La Commission d’accès à l’information publie des outils pour les entreprises quant à la réponse aux incidents de confidentialité

La Commission d’accès à l’information du Québec (la « CAI »), l’autorité réglementaire québécoise chargée de la protection des renseignements personnels, a publié en janvier 2026 deux nouveaux outils visant à assister les entreprises dans la prévention, gestion et réponse aux incidents de confidentialité. Ces outils comprennent un guide explicatif et une liste de contrôle pour les entreprises.

Bien que ces outils constituent des supports aux entreprises, les conseils fournis par la CAI confirment les attentes réglementaires quant aux mesures de préventions devant être mise en place par les entreprises.

Guide explicatif pour les entreprises

Dans son guide explicatif¹, la CAI rappelle aux entreprises :

• qu’elles ont l’obligation de mettre en place des mesures de sécurité adéquates pour protéger les renseignements personnels;
• que ces obligations s’appliquent aux détenteurs et aux sous-traitants;
• que la définition d’incident de confidentialité est large, et inclut des situations tels que des renseignements divulgués dans le cadre d’un envoi à un mauvais destinataire, de « commérage » interne et externe par des employés ou d’une utilisation non autorisée.

Dans son guide, la CAI soumet aux entreprises une stratégie pour évaluer les mesures nécessaires à la protection des renseignements personnels et la sécurité informatique, qui comportent 7 étapes.

Ces étapes incluent un inventaire précis des renseignements personnels détenus et une liste de questions visant à structurer cet inventaire. Cet inventaire devrait inclure une description, entre autres, du type de renseignement personnel, de « l’ampleur » des renseignements impliqués, de la nature des renseignements (sensibilité), les motifs pour la collecte et l’utilisation, les catégories et le nombre de personnes susceptibles d’y avoir accès (à l’interne et à l’externe), la façon dont l’accès aux renseignements est octroyé, ainsi que la période et façon de conserver et détruire les renseignements.

La CAI suggère également de multiples mesures administratives, opérationnelles, physiques et techniques pour la protection des renseignements. Parmi ces mesures, la CAI soumet que les organisations devraient créer un « comité de sécurité de l’information et de protection des renseignements personnels regroupant les personnes jouant un rôle stratégique au sein de votre entreprise et relevant de la haute direction ». La CAI précise qu’il doit y avoir reddition de compte périodique à la haute direction. Ces recommandations peuvent suggérer l’expectative de la CAI quant à une implication active de la haute direction dans les questions de cybersécurité et de protection des données.

Liste de contrôles pour les entreprises

La CAI offre également une liste de contrôles², laquelle peut servir de feuille de route pratique pour le programme des entreprises.

Considérations pratiques pour les entreprises

Afin d’assurer que leurs pratiques sont conformes aux attentes de la CAI, les entreprises devraient considérer les mesures suivantes :

• Documenter clairement la délégation de la responsabilité quant à la cybersécurité et la confidentialité et la façon dont le comité ou la ligne d’affaires en charge rend compte à la haute direction et au conseil d'administration;
• Documenter les inventaires de rfenseignements personnels. Les entreprises peuvent également considérer lier les processus d'évaluation des impacts quant à la vie privée existants à un processus de mise à jour de l’inventaire, lorsque de nouveaux outils, systèmes et types de données sont ajoutés aux dossiers de l’entreprise.
• Réviser le système de classification des données de l'entreprise afin d'évaluer s'il tient compte des différents niveaux de sensibilité des renseignements personnels détenus.