La Commission d’accès à l’information cesse la diffusion de la liste des entreprises victimes d’incidents de confidentialité
Le 27 mai 2025, la Commission d’accès à l’information du Québec (« CAI ») a annoncé qu’elle cessera de publier sur son site Web la liste des organismes publics et des entreprises privées ayant déclaré des incidents de confidentialité à la CAI. Cette décision de ne plus diffuser publiquement l’occurrence d’incidents de confidentialité sera assurément bien accueillie par les organisations ayant subi de telles violations de données.
La CAI précise que cette mesure vise à assurer une protection accrue des personnes dont les renseignements personnels ont été compromis. Plus précisément, la CAI indique cette orientation vise à minimiser le risque de préjudice aux victimes, à éviter de dévoiler l’existence d’une vulnérabilité informatique ou des enjeux de cybersécurité, à éviter de nuire à la gestion de l’incident par l’organisation et à préserver l’exercice des fonctions et des pouvoirs en surveillance et d’enquête de la CAI. La CAI continuera toutefois de publier des statistiques globales sur les avis d’incidents de confidentialité qu’elle reçoit.
Auparavant, la CAI avait adopté différentes positions au fil du temps quant à la publication des détails relatifs aux incidents de confidentialité. Avant cette dernière annonce, elle publiait, tous les trois mois, une liste des entités ayant déclaré un incident, en indiquant uniquement le nom de l’entreprise ou de l’organisme et la date à laquelle la déclaration avait été soumise à la CAI. Le dernier rapport de ce type disponible sur le site de la CAI remonte toutefois à septembre 2024.
À titre de rappel, un incident de confidentialité, soit un accès, une utilisation ou une communication non autorisés de renseignements personnels, ou toute perte ou atteinte à la protection de ces renseignements, doit être déclaré à la CAI lorsqu’il présente un risque de préjudice sérieux. L’évaluation de ce risque repose sur l’analyse de la sensibilité des renseignements concernés, des conséquences anticipées de leur utilisation, et de la probabilité qu’ils soient utilisés à des fins préjudiciables.
Si votre organisation a été victime d’une violation de données susceptible de devoir être signalée aux autorités compétentes en matière de protection des renseignements personnels, n’hésitez pas à communiquer avec notre équipe d’avocats spécialisés en vie privée, qui pourra vous accompagner dans la gestion de votre réponse à l’incident.
