Module 6 · Guide pratique · Formation Gouvernance PRP
EFVP — mode « quand, pourquoi, base »

EFVP selon la Loi 25 —
quand, pourquoi, comment démarrer?

L'Évaluation des Facteurs relatifs à la Vie Privée est l'une des obligations les plus sous-estimées en PME. Ce guide aide à reconnaître quand elle est requise et à poser les bases d'une EFVP proportionnée.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP →

Une EFVP — Évaluation des Facteurs relatifs à la Vie Privée — est une analyse structurée des risques PRP d'un projet avant sa mise en œuvre. Sous la Loi 25, elle est obligatoire dans plusieurs situations — et la plupart des PME ne savent pas qu'elles y sont déjà soumises. Ce module présente les déclencheurs, les étapes de base, et le moment où une expertise approfondie devient nécessaire.

Ce que ça signifie concrètement pour un dirigeant

Si votre organisation adopte un nouvel outil infonuagique ou transfère des RP hors Québec sans EFVP :

  • vous êtes en non-conformité dès la mise en œuvre — même si tout va bien ensuite ;
  • vous ne pouvez pas démontrer avoir analysé les risques ;
  • en cas d'incident, l'absence d'EFVP aggrave l'évaluation de la CAI.

L'EFVP n'est pas un exercice théorique — c'est l'outil qui protège vos décisions les plus structurantes.

Qu'est-ce qu'une EFVP?

Une EFVP est une analyse documentée qui identifie les risques PRP d'un projet, évalue leur probabilité et leurs impacts, et définit les mesures pour les atténuer. Elle est réalisée avant la mise en œuvre du projet — pas après.

Quand une EFVP est-elle obligatoire?

La Loi 25 impose une EFVP dans plusieurs situations précises :

  • Transfert de RP hors du Québec — toute communication à l'extérieur de la province (hébergeur américain, fournisseur européen).
  • Acquisition, développement ou refonte de système d'information impliquant des RP — nouveau CRM, nouvelle base de données.
  • Projets impliquant un traitement important ou sensible de RP — analytics avancés, profilage client.
  • Décisions automatisées basées sur des RP qui ont un effet sur une personne.

En pratique pour une PME, les deux premiers déclencheurs sont les plus fréquents. Chaque fois que vous adoptez un nouvel outil infonuagique ou un nouveau logiciel traitant des RP, une EFVP proportionnée est attendue.

🎯 Avez-vous déjà dû faire une EFVP sans le savoir?

  • Avez-vous adopté un hébergement infonuagique hors Québec dans les 2 dernières années?
  • Avez-vous mis en place un nouveau logiciel (CRM, ERP, comptabilité) traitant des RP?
  • Avez-vous intégré un outil d'analyse ou d'intelligence artificielle à vos flux?
  • Avez-vous refondu votre site web avec de nouveaux formulaires de collecte?

Si oui à une seule question, une EFVP était probablement requise — et elle manque dans votre dossier de conformité.

Projets sans EFVP vs avec EFVP

❌ Sans EFVP

  • Adoption d'outils sans analyse préalable
  • Risques découverts après coup
  • Aucune trace de réflexion documentée
  • Mise à niveau urgente en cas d'incident
  • Non-conformité démontrable immédiatement

✅ Avec EFVP

  • Risques identifiés et arbitrés en amont
  • Mesures d'atténuation intégrées dès le design
  • Documentation de la diligence
  • Préparation proactive aux incidents
  • Conformité démontrable en enquête

Les 5 étapes de base d'une EFVP

Une EFVP proportionnée pour une PME peut tenir en 3 à 5 pages. Les étapes essentielles :

  • 1. Description du projet — quoi, pourquoi, quels RP, quel volume, quelles personnes concernées.
  • 2. Cartographie des flux — qui collecte, qui utilise, qui transmet, qui conserve.
  • 3. Analyse des risques — qu'est-ce qui peut mal tourner? quels préjudices potentiels?
  • 4. Mesures d'atténuation — comment réduire chaque risque identifié.
  • 5. Décision et suivi — feu vert, feu orange avec conditions, ou arrêt.

Ce n'est pas un document parfait qui compte — c'est la démarche structurée avant d'agir. Une EFVP de 4 pages bien faite vaut mieux qu'un rapport de 40 pages jamais lu.

Pourquoi l'EFVP est stratégique, pas bureaucratique

  • Elle évite les surprises — les risques identifiés en amont sont rarement une catastrophe en aval.
  • Elle structure les discussions — avec le fournisseur, la direction, les équipes techniques.
  • Elle documente la diligence — preuve directe en cas de plainte ou d'enquête.
  • Elle accélère les projets ensuite — les questions PRP sont traitées une fois, pas à répétition.

Quand faire appel à un expert?

Les bases couvertes par ce module suffisent pour la plupart des EFVP simples dans une PME. Une expertise approfondie est recommandée si :

  • Transferts multi-juridictions — données qui passent par plusieurs pays.
  • Traitements d'intelligence artificielle — profilage, décisions automatisées complexes.
  • Projets à fort volume ou forte sensibilité — santé, finance, données biométriques.
  • EFVP contestée ou audit de la CAI — enjeu juridique formel.

Pour ces cas, une formation dédiée ou un mandat de conseil spécifique sont plus appropriés qu'une EFVP standard.

Erreurs fréquentes à éviter

  • Faire l'EFVP après coup — une EFVP rétroactive a peu de valeur juridique.
  • Confondre EFVP avec contrat DPA — deux outils distincts qui se complètent.
  • Viser la perfection — une EFVP de 4 pages suffit pour la plupart des projets PME.
  • Ne pas documenter la décision finale — l'EFVP doit se conclure par une décision traçable.
  • Ne pas réviser à chaque changement substantiel — un nouveau sous-traitant, un nouveau pays, un nouvel usage déclenche une révision.

Ce que la Loi 25 implique concrètement

  • Réaliser une EFVP avant tout projet visé par les déclencheurs légaux.
  • Documenter l'analyse — risques, mesures, décision.
  • Appliquer les mesures d'atténuation retenues.
  • Réviser l'EFVP à chaque changement substantiel du projet.
  • Rendre l'EFVP accessible à la CAI sur demande.

Pourquoi c'est critique

Sans EFVP sur les projets qui la requièrent :

  • Vous êtes en non-conformité immédiate, indépendamment de la qualité du projet.
  • Vous ne pouvez pas justifier vos choix d'outils et de fournisseurs en cas d'enquête.
  • Chaque incident devient plus grave car non anticipé.

Une EFVP bien faite en amont coûte moins qu'une ordonnance de la CAI en aval.

Concrètement pour une PME

Sans EFVP sur les projets déclencheurs :

  • vous adoptez des outils dont vous ne maîtrisez pas les risques ;
  • vous découvrez les failles après l'incident, pas avant ;
  • vos décisions stratégiques sont indéfendables en cas d'enquête.

Le coût vient de l'improvisation — pas de l'évaluation.

En résumé

Définition : Une EFVP est une analyse documentée des risques PRP d'un projet, réalisée avant sa mise en œuvre pour guider les arbitrages.

3 faits clés

  • Obligatoire pour les transferts hors Québec et les projets importants
  • Une EFVP proportionnée de 3-5 pages suffit pour la plupart des cas PME
  • 5 étapes : description, cartographie, risques, mesures, décision

👉 Action : Identifiez les 2-3 projets récents qui auraient dû déclencher une EFVP. Faites-les rétroactivement en priorité — mieux vaut tard que jamais.

⚖️ Pour aller plus loin sur le cadre légal

Consultez la page détaillée sur les exigences légales de réalisation des EFVP, le contenu attendu et les risques en cas d'absence.

EFVP selon la Loi 25 — exigences légales →

Test rapide

Prenez 10 secondes. Votre organisation…

Si vous avez répondu non à l'une de ces questions,
vous avez probablement sauté des EFVP obligatoires — non-conformité latente qui apparaît dès qu'une enquête examine vos projets récents.

Pas certain des EFVP manquantes dans votre historique?
L'Analyse gouvernance PRP identifie les projets nécessitant une EFVP rétroactive.

Obtenir mon Analyse gouvernance PRP →

Construire votre gouvernance PRP étape par étape

La Formation Gouvernance PRP couvre la construction pratique de chaque livrable exigé par la Loi 25 : mandat RPRP, politique de confidentialité, registres, conservation, sous-traitants, EFVP. Modules à la carte ou forfait complet — adaptés au rythme de votre PME québécoise.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP

← Retour à la formation complète (6 modules)