Limiter les répercussions d’une atteinte à la vie privée qui concerne votre entreprise
Les conseils suivants sont fondés sur des pratiques exemplaires et peuvent vous aider à limiter une atteinte.
Le guide Pensez cybersécurité pour les petites entreprises du Centre canadien pour la cybersécurité offre des conseils pratiques sur la façon de prévenir les atteintes à la vie privée et de protéger votre entreprise contre la cybercriminalité.
1. Consultez le plan d’intervention en cas d’incident
- Un plan d’intervention en cas d’incident peut vous aider, vous et vos employés, à réagir rapidement à une atteinte à la sécurité des données. Votre plan doit comprendre les processus et les procédures à suivre pour détecter un cyberincident, y réagir et s’en remettre.
2. Trouvez la source de l’atteinte
- Au besoin, réinitialisez immédiatement les mots de passe touchés pour les utilisateurs du réseau lorsqu’une atteinte a été causée par un compte d’utilisateur piraté. Pour en savoir plus, consultez nos conseils pour créer et gérer vos mots de passe.
- Déconnectez tous les réseaux, les systèmes et les dispositifs du point d’accès où le maliciel ou la personne malveillante a accédé aux données. Ainsi, vous pourrez limiter la portée de l’attaque.
- Changez les codes d’accès des salles de dossier ou des classeurs, au besoin.
3. Avisez les parties prenantes internes
- Avisez tout membre de votre unité qui doit être au courant de l’atteinte à la sécurité des données, par exemple :
- le ou la responsable de la protection de la vie privée;
- le personnel des services de sécurité de votre organisation;
- les experts de la technologie de l’information;
- le personnel des services juridiques.
4. Documentez l’atteinte
- Documentez les faits concernant l’atteinte à la vie privée. Par exemple, indiquez ce qui s’est passé et pourquoi; combien de personnes sont concernées; et les mesures qui sont prises.
5. Évaluez le risque réel de préjudice grave
- Évaluez l’atteinte une fois que vous l’avez limitée pour déterminer si elle présente un risque réel de préjudice grave pour les individus.
6. Récupérez les données et menez une enquête
- Récupérez les données personnelles à l’aide des sauvegardes. Si des renseignements personnels sont envoyés à quelqu’un par erreur, demandez à la personne de les supprimer, de les renvoyer en toute sécurité ou de les préparer pour que vous puissiez les récupérer. Si un ordinateur portable est perdu ou s’il a été volé, effacez sa mémoire à distance si possible.
- Faites attention de ne pas détruire les preuves de l’atteinte à la sécurité des données. Ces renseignements peuvent vous aider à en déterminer la cause et à prévenir de futures atteintes.
- Désignez une personne pour tenir une enquête interne sur l’atteinte et formuler des recommandations.
7. Avisez les personnes touchées et le Commissariat
- Si l’atteinte a causé un risque réel de préjudice grave, avisez les personnes touchées par l’atteinte. Vous devez également signaler de telles atteintes au Commissariat à la protection de la vie privée du Canada.
Pour en savoir davantage :
- Guide sur la protection de la vie privée à l’intention des entreprises du Commissariat à la protection de la vie privée du Canada
- Date de modification :