Kit Loi 25
Retour au guide
6
Étape 6 sur 9

Procédure interne en cas d'incident

Établissez une procédure claire pour réagir rapidement et efficacement en cas d'incident de confidentialité.

Temps estimé : 1 heure

📜 Ce que dit la loi

La Loi 25 exige que chaque entreprise dispose d'une procédure claire et documentée pour gérer les incidents de confidentialité.

Cette procédure doit :

  • Définir ce qu'est un incident de confidentialité
  • Indiquer comment détecter et signaler un incident
  • Décrire les étapes à suivre pour limiter les dommages
  • Déterminer qui doit être informé et dans quels délais
  • Préciser les critères de notification à la CAI et aux personnes concernées

Une procédure efficace permet d'agir rapidement, de limiter les risques juridiques et de préserver la confiance des clients.

🏢 Pour une PME

Dans une petite entreprise, la procédure peut tenir sur une seule page claire et accessible à tous les employés. Elle doit indiquer :

  • À qui signaler un incident (souvent le RPRP)
  • Les actions immédiates à prendre (ex. déconnexion, suppression d'un courriel envoyé par erreur)
  • La façon de documenter l'incident dans le registre officiel
  • Les délais pour informer les autorités et les personnes concernées

Important à savoir

En cas d'incident présentant un risque sérieux de préjudice, vous devez notifier la CAI et les personnes concernées. Ne pas avoir de procédure claire peut retarder cette notification et aggraver les sanctions.

💡 Exemples concrets

Exemple 1 : Une clinique médicale adopte une procédure précisant que tout employé doit signaler immédiatement un incident au RPRP.

Le RPRP évalue la gravité, documente l'événement dans le registre, prend les mesures pour limiter les impacts, et, si nécessaire, envoie une notification à la CAI et aux patients concernés dans les 72 heures.

Exemple 2 : Une agence immobilière affiche près de chaque poste de travail une fiche résumant les 5 étapes à suivre en cas d'incident.

Chaque employé sait qu'il doit d'abord sécuriser les données, puis contacter immédiatement la directrice (RPRP), qui prend le relais pour le reste de la procédure.

⚠️ Erreurs à éviter

  • Ne pas former les employés sur la procédure
  • Ne pas préciser les délais d'action
  • Oublier d'indiquer qui est responsable de chaque étape
  • Avoir une procédure trop vague ou uniquement verbale

🛠️ Instructions pas à pas

1
Définir clairement ce qu'est un incident de confidentialité
2
Rédiger une liste d'actions immédiates à prendre
3
Préciser qui doit être informé et comment
4
Déterminer les critères de notification à la CAI et aux personnes concernées
5
Documenter l'incident dans le registre officiel
6
Former les employés sur la procédure et faire des rappels périodiques

Checklist — Étape 6 complétée ?

  • Ma procédure définit clairement ce qu'est un incident
  • Les étapes à suivre sont documentées et claires
  • Les responsabilités sont attribuées (qui fait quoi)
  • Les délais de notification sont précisés
  • Mes employés connaissent la procédure
  • La procédure est accessible à tous

📄 Gabarits inclus dans le Kit Loi 25

  • Modèle de Procédure interne en cas d'incident de confidentialité
Obtenir ces gabarits
Étape 5 : Tenir un Registre des incidentsÉtape 7 : Formulaire de demande d'accès