- La LPRPDE exige des protections proportionnelles à la sensibilité des données. Les politiques faibles peuvent constituer des violations.
- La Loi 25 du Québec impose des règles de consentement et de notification plus strictes que le fédéral.
- Utilisez un gestionnaire pour entreprise, exigez la MFA sur chaque compte admin, bannissez les mots de passe courants.
- Documentez votre politique. Le Commissaire à la vie privée peut demander à la consulter après un incident.
Le coût moyen d'une fuite de données au Canada dépasse maintenant largement les cinq millions de dollars, selon le rapport IBM 2024 sur le coût des fuites de données. La LPRPDE comporte des amendes jusqu'à 100 000$ par violation. La Loi 25 du Québec introduit des sanctions administratives pécuniaires jusqu'à 10 millions de dollars ou 2% du chiffre d'affaires mondial. Pour une PME canadienne, l'hygiène des mots de passe a cessé d'être un sujet TI et est devenue un sujet de survie.
Ce guide couvre ce que les régulateurs canadiens attendent, quelles sont vraiment les menaces, et le plus petit ensemble de changements qui amène une PME à une posture défendable.
Ce que la LPRPDE attend
La Loi sur la protection des renseignements personnels et les documents électroniques s'applique à la plupart des organisations privées au Canada qui collectent des renseignements personnels dans le cadre d'activités commerciales. Le Principe 4.7 de l'Annexe 1 exige que les renseignements personnels soient protégés par des mesures de sécurité proportionnelles à leur sensibilité.
Le Commissariat à la protection de la vie privée du Canada a interprété ce principe dans des dizaines d'enquêtes. La tendance est constante: politiques de mots de passe faibles, MFA manquante et stockage non chiffré sont régulièrement cités comme manquements à l'obligation de sécurité.
Dans une enquête conjointe de 2025 avec le Commissariat britannique, le CPVP a trouvé que les mesures de 23andMe étaient inadéquates, en partie parce que la politique de mots de passe ne détectait pas efficacement les mots compromis. Les recommandations incluaient l'implémentation d'une politique robuste et le filtrage contre les listes de mots de passe compromis. C'est la barre que le CPVP fixe maintenant.
Ce que la Loi 25 du Québec ajoute
La Loi 25 a modernisé la loi québécoise par étapes de 2022 à 2024. Pour les PME opérant au Québec, les changements pratiques pertinents pour les mots de passe:
- Une personne désignée responsable de la protection des renseignements personnels doit être nommée et identifiée publiquement.
- La protection par défaut et la protection dès la conception sont maintenant des exigences légales.
- Les violations créant un risque de préjudice sérieux doivent être signalées à la Commission d'accès à l'information et aux personnes concernées.
- Les sanctions administratives pécuniaires peuvent atteindre 10 millions ou 2% du chiffre d'affaires mondial.
La CAI prend son mandat au sérieux. Les entreprises québécoises ne peuvent pas s'appuyer sur le régime fédéral comme plafond.
Les menaces les plus probables pour une PME
Les PME ne sont pas trop petites pour être attaquées. Elles sont souvent plus faciles à attaquer que les grandes entreprises, parce que l'investissement en sécurité y est plus faible. Les motifs les plus courants:
Credential stuffing
Les attaquants prennent des mots de passe fuités d'autres sites et les essaient contre vos comptes clients et vos connexions admin. Si votre équipe réutilise des mots de passe personnels au travail, ça peut devenir une compromission interne sans rien de nouveau sur votre réseau.
Compromission de courriel d'affaires
Un attaquant hameçonne un compte de finance ou d'exécutif, puis envoie des instructions de paiement de l'intérieur du vrai compte. La perte moyenne par incident au Canada dépasse maintenant les six chiffres. La MFA sur le courriel est la défense principale.
Rançongiciel via accès distant
Beaucoup d'incidents de rançongiciel au Canada commencent par un mot de passe fuité pour un bureau à distance ou un VPN. La fuite de l'ARC en 2020, où 11 000 comptes de contribuables ont été compromis par credential stuffing, est l'équivalent du secteur public.
Les rapports annuels du CPVP notent qu'environ 28% des violations rapportées en 2025 impliquaient un accès non autorisé par des employés ou anciens employés. L'hygiène des comptes à l'embauche et au départ est aussi importante que la défense contre les attaquants externes.
La base de sécurité minimale viable
Pour une PME canadienne, l'ensemble suivant couvre la plus grande part du risque réaliste pour le plus petit investissement.
1. Déployer un gestionnaire de mots de passe d'entreprise
Un gestionnaire d'entreprise vous donne l'administration centrale, la capacité de partager des identifiants en sécurité avec les bonnes personnes, et des journaux d'audit. 1Password Business, Bitwarden Teams et Proton Pass for Business sont des choix communs. Nous comparons les options dans notre guide des gestionnaires pour les Canadiens, axé sur les utilisateurs individuels; les versions d'affaires de ces produits étendent la même logique.
2. Imposer l'authentification multifacteur
Chaque compte admin, chaque service partagé, chaque compte courriel. Le Centre canadien pour la cybersécurité le recommande comme contrôle de base. Le coût est essentiellement nul avec des applications d'authentification. La protection est énorme: les recherches Microsoft indiquent que la MFA bloque plus de 99% des tentatives automatisées de prise de contrôle.
3. Bloquer les mots de passe communs et fuités à l'inscription
Si votre plateforme permet aux clients de créer des comptes, filtrez les nouveaux mots de passe contre les bases de fuites. Have I Been Pwned offre une API gratuite Pwned Passwords précisément pour ça. Le coût en expérience utilisateur est une vérification supplémentaire au moment de la création. Le bénéfice de sécurité est significatif.
4. Documenter une politique de mots de passe et d'accès
Le Commissariat demandera à voir votre politique écrite dans toute revue post incident. La politique n'a pas besoin d'être longue. Elle doit spécifier la longueur minimale, les exigences MFA, le gestionnaire utilisé, le processus de départ pour les employés, et la réponse à une compromission soupçonnée.
5. Établir une routine propre de fin d'emploi
Quand quelqu'un part, tous ses accès partent. Comptes SSO, identifiants partagés, stockage de fichiers, outils de données clients. Le retrait doit avoir lieu le jour du départ, pas la semaine. Vérifiez chaque trimestre.
Où héberger les données de votre gestionnaire
Cette question compte plus pour les entreprises que pour les individus. Stocker des identifiants clients ou d'affaires dans un centre de données américain peut avoir des implications sous le principe de responsabilité de la LPRPDE et sous les règles spécifiques de transfert transfrontalier de la Loi 25.
La plupart des gestionnaires d'affaires offrent maintenant la résidence régionale des données. 1Password permet de choisir des régions AWS dont le Canada. Bitwarden offre la résidence UE sur les plans payants. Proton Pass est hébergé en Suisse par défaut. Si vos clients sont majoritairement canadiens et vous gérez des données sensibles, une région canadienne ou européenne est un choix défendable.
Que faire après une fuite
Si vous découvrez un accès non autorisé:
- Contenir. Forcez les réinitialisations de mots de passe sur les comptes affectés. Révoquez les sessions actives. Désactivez tout compte avec activité suspecte.
- Évaluer. Quelles données étaient accessibles au compte compromis? Cela détermine si la violation atteint le seuil de risque réel de préjudice grave sous la LPRPDE, ou de risque de préjudice sérieux sous la Loi 25.
- Signaler. Si le seuil est atteint, notifiez le CPVP (ou la CAI au Québec) et les personnes concernées dès que possible. Le formulaire en ligne du CPVP est à priv.gc.ca.
- Documenter. La LPRPDE exige de garder les dossiers de tout incident pendant au moins 24 mois, même ceux n'atteignant pas le seuil de signalement.
- Améliorer. Identifiez la cause racine. La plupart des incidents liés aux mots de passe se ramènent à une MFA manquante, un identifiant réutilisé, ou un compte périmé qui aurait dû être désactivé.
Générez des mots de passe forts et uniques pour chaque identifiant d'affaires. Aucune donnée ne quitte votre navigateur. Aucune donnée client ne quitte le Canada.
Le coût de l'inaction
La version la moins chère d'un incident est celle qui n'arrive pas. Une fois qu'une PME canadienne atteint le seuil de signalement, les coûts s'accumulent: frais juridiques pour le rapport, notification clients, engagement réglementaire, exposition possible à des recours collectifs, atteinte à la réputation, et pertes de fraude directes.
Les cinq étapes de cet article font passer une PME d'aucune posture réelle à une posture défendable en environ deux semaines de travail à temps partiel. L'investissement, en temps et dollars, est petit relativement à un seul incident.
À retenir
Le droit canadien sur la vie privée attend des organisations qu'elles protègent les renseignements personnels avec des mesures proportionnelles à leur sensibilité. L'hygiène des mots de passe est l'une des plus basiques de ces mesures, et l'une des plus faciles à rater visiblement. Un gestionnaire d'entreprise, la MFA partout, et une politique écrite amèneront une PME à mi chemin.
Les étapes restantes sont celles qui surprennent les organisations de toute taille: fin d'emploi propre, filtrage des mots de passe fuités, et réponse aux incidents documentée. Aucune n'est techniquement difficile. Toutes sont organisationnellement faciles à oublier. Le travail est de se souvenir.