Registre des risques (Évaluer)
Identifiez, evaluez et suivez les risques pour la vie privee — du catalogue de risques pre-definis jusqu'au registre instancie sur vos traitements.
A quoi sert le module Risques ?
Le module Risques (Evaluer > Risques) centralise l'identification et le traitement des risques pour la vie privee. Il alimente directement les EFVP, conditionne l'approbation du registre ROPA et sert de preuve de diligence en cas d'enquete de la CAI. Chaque risque est documente avec sa source (acteur, actif, traitement), sa probabilite, sa gravite et les mesures d'attenuation appliquees. Le score initial et le score residuel sont recalcules automatiquement quand vous ajoutez ou modifiez une mesure.
Catalogue vs registre
Le module est organise en deux onglets. Le « Catalogue » regroupe une bibliotheque de risques pre-definis par Conformaze (acces non autorise, perte de donnees, transfert hors-Quebec non encadre, profilage opaque, etc.) que vous pouvez instancier sur vos traitements en un clic. Le « Registre » liste les risques que vous avez instancies pour votre organisation, avec leur statut, leur proprietaire et leur score residuel. Cette separation evite de partir d'une page blanche tout en gardant un registre propre a votre contexte.
Catalogue vs registre
Instancier un risque sur un traitement
Depuis le catalogue, selectionnez un modele de risque et cliquez sur « Instancier ». Conformaze vous demande sur quel traitement, acteur ou actif le risque s'applique, puis pre-remplit la probabilite et la gravite suggerees. Vous ajustez les valeurs selon votre contexte, designez un proprietaire et selectionnez les mesures d'attenuation existantes ou a creer. Le risque apparait alors dans le registre, lie a son element source, et devient visible dans la fiche du traitement.
Instancier un risque sur un traitement
Score residuel et impact sur l'approbation
Pour chaque risque, Conformaze calcule deux scores : le risque initial (probabilite x gravite, avant mesures) et le risque residuel (apres mesures d'attenuation). Les risques residuels eleves (score >= 12) sont signales en rouge dans le registre et bloquent l'approbation du ROPA associe jusqu'a ce qu'une mesure supplementaire soit ajoutee ou qu'une acceptation formelle du risque soit documentee par la direction.
Important
Un risque residuel eleve non attenue empeche la validation finale du registre ROPA. Documentez soit une mesure d'attenuation supplementaire, soit une acceptation formelle du risque par le RPRP ou la direction.
Lien avec les EFVP et la piste d'audit
Quand vous lancez une EFVP sur un traitement, les risques deja instancies sur ce traitement sont automatiquement repris dans le questionnaire — vous n'avez pas a les ressaisir. A l'inverse, les risques identifies pendant une EFVP sont enregistres dans le registre des risques. Toute modification (changement de score, ajout de mesure, fermeture) est consignee dans la piste d'audit avec auteur et horodatage.