Aller au contenu

Entreprises et organisations privées

Incidents de confidentialité et mesures de sécurité

Protéger et sécuriser les renseignements personnels

De leur collecte à leur destruction, les renseignements personnels doivent être rigoureusement protégés. Votre entreprise a le devoir de mettre en place des mesures de sécurité afin d'éviter les incidents de confidentialité qui peuvent porter atteinte à la vie privée des citoyens.

Règles générales en matière d'incidents de confidentialité

Savoir précisément ce qui définit un incident de confidentialité vous permet d'agir en prévention et de limiter rapidement les risques de préjudices à l'égard des personnes concernées. 

Qu’est-ce qu’un incident de confidentialité?

Un incident de confidentialité se définit comme :

  • Tout accès à un renseignement personnel non autorisé par la Loi;

  • Toute utilisation ou toute communication non autorisée d'un renseignement personnel;

  • La perte d’un renseignement personnel ou toute autre atteinte à sa protection.


Par exemple, un incident de confidentialité pourrait se produire :

  • Lorsqu'un membre du personnel consulte un renseignement personnel sans autorisation;

  • Lorsqu'un membre du personnel communique des renseignements personnels au mauvais destinataire;

  • Lorsque l’entreprise est victime d’une cyberattaque : hameçonnage, rançongiciel, etc.


En cas d'incident de confidentialité impliquant des renseignements personnels que vous détenez, vous êtes tenus de prendre les mesures raisonnables pour minimiser les risques de préjudices à la vie privée des citoyens. Vous devez également prendre des mesures pour éviter que surviennent d'autres incidents. 

Responsabilité des renseignements personnels conservés par un tiers

Dans divers contextes, les entreprises confient des renseignements personnels à des tiers pour en assurer la conservation. Elles demeurent malgré tout responsables de l’ensemble des leurs obligations en cas d’incident de confidentialité : mesures à prendre, registre à tenir et à mettre à jour, avis à émettre, etc.

Pouvoirs d’ordonnance de la Commission

La Commission peut ordonner à toute personne, après lui avoir fourni l’occasion de présenter ses observations, l’application de toute mesure visant à protéger les droits des personnes concernées. Elle peut, notamment, ordonner à l'entreprise la remise des renseignements personnels impliqués ou leur destruction. Une personne visée par une ordonnance sans qu’elle en ait été informée au préalable parce que, de l’avis de la Commission, il y a urgence ou danger de causer un préjudice irréparable, peut, dans le délai indiqué dans l’ordonnance, présenter ses observations pour en permettre le réexamen par la Commission.

Si l’incident présente un risque de préjudice sérieux, la Commission peut également ordonner à l’entreprise d’aviser les personnes concernées si celle-ci ne l’a pas fait alors qu’elle était tenue de le faire.

Obligations de l'entreprise en cas d'incident de confidentialité

En cas d'incident de confidentialité, votre entreprise doit réagir rapidement pour limiter les risques, évaluer les préjudices possibles et, dans certains cas, en aviser la Commission et les personnes concernées.

Prendre des mesures pour minimiser les risques et prévenir de nouveaux incidents

Si l’entreprise a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient, elle doit prendre des mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.

Les questions suivantes sont utiles afin d'évaluer rapidement la situation :

  • Qui? Quelles sont les personnes concernées par l’incident? S’agit-il d’employés, de clients ou de partenaires d’affaires? Qui peut avoir eu accès aux renseignements personnels?

  • Combien? Combien de personnes sont touchées par l’incident?

  • Quoi? Quelle est la nature des renseignements personnels visés par l’incident? Sont-ils des renseignements sensibles? Quels sont les risques pour les personnes concernées?

  • Quand? Quand l’incident a-t-il eu lieu? Quand a-t-il été découvert?

  • Où? Où l’incident a-t-il eu lieu? Au sein de l’entreprise? Si oui, dans quel secteur? L’incident a-t-il eu lieu chez un tiers détenant des renseignements personnels pour le compte de l’entreprise (un mandataire, un fournisseur, etc.)?

  • Pourquoi? Quelles sont les causes? Quelles mesures de sécurité étaient en place au moment de l’incident? Pourquoi n’ont-elles pas été efficaces?


Les mesures raisonnables à mettre en place dépendent de cet état de la situation. Toutes les situations sont différentes. Même si l’ensemble des informations pertinentes n'est pas connu dès le départ, il est important de réagir rapidement. Au besoin, l’entreprise continue d’adapter ses mesures ou d’en adopter de nouvelles au fur et à mesure que les circonstances et les conséquences de l’incident se précisent.

Évaluer si l’incident présente un risque de préjudice sérieux

Pour tout incident de confidentialité, l’entreprise doit évaluer la gravité du risque de préjudice pour les personnes concernées. Pour ce faire, elle doit considérer, notamment :

  • La sensibilité des renseignements concernés;

  • Les conséquences appréhendées de leur utilisation;

  • La probabilité qu’ils soient utilisés à des fins préjudiciables.


L’entreprise doit consulter son responsable de la protection des renseignements personnels. Elle peut également impliquer d’autres acteurs, comme le responsable de la sécurité de l’information ou des experts externes.

Si l’analyse fait ressortir un risque de préjudice sérieux, l’entreprise doit aviser la Commission et les personnes concernées qu'un incident est survenu.

Dans le cas contraire, elle doit tout de même poursuivre ses travaux pour réduire les risques et éviter qu’un nouvel incident de même nature se produise.

Aviser la Commission et les personnes concernées

Quand l’incident présente le risque qu’un préjudice sérieux soit causé aux personnes dont les renseignements sont concernés, l’entreprise doit s’empresser d’en aviser la Commission. Toutes les personnes dont les renseignements personnels sont concernés par l’incident doivent également être informées par l’entreprise, sans quoi la Commission peut lui ordonner de le faire.

Toutefois, l’entreprise n’a pas à aviser les personnes dont les renseignements personnels sont concernés si cet avis est susceptible d’entraver une enquête menée en vertu de la loi pour prévenir, détecter ou réprimer le crime ou les infractions aux lois.

Le Règlement sur les incidents de confidentialité détermine le contenu et les modalités des avis qui doivent être transmis à la Commission et aux personnes concernées.

Avis à la Commission

Quand un incident de confidentialité présente le risque d’un préjudice sérieux, l'entreprise doit en aviser la Commission par écrit. Le formulaire Avis à la Commission d'accès à l'information concernant un incident de confidentialité impliquant des renseignements personnels et qui présente un risque de préjudice sérieux (PDF, 1 481 Ko) précise toutes les informations à fournir.

Suivant l’envoi de son formulaire d’avis, l’entreprise qui prend connaissance de nouvelles informations doit s’empresser de les communiquer à la Commission.

Avis aux personnes concernées

L’avis à la personne concernée doit l’informer de la portée et des conséquences de l’incident présentant le risque de préjudice sérieux.

Cet avis doit contenir :

  • Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’entreprise doit communiquer la raison justifiant l’impossibilité de fournir cette description;

  • Une brève description des circonstances de l’incident;

  • La date ou la période à laquelle l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;

  • Une brève description des mesures prises ou envisagées pour diminuer les risques qu’un préjudice soit causé à la suite de l’incident;

  • Les mesures proposées à la personne concernée afin de diminuer le risque qu’un préjudice lui soit causé ou d’atténuer celui-ci;

  • Les coordonnées d’une personne ou d’un service avec qui la personne concernée peut communiquer pour obtenir davantage d’informations au sujet de l’incident.


De plus, une entreprise peut émettre un avis public pour rapidement diminuer le risque qu’un préjudice sérieux soit causé ou l’atténuer. L’entreprise demeure toutefois tenue de transmettre un avis à la personne concernée dans les plus brefs délais.

Seulement trois situations permettent d'émettre un avis public sans devoir transmettre un avis à la personne concernée :

  • La transmission de l’avis peut causer un plus grand préjudice à la personne concernée;

  • La transmission de l’avis représente une difficulté excessive pour l’entreprise;

  • L’entreprise n’a pas les coordonnées de la personne concernée.


Cet avis peut être envoyé par tout moyen raisonnable permettant de joindre la personne concernée.

Avis aux personnes susceptibles de prévenir ou de minimiser le risque de préjudice sérieux

L’entreprise peut aviser toute personne ou tout organisme susceptible de diminuer le risque de préjudice sérieux. Seuls les renseignements personnels nécessaires peuvent alors être communiqués sans le consentement de la personne concernée. Le responsable de la protection des renseignements personnels de l’entreprise oit enregistrer cette communication.

Tenir un registre des incidents de confidentialité

Toute entreprise doit tenir un registre dans lequel elle collige tous les incidents de confidentialité impliquant des renseignements personnels. Elle doit y inscrire également les incidents qui ne présentent pas de risque de préjudice sérieux. À la demande de la Commission, l'entreprise doit transmettre une copie de son registre.

Le registre des incidents de confidentialité doit contenir les éléments suivants :

  • Une description des renseignements personnels visés par l’incident. Si cette information n’est pas connue, l’entreprise doit inscrire la raison justifiant l’impossibilité de fournir cette description;

  • Une brève description des circonstances de l’incident;

  • La date ou la période à laquelle l’incident a eu lieu, ou une approximation de cette période si elle n’est pas connue;

  • La date ou la période au cours de laquelle l’entreprise a pris connaissance de l’incident;

  • Le nombre de personnes concernées par l’incident ou, s’il n’est pas connu, une approximation de ce nombre;

  • Une description des éléments qui amènent l’entreprise à conclure qu’il y a un risque qu’un préjudice sérieux soit causé aux personnes concernées ou non, comme :
    • la sensibilité des renseignements personnels concernés;
    • les utilisations malveillantes possibles des renseignements;
    • les conséquences appréhendées de l’utilisation des renseignements et la probabilité qu’ils soient utilisés à des fins préjudiciables;

  • Les dates de transmission des avis à la Commission et aux personnes concernées, quand l’incident présente le risque de préjudice sérieux. L’entreprise doit aussi préciser si elle a donné des avis publics et la raison de ceux-ci;

  • Une brève description des mesures prises par l’entreprise à la suite de l’incident, pour diminuer les risques qu’un préjudice soit causé.


Les renseignements du registre doivent être mis à jour et conservés pour une période minimale de cinq ans, après la date ou la période de prise de connaissance de l’incident par l’entreprise.

Prendre des mesures de sécurité pour prévenir les incidents de confidentialité

Votre entreprise détient des renseignements personnels? Assurez-vous que des mesures appropriées les protègent afin de prévenir les incidents de confidentialité.

Adopter des mesures proportionnées au contexte

La Loi vous oblige à prendre des mesures de sécurité pour assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. Ces mesures doivent être raisonnables compte tenu, notamment :

  • De leur sensibilité;

  • De la finalité de leur utilisation;

  • De leur quantité;

  • De leur répartition;

  • De leur support.


Ainsi, plus une entreprise détient une grande quantité de renseignements personnels sensibles (numéro d’assurance sociale, renseignements médicaux, etc.) et plus le contexte de leur gestion les expose à des risques (utilisation par un grand nombre de personnes, répartition sur différents supports, communication à des fournisseurs ou à d’autres tiers, etc.), plus les mesures de sécurité à mettre en place doivent être robustes.

En respectant cette obligation et en vous assurant de l’application et de la constance de l’efficacité de vos mesures de sécurité, vous pouvez limiter les risques d’un incident de confidentialité au sein de votre entreprise.

Pour assurer la sécurité des renseignements personnels, vous devriez suivre la démarche générale suivante :

  1. Connaître et respecter vos obligations en matière de protection des renseignements personnels;

  2. Recenser les renseignements personnels détenus par votre entreprise et évaluer leur sensibilité;

  3. Identifier, analyser et évaluer vos risques de subir un incident de confidentialité et l’impact potentiel sur la vie privée des personnes concernées;

  4. Déterminer les mesures de sécurité appropriées à mettre en place;
  5. Déployer les mesures de sécurité prévues;

  6. Mesurer l’efficacité des mesures déployées;

  7. Suivre l’application de ces mesures et les réviser.

Exemples de mesures de sécurité

À titre indicatif, voici quelques exemples de mesures de sécurité pouvant contribuer à la protection des renseignements personnels que votre entreprise détient. En tout temps, vos mesures doivent être adaptées au contexte de vos activités et aux renseignements personnels concernés. 

Mesures administratives ou organisationnelles

Mesures de gouvernance

  • Mettre sur pied un comité de sécurité de l’information et de protection des renseignements personnels regroupant les personnes jouant un rôle stratégique au sein de votre entreprise et relevant de la haute direction; 

  • Concevoir et mettre à jour des règles de gouvernance des renseignements personnels suffisamment robustes (politique de conservation et de destruction des données, processus de gestion contractuelle soucieux de la protection des renseignements personnels, etc.);

  • Signifier clairement vos attentes au personnel;

  • Rendre périodiquement des comptes à la haute direction.

Mesures tactiques

  • Concevoir un plan d’action annuel;

  • Former et sensibiliser les employés, notamment sur la création de mots de passe forts, les risques liés aux maliciels ou à l’ingénierie sociale ou l’importance de respecter les principes du bureau propre;

  • Exercer une surveillance active de l’efficacité des mesures déployées.

Mesures opérationnelles

  • Octroyer des droits d’accès aux renseignements personnels seulement aux membres du personnel dont les fonctions rendent cet accès nécessaire;

  • Selon la taille de votre entreprise, constituer un réseau de répondants, qui, par exemple, offrent des conseils sur la mise en œuvre, l’application ou le maintien des mesures de sécurité déterminées;

  • Élaborer des modèles types (formulaire de collecte de renseignements personnels, engagement à la confidentialité, entente de non-divulgation, contrats, etc.) et les réviser périodiquement;

  • Utiliser un protocole d’identification robuste.

Mesures physiques

  • Contrôler les accès aux bureaux, aux salles des serveurs, aux salles de câblage, au système d’alarme, etc.;

  • Restreindre l’accès aux locaux ou aux classeurs où sont conservés des documents papier contenant des renseignements personnels.

Mesures techniques

  • Favoriser les identifiants et les mots de passe forts;

  • Assurer le chiffrement des communications et des informations stockées;

  • Mettre en place un coupe-feu;

  • Assurer la défense du périmètre réseau;

  • Assurer la gestion efficace des accès aux renseignements personnels par les employés, journaliser ces accès et exploiter les journaux pour détecter les situations irrégulières;

  • Appliquer régulièrement les mises à jour logicielles; 

  • Bloquer les ports USB;

  • Adopter un système de gestion documentaire;

  • Mettre en place des moyens permettant la destruction sécuritaire.

Votre avis nous intéresse

Avez-vous trouvé les informations que vous cherchiez ?
Les informations sur cette page sont-elles claires, faciles à comprendre ?

Évitez d’inscrire des renseignements personnels. Notez que vous ne recevrez pas de réponse.

500 characters left