Module 3 · Guide pratique · Formation Gouvernance PRP
Construction des deux registres obligatoires

Comment tenir les registres obligatoires
(traitements + incidents) selon la Loi 25?

Deux registres sont attendus par la CAI dès le premier jour d'une enquête : le registre des traitements et le registre des incidents. Ce guide explique comment les construire et les maintenir sans outil compliqué.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP →

Les registres sont les outils de travail du RPRP et la première preuve de diligence examinée par la CAI. Une politique de confidentialité décrit ce qu'on promet ; un registre démontre ce qu'on fait vraiment. Deux registres sont obligatoires sous la Loi 25 — et la plupart des PME n'en tiennent aucun de façon structurée.

Ce que ça signifie concrètement pour un dirigeant

Si votre organisation n'a pas ces deux registres opérationnels :

  • vous ne pouvez pas démontrer ce que vous faites avec les renseignements personnels ;
  • vous ne pouvez pas prouver la gestion d'un incident passé — donc il n'existe pas aux yeux de la CAI ;
  • vous partez sans défense dès qu'une plainte est déposée.

Les registres sont l'infrastructure silencieuse de la conformité. Leur absence est l'un des premiers motifs d'ordonnance de la CAI.

Les deux registres obligatoires

Registre des activités de traitement — inventaire des flux de renseignements personnels dans l'organisation (quoi, pourquoi, qui, où, combien de temps).

Registre des incidents de confidentialité — historique des événements touchant des renseignements personnels, avec mesures prises et notifications faites.

Structure du registre des activités de traitement

Un fichier Excel ou Google Sheets suffit. Les colonnes minimales :

  • Nom du traitement — ex. « Gestion des dossiers clients », « Recrutement ».
  • Finalité(s) précise — ex. « facturation + suivi de garantie ».
  • Catégories de personnes — clients, employés, candidats, prospects.
  • Catégories de renseignements — coordonnées, identification, santé, finance.
  • Source — collectés directement / reçus d'un tiers.
  • Destinataires internes — quels services / fonctions y ont accès.
  • Destinataires externes — sous-traitants, partenaires (catégories).
  • Transferts hors Québec — oui / non, pays concernés.
  • Durée de conservation — précise avec justification.
  • Responsable du traitement dans l'organisation.

Structure du registre des incidents de confidentialité

Même principe — tableau simple avec les colonnes suivantes :

  • Date et heure de découverte de l'incident.
  • Nature — courriel mal adressé, perte de support, accès non autorisé, etc.
  • Renseignements touchés — catégories de données impliquées.
  • Nombre de personnes concernées.
  • Évaluation du risque de préjudice sérieux — argumentée.
  • Mesures prises pour limiter les impacts.
  • Notifications — CAI oui/non, personnes concernées oui/non, dates.
  • Leçons tirées et mesures correctives pour éviter la récidive.
  • Responsable ayant traité l'incident.

🎯 Vos registres sont-ils opérationnels?

  • Le registre des traitements existe-t-il dans un format structuré (pas un courriel)?
  • Le registre des incidents est-il ouvert et à jour, même sans incident consigné?
  • Un responsable est-il désigné pour la tenue et la mise à jour?
  • La dernière révision date-t-elle de moins de 12 mois?

Si non à une seule question, vos registres sont fragiles — une enquête CAI peut démontrer leur insuffisance en quelques minutes.

Registres absents vs registres structurés

❌ Registres absents ou informels

  • Aucun inventaire des traitements
  • Incidents gérés oralement, sans trace
  • Aucun responsable de la tenue
  • Format informel (courriels éparpillés)
  • Impossible à présenter à un auditeur

✅ Registres structurés et tenus

  • Fichier Excel avec colonnes types
  • Tenue régulière (mise à jour ≤ 30 jours)
  • Responsable identifié et formé
  • Format unique, retrouvable, versionné
  • Présentables immédiatement à la CAI

Rythme de tenue et responsabilités

  • Registre des traitements : mise à jour à chaque changement (nouveau traitement, nouveau sous-traitant, nouvelle finalité) + revue complète annuelle.
  • Registre des incidents : entrée dans les 24 heures suivant la découverte, clôture du dossier une fois les mesures prises.
  • Responsable principal : le RPRP.
  • Contributeurs : les responsables de chaque service concerné (RH, TI, ventes, direction).

Erreurs fréquentes à éviter

  • Registre fait une fois, jamais mis à jour — il devient obsolète dès le premier changement de pratique.
  • Registre des incidents vide parce qu'il « n'y a pas d'incident » — la loi exige d'ouvrir le registre et d'y consigner même les incidents mineurs.
  • Registre mélangé avec d'autres fichiers — difficile à retrouver, impossible à présenter en urgence.
  • Colonnes manquantes — durées absentes, destinataires vagues, pas de source des données.
  • Un seul fichier pour les deux registres — ils ont des finalités et des usages différents, mieux vaut les séparer.

Ce que la Loi 25 implique concrètement

  • Tenir un registre des incidents — obligation formelle pour toute organisation, sans seuil de taille.
  • Documenter les traitements — particulièrement pour les EFVP et transferts hors Québec.
  • Présenter les registres à la CAI sur demande, dans un délai raisonnable.
  • Conserver l'historique — les versions successives doivent être traçables.

Pourquoi c'est critique

Sans registres structurés :

  • Vos pratiques sont invisibles — rien ne démontre ce que vous faites.
  • Vos incidents passés disparaissent — pas de trace, pas de leçon tirée.
  • Votre réponse en situation d'urgence est ralentie par l'absence de référentiel.

Un registre incomplet n'est pas un registre — c'est un brouillon que la CAI verra comme une absence.

Concrètement pour une PME

Sans registres tenus :

  • chaque demande de la CAI devient une reconstitution d'urgence ;
  • chaque incident est géré en mode improvisé, faute de protocole documenté ;
  • les leçons tirées disparaissent avec la mémoire des personnes impliquées.

Le coût vient de l'absence de traces — pas de la tenue des registres.

En résumé

Définition : Deux registres sont obligatoires — le registre des activités de traitement (inventaire des flux de RP) et le registre des incidents de confidentialité (historique des événements et mesures).

3 faits clés

  • Un fichier Excel structuré suffit — pas besoin d'outil compliqué
  • Le registre des incidents doit être ouvert avant tout incident
  • La tenue est un travail continu, pas un exercice annuel

👉 Action : Si vos deux registres ne sont pas en place, c'est la prochaine étape après la désignation du RPRP. Plus tôt ils existent, plus facilement ils se tiennent à jour.

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les exigences légales de contenu et de tenue des registres, et les risques en cas de registres absents ou incomplets.

Registres selon la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Dans votre organisation…

Si vous avez répondu non à l'une de ces questions,
vos registres sont probablement inexistants ou non présentables — la CAI le constate dès la première demande.

Pas certain que vos registres tiendraient à l'examen?
L'Analyse gouvernance PRP évalue la présence et la structure de vos registres.

Obtenir mon Analyse gouvernance PRP →

Construire votre gouvernance PRP étape par étape

La Formation Gouvernance PRP couvre la construction pratique de chaque livrable exigé par la Loi 25 : mandat RPRP, politique de confidentialité, registres, conservation, sous-traitants, EFVP. Modules à la carte ou forfait complet — adaptés au rythme de votre PME québécoise.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP

← Retour à la formation complète (6 modules)