Module 6 · Exigences légales · Formation Gouvernance PRP
EFVP selon la Loi 25

Évaluation des facteurs relatifs à la vie privée (EFVP)
selon la Loi 25 — exigences au Québec

L'EFVP est l'une des obligations les plus structurantes de la Loi 25 — et l'une des plus souvent sautées par les PME. Ce texte présente les déclencheurs légaux, le contenu attendu et les risques en cas d'absence.

Construire ma gouvernance PRP Obtenir mon Analyse gouvernance PRP →

Contexte : l'EFVP comme outil d'anticipation réglementaire

L'EFVP n'est pas une innovation purement juridique — c'est l'institutionnalisation d'une pratique de bon sens : analyser les risques PRP avant d'adopter un projet structurant, plutôt qu'après un incident.

La Loi 25 a étendu l'obligation aux organisations privées pour les projets les plus structurants. Beaucoup de PME l'ignorent ou la sous-estiment — précisément parce qu'elle est invisible tant que tout va bien.

Ce que vous devez retenir — version dirigeant

  • Une EFVP est obligatoire pour plusieurs types de projets, notamment tout transfert hors Québec.
  • Elle doit être réalisée avant la mise en œuvre — pas après.
  • Elle protège les décisions structurantes — elle n'est pas un obstacle.
  • Son absence est immédiatement visible en enquête sur un projet récent.

Ce que ça implique pour votre organisation

Si vos projets récents n'ont pas fait l'objet d'une EFVP quand la loi l'exigeait :

  • chacun de ces projets est en non-conformité latente,
  • leur mise en cause rétroactive est facile pour un auditeur,
  • un incident survenant sur un tel projet est aggravé par l'absence d'analyse préalable.

L'absence d'EFVP n'est pas un détail technique — c'est un manquement structurant facilement vérifiable.

Ce que ça signifie concrètement pour vous

Pensez aux projets PRP adoptés par votre organisation dans les 2-3 dernières années :

  • combien ont été précédés d'une analyse documentée des risques PRP?
  • combien impliquent des transferts hors Québec non évalués?
  • combien pourriez-vous justifier devant la CAI aujourd'hui?

Chaque projet sans EFVP est une porte ouverte sur une non-conformité invisible — jusqu'à ce qu'elle soit examinée.

Définition légale de l'EFVP

Une Évaluation des Facteurs relatifs à la Vie Privée est une analyse documentée visant à identifier, évaluer et atténuer les risques PRP d'un projet impliquant des renseignements personnels, réalisée avant sa mise en œuvre.

Cadre juridique applicable

Cas obligatoires d'EFVP

La Loi 25 impose l'EFVP notamment dans les cas suivants :

  • Transfert hors Québec — toute communication de RP à un destinataire situé hors de la province.
  • Acquisition, développement ou refonte de système d'information impliquant des RP.
  • Projets à traitement important ou sensible selon le volume, la nature des données ou la population concernée.
  • Décisions automatisées fondées sur des RP et ayant un effet juridique ou significatif sur une personne.

Contenu minimal de l'EFVP

L'EFVP doit présenter : la description du projet et des RP concernés, l'analyse des risques, les mesures d'atténuation retenues, et la décision finale motivée. La profondeur est proportionnée à la sensibilité du projet.

Moment de réalisation

L'EFVP doit être réalisée avant la mise en œuvre. Une EFVP rétroactive est possible pour régulariser, mais elle ne remplace pas l'obligation préalable et ne supprime pas la période d'exposition qui a précédé.

Obligations concrètes

  • Identifier les projets qui déclenchent l'EFVP.
  • Réaliser l'EFVP avant la mise en œuvre, selon une méthode structurée.
  • Documenter l'analyse — risques, mesures, décision.
  • Conserver l'EFVP pendant toute la durée du projet et au-delà.
  • Réviser l'EFVP à chaque changement substantiel du projet.
  • Rendre l'EFVP accessible à la CAI sur demande.

Exemples concrets PME — traduction des obligations

Adoption d'un hébergement infonuagique américain

EFVP obligatoire — transfert hors Québec. Analyse de la protection juridique américaine, mesures contractuelles du fournisseur, décision motivée d'y aller ou non (alternative canadienne).

Refonte du site web avec nouveaux formulaires

EFVP proportionnée — nouveau système de collecte. Analyse des nouvelles données collectées, des flux vers les outils tiers (analytics, CRM), décision sur les protections à intégrer dès le design.

Implantation d'un CRM pour les ventes

EFVP obligatoire — nouveau système de traitement. Analyse des RP stockés, accès par rôle, conservation, transferts, sécurité du fournisseur, décision finale avec mesures retenues.

⚠️ Erreur stratégique fréquente

Beaucoup d'organisations procèdent ainsi :

  • elles adoptent un nouvel outil rapidement, pour répondre à un besoin opérationnel,
  • elles ignorent que l'adoption déclenche une EFVP,
  • elles découvrent l'obligation lors d'un audit ou d'un incident ultérieur.

Résultat :

  • projets en non-conformité latente dès leur mise en œuvre ;
  • risques non documentés, non atténués ;
  • incidents aggravés par l'absence d'analyse préalable.

Une EFVP bien faite en amont coûte moins qu'une ordonnance de la CAI en aval.

Deux réalités possibles

✗ Projets sans EFVP

  • Adoption rapide sans analyse
  • Risques découverts après coup
  • Non-conformité latente par défaut
  • Mesures improvisées si incident
  • Décisions stratégiques indéfendables

✓ Projets avec EFVP

  • Analyse structurée en amont
  • Risques identifiés et arbitrés
  • Mesures intégrées dès le design
  • Réponse proactive préparée
  • Diligence démontrable en enquête

Obligation légale ou bonne pratique? La distinction compte.

⚖️ Obligation légale

  • EFVP préalable sur projets déclencheurs
  • Contenu minimal (risques, mesures, décision)
  • Documentation et conservation
  • Accessibilité à la CAI sur demande
  • Révision à chaque changement substantiel

💡 Bonne pratique fortement recommandée

  • EFVP légère même pour projets moyens
  • Modèle-type adopté par l'organisation
  • Comité consultatif interne pour EFVP sensibles
  • Audit périodique des EFVP en cours
  • Liens explicites avec la politique de confidentialité

Exemples d'application concrète

EFVP préalable à l'adoption d'un nouveau CRM

Description du projet, analyse des RP stockés, cartographie des flux, évaluation des risques (accès non autorisés, transferts, conservation), mesures retenues (authentification renforcée, clauses DPA, durées), décision motivée. Document de 4-5 pages suffisant pour une PME.

EFVP rétroactive pour régulariser un projet existant

Un hébergeur américain a été adopté il y a 2 ans sans EFVP. L'organisation réalise l'EFVP rétroactive, documente les risques et les mesures déjà en place, identifie les lacunes à combler. Cette démarche proactive est favorablement reçue par la CAI si une plainte survient ensuite.

EFVP simplifiée pour un projet secondaire

L'organisation adopte un outil d'envoi de courriels de rappel. EFVP légère (2 pages) : données limitées, finalité simple, sous-traitant hébergé au Québec, risques faibles, mesures standards. Démarche proportionnée mais documentée.

Risques en cas de non-conformité

Angle 1 — Sanctions juridiques

  • Sanctions administratives pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial.
  • Ordonnances de la CAI exigeant la réalisation rétroactive d'EFVP ou l'arrêt de projets non évalués.
  • Sanctions aggravées en cas d'incident sur un projet qui aurait dû faire l'objet d'une EFVP.
  • Actions privées pour les personnes ayant subi un préjudice lié à l'absence d'évaluation préalable.

Angle 2 — Coûts opérationnels d'une absence d'EFVP

  • Projets à reprendre partiellement après découverte de risques non anticipés.
  • Gestion d'incident sans préparation — les risques sont découverts en situation de crise.
  • Mesures d'atténuation improvisées — plus coûteuses que prévu en amont.
  • Ré-architecture d'urgence quand la CAI exige des correctifs.

Concrètement pour une PME

Sans EFVP sur les projets déclencheurs :

  • chaque projet récent devient une vulnérabilité invisible ;
  • la régularisation rétroactive coûte plus cher que l'analyse préalable ;
  • votre cohérence globale de conformité est affaiblie.

Le coût vient de l'improvisation — pas de l'évaluation.

Articulation avec la gouvernance PRP

  • Registre des traitements — indique les projets ayant fait l'objet d'une EFVP.
  • Contrats sous-traitants — l'EFVP oriente les clauses DPA spécifiques au projet.
  • Politique de confidentialité — les conclusions de l'EFVP peuvent déclencher une mise à jour.
  • RPRP — coordonne la réalisation et conserve la documentation.
  • Plan de continuité — l'EFVP identifie les scénarios d'incident anticipés.

Questions fréquentes

Faut-il une EFVP pour chaque nouvel outil?

Pas forcément — l'obligation s'applique aux projets qui déclenchent les critères légaux (transfert, nouveau système, traitement important). Pour les ajouts mineurs, une note de décision simplifiée peut suffire. La proportionnalité guide la profondeur de l'analyse.

Qui approuve l'EFVP?

L'EFVP est préparée sous la coordination du RPRP, avec la contribution de l'équipe métier et technique. La décision finale est prise par la direction de l'organisation. L'approbation formelle (signature, résolution) renforce la démonstration de diligence.

Une EFVP doit-elle être rendue publique?

Non. L'EFVP est un document interne qui doit être accessible à la CAI sur demande. Certaines organisations publient un résumé à titre de transparence, mais ce n'est pas une obligation légale.

Peut-on utiliser un modèle d'EFVP générique?

Oui pour structurer la démarche, mais chaque EFVP doit être adaptée au projet concret. Un modèle générique sans adaptation n'est pas conforme — la CAI évalue la qualité de l'analyse, pas la présence d'un formulaire rempli à moitié.

L'EFVP remplace-t-elle le DPA avec le sous-traitant?

Non. L'EFVP est l'analyse de risque interne ; le DPA est l'entente contractuelle avec le sous-traitant. Les deux outils se complètent : l'EFVP peut identifier des clauses spécifiques à inclure dans le DPA, et le DPA concrétise les mesures d'atténuation retenues.

🎯 Diagnostic rapide

Votre organisation :

  • identifie-t-elle les projets qui déclenchent une EFVP?
  • a-t-elle documenté une EFVP sur un projet récent (2-3 ans)?
  • conserve-t-elle les EFVP accessibles en cas de demande de la CAI?

Si non à une seule question, vos projets structurants sont probablement en non-conformité latente — régularisation rétroactive recommandée.

Concrètement

Les obligations d'EFVP existent indépendamment du fait que votre organisation en ait déjà réalisé. Pour les projets récents des 2-3 dernières années :

  • identifiez ceux qui auraient dû faire l'objet d'une EFVP ;
  • priorisez ceux qui impliquent des transferts hors Québec ou des volumes sensibles ;
  • réalisez des EFVP rétroactives pour régulariser — c'est mieux que le silence.

Construire un modèle d'EFVP interne proportionné à votre PME est un travail de quelques heures qui évite des dizaines d'heures d'improvisation future. L'approfondissement des EFVP complexes relève d'une formation dédiée ou d'un mandat spécifique.

En résumé — EFVP selon la Loi 25

  • Déclencheurs clés : transferts hors Québec, nouveaux systèmes, traitements importants, décisions automatisées
  • Moment : avant la mise en œuvre du projet
  • Contenu : description, risques, mesures, décision documentée
  • Proportionnalité : profondeur adaptée à la sensibilité du projet

📘 Version pratique du même sujet

Pour un guide concret sur les 5 étapes de base d'une EFVP proportionnée et quand passer à une expertise approfondie.

Guide — Démarrer une EFVP →

Besoin d'identifier vos EFVP manquantes?

La Formation Gouvernance PRP couvre les bases de la démarche EFVP. L'Analyse gouvernance PRP identifie les projets déjà déclencheurs dans votre organisation.

Obtenir mon Analyse gouvernance PRP Construire ma gouvernance PRP

← Retour à la formation complète (6 modules)

Ce contenu est fourni à titre informatif et ne constitue pas un avis juridique formel.