Lorsqu’une entreprise subit une atteinte à la protection des renseignements personnels, qu’il s’agisse d’un accès non autorisé, d’une utilisation ou communication illégale, d’une perte ou de toute autre violation, elle doit en informer la CAI. Cette dernière diffuse alors, en ordre chronologique, le nom de l’organisation et la date de réception de l’avis. Cette liste, que certains ont surnommée la « liste of shame », est accessible au public et mise à jour tous les trois mois.