Un registre des incidents de confidentialitu00e9 est-il obligatoire sous la Loi 25?

Oui, en vertu de l'article 3.8 de la LPRPSP. Toute organisation doit tenir un registre documentant TOUS les incidents de confidentialitu00e9 qui surviennent, y compris les mineurs. L'absence de registre ou un registre incomplet est une violation distincte de la Loi 25, indu00e9pendamment des incidents eux-mu00eames.

Que doit contenir le registre des incidents Loi 25?

5 u00e9lu00e9ments obligatoires : (1) description de l'incident (quoi, comment, contexte), (2) date ou pu00e9riode estimu00e9e (survenance et du00e9couverte), (3) catu00e9gorie des renseignements compromis, (4) u00e9valuation du risque de pru00e9judice su00e9rieux et nombre de personnes affectu00e9es, (5) mesures d'attu00e9nuation prises pour contenir et pru00e9venir.

La CAI peut-elle demander u00e0 consulter le registre des incidents?

Oui, u00e0 tout moment et sans pru00e9avis. La CAI peut exiger une copie intu00e9grale du registre lors d'une inspection. Si votre registre est vide ou inexistant, vous faites face u00e0 une double violation : l'incident non documentu00e9 ET l'absence de registre. C'est l'un des premiers u00e9lu00e9ments vu00e9rifiu00e9s lors d'un audit.

Combien de temps doit-on conserver le registre des incidents?

La loi ne prescrit pas de duru00e9e minimale, mais la pratique recommandu00e9e est de conserver le registre au moins 5 ans, alignu00e9 sur la prescription pu00e9nale de la Loi 25. Les entru00e9es doivent u00eatre archivu00e9es mu00eame apru00e8s ru00e9solution de l'incident pour du00e9montrer l'historique de conformitu00e9.

10 min

Leçon 5.2 : Le registre des incidents : obligations légales et structure

L’obligation la plus négligée de la Loi 25

L’article 3.8 de la LPRPSP impose à toute organisation de tenir un registre documentant l’intégralité des incidents de confidentialité qui surviennent, y compris les incidents mineurs ne présentant aucun risque apparent. Ce registre est souvent le premier document demandé lors d’un audit de la CAI.

Pourquoi tous les incidents, même mineurs?

La tenue du registre sert deux objectifs :

Démontrer la diligence : Si un incident grave survient plus tard, un historique documenté des incidents précédents démontre que l’organisation exerce une surveillance active, ce qui atténue les sanctions.
Identifier les patterns : Des incidents mineurs répétés (ex: plusieurs courriels envoyés au mauvais destinataire) peuvent révéler un problème systémique nécessitant une formation ou une correction de processus.

Les 5 éléments obligatoires du registre

Description de l’incident : Ce qui s’est passé, comment, dans quel contexte.
Date ou période estimée : Quand l’incident a-t-il eu lieu? Quand a-t-il été découvert?
Catégorie des renseignements compromis : Noms? Courriels? Données financières? Données de santé?
Évaluation du risque : Y a-t-il un risque de préjudice sérieux? Combien de personnes sont affectées?
Mesures d’atténuation : Quelles actions ont été prises pour contenir l’incident et prévenir la récurrence?

La CAI peut demander une copie intégrale du registre à tout moment, sans préavis. Si votre registre est vide ou inexistant : double violation, l’incident non documenté ET l’absence de registre.

La sécurité du registre

Le registre lui-même contient des données sensibles sur les failles de sécurité, il doit donc être sécurisé :

Chiffrement des données au repos.
Accès restreint au RPRP et aux personnes autorisées.
Journalisation des accès au registre.

siteqc-loi25-exemple-entree-registre-incident

Format et durée de conservation

La loi ne prescrit pas de format spécifique, papier ou numérique sont acceptés, mais le format numérique facilite la recherche et la transmission à la CAI. La durée de conservation minimale recommandée est de 5 ans (alignée sur la prescription pénale).

SiteQC : registre chiffré et automatique

SiteQC intègre un registre des incidents chiffré directement dans le tableau de bord du RPRP. Chaque incident potentiel détecté par le système est pré-renseigné. L’assistant de saisie guide le RPRP à travers les 5 éléments obligatoires. Le registre est exportable en format PDF ou CSV pour la CAI.

Points clés

Obligatoire en vertu de l’art. 3.8 LPRPSP, tous les incidents, même mineurs.
5 éléments : description, date, catégorie données, risque, mesures.
La CAI peut le demander sans préavis.
Conserver au moins 5 ans (prescription pénale).
Doit être sécurisé et chiffré.