Prévenir les incidents de confidentialité : nouvelles lignes directrices de la CAI

Prévenir les incidents de confidentialité – terme utilisé en droit québécois pour désigner les atteintes à la vie privée – ne constitue pas seulement une obligation légale au Québec, mais constitue également un élément essentiel d'une saine gestion des risques et d'une gouvernance d'entreprise efficace. Le 30 janvier 2026, la Commission d'accès à l'information (« CAI »), organisme de réglementation de la protection des renseignements personnels au Québec, a publié de nouvelles lignes directrices sur la prévention des incidents de confidentialité. Celles-ci comprennent un  Guide étape par étape présentant l'approche préconisée par la CAI en matière de prévention, ainsi qu'une  Liste de contrôle complémentaire visant à en faciliter la mise en œuvre.

Publiées dans le cadre de la Semaine de la protection des données 2026, ces lignes directrices fournissent des indications opérationnelles aux entreprises assujetties à la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé »).

Le cadre juridique

Mesures de sécurité

L'article 10 de la Loi sur le secteur privé impose à toute organisation exploitant une entreprise au Québec une obligation fondamentale : elle doit prendre les mesures de sécurité nécessaires pour assurer la protection des renseignements personnels. Ces mesures doivent être raisonnables, eu égard notamment à la sensibilité de l'information, aux fins de son utilisation, à sa quantité et sa répartition, ainsi qu'au support sur lequel elle est conservée. Cette obligation s'applique à l'ensemble du cycle de vie des renseignements personnels, de la collecte jusqu'à leur destruction ou leur anonymisation.

Il importe de souligner que l'article 10 ne se limite pas à l'implantation de contrôles technologiques : il exige une approche globale, fondée sur les risques et combinant des mesures administratives (de gouvernance), physiques et techniques.

Incidents de confidentialité et intervention

Les organisations assujetties à la Loi sur le secteur privé sont également tenues de respecter des obligations légales expresses lorsqu'un incident de confidentialité survient. Un tel incident survient lorsque des renseignements personnels sont accédés, utilisés ou communiqués sans autorisation, ou lorsqu'ils sont perdus ou que leur protection est autrement compromise.

Lorsqu'une organisation a des motifs de croire qu'un tel incident est survenu, elle doit notamment :

• prendre les mesures raisonnables pour atténuer les risques qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent;
• évaluer si l'incident présente un risque de « préjudice sérieux » pour les personnes concernées;
• aviser la CAI, ainsi que toute personne concernée, lorsque l'incident présente un tel risque;
• tenir un registre des incidents de confidentialité, peu importe leur gravité.

Ces obligations s'inscrivent en parallèle du devoir préventif prévu à l'article 10 : des mesures de protection inadéquates peuvent mener à la survenance d'incidents de confidentialité, tandis qu'une gestion inadéquate d'un incident peut, de façon autonome, constituer un manquement à la Loi sur le secteur privé.

Amendes et sanctions prévues

Le non‑respect de l'une ou l'autre de ces obligations peut entraîner des conséquences importantes. Des sanctions administratives pécuniaires ou des amendes pénales peuvent être imposées, notamment en cas de : (i) omission de prendre les mesures de sécurité nécessaires (violation de l'article 10 de la Loi sur le secteur privé); ou (ii) omission de déclarer ou de gérer correctement un incident de confidentialité tel qu'exigé par les articles 3.5 à 3.8 de la Loi.¹ En outre, lorsqu'une infraction est commise par une personne morale, les administrateurs, dirigeants ou représentants ayant ordonné, autorisé ou consenti à l'infraction peuvent également être tenus personnellement responsables des amendes prévues.²

Pour les organisations, les sanctions administratives pécuniaires peuvent atteindre le plus élevé de 10 millions $ ou 2 % du chiffre d'affaires mondial, tandis que les amendes pénales peuvent atteindre le plus élevé de 25 millions $ ou 4 % du chiffre d'affaires mondial – et ces dernières pouvant être doublées en cas de récipe. Même en l'absence, à ce jour, de précédents publics ayant donné lieu à de telles amendes, les organisations devraient agir dès maintenant afin d'atténuer les risques d'application prévisibles et de réduire les dommages réputationnels liés à la non‑conformité. Dans ce contexte, des conseils pratiques sur la prévention des incidents de confidentialité sont particulièrement utiles.

Principales conclusions des lignes directrices

Définition de référence d'un incident de confidentialité

Le Guide commence par clarifier ce qui constitue un incident de confidentialité au sens de la Loi sur le secteur privé. Il souligne que ces incidents vont bien au‑delà des cyberattaques largement médiatisées. Des défaillances opérationnelles courantes – communications envoyées à la mauvaise personne, accès non autorisé à des renseignements personnels, erreurs humaines ou intrusions par des tiers – peuvent toutes être qualifiées d'incidents. 

Ce cadrage est important, car il rappelle que la prévention des incidents est une responsabilité pour l'ensemble de l'organisation, et ne se limite pas au seul service informatique ou à la cybersécurité. 

Protection de la vie privée vs sécurité TI

Le Guide clarifie la relation entre la protection de la vie privée et la sécurité des technologies de l'information, en soulignant que, bien que ces deux dimensions soient complémentaires, elles ne sont pas synonymes. À titre d'exemple, une organisation peut mettre en place une solution technique hautement sécurisée – tels des systèmes chiffrés ou des formulaires sécurisés –, qui peut néanmoins donner lieu à un incident de confidentialité si un employé envoie des renseignements personnels à un destinataire non autorisé. Une sécurité TI robuste ne garantit donc pas, à elle seule, la conformité aux obligations en matière de vie privée.

Le cadre de prévention en sept étapes

Au cœur du Guide se trouve un cadre de prévention en sept étapes, que la CAI présente comme un cycle continu de gestion des risques plutôt qu'un exercice ponctuel.

IMG A

Le tableau ci‑dessus est tiré du guide de la CAI, à la page 5.

Les sept étapes sont résumées ci‑dessous.

1. Connaître et respecter les obligations légales – veiller à ce que la gouvernance, les rôles et les principes fondamentaux de protection des renseignements personnels soient compris et appliqués.
2. Faire l'inventaire des renseignements personnels détenus et en évaluer la sensibilité – documenter les renseignements détenus, leurs finalités, les responsables, les lieux d'entreposage et leur niveau de sensibilité. 
3. Identifier les risques et en évaluer les conséquences – analyser les risques raisonnablement prévisibles, leurs causes, leur probabilité et les impacts potentiels pour les personnes concernées.
4. Déterminer les mesures appropriées — choisir des contrôles administratifs, physiques et techniques proportionnés aux risques identifiés.
5. Déployer les mesures de sécurité — mettre en œuvre ces contrôles avec un appui clair de la direction, une planification rigoureuse et une communication adéquate. 
6. Mesurer l'efficacité des mesures — évaluer si les mesures fonctionnent comme prévu et ajuster les évaluations des risques en conséquence.
7. Surveiller l'application des mesures et les réviser — mettre continuellement à jour les pratiques à la lumière de l'évolution des menaces, des technologies et des changements organisationnels. 

Le Guide développe chaque étape en détail et montre comment elles se renforcent mutuellement. La Liste de contrôle, pour sa part, propose une série de mesures concrètes pour faciliter leur mise en œuvre efficace.

Décryptage de la recommandation d'inventaire (Étape 2)

L'Étape 2 du Guide est centrée sur l'inventaire des renseignements personnels et sur la documentation de leur contexte de traitement, notamment les finalités, la sensibilité, les contrôles d'accès, les périodes de conservation, les lieux d'entreposage et les transferts. Pris dans son ensemble, le Guide présente cet exercice d'inventaire comme un élément fondamental de la stratégie de gestion des risques en matière de vie privée d'une organisation, permettant d'identifier de manière pertinente les risques de confidentialité et de mettre en place des mesures de protection proportionnées.

Le Guide situe expressément cet exercice d'inventaire à côté des évaluations des facteurs relatifs à la vie privée (« EFVP »), déjà requises aux articles 3.3 (projets de systèmes d'information) et 17 (communications transfrontalières) de la Loi sur le secteur privé. Il est important de souligner que l'Étape 2 ne transforme pas les EFVP en substituts à l'inventaire et n'en élargit pas la portée légale. Les EFVP sont plutôt présentées comme des éléments d'entrée qui alimentent et soutiennent une cartographie organisationnelle plus large des activités de traitement des renseignements personnels.

Bien que le Guide ne mentionne pas explicitement les registres des activités de traitement (communément appelé un « ROPA », acronyme anglais de records of processing activities), l'ampleur, la structure et le niveau de détail envisagés par l'Étape 2 ressemblent, en pratique, à un ROPA tel que prévu à l'article 30 du Règlement général sur la protection des données (« RGPD ») de l'Union européenne. À la différence du RGPD, le droit québécois n'impose pas l'obligation expresse de tenir un ROPA. En dehors des exigences spécifiques relatives aux EFVP liées aux projets et aux communications transfrontalières de renseignements personnels, la Loi sur le secteur privé ne prévoit pas l'obligation de documenter, de façon globale et à l'échelle de l'organisation, les activités de traitement.

Cela dit, le Guide suggère qu'au‑delà de l'évaluation des risques pour la vie privée projet par projet ou pour des transferts précis, la tenue d'un inventaire global des activités de traitement de renseignements personnels constitue une composante prudente de la posture de sécurité d'une organisation. En ce sens, l'Étape 2 s'apparente à un exercice de type ROPA, non pas à titre d'exigence formelle de conformité, mais comme mesure de sécurité utile et défendable à l'appui de l'obligation générale, prévue à l'article 10, de mettre en place des mesures de sécurité raisonnables afin d'assurer la protection des renseignements personnels.

Pour les organisations qui tiennent déjà un ROPA à des fins de conformité au RGPD, cette documentation peut constituer un point de départ solide pour l'inventaire requis à l'Étape 2, pourvu qu'elle soit adaptée aux concepts propres au droit québécois, notamment les incidents de confidentialité, le risque de préjudice sérieux, les exigences particulières en matière d'EFVP, ainsi que les facteurs liés au cycle de vie des renseignements mis de l'avant à l'article 10.

Mesures de sécurité recommandées (Étape 4)

À l'Étape 4, le Guide détaille les types de mesures que les organisations devraient envisager une fois les risques identifiés. Ci‑après sont reproduites les mesures identifiées par la CAI, telles qu'énoncées aux pages 10 et 11 du Guide.

Mesures administratives ou organisationnelles

Mesures de gouvernance

• S'assurer que les politiques et pratiques en matière de protection des renseignements personnels sont à jour (p. ex. : politique de conservation et de destruction des données, processus de gestion contractuelle soucieux de la protection des renseignements personnels);
• Former un comité de sécurité de l'information et de protection des renseignements personnels regroupant les personnes jouant un rôle stratégique au sein de votre entreprise et relevant de la haute direction;
• Signifier clairement vos attentes au personnel;
• Rendre périodiquement des comptes à la haute direction.

Mesures tactiques

• Former et sensibiliser le personnel (p. ex. : mots de passe forts, risques liés aux maliciels ou à l'ingénierie sociale ou principes du bureau propre);
• Concevoir un plan d'action annuel concernant l'ajout de mesures de sécurité;
• Exercer une surveillance active de l'efficacité des mesures déployées.

Mesures opérationnelles

• Octroyer des droits d'accès aux renseignements personnels seulement au personnel dont les fonctions rendent cet accès nécessaire;
• Selon la taille de votre entreprise, former des répondants qui offrent des conseils sur les mesures de sécurité déterminées à leurs collègues;
• Élaborer des modèles types (p. ex. : formulaire de collecte de renseignements personnels, engagement à la confidentialité, entente de non-pulgation, contrats) et les réviser périodiquement; et
• Utiliser un protocole d'identification robuste.

Mesures physiques

• Contrôler les accès (p. ex. : bureaux, salles des serveurs, salles de câblage, système d'alarme); et
• Restreindre l'accès aux locaux ou aux classeurs où sont conservés des documents papier contenant des renseignements personnels..

Mesures techniques

• Favoriser les identifiants et mots de passe forts;
• Assurer le chiffrement des communications et des informations stockées;
• Chiffrer les appareils mobiles;
• Mettre en place un coupe-feu;
• Assurer la défense du périmètre réseau;
• Dépersonnaliser les renseignements avant leur utilisation lorsque l'identité des personnes n'est pas nécessaire au traitement envisagé;
• Assurer la gestion efficace des accès aux renseignements personnels par les employés, journaliser ces accès et exploiter les journaux pour détecter les situations irrégulières;
• Appliquer systématiquement les mises à jour logicielles;
• Bloquer les ports USB;
• Adopter un système de gestion documentaire; et Mettre en place des moyens permettant la destruction sécuritaire des renseignements personnels.

À retenir

Bien que le Guide et la Liste de vérification ne créent pas de nouvelles exigences légales, ils offrent des indications importantes quant à la manière dont la CAI s'attend à ce que les organisations abordent la prévention dans le cadre de la Loi sur le secteur privé. En particulier, l'accent mis sur l'inventaire des renseignements personnels, l'évaluation des risques dans leur contexte et la sélection de mesures de protection proportionnées reflètent une interprétation mûre et fondée sur les risques de l'article 10.

Les lignes directrices précisent également que la prévention des incidents de confidentialité est une responsabilité organisationnelle globale qui doit être réexaminée au fil du temps, à mesure que les activités, les technologies et les profils de risque évoluent. D'un point de vue pratique, toute organisation exerçant des activités au Québec devrait évaluer si ses politiques, procédures et mesures de protection actuelles sont alignées sur les lignes directrices de la CAI. Lorsque des lacunes sont identifiées, les organisations devraient envisager d'ajuster leurs pratiques en conséquence et, de manière cruciale, de documenter leurs décisions et contrôles. Dans un environnement réglementaire axé sur la responsabilisation, les organisations doivent être en mesure de démontrer comment leurs mesures de protection ont été choisies, mises en œuvre et révisées, particulièrement à la lumière des lignes directrices de la CAI. 

To view the original article click here

Footnotes

1. Voir articles 90.12 et 91 de la Loi sur le secteur privé.

2. Voir article 93 de la Loi sur le secteur privé.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.