Module 6 · Guide pratique · Formation Gouvernance PRP
EFVP — mode « quand, pourquoi, base »

EFVP selon la Loi 25 —
quand, pourquoi, comment démarrer?

L'Évaluation des Facteurs relatifs à la Vie Privée est l'une des obligations les plus sous-estimées en PME. Ce guide aide à reconnaître quand elle est requise et à poser les bases d'une EFVP proportionnée.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP →

Une EFVP — Évaluation des Facteurs relatifs à la Vie Privée — est une analyse structurée des risques PRP d'un projet avant sa mise en œuvre. Sous la Loi 25, elle est obligatoire dans plusieurs situations — et la plupart des PME ne savent pas qu'elles y sont déjà soumises. Ce module présente les déclencheurs, les étapes de base, et le moment où une expertise approfondie devient nécessaire.

Ce que ça signifie concrètement pour un dirigeant

Si votre organisation adopte un nouvel outil infonuagique ou transfère des RP hors Québec sans EFVP :

  • vous êtes en non-conformité dès la mise en œuvre — même si tout va bien ensuite ;
  • vous ne pouvez pas démontrer avoir analysé les risques ;
  • en cas d'incident, l'absence d'EFVP aggrave l'évaluation de la CAI.

L'EFVP n'est pas un exercice théorique — c'est l'outil qui protège vos décisions les plus structurantes.

Qu'est-ce qu'une EFVP?

Une EFVP est une analyse documentée qui identifie les risques PRP d'un projet, évalue leur probabilité et leurs impacts, et définit les mesures pour les atténuer. Elle est réalisée avant la mise en œuvre du projet — pas après.

Quand une EFVP est-elle obligatoire?

La Loi 25 impose une EFVP dans plusieurs situations précises :

  • Transfert de RP hors du Québec — toute communication à l'extérieur de la province (hébergeur américain, fournisseur européen).
  • Acquisition, développement ou refonte de système d'information impliquant des RP — nouveau CRM, nouvelle base de données.
  • Projets impliquant un traitement important ou sensible de RP — analytics avancés, profilage client.
  • Décisions automatisées basées sur des RP qui ont un effet sur une personne.

En pratique pour une PME, les deux premiers déclencheurs sont les plus fréquents. Chaque fois que vous adoptez un nouvel outil infonuagique ou un nouveau logiciel traitant des RP, une EFVP proportionnée est attendue.

🎯 Avez-vous déjà dû faire une EFVP sans le savoir?

  • Avez-vous adopté un hébergement infonuagique hors Québec dans les 2 dernières années?
  • Avez-vous mis en place un nouveau logiciel (CRM, ERP, comptabilité) traitant des RP?
  • Avez-vous intégré un outil d'analyse ou d'intelligence artificielle à vos flux?
  • Avez-vous refondu votre site web avec de nouveaux formulaires de collecte?

Si oui à une seule question, une EFVP était probablement requise — et elle manque dans votre dossier de conformité.

Projets sans EFVP vs avec EFVP

❌ Sans EFVP

  • Adoption d'outils sans analyse préalable
  • Risques découverts après coup
  • Aucune trace de réflexion documentée
  • Mise à niveau urgente en cas d'incident
  • Non-conformité démontrable immédiatement

✅ Avec EFVP

  • Risques identifiés et arbitrés en amont
  • Mesures d'atténuation intégrées dès le design
  • Documentation de la diligence
  • Préparation proactive aux incidents
  • Conformité démontrable en enquête

Les 5 étapes de base d'une EFVP

Une EFVP proportionnée pour une PME peut tenir en quelques pages. Les étapes essentielles :

  • 1. Description du projet — quoi, pourquoi, quels RP, quel volume, quelles personnes concernées.
  • 2. Cartographie des flux — qui collecte, qui utilise, qui transmet, qui conserve.
  • 3. Analyse des risques — qu'est-ce qui peut mal tourner? quels préjudices potentiels?
  • 4. Mesures d'atténuation — comment réduire chaque risque identifié.
  • 5. Décision et suivi — feu vert, feu orange avec conditions, ou arrêt.

Ce n'est pas un document parfait qui compte — c'est la démarche structurée avant d'agir. Une EFVP de quelques pages bien faite vaut mieux qu'un rapport beaucoup plus long jamais lu.

Comment conduire une EFVP — démarche pas-à-pas

Une EFVP proportionnée se conduit en quelques heures pour la majorité des projets PME. Le tout est de ne pas la confondre avec une étude académique : c'est une décision documentée, pas un rapport académique.

  1. Identifier le déclencheur. Loi 25 art. 3.3 — communication hors Québec, acquisition ou refonte d'un système traitant des RP, traitement important ou sensible. Si un de ces déclencheurs est présent, l'EFVP est obligatoire.
  2. Décrire le projet en une page. Objectifs, fonctionnalités touchant des RP, calendrier, parties prenantes. Pas de jargon technique non nécessaire.
  3. Cartographier les flux de données. D'où viennent les renseignements, qui les manipule, où ils transitent, où ils sont stockés, qui y a accès. Inclure les sous-traitants et la localisation.
  4. Identifier les risques pour les personnes concernées. Pas pour l'organisation — pour les personnes : utilisation non autorisée, perte, divulgation, discrimination algorithmique, profilage, etc.
  5. Évaluer probabilité et gravité de chaque risque. Échelle simple (faible / moyenne / élevée). La gravité regarde le préjudice possible, pas le coût pour l'organisation.
  6. Définir les mesures d'atténuation. Pour chaque risque significatif, une mesure technique, organisationnelle ou contractuelle (DPA, chiffrement, restriction d'accès, minimisation).
  7. Trancher la décision. Lancer (feu vert), lancer avec conditions (feu orange), ne pas lancer (feu rouge). La décision est signée par le responsable habilité.
  8. Planifier le suivi. Conditions de réévaluation (nouveau sous-traitant, nouvelle fonctionnalité, incident), date de revue.

Template — Grille EFVP commentée

Cette grille couvre une EFVP proportionnée pour la majorité des projets PME. Pour les projets complexes (traitement à grande échelle de données sensibles, profilage automatisé, IA décisionnelle), une expertise approfondie est requise — voir la section dédiée plus bas.

Section 1 — Identification

Nom du projet : [Titre du projet]
Responsable interne : [Nom, fonction]
Date de réalisation : [Date]
Version : [v1.0, v1.1, etc.]
Déclencheur EFVP : [Communication hors Québec / Acquisition d'un système / Traitement important / Traitement sensible]

💡 À adapter : dater chaque version et conserver l'historique. Une EFVP n'est pas un document figé.

Section 2 — Description du projet

Objectif principal : [pourquoi ce projet]
Fonctionnalités touchant des renseignements personnels : [liste]
Calendrier : [date de mise en service]
Parties prenantes : [équipes internes + sous-traitants impliqués]

💡 À adapter : rester concret. Une description claire d'une demi-page suffit. Pas besoin de répéter le cahier des charges complet.

Section 3 — Renseignements personnels concernés

Catégories de personnes : [clients, employés, candidats, prospects, mineurs]
Catégories de renseignements : [coordonnées, identifiants, données financières, médicales, biométriques]
Niveau de sensibilité : [ordinaire / personnel non sensible / sensible art. 12 / mineurs art. 8.1-9.1]
Volume estimé : [nombre approximatif]
Durée de conservation prévue : [délai + justification]

💡 À adapter : reprendre du registre des traitements si la ligne existe. Si elle n'existe pas, c'est aussi l'occasion d'ajouter la ligne au registre.

Section 4 — Cartographie des flux

Source de collecte : [direct, formulaire, tiers, API]
Stockage : [système, fournisseur, localisation géographique]
Accès : [qui peut consulter / modifier, sur quel critère]
Communication externe : [sous-traitants impliqués, autres destinataires]
Transferts hors Québec : [oui / non, pays, base juridique]
Destruction : [délai, méthode, traçabilité]

💡 À adapter : un schéma visuel (boîtes + flèches) facilite la compréhension et accélère la revue par la direction.

Section 5 — Identification des risques

Pour chaque risque identifié :
— Description : [ce qui peut mal tourner pour les personnes concernées]
— Probabilité : [faible / moyenne / élevée]
— Gravité du préjudice : [faible / moyenne / élevée]
— Évaluation globale : [acceptable / à atténuer / inacceptable]

Catégories typiques : utilisation détournée par le fournisseur, accès non autorisé, perte, divulgation accidentelle, profilage, discrimination algorithmique, atteinte à la vie privée.

💡 À adapter : raisonner du point de vue des personnes concernées, pas de l'organisation. Un préjudice pour une personne ≠ un coût pour l'organisation.

Section 6 — Mesures d'atténuation

Pour chaque risque évalué « à atténuer » ou « inacceptable » :
— Mesure proposée : [technique, organisationnelle, contractuelle]
— Responsable de la mise en œuvre : [nom]
— Date prévue : [délai]
— Indicateur de succès : [comment vérifier que la mesure fonctionne]

Catégories typiques de mesures : minimisation des données collectées, pseudonymisation, chiffrement, contrôle d'accès renforcé, DPA avec sous-traitant, formation du personnel, limitation des transferts.

💡 À adapter : chaque mesure doit être nommée, attribuée et datée — sinon elle ne sera pas mise en œuvre.

Section 7 — Décision

Synthèse des risques résiduels après mesures : [acceptables / partiellement acceptables / inacceptables]
Décision : [Feu vert — lancement / Feu orange — lancement conditionnel / Feu rouge — arrêt]
Conditions attachées (si feu orange) : [liste]
Signature du responsable habilité : [Nom, fonction, date]

💡 À adapter : la décision est signée par la direction ou le responsable habilité, pas par le RPRP seul. Le RPRP recommande, la direction décide.

Section 8 — Suivi

Conditions de réévaluation : [changement de sous-traitant, nouvelle fonctionnalité, incident, demande d'une personne concernée]
Date de revue planifiée : [annuelle ou autre]
Indicateurs de surveillance : [accès anormaux, incidents, plaintes]

💡 À adapter : une EFVP qui n'est jamais revisitée perd sa valeur. Inscrire la revue au calendrier du RPRP.

Pourquoi l'EFVP est stratégique, pas bureaucratique

  • Elle évite les surprises — les risques identifiés en amont sont rarement une catastrophe en aval.
  • Elle structure les discussions — avec le fournisseur, la direction, les équipes techniques.
  • Elle documente la diligence — preuve directe en cas de plainte ou d'enquête.
  • Elle accélère les projets ensuite — les questions PRP sont traitées une fois, pas à répétition.

Quand faire appel à un expert?

Les bases couvertes par ce module suffisent pour la plupart des EFVP simples dans une PME. Une expertise approfondie est recommandée si :

  • Transferts multi-juridictions — données qui passent par plusieurs pays.
  • Traitements d'intelligence artificielle — profilage, décisions automatisées complexes.
  • Projets à fort volume ou forte sensibilité — santé, finance, données biométriques.
  • EFVP contestée ou audit de la CAI — enjeu juridique formel.

Pour ces cas, une formation dédiée ou un mandat de conseil spécifique sont plus appropriés qu'une EFVP standard.

Erreurs fréquentes à éviter

  • Faire l'EFVP après coup — une EFVP rétroactive a peu de valeur juridique.
  • Confondre EFVP avec contrat DPA — deux outils distincts qui se complètent.
  • Viser la perfection — une EFVP de 4 pages suffit pour la plupart des projets PME.
  • Ne pas documenter la décision finale — l'EFVP doit se conclure par une décision traçable.
  • Ne pas réviser à chaque changement substantiel — un nouveau sous-traitant, un nouveau pays, un nouvel usage déclenche une révision.

Ce que la Loi 25 implique concrètement

  • Réaliser une EFVP avant tout projet visé par les déclencheurs légaux.
  • Documenter l'analyse — risques, mesures, décision.
  • Appliquer les mesures d'atténuation retenues.
  • Réviser l'EFVP à chaque changement substantiel du projet.
  • Rendre l'EFVP accessible à la CAI sur demande.

Pourquoi c'est critique

Sans EFVP sur les projets qui la requièrent :

  • Vous êtes en non-conformité immédiate, indépendamment de la qualité du projet.
  • Vous ne pouvez pas justifier vos choix d'outils et de fournisseurs en cas d'enquête.
  • Chaque incident devient plus grave car non anticipé.

Une EFVP bien faite en amont coûte moins qu'une ordonnance de la CAI en aval.

Concrètement pour une PME

Sans EFVP sur les projets déclencheurs :

  • vous adoptez des outils dont vous ne maîtrisez pas les risques ;
  • vous découvrez les failles après l'incident, pas avant ;
  • vos décisions stratégiques sont indéfendables en cas d'enquête.

Le coût vient de l'improvisation — pas de l'évaluation.

En résumé

Définition : Une EFVP est une analyse documentée des risques PRP d'un projet, réalisée avant sa mise en œuvre pour guider les arbitrages.

3 faits clés

  • Obligatoire pour les transferts hors Québec et les projets importants
  • Une EFVP proportionnée de 3-5 pages suffit pour la plupart des cas PME
  • 5 étapes : description, cartographie, risques, mesures, décision

👉 Action : Identifiez les 2-3 projets récents qui auraient dû déclencher une EFVP. Faites-les rétroactivement en priorité — mieux vaut tard que jamais.

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les exigences légales de réalisation des EFVP, le contenu attendu et les risques en cas d'absence.

EFVP selon la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Votre organisation…

Si vous avez répondu non à l'une de ces questions,
vous avez probablement sauté des EFVP obligatoires — non-conformité latente qui apparaît dès qu'une enquête examine vos projets récents.

Pas certain des EFVP manquantes dans votre historique?
L'Analyse gouvernance PRP identifie les projets nécessitant une EFVP rétroactive.

Obtenir mon Analyse gouvernance PRP →

Construire votre gouvernance PRP étape par étape

La Formation Gouvernance PRP couvre la construction pratique de chaque livrable exigé par la Loi 25 : mandat RPRP, politique de confidentialité, registres, conservation, sous-traitants, EFVP. Modules à la carte ou forfait complet — adaptés au rythme de votre PME québécoise.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP

← Retour à la formation complète (6 modules)