CanucktAI
Retour au blogue
Incident de confidentialité June 5, 2026 9 min de lecture

Le compte à rebours de 72 heures pour aviser d'un incident : guide de survie pour les propriétaires d'entreprise canadiens

Un incident survient. Le compte à rebours est lancé. La plupart des propriétaires d'entreprise canadiens ignorent ce qu'exige la LPRPDE ou par quoi commencer. Voici le guide pratique.

Par Vivek Chakravarthy

Le compte à rebours de 72 heures pour aviser d'un incident : guide de survie pour les propriétaires d'entreprise canadiens

Quand le compte à rebours commence

Vous découvrez que des renseignements personnels que détient votre organisation ont été consultés sans autorisation. Peut-être s'agit-il d'une attaque par rançongiciel qui a chiffré vos serveurs. Peut-être d'un ordinateur portable laissé dans un taxi contenant un chiffrier client. Peut-être d'un courriel envoyé à la mauvaise personne avec une liste de noms de clients et leurs historiques de paiement. Peut-être d'un ancien employé qui a consulté des dossiers clients après son congédiement.

Quel qu'en soit le mécanisme, le compte à rebours est lancé. Les règlements sur les atteintes aux mesures de sécurité de la LPRPDE — entrés en vigueur en novembre 2018 — exigent que les organisations réagissent aux atteintes qui créent un « risque réel de préjudice grave » pour les individus. La réponse comporte deux volets : déclarer au Commissariat à la protection de la vie privée du Canada et aviser les personnes touchées.

Ni la LPRPDE ni le CPVP ne précisent un délai de 72 heures. Cela, c'est le RGPD. L'exigence de la LPRPDE est « le plus tôt possible ». En pratique, le CPVP interprète cela comme un court délai mesuré en jours, non en semaines — et les facteurs qui déterminent si vous agissez « le plus tôt possible » incluent la rapidité avec laquelle vous avez découvert l'atteinte, la rapidité avec laquelle vous avez évalué le risque de préjudice et la rapidité avec laquelle vous avez agi sur cette évaluation.

Les organisations qui se trompent ne sont généralement pas celles qui tardent intentionnellement. Ce sont celles qui ne savent pas ce qu'elles sont censées faire.

L'évaluation du risque de préjudice grave

Tout incident de sécurité n'est pas une atteinte à déclarer en vertu de la LPRPDE. Le déclencheur est un « risque réel de préjudice grave ». Le préjudice grave est défini de manière à inclure : l'humiliation, l'atteinte à la réputation ou aux relations, la perte financière, le vol d'identité, les effets négatifs sur le dossier de crédit et le préjudice corporel, entre autres.

L'évaluation du « risque réel » exige que vous considériez le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements soient utilisés à mauvais escient et la gravité potentielle du préjudice s'ils le sont. Il ne s'agit pas d'une détermination juridique — c'est un jugement que votre organisation pose à partir des faits de l'incident.

Exemples concrets qui franchissent généralement le seuil : un NAS ou un numéro de compte financier est consulté sans autorisation (risque élevé de vol d'identité), des renseignements de santé sont divulgués à une partie non autorisée (risque d'humiliation et de discrimination), une liste de clients avec coordonnées est exposée dans une cyberattaque (l'attaquant compte vraisemblablement s'en servir). Exemples qui peuvent ne pas franchir le seuil : un seul courriel chiffré contenant un nom de client est mal acheminé vers une mauvaise adresse où le destinataire semble l'avoir identifié et supprimé, un document interne avec des noms d'employés mais aucun renseignement sensible est brièvement accessible en raison d'un paramètre de partage mal configuré.

Les directives publiées du CPVP disent : « en cas de doute, déclarez ». La sous-déclaration a des conséquences; la surdéclaration n'en a pas.

Ce que vous déclarez au CPVP

La déclaration au CPVP peut être déposée en ligne par l'intermédiaire du site Web du Commissariat. Elle doit inclure :

Une description des circonstances de l'atteinte — ce qui s'est produit, comment et quand vous l'avez découverte. Le nombre et la nature des individus touchés — un décompte exact si possible, une estimation si vous ne savez pas encore. Le type de renseignements personnels en cause — quelles données ont été exposées (noms, détails financiers, renseignements de santé, etc.). Les mesures prises pour contenir l'atteinte — ce que vous avez fait pour arrêter l'exposition en cours. Les mesures prises ou prévues pour aviser les personnes touchées.

Vous pouvez déposer une déclaration initiale avec des renseignements incomplets et la compléter à mesure que l'enquête progresse. Le CPVP comprend que les organisations n'ont souvent pas tous les renseignements immédiatement. Ce qui compte, c'est que vous ayez déclaré promptement avec ce que vous saviez.

Ce que vous dites aux personnes touchées

L'avis aux personnes touchées doit être direct — c'est-à-dire qu'il va directement à la personne touchée, et non simplement par un avis général sur un site Web. Le CPVP précise le contenu : une description de l'atteinte, le type de renseignements personnels en cause, une description de ce que l'organisation fait pour réagir, les mesures que la personne peut prendre pour se protéger et les coordonnées d'une personne au sein de votre organisation qui peut répondre aux questions.

L'avis doit être fourni « le plus tôt possible » — et cela se fait en parallèle avec la déclaration au CPVP, et non de façon séquentielle. Vous ne déposez pas auprès du CPVP pour ensuite aviser les individus. Les deux se font sur le même échéancier, dès que l'évaluation du risque de préjudice grave confirme que l'avis est requis.

Le contenu des avis individuels est l'endroit où les organisations commettent souvent une deuxième erreur après la première erreur de l'atteinte : elles rédigent des avis vagues, qui minimisent la responsabilité et omettent les détails dont les gens ont réellement besoin pour se protéger. Un avis qui dit « nous avons subi un incident de sécurité qui a pu toucher vos renseignements » sans préciser quels renseignements étaient en cause ni quel est le risque concret ne satisfait pas à la LPRPDE et générera plus de plaintes qu'un avis direct.

Les 24 heures suivant la découverte

Les 24 premières heures comptent le plus. Les décisions prises le premier jour déterminent si vous réagissez adéquatement ou si vous aggravez le problème.

Contenez d'abord l'atteinte. Avant toute chose, arrêtez l'exposition en cours. Cela peut signifier mettre des systèmes hors ligne, révoquer des identifiants d'accès ou isoler les appareils touchés. Les obligations d'avis d'atteinte n'exigent pas que vous avisiez avant de contenir — elles s'exécutent en parallèle avec le confinement.

Préservez les preuves. Ne supprimez pas de journaux, n'écrasez pas de systèmes et ne détruisez pas de dossiers en tentant de faire le ménage. Les preuves de l'atteinte sont nécessaires à votre évaluation, à votre déclaration au CPVP et possiblement aux forces de l'ordre si l'incident comporte une conduite criminelle.

Évaluez le risque. À partir des renseignements dont vous disposez, posez une détermination initiale quant à savoir si l'incident crée un risque réel de préjudice grave. Documentez votre raisonnement.

Avisez votre conseiller juridique. Non pas parce que vous vous attendez à un litige — mais parce qu'un conseiller peut vous aider à naviguer les obligations de déclaration et à rédiger des avis individuels appropriés.

Amorcez la déclaration au CPVP. N'attendez pas que l'enquête soit terminée. Déposez la déclaration initiale avec ce que vous savez.

L'évaluation du risque réel de préjudice grave — en détail

L'évaluation du risque de préjudice grave est le point de bascule de toute la réponse à l'atteinte. Trompez-vous dans un sens ou dans l'autre et les conséquences s'aggravent.

Sous-évaluer le risque — conclure qu'aucun préjudice grave n'est possible alors qu'il l'est — signifie ne pas déclarer une atteinte que vous auriez dû déclarer. Lorsque le CPVP l'apprend plus tard (par une plainte d'une personne touchée, par une enquête systémique, par votre propre divulgation), vous faites face à des conclusions à la fois sur l'atteinte et sur le défaut de déclaration. Le CPVP a été sans équivoque : la sous-déclaration est traitée sérieusement.

Surévaluer le risque — déclarer chaque incident mineur comme une atteinte à préjudice grave — n'entraîne pas de sanctions. Le CPVP préfère recevoir des surdéclarations plutôt que des sous-déclarations, et une déclaration que le CPVP évalue comme ne nécessitant pas d'autre mesure vaut bien mieux qu'un défaut de déclaration que le CPVP découvre plus tard.

Les facteurs que les règlements du CPVP précisent pour l'évaluation :

Sensibilité des renseignements. Le CPVP considère les NAS, les numéros de compte financier, les renseignements de santé et les mots de passe comme faisant partie des catégories les plus sensibles. L'exposition de ces catégories satisfait presque toujours le seuil de préjudice grave. Les noms et adresses courriel seuls ne le font généralement pas, sauf si le contexte crée un potentiel de préjudice (exposer des noms tirés du système d'une clinique de santé sous-entend que les individus sont des patients, ce qui est en soi sensible).

Probabilité d'utilisation malveillante. Un ordinateur portable volé par quelqu'un qui s'est introduit dans une voiture risque davantage d'être effacé et revendu qu'exploité pour les données. Une base de données consultée par un acteur de menace sophistiqué ciblant les institutions financières risque bien davantage de mener à de la fraude. L'évaluation de la probabilité devrait considérer qui a vraisemblablement eu accès aux renseignements, ce qu'il pourrait en faire et s'il existe des preuves d'utilisation malveillante réelle.

Gravité du préjudice potentiel. Le préjudice financier — vol d'identité, accès frauduleux à un compte, fraude fiscale au moyen d'un NAS volé — est à la fois grave et mesurable. Le préjudice à la réputation — l'embarras lié à la divulgation de renseignements personnels sensibles — peut être grave même sans perte financière. Le préjudice corporel est possible dans des contextes de violence conjugale ou de harcèlement où une adresse domiciliaire est exposée. La définition du préjudice grave par le CPVP est explicitement non exhaustive.

Nature de l'organisation. Une atteinte au sein d'une institution financière présente un potentiel de préjudice plus élevé que la même atteinte dans une entreprise de détail, parce que la relation des individus avec une institution financière sous-entend l'exposition de données financières. Une atteinte chez un fournisseur de soins de santé présente un potentiel de préjudice plus élevé pour les renseignements de santé en particulier.

Heure par heure : les 48 premières heures

Heures 0-2 : Confirmer et contenir

Ne paniquez pas, mais agissez immédiatement. Confirmez qu'une atteinte s'est réellement produite — toute alerte de sécurité n'est pas une atteinte. Si elle est confirmée, contenez : révoquez les identifiants, mettez des systèmes hors ligne au besoin, préservez les journaux. Ne supprimez rien. Avisez simultanément votre responsable des TI et la personne désignée à la protection de la vie privée.

Heures 2-6 : Constituer l'équipe d'intervention

Votre équipe d'intervention en cas d'atteinte devrait inclure : la personne désignée à la protection de la vie privée, votre responsable des TI ou contact en sécurité, votre conseiller juridique (contactez-le immédiatement — le secret professionnel s'attache aux communications faites pour obtenir un avis juridique) et votre PDG ou son équivalent s'il n'est pas déjà impliqué. Informez-les de ce qui est connu, de ce qui est incertain et des mesures de confinement prises.

Heures 6-12 : Évaluation initiale de la portée

Déterminez : Quels systèmes étaient en cause? Quels renseignements personnels ont pu être exposés? Combien d'individus sont potentiellement touchés? Quelle est la cause probable? Quel est l'état du confinement? Documentez tout ce que vous savez et tout ce que vous ne savez pas encore.

Heures 12-24 : Évaluation du risque de préjudice grave

L'évaluation de la portée en main, posez une détermination initiale du risque. S'agit-il d'une atteinte qui crée un risque réel de préjudice grave? Documentez le raisonnement — pas seulement la conclusion. Si oui, commencez à préparer la déclaration au CPVP et les avis individuels en parallèle.

Heures 24-48 : Déclaration au CPVP (si requise)

Déposez une déclaration initiale auprès du CPVP le plus tôt possible après avoir déterminé que le seuil de risque est atteint. Le CPVP accepte les déclarations préliminaires avec des renseignements incomplets — vous pouvez compléter à mesure que l'enquête progresse. N'attendez pas d'avoir tous les renseignements pour déclarer.

Heures 24-72 : Avis aux personnes (si requis)

Commencez à aviser directement les personnes touchées. Cela signifie un avis personne par personne, et non une bannière sur un site Web. L'avis doit être en langage clair, doit expliquer précisément ce qui s'est produit, doit identifier quels renseignements étaient en cause et doit dire aux individus ce qu'ils peuvent faire pour se protéger.

Ce que l'avis individuel doit dire

Les règlements de la LPRPDE sur l'avis d'atteinte précisent le contenu requis. Votre avis doit inclure :

Une description des circonstances de l'atteinte — assez de détails pour que la personne comprenne ce qui s'est produit sans être si technique que l'explication en devienne inintelligible.

La période durant laquelle l'atteinte est survenue, si elle est connue.

Le type de renseignements personnels en cause — soyez précis. « Vos renseignements personnels ont pu être touchés » est inadéquat. « Votre nom, votre adresse courriel et le solde de votre compte au 15 mars ont pu être consultés » est adéquat.

Le nombre d'individus touchés — cela va dans la déclaration au CPVP. Les avis individuels n'exigent pas ce chiffre.

Une description de ce que l'organisation fait pour atténuer ou enquêter — « nous avons retenu les services d'une firme de cybersécurité pour enquêter et avons mis le système touché hors ligne ».

Les mesures que la personne peut prendre pour se protéger — c'est la section que la plupart des organisations rédigent mal. Mesures précises : placer une alerte de fraude auprès d'Equifax Canada et de TransUnion Canada (fournir les numéros de téléphone), surveiller votre dossier de crédit pour toute activité inhabituelle, envisager un gel de crédit, surveiller les tentatives d'hameçonnage qui pourraient utiliser vos renseignements, examiner vos comptes financiers pour toute transaction non autorisée. Un langage générique du type « veuillez demeurer vigilant » ne satisfait pas cette exigence.

Les coordonnées d'une personne au sein de votre organisation qui peut répondre aux questions — une vraie personne ou une ligne téléphonique désignée, et non une boîte de réception générale.

Loi 25 et LPRPS : des exigences différentes dans la même organisation

Si vous avez des clients au Québec, les exigences d'avis d'incident de la Loi 25 s'appliquent en parallèle avec la LPRPDE. La Loi 25 exige l'avis à la Commission d'accès à l'information (CAI) et aux personnes touchées. L'exigence d'avis à la CAI est déclenchée par un incident de confidentialité qui présente un risque de préjudice sérieux — une norme comparable au « risque réel de préjudice grave » de la LPRPDE.

L'avis individuel de la Loi 25 doit inclure des éléments additionnels non explicitement requis par la LPRPDE : les circonstances de l'incident, la date ou la période de survenance, une description des renseignements personnels en cause, les mesures prises pour réduire le risque de préjudice et toute mesure que la personne peut prendre pour réduire le risque ou atténuer le préjudice.

La LPRPS de l'Ontario comporte encore un autre ensemble d'exigences pour les dépositaires de renseignements de santé. Une atteinte visée par la LPRPS doit être déclarée au CIPVP si l'atteinte concerne des renseignements de santé et atteint le seuil prévu par la loi. Les exigences d'avis de la LPRPS comportent des exigences de précision additionnelles pour les contextes de soins de santé.

Les organisations assujetties à plusieurs cadres — ce qui inclut la plupart des entreprises canadiennes nationales — ont besoin de plans d'intervention en cas d'atteinte qui traitent tous les cadres applicables simultanément, et non de façon séquentielle.

Ce qui arrive si vous ne déclarez pas

Le défaut de déclarer une atteinte à déclarer est une infraction en vertu de la LPRPDE. Le CPVP peut enquêter sur le défaut de déclaration comme enjeu de conformité distinct de l'atteinte elle-même. Les conséquences sont d'ordre réputationnel et réglementaire plutôt que principalement financier — la LPRPDE ne comporte pas de structure d'amendes pour le défaut de déclaration comme le fait le RGPD — mais le dommage réputationnel d'une conclusion selon laquelle vous avez subi une atteinte et l'avez dissimulée est important.

Plus concrètement : les atteintes non déclarées finissent généralement par être révélées de toute façon. Des personnes touchées découvrent une fraude ou un vol d'identité et en retracent l'origine. Un journaliste reçoit un tuyau. Un ancien employé divulgue. Un chercheur en sécurité trouve des données exposées. Lorsque l'atteinte est révélée par une découverte externe plutôt que par votre propre déclaration, l'enquête du CPVP examine non seulement l'atteinte, mais aussi pourquoi vous n'avez pas déclaré.

Les organisations qui gèrent bien les atteintes — qui en ressortent avec leurs relations intactes et sans dommage réglementaire durable — sont celles qui connaissent ces obligations avant que l'atteinte ne survienne et qui les exécutent clairement quand elle survient. Celles qui le font mal sont celles qui improvisent, tardent, minimisent et sous-estiment à la fois le préjudice et l'intérêt du CPVP pour la façon dont elles réagissent.

PIPEDA breach notification 72 hoursdata breach Canada notification requirementsbreach notification OPC CanadaPIPEDA data breach requirementsCanadian breach notification SMB

La conformité IA et vie privée, simplifiée.

Valdra aide les entreprises canadiennes à gouverner l’IA et à respecter PIPEDA et la Loi 25 — hébergé au Canada.

Découvrir Valdra

Notre propre conformité

Nous gérons notre propre programme de conformité dans Valdra — le produit que nous vendons. Nos programmes SOC 2, ISO 27001 et ISO 42001 sont en cours; nous ne revendiquons aucune certification que nous ne détenons pas encore.

Badge de conformité Valdra — cliquez pour vérifier
  • LPRPDE
  • Loi 25 (Québec)
  • LCAP
  • Données hébergées au Canada 🇨🇦
  • Gouvernance de l’IA
Voir notre centre de confiance

Auto-déclaré, et non audité par un tiers. Cliquez sur le badge pour vérifier son authenticité et voir ce qu’il couvre.

Le compte à rebours de 72 heures pour aviser d'un incident : guide de survie pour les propriétaires d'entreprise canadiens | Canuckt AI