Comment signaler un incident à la CAI

Vous subissez un incident de confidentialité avec risque sérieux? Voici comment le signaler à la CAI.

Pour comprendre vos obligations en matière de gestion des incidents, voir Gestion des incidents — Article 3.5.

Étapes à suivre

  1. 1

    Évaluer : signalement requis?

    Risque de vol d'identité, fraude, atteinte à la réputation? Si oui, signalement obligatoire. En cas de doute, signalez quand même.

  2. 2

    Rassembler les informations

    Date de découverte, type de données, nombre de personnes, mesures prises. Vous en aurez besoin pour le formulaire.

  3. 3

    Remplir le formulaire de la CAI

    Téléchargez « Avis à la Commission » sur cai.gouv.qc.ca. Remplissez toutes les sections. Pas besoin d'attendre d'avoir tous les détails.

  4. 4

    Envoyer à la CAI

    Par courriel : incidents@cai.gouv.qc.ca. Ou via le portail en ligne. Gardez une preuve d'envoi avec date/heure.

  5. 5

    Aviser les personnes touchées

    Obligatoire si risque sérieux. Indiquez : ce qui s'est passé, quelles données, comment se protéger, qui contacter.

  6. 6

    Noter au registre

    Inscrivez l'incident dans votre registre. Conservez l'information durant au moins 5 ans. Même les incidents non signalés à la CAI doivent y figurer.

Conseils et avertissements

Risque sérieux = signalement obligatoire

  • NAS, données de santé, infos financières = risque élevé
  • Piratage, vol ciblé = plus grave qu'erreur humaine
  • Données non chiffrées = risque accru
  • En cas de doute = signalez

Checklist immédiate

  • ☐ Incident contenu (accès coupés, mots de passe changés)
  • ☐ RPRP informé
  • ☐ Preuves préservées (journaux, fichiers)
  • ☐ Formulaire CAI rempli et envoyé
  • ☐ Personnes touchées avisées
  • ☐ Registre mis à jour

Erreurs courantes

  • Attendre d'avoir tous les détails. Signalez avec ce que vous savez. Complétez ensuite.
  • Oublier d'aviser les personnes. L'avis à la CAI ne suffit pas.
  • Ne pas noter au registre. Même les petits incidents doivent y figurer.

Questions fréquentes

Quel délai pour signaler?

« Avec diligence » selon la loi. Visez 72 heures. Plus vous attendez, plus vous risquez des sanctions.

Où trouver le formulaire?

Sur cai.gouv.qc.ca, section « Incidents de confidentialité ». Cherchez « Avis à la Commission ».

Tous les incidents doivent être signalés?

Non. Seulement ceux avec risque de préjudice sérieux. Mais inscrivez tous les incidents au registre.

Je découvre un ancien incident. Que faire?

Signalez quand même. Expliquez pourquoi vous venez de le découvrir.

Où trouver les obligations complètes?

Consultez notre guide sur la gestion des incidents pour le texte de loi et les exigences détaillées.

Outil connexe

Modèle de registre des incidents de confidentialité.

Télécharger le registre