Mon NAS a été volé — que faire en premier?

En priorité : (1) signale le vol au Centre antifraude du Canada (1-888-495-8501), (2) contacte Service Canada pour signaler la compromission de ton NAS, (3) vérifie ton compte CRA MyAccount pour détecter des déclarations ou remboursements frauduleux, (4) gèle ton dossier de crédit chez Equifax et TransUnion.

Est-ce que l'organisation qui a subi le bris doit me notifier?

Au Québec, oui. La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) oblige les organisations à notifier la CAI et les personnes concernées lorsqu'un incident de confidentialité présente un risque de préjudice sérieux. Si tu n'as pas reçu d'avis mais crois être affecté, contacte directement l'organisation pour demander une confirmation.

Mon NAS est sur le dark web — que faire? Guide pour victimes de bris de données au Québec

Étape zéro : ne panique pas, mais agis dans les 48 heures. La majorité des fraudes à l'identité prennent plusieurs semaines à se concrétiser après un bris. Tu as le temps d'agir correctement — mais pas indéfiniment.

Évaluer ce qui a été exposé

Avant de courir dans toutes les directions, il faut savoir ce qui a réellement été compromis. Les bris de données ne sont pas tous équivalents — un bris qui expose ton adresse courriel est très différent d'un bris qui expose ton NAS, ton NIP, ou tes questions de sécurité.

Données exposées	Risque principal	Priorité d'action
Adresse courriel + mot de passe	Prise de contrôle de comptes (credential stuffing)	Élevée — changer les mots de passe immédiatement
Numéro de carte de crédit	Fraude transactionnelle	Élevée — contacter l'émetteur, bloquer la carte
Numéro d'assurance sociale (NAS)	Fraude d'identité, fausses déclarations de revenus, lignes de crédit frauduleuses	Critique — voir les étapes ci-dessous
Numéro d'assurance maladie (NAM)	Usurpation de services de santé (moins fréquent, mais sérieux)	Élevée — signaler à la RAMQ
Numéro de permis de conduire	Fausse identification, fraude à l'assurance	Modérée — signaler à la SAAQ
Informations bancaires (numéro de compte, transit)	Débit préautorisé frauduleux	Élevée — contacter la banque
Données de santé ou médicales	Discrimination, chantage, fraude d'assurance	Élevée — signaler à la CAI si c'est un organisme québécois

Les étapes à suivre dans les 48 heures

Gèle ton dossier de crédit chez Equifax et TransUnion

C'est l'action la plus importante si des données financières ou d'identification ont été exposées. Un gel empêche tout créancier de consulter ton dossier — ce qui bloque les demandes de crédit frauduleuses. Au Québec, c'est gratuit. Le gel en ligne chez Equifax prend environ 10 minutes; chez TransUnion aussi. Consulte notre guide détaillé sur le gel de crédit au Québec pour les étapes exactes.
Signale l'incident au Centre antifraude du Canada

Le Centre antifraude (CAFC) recueille les signalements de fraude et d'usurpation d'identité au Canada. Ton signalement alimente les avertissements publics et aide les enquêtes. C'est gratuit, ça prend 10–15 minutes, et tu recevras un numéro de référence utile pour d'autres démarches. Ligne : 1-888-495-8501 (lundi au vendredi, 9h–16h45 HNE), ou en ligne via le site du CAFC.
Si le NAS est compromis : contacte Service Canada immédiatement

Appelle Service Canada (1-800-206-7218) pour signaler la compromission de ton NAS. On te guidera sur les options — dans les cas graves, un nouveau NAS peut être émis (c'est possible, mais le processus est long et exigeant en documentation). Service Canada peut aussi ajouter une note d'alerte à ton dossier.
Vérifie ton compte CRA (Agence du revenu du Canada)

Connecte-toi à Mon dossier sur le site de l'ARC. Cherche : des déclarations produites en ton nom que tu ne reconnais pas, des remboursements d'impôts qui ont été redirigés vers un compte inconnu, ou des changements à tes informations de contact. Les fraudeurs utilisent les NAS volés pour produire de fausses déclarations et empocher les remboursements. Si tu constates quelque chose d'anormal, appelle l'ARC directement : 1-800-959-8281.
Si c'est un organisme québécois : dépose une plainte à la CAI

En vertu de la Loi 25, les organisations québécoises doivent notifier la Commission d'accès à l'information (CAI) et les personnes concernées lors d'un incident susceptible de causer un préjudice sérieux. Si tu n'as pas reçu d'avis mais que tu as des raisons de croire que tes données ont été compromises par une organisation québécoise, tu peux déposer une plainte à la CAI. Le processus est en ligne : cai.gouv.qc.ca.
Change les mots de passe des comptes à risque — dans le bon ordre

Priorité : (1) ton adresse courriel principale — c'est la clé de tout; (2) ta banque et tes institutions financières; (3) ton compte CRA et Revenu Québec; (4) tes comptes de commerce en ligne (Amazon, eBay). Utilise des mots de passe uniques pour chaque compte. Si tu ne l'as pas déjà, installe un gestionnaire de mots de passe — consulte notre guide des gestionnaires de mots de passe.
Active l'authentification à deux facteurs (2FA) sur tes comptes critiques

Courriel, banque, CRA, Revenu Québec — active le 2FA sur tous ces comptes. Même si quelqu'un possède ton mot de passe, le 2FA l'empêchera de se connecter. Préfère une application d'authentification (Google Authenticator, Aegis, Authy) à la réception de codes par SMS — les SMS peuvent être interceptés par SIM-swapping.

Si ton numéro d'assurance maladie (NAM) a été exposé

Contacte la RAMQ (1-800-561-9749) pour signaler la compromission potentielle de ton NAM. La RAMQ peut inscrire une note d'alerte à ton dossier et surveiller les demandes inhabituelles de services de santé en ton nom.

L'usurpation du NAM est moins fréquente que celle du NAS, mais elle peut permettre à quelqu'un de recevoir des soins ou des médicaments en ton nom — ce qui peut affecter ton dossier médical et ta couverture d'assurance.

Surveillance à long terme : que faire dans les semaines suivantes?

Un bris de données ne crée pas toujours une fraude immédiate. Parfois, les données volées sont vendues et utilisées des mois plus tard. Voici ce qu'il faut faire pour les 3–6 prochains mois :

Surveille tes relevés bancaires et de carte de crédit — cherche des petits débits inhabituels (les fraudeurs testent souvent les cartes avec des montants de 1–2 $ avant de passer à des transactions plus importantes).
Demande une copie de ton rapport de crédit — au Québec, tu as le droit à une copie gratuite par année chez Equifax (equifax.ca) et TransUnion (transunion.ca). Cherche des lignes de crédit ou des demandes de crédit que tu ne reconnais pas.
Surveille ton adresse courriel dans les bases de données de bris — HaveIBeenPwned (haveibeenpwned.com) est un outil gratuit et fiable qui t'informe si ton adresse courriel est apparue dans une base de données compromise.
Méfie-toi du phishing ciblé — après un bris, les fraudeurs utilisent tes données exposées pour créer des courriels ou des appels téléphoniques personnalisés. Un courriel qui connaît ton adresse, ton employeur, ou ton institution bancaire n'est pas forcément légitime.

Outils de surveillance gratuits (vs payants)

Tu n'as pas besoin de payer pour une bonne surveillance de base :

HaveIBeenPwned.com — Gratuit

Vérifie si ton adresse courriel figure dans les bases de données de bris connues. Géré par Troy Hunt, expert en sécurité réputé. Aucun compte requis pour une vérification ponctuelle.

Bitwarden Watchtower — Gratuit (avec compte Bitwarden)

Si tu utilises Bitwarden comme gestionnaire de mots de passe, Watchtower te signale automatiquement les identifiants compromis. La version gratuite inclut cette fonctionnalité.

Surveillance Equifax / TransUnion — Payant ($10–20/mois)

Ces services t'envoient des alertes en temps réel quand une enquête de crédit est effectuée en ton nom. Utile dans les mois suivant un bris grave impliquant le NAS. Pas indispensable si tu as déjà gelé ton dossier de crédit.

Vos droits sous la Loi 25 (organismes québécois)

Si un organisme québécois (entreprise, OBNL, gouvernement provincial) a subi le bris qui a exposé tes données, la Loi 25 te donne des droits précis :

Droit de notification — l'organisation doit te notifier dans les délais raisonnables si le bris présente un risque de préjudice sérieux.
Droit d'accès — tu peux demander quelles données ont été compromises exactement.
Droit de plainte — si tu penses que l'organisation n'a pas respecté ses obligations, tu peux déposer une plainte formelle à la CAI.

Pour en savoir plus sur tes droits en vertu de la Loi 25, consulte notre guide sur les droits des particuliers sous la Loi 25.

Ressources québécoises — contacts utiles

Centre antifraude du Canada (CAFC)

1-888-495-8501 · antifraudcentre-centreantifraude.ca · Lundi–vendredi 9h–16h45 HNE

Commission d'accès à l'information (CAI) — Québec

1-888-528-7741 · cai.gouv.qc.ca · Pour les plaintes contre des organisations québécoises et les bris de données

Service Canada — NAS compromis

1-800-206-7218 · Signalement de compromission du numéro d'assurance sociale

Agence du revenu du Canada (ARC)

1-800-959-8281 · Pour signaler des activités suspectes dans Mon dossier CRA

RAMQ — NAM compromis

1-800-561-9749 · Pour signaler la compromission de ton numéro d'assurance maladie

Equifax Canada — Gel de crédit

equifax.ca · En ligne, ou 1-800-465-7166 · Gratuit au Québec

TransUnion Canada — Gel de crédit

transunion.ca · En ligne, ou 1-800-663-9980 · Gratuit au Québec

Prévention : réduire ton empreinte numérique

La meilleure façon d'atténuer l'impact des futurs bris est de réduire la quantité de données que les organisations détiennent sur toi. Consulte notre outil de vérification d'empreinte numérique pour identifier quelles organisations détiennent tes données et comment exercer tes droits de retrait et de suppression sous la Loi 25.

Autre zone à risque souvent négligée : les outils d'intelligence artificielle. Si tu as déjà entré ton NAS, des données médicales ou des informations de clients dans ChatGPT ou Google Gemini, ces données sont probablement conservées sur des serveurs américains. Voir notre guide sur la vie privée et l'IA au Québec — avec les étapes pour désactiver l'entraînement et les alternatives qui ne collectent pas tes données.

Ce guide est à titre informatif. Il ne constitue pas un avis juridique. Si tu es victime d'une fraude financière importante, consulte un professionnel du droit ou un service d'aide aux victimes dans ta région.

Mon NAS est sur le dark web.Que faire?

Évaluer ce qui a été exposé

Les étapes à suivre dans les 48 heures

Si ton numéro d'assurance maladie (NAM) a été exposé

Surveillance à long terme : que faire dans les semaines suivantes?

Outils de surveillance gratuits (vs payants)

Vos droits sous la Loi 25 (organismes québécois)

Ressources québécoises — contacts utiles

Prévention : réduire ton empreinte numérique

Mon NAS est sur le dark web.
Que faire?