CanucktAI
Retour au blogue
Incident de confidentialité June 23, 2026 10 min de lecture

À quoi ressemble une enquête du CPVP de 150 000 $ — et le manquement aux renseignements personnels qui l'a déclenchée

Une enquête du CPVP est déclenchée par une plainte ou un incident signalé. Ce qui suit est un processus de plusieurs mois aux coûts bien réels, avec des conclusions publiques et des exigences de correction. Voici à quoi cela ressemble.

Par Vivek Chakravarthy

À quoi ressemble une enquête du CPVP de 150 000 $ — et le manquement aux renseignements personnels qui l'a déclenchée

L'enquête que vous n'aviez pas prévue

La plupart des enquêtes du CPVP ne commencent pas par un appel d'un organisme de réglementation. Elles commencent par une plainte d'un individu — un ancien employé, un client, une personne qui a reçu les données de quelqu'un d'autre par erreur — déposée par l'entremise du portail de plaintes en ligne du CPVP.

Le CPVP accepte les plaintes, mène un tri initial et détermine s'il y a lieu d'enquêter. Toute plainte ne donne pas lieu à une enquête complète. Mais lorsque le CPVP décide d'enquêter, l'organisation reçoit un avis qui est à la fois formellement bureaucratique et immédiatement lourd de conséquences.

Le chiffre de 150 000 $ dans le titre n'est pas une amende — la LPRPDE ne fonctionne pas ainsi. C'est une estimation de ce qu'une enquête du CPVP coûte réellement à une organisation : les honoraires de conseiller juridique pour répondre à l'enquête, le temps du personnel interne détourné des opérations, les coûts de correction des systèmes et des processus qui doivent changer et, dans certains cas, le coût d'aviser les individus et de fournir une surveillance du crédit. Le CPVP ne vous envoie pas de facture. La facture vient de votre propre réponse.

Comment les enquêtes sont déclenchées

Plaintes individuelles. Le déclencheur le plus courant. Une personne croit que ses renseignements personnels ont été mal traités — partagés sans consentement, conservés après qu'elle a demandé leur suppression, consultés sans autorisation, divulgués dans une atteinte, ou recueillis à une fin et utilisés à une autre. Elle dépose par le portail du CPVP. La plainte déclenche une évaluation du CPVP et, si le CPVP détermine que la plainte soulève un manquement potentiel à la LPRPDE, une enquête est ouverte.

Déclarations d'atteinte. Lorsque les organisations autodéclarent une atteinte qui crée un risque réel de préjudice grave, le CPVP utilise la déclaration pour évaluer la conformité de l'organisation en général, et pas seulement l'atteinte précise. Une déclaration d'atteinte est une porte d'entrée vers une enquête plus large si le CPVP détermine que l'atteinte reflète des manquements systémiques à la conformité. C'est pourquoi la façon dont vous déclarez compte autant que le fait de déclarer.

Enquêtes initiées par le CPVP. Le CPVP a le pouvoir d'initier des enquêtes de sa propre initiative, sans plainte. En pratique, celles-ci sont rares et tendent à cibler des secteurs ou des organisations où le CPVP a identifié des préoccupations systémiques — pratiques de collecte de données à grande échelle, systèmes d'IA traitant des renseignements personnels, ou industries présentant des problèmes de conformité documentés.

À quoi ressemble le processus d'enquête

L'avis initial du CPVP décrit la plainte ou le déclencheur, identifie les dispositions de la LPRPDE en cause et demande une réponse. Cette réponse est due dans un délai précis — généralement 30 jours, parfois prolongé.

La phase de réponse est l'endroit où les organisations dotées d'une bonne documentation surpassent nettement les organisations qui découvrent leurs lacunes de conformité en temps réel. On vous demande de décrire vos pratiques de protection de la vie privée pertinentes à la plainte, de fournir la documentation de vos mécanismes de consentement, de vos mesures de sécurité, de vos politiques, de votre réponse aux atteintes, ou de ce que concerne l'allégation précise. Si la documentation existe et reflète la pratique réelle, vous pouvez répondre à ces questions relativement rapidement. Si vous rédigez des politiques pour la première fois en réponse à une demande d'enquête, vous êtes dans une situation entièrement différente.

Le CPVP peut poser des questions de suivi, demander de la documentation additionnelle ou demander à interviewer le personnel. Dans les enquêtes plus complexes, le CPVP peut mener une vérification de vos systèmes ou pratiques.

Le délai entre la plainte et la conclusion court généralement de six mois à plus d'un an pour les cas plus complexes. Durant cette période, l'enquête se poursuit et l'organisation doit demeurer réactive. Un conseiller juridique est presque toujours engagé pour toute enquête importante — non parce que le processus du CPVP est conflictuel, mais parce que les réponses que vous fournissez façonnent la conclusion, et un conseiller chevronné en protection de la vie privée peut vous aider à présenter votre position avec exactitude et efficacité.

La conclusion et ce qui suit

Les conclusions du CPVP s'échelonnent sur un spectre. À une extrémité : le CPVP conclut que la plainte est non fondée et l'enquête est close. À l'autre extrémité : le CPVP tire des conclusions défavorables sur plusieurs principes de la LPRPDE, publie un rapport détaillé et sollicite des engagements de l'organisation pour corriger la situation.

Les conclusions défavorables publiées sont publiques. Le site Web du CPVP contient une base de données interrogeable de résumés. Le nom de votre organisation peut ne pas toujours y figurer — le CPVP anonymise certaines conclusions — mais l'industrie, la nature du manquement et les pratiques précises en cause sont généralement décrites avec assez de détails pour être reconnaissables par quiconque traite avec votre organisation ou votre secteur.

Les exigences de correction dans les conclusions défavorables sont généralement précises : mettre en œuvre un programme de gestion de la protection de la vie privée à une date précise, réviser les mécanismes de consentement pour corriger les déficiences identifiées, mettre en œuvre des contrôles d'accès pour les systèmes identifiés, mener et documenter une formation du personnel, faire rapport au CPVP dans un délai défini sur l'avancement de la mise en œuvre.

Le défaut de se conformer aux engagements peut mener à un renvoi devant la Cour fédérale, qui a le pouvoir de rendre des ordonnances de conformité. Les instances de la Cour fédérale deviennent publiques d'une façon que les conclusions du CPVP ne le sont souvent pas — ce sont des dossiers judiciaires, accessibles par les bases de données des tribunaux canadiens équivalentes à PACER.

La tendance des manquements aux renseignements personnels

Les enquêtes qui mènent aux mesures correctives les plus coûteuses — en temps, en argent et en exposition réputationnelle — tendent à commencer par un type précis de manquement aux renseignements personnels : des renseignements personnels quittant l'organisation d'une façon qui était entièrement évitable avec des contrôles de base.

Les tendances : un chiffrier de NAS envoyé à l'externe qui n'était pas censé quitter l'édifice. Une sauvegarde de base de données téléversée vers un compartiment de stockage infonuagique mal configuré, accessible au public pendant des mois avant que quiconque ne le remarque. Un employé qui part exportant une liste de clients vers un appareil personnel. Un dossier médical télécopié à la mauvaise clinique parce que quelqu'un a transposé deux chiffres.

Ce que ces cas ont en commun : les renseignements personnels étaient en possession de l'organisation de façon légitime. Le manquement ne portait pas sur le fait de les détenir — il portait sur la façon de les protéger. Aucun chiffrement sur la pièce jointe au courriel. Aucun contrôle d'accès sur le stockage infonuagique. Aucune barrière technique contre l'exfiltration de données. Aucun processus de vérification des numéros de télécopieur avant la transmission.

Chacun de ces manquements est détectable et évitable au moyen de contrôles qui ne sont ni coûteux ni complexes. Détection automatisée des NAS et des identifiants sensibles dans les communications sortantes. Journalisation des accès qui aurait signalé l'exportation en masse. Configurations de stockage infonuagique qui exigent l'octroi explicite d'un accès public plutôt qu'un accès ouvert par défaut. Flux de confirmation des télécopies.

Les organisations qui font ces investissements avant une enquête les trouvent être une assurance peu coûteuse. Les organisations qui les font en réponse à une enquête les trouvent être une correction coûteuse — assortie d'une conclusion publique et d'une échéance de conformité.

Le coût de la prévention est toujours inférieur au coût de la réponse. Le défi est que la prévention exige d'anticiper un problème qui n'est pas encore survenu, tandis que la réponse est déclenchée par une crise déjà réelle. La plupart des organisations sont meilleures pour réagir aux crises que pour les prévenir. Le processus d'enquête et de conclusions du CPVP est, en un sens, le mécanisme qui convertit le manquement aux renseignements personnels d'une hypothèse en une réalité documentée, publique et exigeant correction.

OPC investigation Canada costPIPEDA investigation what happensPII breach OPC investigationPrivacy Commissioner investigation CanadaPIPEDA fine Canada

Protégez vos données avant de les envoyer à l'IA.

Shielk supprime automatiquement les renseignements personnels de votre contenu — pour que votre équipe puisse utiliser les outils IA en toute sécurité.

Essayer Shielk gratuitement

Notre propre conformité

Nous gérons notre propre programme de conformité dans Valdra — le produit que nous vendons. Nos programmes SOC 2, ISO 27001 et ISO 42001 sont en cours; nous ne revendiquons aucune certification que nous ne détenons pas encore.

Badge de conformité Valdra — cliquez pour vérifier
  • LPRPDE
  • Loi 25 (Québec)
  • LCAP
  • Données hébergées au Canada 🇨🇦
  • Gouvernance de l’IA
Voir notre centre de confiance

Auto-déclaré, et non audité par un tiers. Cliquez sur le badge pour vérifier son authenticité et voir ce qu’il couvre.

À quoi ressemble une enquête du CPVP de 150 000 $ — et le manquement aux renseignements personnels qui l'a déclenchée | Canuckt AI