Aller au contenu

Audit et conformité

Pourquoi c'est important

Dans un cabinet RCIC (ou tout cabinet juridique), avoir une piste claire de qui a fait quoi et quand n'est pas optionnel — c'est une exigence de la profession. ImmCase a des mécanismes d'audit intégrés que vous devez connaître et configurer en tant qu'administrateur.

Cette page résume les outils. Chacun a son chapitre spécifique — ici ils sont reliés.

Les quatre sources de preuves

1. Ligne du temps d'activité par fiche

Chaque demandeur, dossier, devis, etc., a sa propre ligne du temps d'activité — tous les changements sur cette fiche précise. Voir Ligne du temps d'activité. Lecture recommandée pour comprendre ce qui est consigné automatiquement.

2. Registre des connexions

ImmCase consigne chaque connexion : quel utilisateur, depuis quelle IP, dans quel navigateur, à quelle date. Accès :

  • Paramètres → Audit → Sessions.

Utile pour détecter des accès non autorisés ou inhabituels.

3. Registre des opérations admin

Les changements sensibles (créer un utilisateur, changer des permissions, supprimer des fiches) sont consignés dans un journal admin séparé :

  • Paramètres → Audit → Opérations admin.

Filtrez par utilisateur qui a fait le changement, par type d'opération, par plage de dates.

4. Exporter pour un auditeur externe

Quand un auditeur externe (Collège RCIC, comptable, régulateur) a besoin de réviser :

  1. Paramètres → Audit → Exporter.
  2. Choisissez la plage de dates et le type de preuves (ligne du temps d'activité, sessions, opérations admin).
  3. ImmCase génère un ZIP avec CSV et PDF.
  4. Horodatage et signature numérique facultative pour l'intégrité.

Politique de rétention

Combien de temps ImmCase conserve-t-il les journaux ?

  • Ligne du temps d'activité des fiches — indéfini (tant que la fiche existe). Si vous supprimez un dossier, sa ligne du temps part avec.
  • Registre des sessions — 1 an par défaut. Configurable dans Paramètres → Audit → Rétention.
  • Opérations admin — indéfini par défaut. Ce sont les plus critiques.

Votre juridiction peut exiger une rétention plus longue. RCIC au Canada exige typiquement de conserver les dossiers pendant 6 ans après la clôture du dossier. Configurez la rétention en conséquence.

Documents signés numériquement

Si votre cabinet utilise des signatures électroniques (sur PDF, sur eForms), ImmCase conserve le certificat de signature avec le document : qui a signé, quand, depuis quelle IP, avec quelle méthode (écriture à l'écran, OTP par SMS, etc.).

Ce certificat est ce qu'un tribunal ou un régulateur accepte comme preuve que le demandeur a signé.

Conformité RGPD / LPRPDE / LGPD

Certaines juridictions exigent :

  • Laisser le client accéder à ses données personnelles que votre cabinet conserve. ImmCase a Exporter le profil du demandeur qui génère un PDF/JSON avec tout ce que vous avez sur lui.
  • Laisser le client demander l'effacement. La suppression douce + la rétention configurée couvre cela, mais pour une suppression réelle, il y a une commande admin spécifique.
  • Notifier les brèches de données. ImmCase peut alerter sur les accès inhabituels — configurez-le dans les alertes d'audit.

À surveiller

  • Modifier les journaux est illégal dans de nombreuses juridictions. Les journaux d'ImmCase ne peuvent pas être modifiés depuis l'UI par les utilisateurs (y compris les admins) — seulement ajoutés. Si l'accès au serveur permet de modifier la base de données, c'est un sujet de sécurité d'infrastructure, pas d'ImmCase.
  • Supprimer un utilisateur ne supprime pas ses journaux. Les actions que cette personne a faites restent consignées. La suppression douce de l'utilisateur ne bloque que l'accès futur.
  • Les sauvegardes sont la responsabilité de votre équipe TI, pas d'ImmCase. Confirmez avec votre administrateur technique qu'il y a des sauvegardes quotidiennes et un plan de récupération.

Pour la suite

  • Partie 7 (Outils spécialisés) — fonctions spécifiques d'ImmCase pour l'immigration.
  • Votre profil — chaque utilisateur devrait configurer sa propre sécurité de compte.