La Commission d’accès à l’information du Québec (la « Commission » ou la « CAI ») vient d’annoncer qu’elle cessera de publier sur son site Internet la liste des organisations ayant déclaré des incidents de confidentialité. Cette annonce est logique en l’état actuel du droit et de la réalité propre à toute gestion d’un incident.

Dans un communiqué publié sur son site Internet le 27 mai 2025, la Commission a annoncé qu’elle mettrait fin à cette pratique entamée à la suite de l’entrée en vigueur en 2022 de l’obligation de signaler à la CAI tout incident de confidentialité comportant un risque de préjudice grave pour les personnes affectées; voir ce graphique récapitulatif ou ce résumé des exigences pour plus détails. Jusqu’à tout récemment, il était possible de consulter sur le site Internet de la CAI une liste contenant le nom d’entités qui l’avaient avisé d’un incident de confidentialité impliquant des renseignements personnels. Cette liste contenait les noms et la nature de ces entités ainsi que la date de réception du signalement.

Dans son communiqué du 27 mai dernier, la CAI indique que cette position « vise une protection accrue des renseignements personnels des citoyens touchés par les incidents de confidentialité » en :

  • Minimisant le risque de préjudice aux citoyens;
  • Évitant de dévoiler l’existence d’une vulnérabilité informatique ou des enjeux de cybersécurité;
  • Évitant de nuire à la gestion de l’incident par l’organisation;
  • Préservant l’exercice des fonctions et des pouvoirs en surveillance de la Commission, notamment en matière d’enquête, en cours ou à venir.

La Commission confirme, toutefois, qu’elle continuera de diffuser des données statistiques sur les déclarations d’incidents de confidentialité qu’elle reçoit.

Cette annonce nous semble logique en l’état actuel du droit et de la réalité propre à toute gestion d’un incident. D’une part, à part la Loi sur l’accès qui s’applique à la Commission en tant qu’organisme public, il n’existe pas de régime dédié à la publication proactive de déclarations auprès de la Commission, y compris en matière d’incidents de confidentialité. Il est d’ailleurs intéressant de noter que la Commission emboîte le pas au Commissaire à l’information et à la protection de la vie privée de l’Alberta, qui avait aussi mis fin à cette pratique en 2024. D’autre part, toute publication prématurée d’information concernant un incident de confidentialité, aussi limitée soit-elle, peut ralentir le processus de gestion de crise de l’organisation, inciter l’acteur malveillant à faire pression ou même exposer davantage les personnes affectées.

N’hésitez pas à contacter notre équipe Cybersécurité et protection des données pour toute question i sur les implications de cette annonce, sur vos obligations relatives aux incidents de confidentialité, ou la conformité plus large de votre organisation en matière de protection des renseignements personnels.