Comment faire une EFVP en 7 étapes

L'évaluation des facteurs relatifs à la vie privée (EFVP) est l'une des tâches les plus complexes parmi les obligations légales. Il s'agit essentiellement d'une analyse de risques spécifique aux risques en matière de renseignements personnels. Voici comment en faire une, étape par étape.

Pour comprendre quand l'EFVP est obligatoire et les exigences légales, voir Évaluation des facteurs (EFVP) — Article 3.3.

Étapes à suivre

  1. 1

    Confirmer que l'EFVP est requise

    Projet technologique avec données personnelles? Transfert hors Québec? Si oui, continuez. Sinon, vous n'avez pas besoin d'EFVP.

  2. 2

    Décrire le projet en 1 paragraphe

    Objectif, données collectées, personnes concernées, systèmes utilisés. Gardez ça simple.

  3. 3

    Tracer le flux de données

    D'où viennent les données? Où vont-elles? Qui y a accès? Dessinez un schéma simple avec des flèches.

  4. 4

    Faire la liste des risques

    Pour chaque étape : que pourrait-il arriver de mal? Accès non autorisé, perte, fuite, mauvaise utilisation. Notez tout.

  5. 5

    Ajouter des protections

    Pour chaque risque : quelle mesure le réduit? Chiffrement, accès restreint, contrat, formation. Une mesure par risque.

  6. 6

    Décider si les risques sont acceptables

    Risque acceptable = oui. Risque trop élevé = modifier le projet ou abandonner.

  7. 7

    Sauvegarder le rapport

    Classez le document. Conservez 5 ans minimum. Vous en aurez besoin si la CAI le demande.

Conseils et avertissements

Erreurs courantes

  • Faire l'EFVP après. C'est préalablement selon la loi. Faites-la avant de lancer le projet.
  • Passer 40 heures sur un petit projet. Restez proportionnel. Petit projet = petite EFVP.
  • Oublier les fournisseurs. Leurs pratiques font partie de votre analyse.

Questions fréquentes

Combien de temps ça prend?

Projet simple (nouveau fournisseur) : quelques heures. Projet complexe (nouveau système) : 1-2 jours, voire plus.

Dois-je envoyer l'EFVP à la CAI?

Non. Gardez-la dans vos dossiers. La CAI peut la demander, mais vous n'avez pas à la soumettre.

J'utilise déjà Mailchimp/AWS/Google. Trop tard pour l'EFVP?

Faites-la quand même. Mieux vaut tard que jamais. Documentez les risques et vos mesures actuelles.

Qui doit la faire?

Le RPRP supervise. L'équipe projet contribue. Pour les gros projets, impliquez le TI et un conseiller juridique.

Où trouver le détail des obligations légales?

Consultez notre guide sur l'EFVP pour le texte de loi et les exigences complètes.

Outil connexe

Modèle d'EFVP avec grille d'évaluation des risques.

Télécharger le modèle