Loi 25 et Incidents de Confidentialité : L’heure de vérité pour les entreprises québécoises (bilan décembre 2025)

Temps de lecture estimé : 5 minutes Décembre 2025

Trois années se sont écoulées depuis l’entrée en vigueur des dispositions phares sur la gestion des incidents de confidentialité au Québec. Si septembre 2022 a marqué le début de l’obligation de signalement, décembre 2025 marque une nouvelle ère : celle de la maturité opérationnelle et de la reddition de comptes.

La période de rodage est terminée. La Commission d’accès à l’information (CAI) a désormais établi une jurisprudence claire, et les attentes des consommateurs n’ont jamais été aussi élevées.

Alors que nous nous préparons pour 2026, voici une analyse approfondie des défis actuels entourant la gestion des incidents.

1. La fin de la « déclaration par peur »

Au début de l’application de la Loi 25, la tendance était à la « sur-notification ». Par crainte des sanctions (pouvant atteindre 10 M$ ou 2 % du CA mondial), les services juridiques conseillaient souvent de déclarer le moindre événement.

En 2025, cette stratégie s’avère contre-productive pour deux raisons majeures :

• La fatigue informationnelle (Notification Fatigue) : Les consommateurs, bombardés d’avis de sécurité depuis trois ans, ne lisent plus les notifications. Si vous envoyez une lettre pour un risque minime, vous diluez l’impact de vos communications futures et, paradoxalement, vous érodez la confiance de vos clients qui vous perçoivent comme « à risque ».
• Le ciblage par la CAI : Une entreprise qui déclare dix incidents mineurs par mois attire l’attention du régulateur sur la faiblesse de ses mesures de sécurité, déclenchant potentiellement des audits plus larges.

L’approche actuelle : La maturité consiste aujourd’hui à documenter pourquoi on a choisi de ne pas déclarer, plutôt que de déclarer aveuglément.

2. L’évaluation du « Risque de Préjudice Sérieux » : L’art de la nuance

C’est le pivot central de l’article 3.5 de la Loi. Pour rappel, l’obligation d’aviser la CAI et les personnes concernées ne s’active que s’il y a un risque de préjudice sérieux.

En cette fin d’année 2025, l’évaluation de ce risque s’est complexifiée. Il ne suffit plus de dire « c’est une donnée sensible ». Il faut analyser le contexte selon les critères “RAI” (Risque, Atténuation, Impact) :

• La sensibilité contextuelle : Une liste d’adresses courriel a peu de valeur en soi. Mais si cette liste provient d’une clinique de traitement des dépendances, la sensibilité explose, car elle révèle l’état de santé par inférence.
• La probabilité d’utilisation malveillante : Si un portable est volé mais qu’il est chiffré (BitLocker/FileVault) et effacé à distance via un MDM (Mobile Device Management), le risque chute drastiquement.

Les entreprises performantes utilisent désormais des outils de scoring (matrices de décision) pour objectiver cette évaluation et prouver leur diligence en cas d’enquête.

3. Le défi de la chaîne d’approvisionnement (Fournisseurs et Sous-traitants)

C’est le sujet brûlant de 2025. La majorité des incidents rapportés cette année ne proviennent pas directement des entreprises, mais de leurs fournisseurs (hébergeurs cloud, gestionnaires de paie, plateformes marketing).

La Loi 25 est claire : en tant que responsable des données, vous êtes responsable des incidents de vos fournisseurs.

• Le problème : Souvent, le fournisseur tarde à aviser ses clients, ou fournit des informations techniques incompréhensibles.
• La solution juridique : Les contrats signés ou renouvelés en 2024-2025 incluent désormais des clauses strictes imposant un délai de signalement (ex: 24h ou 48h) sous peine de pénalités contractuelles. Si vos contrats n’ont pas cette clause, vous êtes l’angle mort de votre propre sécurité.

4. Le Registre des incidents : Votre « boîte noire » juridique

Beaucoup d’organisations négligent encore le registre des incidents. Contrairement à la notification (réservée aux cas graves), le registre doit contenir tous les incidents, même les plus banals (ex: un courriel envoyé au mauvais destinataire en interne).

Pourquoi est-ce critique en décembre 2025 ? Parce que la CAI, lors de ses inspections, demande systématiquement copie de ce registre.

• Un registre vide est suspect : Il suggère que vos mécanismes de détection sont défaillants ou que votre culture interne encourage le silence.
• Un registre bien tenu protège : Il démontre une culture de transparence et d’amélioration continue. Il prouve que vous traitez les erreurs humaines, formez votre personnel et ajustez vos processus.

5. Secret professionnel et rapports d’incidents

Un point de vigilance qui a émergé dans la jurisprudence récente concerne la protection des rapports d’enquête post-incident.

Lorsqu’un incident survient, les équipes TI produisent des rapports d’analyse forensique (forensics). Attention : si ces rapports sont produits dans le cours normal des affaires, ils peuvent être exigibles par la CAI ou lors d’un recours collectif.

Pour se protéger, la tendance en 2025 est de faire mandater les experts en cybersécurité directement par un cabinet d’avocats externe. Cela permet, dans certaines conditions, de placer l’analyse sous le sceau du secret professionnel de l’avocat, offrant une protection supplémentaire sur les conclusions sensibles concernant vos vulnérabilités.

Conclusion : Vers une résilience documentée

La gestion des incidents de confidentialité n’est plus une simple case à cocher de conformité TI. C’est devenu un enjeu de gouvernance d’entreprise et de réputation.

Pour 2026, l’objectif n’est pas le “zéro incident” — une utopie dans le monde numérique actuel — mais la “zéro négligence”. Être capable de détecter, d’évaluer rapidement la gravité, et de communiquer efficacement (ou de documenter le choix de ne pas le faire) est la seule véritable armure contre les sanctions.