Incident de confidentialité : bien réagir en 72 heures
Un courriel envoyé au mauvais destinataire, un ordinateur portable perdu, un accès non autorisé : les incidents de confidentialité arrivent aux organisations les mieux préparées. Ce qui distingue une bonne gestion, c'est la rapidité et la méthode.
1. Contenir sans attendre
La première priorité est de limiter les dégâts : révoquer un accès, isoler un système, rappeler un envoi. Chaque minute compte pour réduire l'ampleur de l'incident.
2. Évaluer le risque de préjudice sérieux
La Loi 25 impose de tenir un registre des incidents et, lorsqu'un risque de préjudice sérieux existe, d'aviser la Commission d'accès à l'information (CAI) et les personnes concernées avec diligence. L'évaluation tient compte de la sensibilité des renseignements, de la probabilité d'usage malveillant et des conséquences possibles.
3. Notifier et documenter
Si le seuil est atteint, la notification doit être faite sans délai. Dans tous les cas, consignez l'incident : nature, données touchées, mesures prises, décision de notifier ou non et sa justification.
4. Tirer les leçons
Chaque incident est une occasion d'amélioration : corriger la faille, ajuster une procédure, sensibiliser le personnel. Le registre des incidents de Catégo conserve cet historique et alimente votre posture de conformité dans la durée.