EFVP — Évaluation des facteurs relatifs à la vie privée

EFVP en langage clair —
quand et comment évaluer les risques pour les renseignements personnels

L'article 3.3 de la Loi 25 oblige les organisations à effectuer une évaluation des facteurs relatifs à la vie privée pour tout projet d'acquisition, de développement ou de refonte d'un système d'information ou de prestation électronique de services impliquant des renseignements personnels. Ce guide explique quand l'EFVP est exigée, comment la mener avec une méthode en six questions et à quoi ressemble un livrable défendable pour une PME québécoise.

Contenu informatif. Ne constitue pas un avis juridique — pour des conseils personnalisés, consultez un juriste qualifié.

Comprendre l'EFVP — guide pratique pour les PME québécoises

L'EFVP est l'outil de gouvernance le plus concret de la Loi 25. Bien menée, elle protège la direction, démontre une diligence raisonnable et structure la décision technologique. Mal menée — ou ignorée —, elle laisse l'organisation exposée lorsqu'un incident survient.

Préalable conseillé : avant d'aborder cette page, parcourir la formation Gouvernance PRP qui couvre les rôles, les registres et la posture générale exigée par la Loi 25. La présente fiche entre dans le détail de l'évaluation des risques pour les projets sensibles.

Qu'est-ce qu'une EFVP et pourquoi c'est important

Définition : L'EFVP — Évaluation des facteurs relatifs à la vie privée — est un processus structuré d'analyse des risques qu'un projet ou un traitement de renseignements personnels fait peser sur les droits et la vie privée des personnes concernées. Elle documente le traitement, identifie les risques et précise les mesures de mitigation. Au Québec, elle est encadrée par les articles 3.3 et 3.4 de la Loi 25.

L'EFVP n'est pas un exercice théorique. C'est un outil de décision : avant de signer un contrat avec un nouveau fournisseur cloud, avant de déployer un CRM, avant d'adopter un outil d'intelligence artificielle pour traiter des données clients, l'organisation doit pouvoir démontrer qu'elle a regardé les risques en face et qu'elle a mis en place des mesures proportionnées.

Pourquoi cet outil est central dans la Loi 25 :

  • Démonstration de diligence raisonnable — en cas de plainte ou d'incident, l'EFVP est la pièce maîtresse qui prouve que l'organisation a fait son travail d'analyse avant le déploiement.
  • Décision éclairée — elle transforme une intuition (« cet outil semble correct ») en analyse documentée que la direction peut signer en connaissance de cause.
  • Protection du Responsable PRP — l'EFVP est le moment où le RPRP est consulté formellement et où son avis est consigné. Sans cela, le RPRP n'a pas d'angle pour bloquer un projet à risque.

L'EFVP est donc à la croisée de trois fonctions : conformité légale, gestion de risque et gouvernance. Pour une PME, c'est aussi un mécanisme qui ralentit juste assez les déploiements technologiques précipités pour éviter les regrets coûteux.

À retenir

L'EFVP est le seul mécanisme de la Loi 25 qui force formellement la consultation du RPRP avant une décision technologique. Sans EFVP, le RPRP risque de découvrir un projet déjà déployé — trop tard pour l'influencer.

Quand l'EFVP est obligatoire — déclencheurs de l'article 3.3

Déclencheur légal : l'article 3.3 de la Loi 25 exige une EFVP pour tout projet d'acquisition, de développement ou de refonte d'un système d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels. Le RPRP doit être consulté dans le cadre de cette évaluation.

Le critère est large mais précis : il s'agit d'un changement structurel à la manière dont les renseignements personnels sont traités. Un traitement courant qui se poursuit sans modification ne déclenche pas l'EFVP — c'est l'introduction, le remplacement ou la transformation d'un système qui l'active.

Exemples de projets qui déclenchent une EFVP pour une PME :

  • Déploiement d'un nouveau CRM — Salesforce, HubSpot, Zoho, etc. Le système collecte, conserve et exploite des renseignements clients à grande échelle.
  • Adoption d'un outil d'intelligence artificielle — chatbot client, analyseur de soumissions, outil de prédiction des ventes. Le traitement automatisé de renseignements personnels est nouveau.
  • Refonte du site web avec collecte de données — passage à une plateforme avec formulaires complexes, segmentation des visiteurs, intégration marketing.
  • Externalisation vers un fournisseur cloud — migration vers Microsoft 365, Google Workspace, AWS ; transfert de données vers un sous-traitant à l'étranger.
  • Adoption d'un outil de surveillance des employés — caméras, logiciels de productivité, suivi GPS des véhicules. Le traitement des renseignements de salariés relève aussi de la Loi 25.
  • Mise en place d'un programme de fidélité — collecte structurée et croisement de renseignements clients pour des fins marketing.

Ce qui ne déclenche généralement pas une EFVP formelle :

  • L'utilisation continue d'un système déjà évalué et inchangé
  • Une mise à jour mineure d'un logiciel sans changement de finalité
  • Une correction de configuration sans impact sur les flux de renseignements
  • L'embauche standard sans nouvel outil de gestion RH

Pour les traitements courants, l'EFVP n'est pas obligatoire mais reste une bonne pratique. Plusieurs organisations choisissent de réviser périodiquement leurs traitements existants — annuellement ou aux deux ans — pour rester en phase avec l'évolution réglementaire et technologique.

À retenir

Le déclencheur principal est l'introduction d'un système d'information traitant des renseignements personnels. Si vous changez d'outil, de fournisseur ou de méthode pour traiter des données clients, employés ou partenaires — c'est le moment.

Méthode en six questions — la trame d'une EFVP utile

Méthode : une EFVP défendable répond à six questions essentielles. Cette structure couvre les exigences de la Loi 25, s'aligne sur la DPIA du RGPD et reprend la logique des standards ISO 27701 et ISO 42005. Elle est volontairement simple — un cadre de réflexion, pas un formulaire administratif.
  1. Quoi — quels renseignements personnels sont en cause? Lister les catégories (identification, contact, financier, santé, comportement). Distinguer les renseignements ordinaires des renseignements sensibles. Préciser les volumes attendus.
  2. Pourquoi — quelles sont les finalités? Décrire la raison d'être du traitement. Vérifier le lien avec une finalité légitime, déclarée et compréhensible pour la personne concernée. Une finalité vague (« améliorer le service ») est un signal d'alerte.
  3. Qui — qui collecte, qui accède, qui partage? Identifier le responsable du traitement, les utilisateurs internes autorisés, les sous-traitants, les éventuels destinataires externes. Inclure les transferts vers d'autres organisations.
  4. Où / combien de temps — où sont les données et combien de temps sont-elles conservées? Localisation des serveurs, hébergement cloud, transferts hors Québec ou hors Canada, durée de conservation par catégorie, modalités de destruction.
  5. Risques — quels risques pour les personnes concernées? Risque d'accès non autorisé, de divulgation accidentelle, d'utilisation à des fins non prévues, de discrimination, de profilage. Évaluer probabilité et gravité.
  6. Mitigation — quelles mesures sont en place ou à mettre en place? Mesures techniques (chiffrement, contrôles d'accès, journalisation), organisationnelles (formation, politiques, ententes contractuelles) et juridiques (mentions, consentement, droit d'opposition).

Cette méthode est compatible avec tous les régimes de protection des renseignements personnels — Loi 25 au Québec, LPRPDE au fédéral, RGPD pour les activités touchant des résidents européens. Une organisation qui structure sa réflexion autour de ces six questions répond largement aux trois régimes simultanément.

À retenir

Une EFVP utile tient en cinq à quinze pages pour une PME. Si le document fait cinquante pages, on a confondu EFVP et étude de marché — la valeur n'est pas dans le volume mais dans la précision des réponses aux six questions.

Articulation avec les standards internationaux — DPIA, ISO 27701, ISO 42005

Convergence : l'EFVP de la Loi 25 partage sa logique avec plusieurs outils internationaux. Pour une PME québécoise qui sert aussi des clients européens ou qui adopte un outil d'IA, comprendre cette articulation évite de produire trois documents distincts pour le même traitement.

DPIA — Data Protection Impact Assessment (RGPD article 35) :

  • Exigée lorsque le traitement présente un risque élevé pour les droits et libertés des personnes concernées.
  • Déclencheurs spécifiques du RGPD : évaluation systématique fondée sur un traitement automatisé, traitement à grande échelle de catégories particulières, surveillance systématique d'une zone accessible au public.
  • La structure d'analyse est similaire à l'EFVP : description du traitement, nécessité et proportionnalité, risques, mesures.

ISO/IEC 27701:2019 — mesure A.7.2.5 :

  • Le standard international de management de la protection des renseignements personnels exige formellement une évaluation d'impact lorsque le traitement présente un risque élevé.
  • L'EFVP de la Loi 25 satisfait directement cette exigence si elle est documentée et conservée.
  • Pour une organisation qui vise une certification ISO 27701, c'est l'un des artefacts attendus dans le système de management.

ISO/IEC 42005:2025 — Impact Assessment for AI Systems :

  • Standard publié en 2024 spécifiquement pour les systèmes d'intelligence artificielle.
  • Il complète l'EFVP en ajoutant l'évaluation des risques propres à l'IA : biais algorithmiques, robustesse, transparence, supervision humaine.
  • Pour un projet d'IA, une EFVP « augmentée » qui couvre à la fois les renseignements personnels et les risques propres au système d'IA est la posture à viser.

Le réflexe stratégique : produire une seule analyse qui satisfait simultanément la Loi 25, le RGPD et les standards ISO. Une organisation qui structure son EFVP en pensant aux trois régimes économise un temps considérable et démontre une posture cohérente.

À retenir

Une EFVP bien structurée selon les six questions satisfait l'article 3.3 de la Loi 25, l'article 35 du RGPD et la mesure A.7.2.5 de l'ISO 27701. Pour les projets d'IA, ajouter le volet ISO 42005 permet de couvrir les risques spécifiques à l'IA.

Le livrable type — à quoi ressemble une EFVP défendable

Format : il n'existe pas de format légalement imposé pour une EFVP. La Commission d'accès à l'information (CAI) recommande une structure cohérente, datée, signée et conservée dans la documentation de l'organisation. Pour une PME, un livrable de cinq à quinze pages couvre largement les attentes.

Sections types d'une EFVP PME :

  1. En-tête : nom du projet, date, version, nom du responsable du traitement, nom du RPRP consulté.
  2. Description du projet : objectif, contexte, parties prenantes, calendrier de déploiement.
  3. Cartographie du traitement : renseignements collectés, finalités, sources, flux internes et externes, durée de conservation.
  4. Cadre légal applicable : Loi 25 (toujours), LPRPDE si activités interprovinciales, RGPD si résidents européens, autres régimes pertinents.
  5. Analyse des risques : tableau structuré listant les risques identifiés, leur probabilité et leur gravité.
  6. Mesures de mitigation : mesures techniques, organisationnelles et juridiques en place ou à mettre en place. Pour chaque risque, une mesure correspondante.
  7. Avis du RPRP : recommandation formelle (favorable, favorable avec conditions, défavorable). C'est la pièce qui formalise la consultation exigée par l'article 3.3.
  8. Décision de la direction : approbation ou rejet, signé par la personne autorisée, daté.
  9. Conservation : l'EFVP est conservée comme pièce de gouvernance — typiquement aussi longtemps que le système qu'elle évalue est en service, plus la durée nécessaire pour démontrer la diligence raisonnable.

L'EFVP se travaille en équipe : le porteur du projet décrit le système, le responsable opérationnel identifie les risques pratiques, le RPRP cadre les obligations légales, la direction tranche. Un seul rédacteur isolé produit rarement une EFVP utilisable.

À retenir

Une EFVP sans avis formel du RPRP et sans décision signée de la direction est un brouillon, pas un livrable de gouvernance. Ces deux pièces — l'avis et la décision — sont ce qui transforme l'analyse en outil défendable.

Erreurs fréquentes et pièges à éviter

Constat de terrain : les EFVP qui posent problème en cas de plainte ou de contrôle ne sont presque jamais des EFVP absentes — ce sont des EFVP mal structurées, signées tardivement, ou produites par copier-coller sans réflexion. Voici les pièges récurrents observés dans les PME québécoises.
  • EFVP produite après le déploiement — l'évaluation arrive trop tard pour influencer la décision et perd sa valeur de protection. La Loi 25 exige une consultation du RPRP dans le cadre du projet, pas après.
  • RPRP non consulté formellement — un email vague (« j'ai parlé à la responsable PRP, c'est correct ») ne remplace pas un avis daté et signé. Si l'EFVP est questionnée, l'avis du RPRP est la première pièce demandée.
  • Modèle générique copié sans adaptation — une EFVP recopiée d'une autre organisation, sans données spécifiques au projet, sans risques propres au contexte, est facile à identifier comme exercice administratif sans valeur.
  • Risques minimisés systématiquement — toutes les EFVP qui concluent « risque faible » sur tous les axes sans nuance révèlent une analyse non rigoureuse. Une EFVP utile identifie au moins quelques risques moyens ou élevés et propose des mesures concrètes.
  • Oubli des transferts hors Québec — le simple usage d'un outil cloud étranger active l'article 17 de la Loi 25 sur les transferts. Une EFVP qui ne mentionne pas la localisation des serveurs est incomplète.
  • Confusion entre EFVP et registre des traitements — le registre liste tous les traitements en cours, l'EFVP analyse en profondeur un projet précis. Les deux sont complémentaires et obligatoires (le registre étant exigé par l'article 3.2 de la Loi 25 pour le RPRP).
  • EFVP non mise à jour — un système évolue, les fournisseurs changent, les flux se transforment. Une EFVP datée de trois ans ne reflète plus la réalité — elle doit être révisée à chaque changement structurel.

L'erreur la plus coûteuse n'est pas l'absence d'EFVP — c'est une EFVP factice qui donne l'illusion de la conformité. En cas d'incident, un document mal structuré aggrave la situation au lieu de protéger l'organisation.

À retenir

Une EFVP utile est datée, signée, spécifique au projet, formellement consultée par le RPRP et révisée quand le système évolue. Tout le reste est cosmétique.

En résumé

L'EFVP — Évaluation des facteurs relatifs à la vie privée — est exigée par l'article 3.3 de la Loi 25 pour tout projet d'acquisition, de développement ou de refonte d'un système d'information ou de prestation électronique impliquant des renseignements personnels. Elle s'organise autour de six questions (quoi, pourquoi, qui, où / combien de temps, risques, mitigation) et donne lieu à un livrable structuré couvrant la description du traitement, le cadre légal, l'analyse des risques, les mesures de mitigation, l'avis du RPRP et la décision de la direction. Pour une PME québécoise, un document de cinq à quinze pages suffit. La méthode satisfait simultanément la Loi 25, la DPIA du RGPD (article 35), la mesure A.7.2.5 de l'ISO 27701 et — pour les projets d'IA — la norme ISO 42005:2025.

Réponse rapide

Quand l'EFVP est-elle obligatoire? Pour tout projet d'acquisition, de développement ou de refonte d'un système d'information ou de prestation électronique impliquant des renseignements personnels (article 3.3 Loi 25). Le RPRP doit être consulté dans le cadre de l'évaluation.

Combien de pages pour une PME? Cinq à quinze pages couvrent largement les attentes. Le volume n'est pas un critère de qualité — la précision des réponses aux six questions et la formalité de l'avis du RPRP le sont.

Une EFVP à produire pour un projet en cours?

Pour les organisations qui doivent encadrer un projet sensible (CRM, IA, refonte web, externalisation cloud), un accompagnement structuré permet de produire une EFVP défendable sans paralyser le projet. Réservez un appel d'orientation gratuit pour discuter de votre situation.

Planifier un appel d'orientation →