mécanisme de triage : tous les incidents doivent être consignés dans le registre, mais seuls ceux présentant un risque de préjudice sérieux déclenchent l’obligation de notification formelle à la Commission d’accès à l’information (CAI) et aux personnes affectées.

Le seuil de «risque de préjudice sérieux»

L’évaluation se fait en deux dimensions :

Sensibilité des données : Données financières, de santé, d’orientation sexuelle, d’origine ethnique, données d’enfants, seuil plus bas pour déclencher la notification.
Probabilité d’utilisation malveillante : Les données ont-elles été accédées par un acteur malveillant? Sont-elles déjà utilisées frauduleusement? Sont-elles chiffrées (si oui, risque réduit)?

La notification à la CAI

La loi exige la notification « avec la plus grande diligence », interprété comme 72 heures en pratique, par analogie avec le RGPD. Le formulaire de notification doit inclure :

Date et nature de l’incident.
Catégorie et nombre approximatif de personnes affectées.
Renseignements personnels en cause.
Mesures d’atténuation déjà prises.
Coordonnées du RPRP pour suivi.

La notification se fait via le formulaire en ligne de la CAI : cai.gouv.qc.ca.

Ne pas notifier la CAI quand c’est obligatoire est une infraction distincte qui s’ajoute à la violation initiale. Les enquêteurs de la CAI peuvent engager une procédure pénale en cas de dissimulation.

La notification aux personnes affectées

Simultanément à la notification CAI, les personnes dont les données ont été compromises doivent être informées directement. La notification aux individus doit :

Être individuelle (courriel ou courrier personnel, pas une simple mention sur le site).
Expliquer la nature de l’incident en termes simples.
Indiquer les renseignements compromis.
Décrire les mesures prises et celles recommandées (ex: changer son mot de passe, surveiller son dossier de crédit).
Fournir les coordonnées du RPRP pour les questions.

siteqc-loi25-exemple-courriel-notification

Le processus de réponse aux incidents recommandé

Contenir : Isoler le système affecté, révoquer les accès compromis.
Évaluer : Identifier les données exposées, évaluer le risque de préjudice.
Consigner : Documenter dans le registre, immédiatement.
Décider : Risque de préjudice sérieux? → Notifier CAI + personnes.
Notifier : CAI et personnes affectées avec la plus grande diligence.
Remédier : Corriger la vulnérabilité, mettre à jour les mesures de sécurité.

SiteQC : assistant de notification intégré

SiteQC guide le RPRP à travers l’évaluation du risque avec un arbre de décision algorithmique, génère le formulaire de notification à la CAI pré-rempli, et prépare les modèles de courriel de notification aux personnes affectées.

Points clés

Notification CAI = uniquement si risque de préjudice sérieux.
Délai : « plus grande diligence » = 72h en pratique.
Notification individuelle aux personnes (pas juste le site web).
Non-notification quand obligatoire = infraction distincte.