Si vous avez déjà essayé de créer un registre des renseignements personnels (RP) à partir de zéro, vous savez à quel point ça peut sembler intimidant. Des centaines de lignes de tableur, des catégories floues, la peur d'oublier quelque chose d'important...
La bonne nouvelle ? Ça ne doit pas être parfait du premier coup. La Loi 25 demande de la diligence, pas de la perfection. Un registre honnête et incomplet vaut infiniment mieux que pas de registre du tout.
Dans ce guide, je vous propose une méthode éprouvée pour créer votre registre RP en moins d'une heure — même si vous n'y connaissez rien en protection des données.
C'est quoi un registre RP exactement ?
Le registre des renseignements personnels (souvent appelé « registre RP » ou « registre des activités de traitement ») est l'inventaire de toutes les façons dont votre entreprise collecte, utilise et stocke des données personnelles.
Pensez-y comme le bilan comptable de vos données : il liste tous vos « actifs de données » — c'est-à-dire chaque endroit où vous conservez des informations sur des personnes réelles.
Chaque « actif » dans votre registre décrit :
- Quelles données vous collectez (noms, courriels, NAS...)
- Pourquoi vous les collectez (la finalité)
- Où elles sont stockées (CRM, Excel, cloud...)
- Qui y a accès (employés, sous-traitants...)
- Combien de temps vous les gardez (durée de conservation)
⚠️ Obligation légale : L'article 3.2 de la Loi 25 rend le registre RP obligatoire pour toutes les entreprises. L'absence de registre peut entraîner des amendes.
Pourquoi c'est si important
Le registre RP n'est pas qu'une corvée administrative. Il a trois fonctions essentielles :
1. Démontrer votre conformité
En cas de demande de la CAI, votre registre prouve que vous prenez la protection des données au sérieux. C'est votre bouclier contre les amendes.
2. Identifier vos risques
Le processus de création du registre révèle souvent des surprises : données sensibles oubliées, accès non sécurisés, conservation trop longue...
3. Répondre aux demandes d'accès
Quand un client demande « quelles données avez-vous sur moi ? », votre registre vous permet de répondre rapidement et complètement.
Ce qu'un actif RP doit contenir
Chaque « actif » dans votre registre doit documenter ces éléments :
| Nom de l'actif | Un nom clair : « Base clients CRM », « Dossiers employés »... |
| Finalité | Pourquoi vous collectez ces données ? |
| Base légale | Consentement, contrat, obligation légale... |
| Données collectées | Liste précise : nom, courriel, téléphone, NAS... |
| Catégories concernées | Clients, employés, fournisseurs... |
| Destinataires | Qui y a accès ? Vos employés ? Des sous-traitants ? |
| Transferts hors Québec | Stockées au Canada ? Aux USA ? En Europe ? |
| Durée de conservation | Combien de temps vous gardez les données ? |
| Mesures de sécurité | Chiffrement, accès restreint, authentification... |
C'est beaucoup d'informations, mais vous n'avez pas besoin de tout remplir parfaitement dès le début. Commencez par ce que vous savez et complétez au fur et à mesure.
Les actifs RP les plus courants par secteur
Chaque entreprise est unique, mais certains actifs sont quasi-universels :
📧 Pour toutes les PME
- • Liste de contacts (clients/prospects)
- • Base de données employés
- • Comptes utilisateurs (accès systèmes)
- • Fichiers Excel avec données personnelles
🏥 Santé et bien-être
- • Dossiers patients/clients
- • Historique de rendez-vous
- • Données d'assurance
- • Notes de consultation
🛒 Commerce et e-commerce
- • Historique des commandes
- • Données de livraison
- • Informations de paiement
- • Panier abandonné
💼 Services professionnels
- • Dossiers clients détaillés
- • Correspondance confidentielle
- • Documents contractuels
- • Facturation et comptabilité
À retenir : Un actif n'est pas forcément un logiciel sophistiqué. Un simple fichier Excel sur votre ordinateur contenant des noms et courriels est un actif RP à documenter.
La méthode en 4 étapes pour créer votre registre en une heure
Voici la méthode que j'enseigne aux propriétaires de PME. Elle fonctionne parce qu'elle est pragmatique — pas parfaite, mais efficace.
Étape 1 — Listez vos logiciels et outils (10 minutes)
Commencez par faire le tour de tous les endroits où vous stockez des informations sur des personnes :
Questions pour vous guider :
- Quels logiciels CRM utilisez-vous ? (HubSpot, Salesforce, Pipedrive...)
- Où gérez-vous vos emails ? (Gmail, Outlook, Mailchimp...)
- Où sont vos fichiers employés ? (papier, Excel, logiciel RH...)
- Quels outils de comptabilité ? (QuickBooks, FreshBooks...)
- Avez-vous des fichiers Excel avec des listes de contacts ?
- Utilisez-vous des outils de support client ? (Zendesk, Intercom...)
Conseil : Ne vous souciez pas de la « sensibilité » des données à ce stade. Listez TOUT — même le simple fichier Excel avec 20 contacts de clients.
⏱️ Temps estimé : 10 minutes
Étape 2 — Créez un actif par logiciel (30 minutes)
Pour chaque outil identifié à l'étape 1, créez un actif dans votre registre avec ces informations minimum :
Le minimum viable pour chaque actif :
- Nom : Donnez un nom clair (« Clients CRM », « Dossiers employés papier »)
- Données : Listez les types d'informations (noms, courriels, téléphones...)
- Finalité : Pourquoi vous les avez (« relancer les prospects », « payer les salaires »)
- Accès : Qui peut voir ces données ?
Si vous utilisez Nexconform, cette étape est grandement simplifiée : l'interface vous guide avec des questions simples et génère automatiquement la documentation.
⏱️ Temps estimé : 30 minutes (environ 5 minutes par actif)
Étape 3 — Identifiez les données sensibles (10 minutes)
Parcourez vos actifs et marquez ceux qui contiennent des données sensibles. La Loi 25 définit comme sensibles :
🚨 Hautement sensibles
- • Numéro d'assurance sociale
- • Données biométriques
- • Données de santé
- • Données financières détaillées
⚠️ Sensibles
- • Informations sur les enfants
- • Historique de localisation
- • Données professionnelles sensibles
- • Communications privées
Pourquoi c'est important ? Les données sensibles nécessitent des mesures de protection renforcées. Si vous en avez, mentionnez-le explicitement dans votre registre.
⏱️ Temps estimé : 10 minutes
Étape 4 — Identifiez les transferts hors Québec (10 minutes)
Pour chaque actif, vérifiez où les données sont physiquement stockées :
- Canada (Québec ou autre province) : ✅ Aucune action supplémentaire requise
- États-Unis : ⚠️ Considéré comme un transfert hors Québec. Une EFVP (Évaluation des facteurs relatifs à la vie privée) est recommandée pour les données sensibles.
- Europe ou autre : ⚠️ Même principe que pour les USA.
Comment savoir ? Vérifiez les conditions d'utilisation de vos outils cloud. La plupart des outils populaires (Google Workspace, Microsoft 365, Salesforce) stockent des données aux USA par défaut, sauf si vous avez explicitement choisi une région canadienne.
💡 Bonne pratique : Privilégiez les fournisseurs qui offrent des serveurs au Canada. Mentionnez dans votre registre la localisation de chaque actif.
⏱️ Temps estimé : 10 minutes
✅ Total : 60 minutes pour un registre fonctionnel
Votre registre ne sera pas « parfait », mais il sera honnête et documenté. C'est exactement ce que la CAI demande. Vous pourrez l'améliorer progressivement.
Ce que vous faites après avoir créé votre registre
Créer le registre est une excellente première étape, mais la conformité est un processus continu :
Mettez à jour régulièrement
Quand vous adoptez un nouveau logiciel ou changez de processus, ajoutez-le au registre. Une mise à jour trimestrielle est une bonne fréquence.
Complétez les informations manquantes
Retournez sur les actifs que vous avez créés rapidement et ajoutez les détails manquants (durée de conservation, mesures de sécurité...).
Partagez avec votre RPRP
Votre RPRP doit connaître l'emplacement du registre et comprendre son contenu pour pouvoir répondre aux demandes d'accès.
Préparez-vous aux demandes d'accès
Avec votre registre, vous pouvez maintenant répondre efficacement quand un client demande ses données. Préparez un modèle de réponse standard.
Questions fréquentes sur le registre RP
Mon registre doit-il être parfait dès le début ?
Non. Un registre incomplet mais honnête est bien meilleur que pas de registre. Commencez par vos actifs les plus importants et complétez progressivement. La CAI valorise l'effort de documentation.
Dois-je inclure les données de mes employés ?
Oui, absolument. Les dossiers employés — NAS, salaires, évaluations, informations d'urgence — sont des renseignements personnels au même titre que les données clients. Créez un actif spécifique pour votre base de données employés.
Le registre doit-il être public ?
Non. Le registre RP est un document interne confidentiel. Il doit être accessible à votre RPRP et présentable à la CAI en cas d'audit, mais vous n'avez pas à le publier sur votre site web.
Combien d'actifs une PME typique a-t-elle ?
Entre 4 et 12 actifs pour la majorité des PME de 2 à 25 employés. Une clinique de santé ou un cabinet comptable en aura plus en raison de la nature sensible des données. Ne vous inquiétez pas du nombre — concentrez-vous sur la qualité de la documentation.
Clause de non-responsabilité : Ce guide est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Les méthodes décrites sont des recommandations pratiques basées sur l'expérience de Nexconform. La conformité à la Loi 25 est une obligation légale de l'entreprise. Consultez un avocat spécialisé en protection des données pour des situations complexes.