📋 Sur cette page
Un avis de bris de données dans votre boîte courriel, c'est stressant. Un résultat HaveIBeenPwned qui mentionne votre NAS, c'est franchement angoissant. Mais la panique ne sert à rien — l'action, oui.
Ce guide vous dit quoi faire en premier, dans quel ordre, et avec quels outils. Pas de jargon inutile, juste les étapes concrètes.
1. Stop — évaluer ce qui a fuité
Avant de paniquer ou de tout changer, identifiez ce qui a réellement été compromis. Toutes les données n'ont pas la même valeur pour un fraudeur.
Numéro d'assurance sociale (NAS)
Le pire scénario. Avec votre NAS, quelqu'un peut ouvrir des comptes de crédit, produire de fausses déclarations fiscales à votre nom, ou demander des prestations gouvernementales. Action immédiate requise.
Données bancaires complètes
Numéro de compte + numéro de transit + institution : assez pour initier des virements ou des chèques frauduleux. Contactez votre institution financière dans l'heure.
NIP ou mot de passe
Si c'est un mot de passe unique à ce service, le dommage est limité. Si vous le réutilisez ailleurs (ce que vous ne devriez pas faire), il faut changer partout — vite.
Courriel seul ou nom
Moins urgent, mais ça alimentera du phishing ciblé. Méfiez-vous des courriels qui semblent connaître vos habitudes dans les prochaines semaines.
2. Étapes immédiates — dans les 48 heures
-
Gelez votre crédit chez Equifax ET TransUnion Voir la section détaillée ci-dessous. C'est l'outil le plus sous-utilisé et le plus efficace pour bloquer une fraude de crédit. Gratuit. Prend 10 minutes.
-
Signalez au Centre antifraude du Canada Appelez le 1-888-495-8501 ou soumettez un rapport en ligne sur antifraudcentre-centreantifraude.ca. Ce signalement crée un dossier officiel — utile si des fraudes sont commises à votre nom par la suite.
-
Si NAS compromis : contactez Service Canada Appelez le 1-800-206-7218 pour signaler la compromission de votre NAS. Ensuite, connectez-vous à Mon dossier ARC (canada.ca) et activez la double authentification si ce n'est pas déjà fait. Vérifiez qu'aucune déclaration ou demande de remboursement n'a été soumise à votre insu.
-
Portez plainte à la CAI si une organisation québécoise est responsable Si c'est une entreprise ou organisation assujettie à la Loi 25 qui a subi le bris, vous avez des droits. Voir la section Loi 25 plus bas pour les détails et le formulaire de plainte.
-
Changez les mots de passe du service compromis en premier Pas tous en même temps — juste le compte touché en priorité. Activez l'authentification à deux facteurs (2FA) sur ce compte immédiatement. Pour l'ordre de priorité du reste, voir la section long terme.
3. Geler son crédit — l'outil que personne n'utilise
Un gel de crédit (aussi appelé security freeze) interdit aux prêteurs de consulter votre dossier de crédit sans votre permission explicite. Si quelqu'un essaie d'ouvrir une carte de crédit ou un prêt en votre nom, la demande sera refusée automatiquement — le prêteur ne peut pas accéder à votre dossier.
C'est gratuit. C'est réversible. Et c'est la mesure la plus efficace qu'un particulier peut prendre pour se protéger contre l'usurpation d'identité financière.
Chez Equifax Canada
- Allez sur equifax.ca → section « Gel de sécurité »
- Créez un compte (ou connectez-vous)
- Activez le gel — vous recevrez un NIP de confirmation à conserver
- Pour lever le gel temporairement si vous faites une vraie demande de crédit : utilisez le même NIP
Chez TransUnion Canada
- Allez sur transunion.ca → « Gel de sécurité »
- Créez un compte et suivez le processus (environ 5 minutes)
- Le gel s'active immédiatement
Gardez vos NIP dans votre gestionnaire de mots de passe — vous en aurez besoin la prochaine fois que vous demandez du crédit légitime. Si vous n'avez pas encore de gestionnaire de mots de passe, c'est le bon moment pour en adopter un. Consultez notre guide : meilleur gestionnaire de mots de passe pour Québécois.
4. Surveillance du dark web — ce qui marche vraiment
Dès qu'un bris de données fait les manchettes, les services de surveillance payants sortent leurs pubs. Voici une évaluation honnête.
| Service | Coût | Ce qu'il fait vraiment | Verdict |
|---|---|---|---|
| HaveIBeenPwned haveibeenpwned.com |
Gratuit | Vérifie votre courriel contre une base de données de fuites confirmées (14 milliards de comptes). Alertes gratuites par courriel pour les nouvelles fuites. | ✅ Fiable, transparent, recommandé |
| Bitwarden Watchtower | Gratuit (inclus) | Vérifie vos mots de passe enregistrés contre la base de données Have I Been Pwned Passwords. Vous alerte si un mot de passe sauvegardé a été vu dans une fuite. | ✅ Très utile si vous utilisez Bitwarden |
| Equifax Protection complète (service payant) |
~20 $/mois | Surveille votre dossier de crédit Equifax, envoie des alertes en temps réel sur les nouvelles demandes. Inclut du monitoring de « dark web » — en pratique, surtout votre courriel et votre NAS. | ⚠️ Utile si vous êtes à risque élevé, mais le gel de crédit gratuit couvre l'essentiel |
| TransUnion CreditView (service payant) |
~25 $/mois | Similaire : surveillance du dossier de crédit TransUnion, alertes, monitoring courriel. | ⚠️ Même verdict — le gel gratuit est plus efficace pour bloquer la fraude |
La réalité : les services payants de « surveillance du dark web » vous informent si vos données sont trouvées. Le gel de crédit, lui, bloque les conséquences financières. L'un réagit, l'autre prévient. Si vous devez choisir, le gel gratuit est plus efficace.
Pour votre courriel, HaveIBeenPwned suffit. Activez les alertes gratuites sur le site — vous serez avisé automatiquement si votre adresse apparaît dans une nouvelle fuite.
5. Long terme — priorités et marge de crédit frauduleuse
Dans quel ordre réinitialiser vos mots de passe
Ne changez pas tout en même temps — vous allez vous tromper ou vous bloquer hors de comptes importants. Suivez cet ordre :
- Courriel principal — C'est la clé maîtresse. Qui contrôle votre courriel peut réinitialiser presque tous vos autres comptes.
- Comptes bancaires et financiers — Banque, Interac, PayPal, investissements.
- Gouvernement — Mon dossier ARC, Mon dossier Service Canada, Clic Santé, accès.gouv.qc.ca.
- Réseaux sociaux — Facebook, Instagram, LinkedIn (peuvent servir à escroquer vos contacts).
- Tout le reste — E-commerce, abonnements, forums.
Pour chaque compte prioritaire, activez aussi l'authentification à deux facteurs (2FA). Une application comme Aegis (Android) ou Raivo (iOS) est plus sûre que les codes SMS. Voir notre guide sur les gestionnaires de mots de passe pour gérer ça sans perdre la tête.
Si une marge de crédit a été ouverte frauduleusement
C'est possible même si vous avez gelé votre crédit — si la fraude est survenue avant le gel, ou si le fraudeur a utilisé un prêteur qui consulte un bureau que vous n'aviez pas gelé.
Voici quoi faire :
- Obtenez une copie gratuite de vos dossiers de crédit sur equifax.ca et transunion.ca (différent du service payant — vous avez droit à un rapport gratuit par an)
- Identifiez les comptes ou demandes que vous ne reconnaissez pas
- Contactez l'institution prêteuse directement — expliquez la situation, demandez la fermeture du compte et un effacement de la cote de crédit
- Disputez les entrées frauduleuses directement auprès d'Equifax et TransUnion (formulaire de « litige » ou « dispute » sur leurs sites)
- Portez plainte à la police — un numéro de rapport vous sera demandé par les institutions financières
- Déposez une alerte à la fraude (différente du gel) sur votre dossier — elle force les prêteurs à vous contacter avant d'approuver une demande
6. Vos droits sous la Loi 25
Si l'organisation qui a subi le bris de données est une entreprise ou un organisme assujetti à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — couramment appelée Loi 25 — vous avez des droits spécifiques.
L'obligation de notification
Depuis septembre 2023, toute organisation assujettie à la Loi 25 qui subit un « incident de confidentialité » présentant un risque sérieux de préjudice doit :
- Notifier la Commission d'accès à l'information (CAI) dans les meilleurs délais
- Aviser les personnes concernées dans les meilleurs délais — incluant une description de l'incident, des informations compromises, et les mesures prises
- Tenir un registre de tous les incidents de confidentialité
Si vous n'avez pas reçu d'avis mais que vous avez appris autrement que vos données ont été compromises — via les médias, HaveIBeenPwned, ou un tiers — l'organisation n'a peut-être pas rempli son obligation. C'est un motif de plainte.
Porter plainte à la CAI
La Commission d'accès à l'information est l'organisme de surveillance. Elle peut enquêter, ordonner des correctifs, et imposer des amendes allant jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial de l'organisation.
- Formulaire de plainte en ligne : cai.gouv.qc.ca/citoyens/porter-plainte
- Téléphone : 1-418-528-4470 (Québec) ou 1-800-624-7221 (sans frais)
- La plainte est gratuite et confidentielle
Pour comprendre l'ensemble de vos droits sous la Loi 25 — accès à vos données, rectification, suppression — consultez notre guide complet : Vos droits Loi 25 en tant que particulier au Québec.
Questions fréquentes
Est-ce que geler mon crédit va empêcher ma banque de m'envoyer des offres?
Non. Le gel de crédit bloque les demandes de nouveaux crédits — ça n'affecte pas vos comptes existants ni les vérifications de crédit douces (comme les offres préapprouvées). Votre banque actuelle peut toujours accéder à votre dossier dans le cadre de votre relation existante.
Est-ce que je dois porter plainte à la police?
Si vous êtes victime d'une fraude financière réelle (un prêt ouvert à votre nom, une déclaration fiscale soumise), oui — un rapport de police est souvent exigé par les institutions financières pour contester les transactions frauduleuses. Pour un bris de données sans fraude constatée encore, ce n'est pas obligatoire, mais le signalement au Centre antifraude du Canada reste utile.
Quelqu'un peut-il avoir accès à mon dossier médical avec mon NAS?
Pas directement — votre NAS n'est pas utilisé comme identifiant dans le système de santé québécois. Votre numéro de carte d'assurance maladie (RAMQ) est distinct. En revanche, un NAS compromis peut servir à usurper votre identité administrative (ARC, Service Canada), ce qui peut indirectement affecter vos droits aux prestations de santé.
Est-ce que HaveIBeenPwned couvre les fuites du dark web en français?
HaveIBeenPwned répertorie les fuites de données peu importe la langue ou le pays d'origine de l'entreprise touchée — incluant des entreprises québécoises et canadiennes françaises. Il ne couvre pas les forums clandestins en temps réel, mais il indexe les fuites majeures dans les jours ou semaines qui suivent leur publication.
Mon employeur a subi un bris — mes données d'employé sont-elles protégées?
Oui. La Loi 25 s'applique aussi aux données que les organisations détiennent sur leurs employés (pour les entreprises du secteur privé). Si votre employeur a subi un bris incluant vos données personnelles (NAS, informations bancaires pour la paie, dossiers médicaux), il a les mêmes obligations de notification envers vous.
Aller plus loin
Un bris de données, c'est souvent le signal que votre empreinte numérique est plus grande que vous ne le pensez. Si vos données se retrouvent dans des fuites, elles se trouvent aussi chez des courtiers, dans des bases de données marketing, et sur des sites que vous avez oubliés depuis longtemps.
- Vérificateur d'empreinte numérique pour Québécois — trouvez et supprimez vos données
- Vos droits Loi 25 en détail : accès, rectification, portabilité
- Meilleur gestionnaire de mots de passe pour Québécois (2026) — Bitwarden, 1Password, et lesquels éviter
- Votre droit à l'anonymat en ligne au Québec
- Comparatif VPN gratuits et payants pour le Québec