EFVP : Évaluation des facteurs relatifs à la vie privée

Art. 3.3, 3.4, 17, LPRPSP

Ce que la loi exige

L'Évaluation des facteurs relatifs à la vie privée (EFVP) est une analyse de risques obligatoire dans deux situations précises définies par la Loi sur la protection des renseignements personnels dans le secteur privé.

Situation 1 — Systèmes informatiques (Art. 3.3) : Avant d'acquérir, de développer ou de refondre un système d'information ou de prestation électronique de services impliquant des renseignements personnels, vous devez réaliser une EFVP.

Situation 2 — Transferts hors Québec (Art. 17) : Avant de communiquer des renseignements personnels à l'extérieur du Québec, vous devez réaliser une EFVP. Cela inclut l'utilisation de services cloud américains comme Google, Microsoft, Mailchimp, Shopify, etc.

L'EFVP doit être proportionnée à la sensibilité des renseignements, aux fins de leur utilisation, à leur quantité, leur répartition et leur support (Art. 3.4). Une petite entreprise utilisant un service standard n'a pas besoin d'une analyse aussi exhaustive qu'une institution financière traitant des données sensibles.

Texte de référence

Toute personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d'acquisition, de développement et de refonte de système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels.

Aux fins de cette évaluation, la personne doit consulter, dès le début du projet, son responsable de la protection des renseignements personnels.

La personne doit également s'assurer que ce projet permet qu'un renseignement personnel informatisé recueilli auprès de la personne concernée soit communiqué à cette dernière dans un format technologique structuré et couramment utilisé.

La réalisation d'une évaluation des facteurs relatifs à la vie privée en application de la présente loi doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

Art. 3.3, Loi sur la protection des renseignements personnels dans le secteur privé

Ce que vous devez faire

L'EFVP n'est pas un formulaire standard imposé par la CAI, c'est une démarche d'analyse que vous documentez selon vos besoins. Voici comment procéder :

  1. Identifiez si une EFVP est requise. Posez-vous deux questions : Est-ce que j'acquiers, développe ou refonds un système traitant des renseignements personnels? Est-ce que des renseignements personnels seront communiqués hors Québec?
  2. Décrivez le contexte. Quel est le projet ou le service? Quels renseignements personnels sont impliqués (noms, courriels, données de paiement, données de santé)? Qui y aura accès?
  3. Identifiez les risques. Quels sont les risques d'atteinte à la vie privée? Pour un transfert aux États-Unis, considérez : le CLOUD Act, les politiques de confidentialité du fournisseur, les mesures de sécurité en place.
  4. Documentez les mesures de protection. Le fournisseur est-il certifié SOC 2 ou ISO 27001? Les données sont-elles chiffrées? Y a-t-il un accord de traitement des données (DPA)?
  5. Concluez. Le projet peut-il aller de l'avant? Avec quelles conditions? Documentez votre décision et conservez l'EFVP.

Exemple — Mailchimp : Une boutique en ligne veut utiliser Mailchimp pour ses infolettres. L'EFVP documente : (1) les renseignements transférés (courriels, prénoms), (2) le risque lié au transfert aux États-Unis, (3) les mesures de Mailchimp (chiffrement, certifications, DPA disponible), (4) la conclusion que le risque est acceptable pour des données non sensibles avec les mesures en place.

Exemple — Nouveau logiciel comptable : Un cabinet acquiert un nouveau logiciel de comptabilité hébergé au Canada. L'EFVP documente : (1) les renseignements traités (données financières clients), (2) le risque d'accès non autorisé, (3) les mesures du fournisseur et les contrôles d'accès internes, (4) la conclusion que le projet peut aller de l'avant.

Erreurs courantes

  • Ne pas faire d'EFVP du tout. Beaucoup de PME utilisent des services américains sans jamais documenter l'évaluation requise. L'absence d'EFVP est un manquement à la loi.
  • Confondre EFVP et politique de confidentialité. L'EFVP est une analyse de risques interne. La politique de confidentialité est un document public. Ce sont deux choses différentes.
  • Faire une EFVP disproportionnée. L'EFVP doit être proportionnée au risque réel. Plus le risque est élevé, plus l'analyse doit être exhaustive.
  • Ne pas conserver l'EFVP. Même si vous n'avez pas à la soumettre à la CAI, vous devez pouvoir la présenter en cas de vérification. Conservez-la avec vos documents de conformité.
  • Oublier les services « gratuits ». Google Analytics, Facebook Pixel, widgets de chat — tous ces services peuvent impliquer un transfert de renseignements personnels hors Québec et nécessiter une EFVP.

Questions fréquentes

Quand une EFVP est-elle obligatoire?

Une EFVP est obligatoire dans deux situations : (1) avant d'acquérir, de développer ou de refondre un système d'information traitant des renseignements personnels, et (2) avant de communiquer des renseignements personnels à l'extérieur du Québec.

Dois-je faire une EFVP pour utiliser Google Analytics?

Oui, si Google Analytics collecte des renseignements personnels (comme les adresses IP) et que ces données sont transférées aux États-Unis. L'EFVP doit documenter les risques et les mesures de protection en place.

Dois-je faire une EFVP pour utiliser Mailchimp?

Oui. Mailchimp stocke les données aux États-Unis. Avant d'y transférer des courriels et noms de vos clients, vous devez réaliser une EFVP documentant les risques liés à ce transfert hors Québec.

Une EFVP est-elle requise pour un logiciel hébergé au Canada?

Si vous acquérez un nouveau système qui traite des renseignements personnels, une EFVP est requise, même si le fournisseur est au Canada.

Qu'est-ce que le principe de proportionnalité?

L'EFVP doit être proportionnée à la sensibilité des renseignements, aux fins de leur utilisation, à leur quantité, leur répartition et leur support. Une PME utilisant Mailchimp pour des infolettres n'a pas besoin d'une EFVP de 50 pages.

Combien de temps prend une EFVP?

Pour une PME avec un cas simple (ex: utilisation d'un service cloud américain), une EFVP peut se compléter en 1 à 2 heures. Les cas complexes impliquant des données sensibles ou plusieurs systèmes peuvent prendre plus de temps.

Dois-je soumettre l'EFVP à la CAI?

Non. L'EFVP n'a pas à être soumise à la Commission d'accès à l'information (CAI). Cependant, vous devez la conserver et être en mesure de la présenter en cas d'enquête ou de vérification.

Prochaine étape

Besoin d'un guide pratique? Voir Comment faire une EFVP en 7 étapes pour une checklist étape par étape.

Une fois vos EFVP complétées, assurez-vous d'avoir des ententes appropriées avec vos fournisseurs et que vos pratiques de consentement sont conformes.

Retour au guide de conformité →

Sujets connexes