Retour au Blog
LegalTech & IA

Fuite de données : quand le préjudice est-il « réel et significatif » ?

Comité de Rédaction NakedPact
Reviewer: Carmelo G.
Comitato Editoriale NakedPact
10 juin 2026
10 min de lecture
Fuite de données : quand le préjudice est-il « réel et significatif » ?

Vous recevez un mail : « Vos données ont été compromises. » Panique ? Pas forcément. La loi canadienne PIPEDA exige que les organisations notifient les victimes uniquement si le préjudice est « réel et significatif ». Mais qu'est-ce que ça signifie concrètement ? Accrochez-vous, on démêle le jargon juridique.

Le test du préjudice « réel et significatif »

Le PIPEDA (Loi sur la protection des renseignements personnels et les documents électroniques) impose une notification obligatoire aux particuliers lorsque la brèche présente un risque réel de préjudice grave. Ce préjudice peut être financier, réputationnel, ou même physique. Mais attention : un simple vol de mot de passe ne suffit pas toujours.

Featured Snippet Bait : Un préjudice est « réel et significatif » s'il est plus qu'une simple gêne. Par exemple, une fuite de numéro de carte de crédit ou de dossier médical est clairement significative. En revanche, un nom et un email volés peuvent ne pas l'être, sauf s'ils permettent un hameçonnage ciblé.

Les critères d'évaluation

Pour déterminer si le préjudice est réel et significatif, les organisations doivent considérer : la sensibilité des données, la probabilité d'utilisation malveillante, et l'impact potentiel sur la personne. C'est un peu comme juger si une tache sur une chemise est « grave » : ça dépend si c'est du ketchup ou de l'acide.

Le Commissariat à la protection de la vie privée du Canada a publié des lignes directrices pour aider les entreprises. Par exemple, une fuite de données bancaires est toujours considérée comme significative, tandis qu'un simple courriel perdu peut ne pas l'être.

Quand la notification est-elle obligatoire ?

La notification est obligatoire si l'organisation détermine qu'il existe un risque réel de préjudice grave. Sinon, elle doit tout de même tenir un registre des brèches. Mais attention : ne pas notifier quand c'est requis peut coûter cher : jusqu'à 100 000 $ d'amende.

Imaginez : vous êtes une PME et vous perdez un fichier client. Si ce fichier contient des numéros de sécurité sociale, vous devez notifier. Si ce ne sont que des adresses, peut-être pas. Mais mieux vaut prévenir que guérir, surtout si vos clients sont du genre à poursuivre pour le moindre désagrément.

Les exceptions et cas particuliers

Il existe des exceptions : si les données sont chiffrées ou si le risque est négligeable, la notification n'est pas requise. Mais le chiffrement doit être robuste – un simple mot de passe « 1234 » ne compte pas. Et si vous êtes une institution financière, d'autres lois peuvent s'appliquer, comme la Loi sur les banques.

En pratique, mieux vaut toujours notifier par excès de prudence. La réputation d'une entreprise peut être plus endommagée par un silence que par une fuite mineure. Et puis, qui a envie de passer des heures à rédiger des rapports pour le Commissariat ?

Conclusion pratique

Alors, que faire en cas de brèche ? 1) Évaluez la sensibilité des données. 2) Estimez la probabilité d'utilisation malveillante. 3) Si le risque est réel et significatif, notifiez sans délai. Et si vous hésitez, demandez-vous : « Est-ce que j'aimerais qu'on me le dise ? » Si oui, notifiez.

Et n'oubliez pas : la transparence est votre meilleure alliée. Même si la loi ne vous y oblige pas, informer vos clients renforce la confiance. Après tout, personne n'aime les surprises, surtout quand il s'agit de ses données personnelles.

FAQ

Qu'est-ce qu'un préjudice « réel et significatif » selon le PIPEDA ?

Un préjudice réel et significatif est un préjudice qui va au-delà d'une simple gêne ou d'un inconvénient mineur. Il peut inclure une perte financière, une atteinte à la réputation, une usurpation d'identité, ou un préjudice physique. L'évaluation se fait au cas par cas.

Dois-je notifier une brèche si les données étaient chiffrées ?

Non, si les données étaient chiffrées de manière robuste et que la clé de déchiffrement n'a pas été compromise, le risque est considéré comme négligeable et la notification n'est pas obligatoire. Mais le chiffrement doit être conforme aux normes de l'industrie.

Quelles sont les sanctions en cas de non-notification ?

Les organisations qui ne notifient pas une brèche alors qu'elle est obligatoire peuvent être passibles d'une amende pouvant aller jusqu'à 100 000 $ par infraction. De plus, elles s'exposent à des poursuites civiles et à une atteinte à leur réputation.

Checklist : Évaluer si la notification est obligatoire

  • Les données compromises sont-elles sensibles ? (ex. financières, médicales)
  • Y a-t-il un risque d'utilisation malveillante ? (ex. hameçonnage, usurpation)
  • Le préjudice potentiel est-il plus qu'une simple gêne ?
  • Les données étaient-elles chiffrées de manière robuste ?
  • La clé de déchiffrement a-t-elle été compromise ?
  • Si oui à au moins un des trois premiers critères et non au chiffrement, notifiez.

Cochez mentalement chaque critère. Si vous hésitez, notifiez par précaution.

NakedPact Logo

Comité de Rédaction NakedPact

Article conçu par la rédaction de NakedPact. Notre mission est d'analyser, de simplifier et de révéler les clauses abusives et les risques cachés dans les contrats du quotidien pour protéger les citoyens et les consommateurs.

Êtes-vous propriétaire d'un site Web?

Êtes-vous propriétaire d'un site Web?

Vous souhaitez communiquer à vos utilisateurs votre transparence dans le traitement des données ? Utilisez dynamiquement notre badge et affichez la conformité de votre plateforme.

🛡️ Protégez vos droits en un clic

Ne risquez pas de signer des clauses abusives. Installez l'extension gratuite NakedPact pour Chrome ou Firefox et analysez instantanément n'importe quel contrat sur le web.

Ne faites pas confiance, vérifiez.

Maintenant que vous connaissez les risques, ne signez pas aveuglément. Téléchargez votre contrat e laissez l'IA trouver les clauses cachées. C'est 100% gratuit.

Analysez votre contrat maintenant

Rispettiamo la tua privacy

Usiamo i cookie per migliorare la tua esperienza e personalizzare gli annunci. Scopri di più.

NakedPact Logo

Estensione Chrome

Analizza i contratti e i Termini di Servizio direttamente sul tuo browser con l'estensione NakedPact.