Quels registres sont obligatoires selon la Loi 25?

La Loi 25 impose expressément la tenue d'un registre des incidents de confidentialité. Elle impose également la documentation des activités de traitement à travers un registre structuré, particulièrement pour les évaluations des facteurs relatifs à la vie privée (EFVP) et les transferts hors Québec. En pratique, deux registres distincts sont attendus : registre des activités de traitement et registre des incidents de confidentialité.

Faut-il tenir le registre des incidents même sans incident?

Oui. Le registre des incidents doit être ouvert et prêt à être utilisé même si aucun incident n'est encore survenu. L'absence d'ouverture du registre est considérée comme un manquement à l'obligation de diligence — la CAI interprète l'absence de registre comme l'absence de structure de gestion, pas comme l'absence d'incidents.

Quel format doivent prendre les registres?

Aucun format n'est imposé par la loi. Un fichier Excel, Google Sheets ou une base de données simple suffit. Ce qui compte est la structure (colonnes minimales attendues), la tenue à jour (mise à jour régulière), la traçabilité (versions datées) et la capacité à présenter le registre rapidement en cas de demande de la CAI.

Qui doit tenir les registres dans une PME?

Le RPRP est responsable de la tenue des registres. Dans une PME, il peut déléguer la contribution à des responsables par service (RH pour les employés, ventes pour les clients, TI pour les systèmes), mais la responsabilité de la cohérence globale reste au RPRP. Un contributeur désigné pour chaque domaine est une bonne pratique qui facilite la tenue à jour.

Combien de temps conserver les entrées des registres?

Les entrées des registres doivent être conservées aussi longtemps que les renseignements personnels correspondants sont traités, puis pendant une période raisonnable supplémentaire pour démontrer la diligence historique. En pratique, les entrées liées à un traitement actif sont conservées de façon permanente, et les entrées d'incidents sont conservées au moins pendant la durée de prescription des actions civiles applicables (typiquement 3 à 5 ans).

Module 3 · Exigences légales · Formation Gouvernance PRP
Registres obligatoires selon la Loi 25

Registres obligatoires selon la Loi 25 —
traitements et incidents au Québec

Deux registres sont attendus par la CAI : le registre des activités de traitement et le registre des incidents de confidentialité. Ce texte présente les exigences légales, le contenu minimal et les risques en cas de registres absents ou incomplets.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP →

Contexte : les registres comme preuve continue de conformité

La politique de confidentialité expose ce qu'une organisation promet ; les registres démontrent ce qu'elle fait. C'est pourquoi les registres sont l'un des premiers éléments examinés par la CAI en cas de plainte ou d'enquête — leur présence et leur qualité déterminent la crédibilité de toute la démarche de conformité.

La Loi 25 rend obligatoire le registre des incidents de confidentialité et structure autour des EFVP et transferts une obligation implicite de documentation des activités de traitement. Les PME qui n'ont pas ouvert ces registres partent avec un déficit de preuve immédiat.

Ce que vous devez retenir — version dirigeant

Les registres sont l'infrastructure silencieuse de votre conformité.
La CAI les examine avant tout autre document lors d'une enquête.
Leur absence est immédiatement visible — et constitue un motif direct d'ordonnance.
Un fichier Excel structuré suffit — pas besoin d'outil compliqué.

Ce que ça implique pour votre organisation

Si les registres ne sont pas en place :

vos pratiques sont invisibles pour tout auditeur externe,
vos incidents passés n'existent pas aux yeux de la CAI,
votre diligence devient impossible à démontrer rétroactivement.

Les registres sont le premier motif d'ordonnance observé : la CAI exige leur ouverture et leur tenue structurée avant même d'examiner le fond.

Ce que ça signifie concrètement pour vous

Sans registres structurés, votre organisation est dans une situation paradoxale :

vous faites probablement bien les choses au quotidien ;
mais vous ne pouvez rien prouver de ce que vous avez fait ;
la CAI juge sur la preuve, pas sur l'intention.

Une conformité non documentée est une conformité invisible — et juridiquement équivalente à une absence de conformité.

Définition légale des registres

Registre des activités de traitement — inventaire structuré des flux de renseignements personnels dans l'organisation (catégories, finalités, destinataires, durées).

Registre des incidents de confidentialité — historique structuré des événements touchant des renseignements personnels, avec évaluation du risque et mesures prises.

Cadre juridique applicable

Registre des incidents — obligation explicite

La Loi 25 (LPRPSP modifiée) impose expressément la tenue d'un registre des incidents de confidentialité. Le registre doit être accessible à la CAI sur demande et documenter chaque incident avec les éléments permettant d'évaluer le risque de préjudice sérieux et les mesures prises.

Registre des traitements — obligation implicite

La Loi 25 ne nomme pas expressément un « registre des traitements », mais les obligations d'EFVP, d'évaluation des transferts hors Québec et de documentation des finalités imposent en pratique un registre structuré. C'est également la norme attendue par la CAI en cas d'enquête.

Format et accessibilité

Aucun format n'est imposé par la loi. La CAI évalue la structure, la tenue à jour et la traçabilité. Un fichier Excel ou Google Sheets daté et versionné satisfait l'exigence.

Obligations concrètes liées aux registres

Ouvrir le registre des incidents avant tout incident — pas « quand ça arrivera ».
Documenter les traitements avec les colonnes minimales attendues.
Désigner un responsable pour la tenue et les mises à jour (généralement le RPRP).
Mettre à jour en continu — à chaque nouveau traitement, à chaque incident.
Conserver les versions successives pour démontrer l'évolution.
Pouvoir présenter les registres rapidement (24-48 h) en cas de demande de la CAI.

Exemples concrets PME — traduction des obligations

Ouverture du registre des incidents

Créer un fichier « Registre-incidents-AAAA.xlsx » avec les 9 colonnes types (date, nature, données touchées, etc.), même vide. Le seul fait d'avoir le fichier prêt démontre l'anticipation.

Construction du registre des traitements

Lister les 10 à 20 traitements principaux d'une PME (gestion clients, comptabilité, RH, courriel marketing, site web, etc.) avec leurs finalités, destinataires et durées. Première version : 2 à 4 heures de travail.

Mise à jour lors d'un incident

Dans les 24 h de la découverte : entrée dans le registre, évaluation du risque, décision de notification. Cette entrée est la trace qui protège l'organisation, indépendamment du contenu de la réponse.

⚠️ Erreur stratégique fréquente

Beaucoup d'organisations procèdent ainsi :

elles attendent le premier incident pour « penser aux registres »,
elles considèrent que tenir un registre vide est inutile,
elles confondent un courriel de suivi avec une entrée au registre.

Résultat :

registre créé dans l'urgence après un incident — souvent incomplet ;
trous dans l'historique qui affaiblissent la démonstration de diligence ;
entrée incomplète qui aggrave l'appréciation de la CAI.

Un registre incomplet n'est pas un registre — c'est un brouillon que la CAI verra comme une absence.

Deux réalités possibles

✗ Registres absents ou informels

Aucun inventaire structuré
Incidents gérés oralement
Traces éparpillées dans des courriels
Responsable non désigné
Impossible à présenter à la CAI

✓ Registres structurés et tenus

Fichier Excel structuré, daté, versionné
Chaque incident consigné dans les 24 h
Colonnes minimales présentes
RPRP responsable, contributeurs désignés
Présentables immédiatement en cas d'enquête

Obligation légale ou bonne pratique? La distinction compte.

⚖️ Obligation légale

Tenir un registre des incidents
Documenter les traitements (EFVP, transferts)
Présenter les registres à la CAI sur demande
Conserver les entrées

💡 Bonne pratique fortement recommandée

Tableau Excel avec colonnes types prédéfinies
Révision annuelle du registre des traitements
Contributeurs désignés par service
Versioning daté et historique conservé
Leçons tirées consignées pour chaque incident

Exemples d'application concrète

Ouverture initiale des registres

Création de deux fichiers Excel dédiés (traitements + incidents) avec colonnes prédéfinies. Première entrée dans le registre des traitements : inventaire des 10-15 flux principaux de l'organisation. Registre des incidents ouvert et prêt, même vide.

Mise à jour suite à un changement organisationnel

Ajout d'un nouveau service SaaS traitant des RP : entrée dans le registre des traitements (finalité, sous-traitant, données, durée), mise à jour de la politique de confidentialité en cohérence.

Gestion d'un incident avec traçabilité complète

Courriel mal adressé avec liste de 20 clients : consignation immédiate, évaluation du risque, mesures (contact destinataire, vérification suppression), décision de non-notification motivée, entrée au registre datée et signée.

Risques en cas de non-conformité

L'exposition se mesure sur deux axes.

Angle 1 — Sanctions juridiques

Sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial.
Ordonnances de la CAI exigeant l'ouverture et la tenue structurée des registres.
Sanctions aggravées en cas d'incident non consigné — l'absence de trace est traitée comme une dissimulation.
Impact réputationnel — une organisation sans registres est citée comme non diligente.

Angle 2 — Coûts opérationnels des registres absents

Reconstitution d'urgence — créer un registre rétroactivement sous pression d'enquête.
Incidents mal gérés — sans protocole documenté, réponse improvisée et tardive.
Perte d'apprentissage organisationnel — aucune leçon tirée des incidents passés.
Mobilisation du dirigeant en crise — faute de trace, tout le monde doit improviser.

Concrètement pour une PME

Sans registres tenus :

chaque demande de la CAI devient une urgence de reconstitution ;
chaque incident est traité sans référentiel et sans mémoire des précédents ;
la démonstration de diligence est construite en urgence, donc fragile.

Le coût vient de l'absence de traces — pas de la tenue.

Articulation avec la gouvernance PRP

RPRP — responsable de la tenue et de la cohérence globale.
Politique de confidentialité — s'appuie sur le registre des traitements pour les finalités et les durées.
EFVP — utilise le registre comme cartographie de départ.
Contrats sous-traitants — alimentent le registre des traitements (destinataires).
Gestion d'incidents — s'appuie directement sur le registre des incidents.

Questions fréquentes

Doit-on consigner chaque incident, même mineur?

Oui. Tout incident de confidentialité — peu importe son ampleur — doit être consigné au registre. C'est cette exhaustivité qui démontre la diligence. Un registre où n'apparaissent que les incidents graves est suspect et peu crédible.

Le registre peut-il être partagé avec d'autres entités d'un groupe?

Non. Chaque entité juridique responsable d'un traitement doit tenir son propre registre. Un registre de groupe peut exister en parallèle pour la coordination, mais il ne remplace pas les registres par entité.

Faut-il chiffrer le registre?

Pas d'exigence explicite. Toutefois, comme le registre contient des éléments sensibles (liste des incidents, contenu des données touchées), le chiffrement ou le stockage dans un dossier d'accès restreint est une bonne pratique.

Peut-on utiliser un outil SaaS pour tenir les registres?

Oui. Plusieurs outils de gestion de conformité proposent des modèles de registres. Attention toutefois à ce que l'outil soit hébergé de façon conforme (évaluation de transfert hors Québec si applicable) et que l'organisation garde la propriété et la portabilité de ses données.

Que faire si un registre ancien n'a jamais été tenu?

Ouvrir le registre maintenant, dater la création, et commencer la tenue à partir de cette date. Pour les éléments historiques récents (3-6 derniers mois), faire une reconstitution documentée explicitement « rétroactive » est recommandée — la transparence sur la situation est mieux que le silence.

🎯 Diagnostic rapide

Votre organisation :

a-t-elle un registre des traitements structuré et daté?
a-t-elle ouvert un registre des incidents, même vide?
pourrait-elle présenter les deux registres à la CAI dans les 48 h?

Si non à une seule question, vos registres sont insuffisants pour démontrer la diligence en cas d'enquête.

Obtenir mon Analyse gouvernance PRP →

Concrètement

Les obligations de tenue des registres existent indépendamment de ce que votre organisation tient aujourd'hui. Sans registres structurés :

vos pratiques existent, mais personne ne peut les vérifier ;
vos incidents passés sont invisibles pour la CAI ;
votre capacité à démontrer la diligence est nulle en l'absence de traces.

Ouvrir les deux registres est un travail initial de quelques heures. La tenue régulière est ensuite un réflexe organisationnel — comparable à une comptabilité minimale appliquée aux flux de renseignements personnels.

En résumé — Registres obligatoires Loi 25

Obligations : registre des incidents (explicite) + registre des traitements (implicite)
Format : libre — fichier Excel structuré suffit
Ouverture : avant tout incident, même vide
Tenue : mise à jour continue par un responsable désigné

📘 Version pratique du même sujet

Pour un guide concret sur la structure et la tenue des deux registres — colonnes, rythme, responsabilités — consultez la version pratique.

Guide — Tenir les registres obligatoires →

Besoin de structurer vos registres?

La Formation Gouvernance PRP couvre la construction pratique des deux registres. L'Analyse gouvernance PRP évalue leur structure et leur tenue dans votre organisation.

Obtenir mon Analyse gouvernance PRP Construire ma gouvernance PRP

← Retour à la formation complète (6 modules)

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.

Registres obligatoires selon la Loi 25 —traitements et incidents au Québec