L'EFVP : une obligation qui surprend encore beaucoup d'organisations
L'évaluation des facteurs relatifs à la vie privée (EFVP) est l'une des obligations de la Loi 25 les moins bien comprises. Certaines organisations ne savent pas qu'elle existe; d'autres pensent qu'elle ne s'applique qu'aux grandes entreprises ou aux projets technologiques complexes. La réalité est plus large.
Une EFVP est requise avant de lancer tout projet impliquant des renseignements personnels, et avant tout transfert de ces renseignements à l'extérieur du Québec. Ce n'est pas optionnel, et cela s'applique à la plupart des initiatives organisationnelles courantes.
Quand une EFVP est obligatoire
La loi est claire sur plusieurs déclencheurs :
Nouveau projet impliquant des renseignements personnels : un nouveau système RH, une plateforme CRM, une application mobile pour les clients, un nouveau processus d'intégration des employés. Si le projet traite des données personnelles, une EFVP est requise.
Nouveau système d'information : l'acquisition ou le déploiement d'un logiciel qui collecte, traite ou conserve des renseignements personnels. Cela inclut les solutions en nuage, les outils de productivité, les systèmes de gestion de la relation client.
Nouvelle collecte de renseignements : si vous modifiez la nature ou l'étendue des renseignements que vous collectez, une EFVP s'impose pour la nouvelle collecte.
Transfert à l'extérieur du Québec : avant de communiquer des renseignements personnels à une organisation située à l'extérieur du Québec (y compris dans une autre province canadienne), vous devez réaliser une EFVP qui évalue le régime de protection de la vie privée du pays ou de la province destinataire.
Ce que l'EFVP doit couvrir
Une EFVP n'est pas un exercice théorique. Elle doit permettre à l'organisation d'identifier les risques réels pour les personnes dont elle traite les renseignements, et de déterminer les mesures nécessaires pour les atténuer.
Les éléments essentiels d'une EFVP :
- Description du projet : ce que vous faites, pourquoi, et quels renseignements personnels sont impliqués
- Cartographie des flux de données : d'où proviennent les renseignements, où ils sont traités, où ils sont conservés, qui y a accès
- Identification des risques : accès non autorisé, perte, utilisation à d'autres fins, conservation excessive, partage non justifié
- Mesures d'atténuation : contrôles techniques (chiffrement, authentification, accès restreint) et organisationnels (formation, politiques, contrats)
- Conformité aux principes : vérification que le projet respecte les principes de la Loi 25 (collecte minimale, finalité déterminée, consentement valide, etc.)
Comment garder l'EFVP pratique
Une EFVP n'est pas nécessairement un document de 50 pages. La profondeur de l'analyse doit être proportionnelle à la sensibilité des renseignements et à la complexité du projet.
Pour un projet simple et à faible risque, une EFVP peut tenir en quelques pages structurées. Pour un projet qui traite des données de santé ou des renseignements financiers à grande échelle, l'analyse sera plus approfondie.
L'objectif est d'arriver à une conclusion documentée : soit le projet peut aller de l'avant avec les mesures d'atténuation identifiées, soit des ajustements sont nécessaires avant de procéder.
Quelques principes pratiques :
- Réalisez l'EFVP tôt dans la conception du projet, pas après. L'objectif est de pouvoir modifier la conception si des risques sont identifiés.
- Impliquez les équipes concernées : TI, opérations, ressources humaines selon le contexte. L'EFVP ne peut pas être réalisée en silo.
- Documentez les décisions et les justifications, pas seulement les conclusions. Si un risque est jugé acceptable, expliquez pourquoi.
- Prévoyez de revoir l'EFVP si le projet évolue significativement.
Le rôle du responsable de la protection des renseignements personnels
Le responsable de la protection des renseignements personnels (RPRP) doit être impliqué dans la réalisation des EFVP. Son rôle est d'assurer que l'analyse est rigoureuse, que les risques sont bien évalués et que les mesures d'atténuation sont réalistes.
Dans les organisations de taille moyenne, le RPRP est souvent une personne qui a d'autres fonctions principales. Cela ne diminue pas son rôle dans les EFVP; cela signifie que les outils et les processus doivent être suffisamment simples pour qu'elle puisse jouer ce rôle efficacement sans y consacrer des semaines.
Une démarche qui protège l'organisation
Au-delà de la conformité réglementaire, l'EFVP protège l'organisation. Elle oblige à poser les bonnes questions avant de déployer un projet, ce qui réduit le risque d'incident, de plainte ou de litige après coup. Une organisation qui réalise ses EFVP sérieusement est une organisation qui a réfléchi à ce qu'elle fait avec les données des personnes qui lui font confiance.
Observantia intègre un flux de travail guidé pour les EFVP : un modèle structuré qui vous guide à travers chaque étape de l'évaluation, conserve la documentation et permet de suivre l'état des EFVP en cours.
Ce contenu est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour des questions spécifiques à votre situation, consultez un conseiller juridique qualifié.