Kit Loi 25
Retour au guide
5
Étape 5 sur 9

Tenir un Registre des incidents

Documentez tout incident de confidentialité impliquant des renseignements personnels.

Temps estimé : 30 minutes (mise en place)

📜 Ce que dit la loi

La Loi 25 impose aux entreprises de consigner tout incident de confidentialité impliquant des renseignements personnels dans un registre.

Un incident de confidentialité inclut :

  • L'accès non autorisé à des renseignements personnels
  • Leur utilisation ou communication non autorisée
  • Leur perte
  • Tout autre événement compromettant leur confidentialité ou leur sécurité

Le registre doit contenir :

  • Une description de l'incident
  • La date ou la période de l'incident
  • Les personnes touchées
  • Les mesures prises pour réduire les risques et éviter qu'il ne se reproduise
  • Les actions de communication aux personnes concernées et à la CAI

⏱️ Ce registre doit être conservé pendant au moins 5 ans après la date de l'incident.

🏢 Pour une PME

Même dans une petite structure, un incident peut survenir : courriel envoyé au mauvais destinataire, perte d'un document papier, intrusion dans un compte en ligne.

Un registre simple, à jour et centralisé, permet :

  • De répondre rapidement aux obligations légales
  • De démontrer la diligence raisonnable en cas d'enquête
  • D'améliorer la sécurité interne

Important à savoir

Certains incidents doivent être obligatoirement signalés à la CAI et aux personnes concernées, notamment si l'incident présente un risque sérieux de préjudice. Ne pas le faire peut entraîner des sanctions importantes.

💡 Exemples concrets

Exemple 1 : Une boutique en ligne note dans son registre qu'un employé a envoyé un relevé client à la mauvaise adresse courriel le 14 février 2025.

L'incident a été corrigé en contactant le client, en supprimant le courriel erroné et en rappelant à l'équipe les procédures de vérification avant envoi.

Exemple 2 : Un cabinet de physiothérapie découvre qu'un ancien employé avait encore accès au logiciel de gestion des patients 3 mois après son départ.

L'incident est documenté, l'accès est révoqué immédiatement, et une nouvelle procédure de désactivation des comptes au départ des employés est mise en place.

⚠️ Erreurs à éviter

  • Ne pas documenter un incident "mineur" en pensant qu'il n'est pas important
  • Utiliser un registre dispersé sur plusieurs documents
  • Oublier d'indiquer les mesures correctives prises
  • Ne pas protéger l'accès au registre

🛠️ Instructions pas à pas

1
Créer un document unique servant de registre officiel
2
Y inscrire chaque incident dès qu'il survient
3
Décrire les faits, les impacts et les mesures prises
4
Déterminer si l'incident doit être signalé à la CAI et aux personnes concernées
5
Protéger le registre par mot de passe ou accès restreint
6
Conserver chaque inscription pendant au moins 5 ans

Checklist — Étape 5 complétée ?

  • J'ai créé un registre centralisé pour les incidents
  • Je sais ce qui constitue un incident de confidentialité
  • Je connais les informations à documenter pour chaque incident
  • Je sais quand signaler un incident à la CAI
  • Le registre est protégé et accessible seulement aux personnes autorisées
  • Je conserverai les inscriptions pendant au moins 5 ans

📄 Gabarits inclus dans le Kit Loi 25

  • Modèle de Registre d'incidents de confidentialité
  • Modèle de Lettre de notification d'incident de confidentialité
Obtenir ces gabarits
Étape 4 : Politique de gouvernanceÉtape 6 : Procédure interne en cas d'incident