Lumière sur les évaluations de facteurs relatifs à la vie privée 

Une évaluation de facteurs relatifs à la vie privée (« EFVP ») constitue actuellement une bonne pratique à suivre par les organisations afin d’évaluer l’impact de tous leurs projets touchant à la collecte, la conservation, l’utilisation ou la communication de renseignements personnels. L’EFVP permet notamment à une organisation de s’assurer que tous les facteurs pouvant avoir un impact sur les droits des individus en matière de protection des renseignements personnels ont été considérés avant la mise en place d’un nouveau projet et permet, par le fait même, de minimiser les risques d’atteintes à ces droits. 

Un processus similaire appelé Analyse d’impact relative à la protection des données (« AIPD ») est prévu au Règlement général sur la protection des données1 (le « RGPD »). Entré en vigueur en 2018, le RGPD assure la protection des renseignements personnels des individus au sein de l’Union Européenne. En vertu de ce dernier, l’AIPD constitue bien plus qu’une bonne pratique. En effet, elle doit obligatoirement être réalisée dans les situations où le traitement de renseignements personnels implique un risque élevé d’atteinte aux droits et libertés des personnes concernées2

Avec l’entrée en vigueur de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels3 (la « Loi 25 »), la réalisation d’une EFVP par les organisations deviendra également obligatoire au Québec, mais dans les circonstances suivantes4 : 

Date d’entrée en vigueur des obligations  Situations 
À partir du 22 septembre 2022  Avant la communication de renseignements personnels sans obtenir le consentement des personnes concernées pour les fins suivantes :  

– La réalisation d’études; 
– La réalisation de recherches; 
– La production de statistiques. 
À partir du 22 septembre 2023  Pour la réalisation des nouveaux projets suivants :  

– L’acquisition, le développement ou la refonte d’un système d’information ou de prestation électronique de services qui impliquent des renseignements personnels. 

Avant la communication de renseignements personnels à l’extérieur du Québec.  

Afin de s’assurer de réaliser les EFVP conformément aux nouvelles exigences législatives, les organisations doivent commencer tout de suite à s’y préparer. Voici donc quelques pistes de réflexion à considérer pour la réalisation d’une EFVP.  

1. L’implication de la personne responsable de la protection des renseignements personnels de l’entreprise 

Dès le début du projet nécessitant la réalisation d’une EFVP, la Loi 25 prévoit l’obligation de consulter la personne responsable de la protection des renseignements personnels de l’entreprise. Cette dernière pourra ainsi proposer des mesures de protection des renseignements personnels supplémentaires qui seront applicables au projet en question. Voici quelques exemples prévus par la loi de mesures qui pourront être suggérées :  

  • Déterminer une personne qui sera responsable de mettre en œuvre les mesures de protection des renseignements personnels; 
  • Prévoir des mesures de protection des renseignements personnels dans les documents en lien avec le projet; 
  • S’assurer que les participants au projet ont des responsabilités déterminées en lien avec la protection des renseignements personnels; 
  • Élaborer des formations sur la protection des renseignements personnels qui s’adressent aux participants du projet.  

Bien entendu, ce ne sont que des exemples et la personne responsable de la protection des renseignements personnels pourra suggérer une panoplie de mesures ou de conseils, tous dans l’objectif que le projet final soit réalisé dans le respect des droits des personnes concernées en matière de protection de leurs renseignements personnels. 

2. Les renseignements personnels impliqués 

La Loi 25 prévoit que la réalisation d’une EFVP se doit d’être proportionnée à la sensibilité des renseignements personnels impliqués dans le projet, à la finalité de leur utilisation, à leur quantité, à leur répartition ainsi qu’à leur support. Tous ces éléments devront donc être déterminés et analysés avant de débuter l’EFVP.  

La personne responsable de la protection des renseignements personnels pourra également venir en aide aux participants du projet afin de réaliser cette analyse. Plus les renseignements personnels impliqués sont sensibles, nombreux et que les fins de leur utilisation présentent un risque important pour les personnes concernées, plus l’EFVP devra être complète et détaillée et prévoir des mesures efficaces d’atténuation de ces risques. 

3. Les étapes à suivre 

Plusieurs étapes doivent être franchies dans la réalisation d’une EFVP. Sans entrer dans les fins détails de chacune d’entre elles, voici les étapes principales à considérer :  

  • La première étape est de réaliser une description complète et détaillée du projet. Cette description devra inclure la liste des renseignements personnels impliqués. Cela vous permettra de déterminer plus facilement quelles sont les obligations en matière de protection des renseignements personnels que vous devrez considérer dans la mise en œuvre du projet. 
  • Une fois la portée du projet définie, il est important d’identifier les personnes qui devront être impliquées dans sa mise en œuvre. Comme mentionné précédemment, il ne faut pas oublier de consulter la personne responsable de la protection des renseignements personnels de votre entreprise qui pourra vous venir en aide avec la réalisation de l’EFVP et du projet. De plus, n’hésitez pas à consulter un avocat pour vous venir en aide avec l’identification des obligations en matière de protection des renseignements personnels qu’impliquent votre projet. 
  • Par la suite, il vous faudra identifier et définir les risques en matière de protection des renseignements personnels que comportent votre projet. Il vous sera ainsi possible de déterminer quelles sont les meilleures solutions afin de minimiser ou d’éliminer ces risques.  
  • Ne pas oublier de mettre à jour l’EFVP tout au long de la mise en œuvre du projet. En effet, il est possible que la portée du projet change en cours de route ou que certains éléments fassent naître de nouveaux risques en matière de protection des renseignements personnels. Ne pas les incorporer à l’EFVP au fur et à mesure de l’avancement du projet pourra causer de mauvaises surprises qui auraient pu être facilement évitées.  
  • Consigner toutes les étapes réalisées par écrit afin d’être en mesure de démontrer le processus accompli en matière d’EFVP pour la mise en œuvre de votre projet. D’ailleurs, vous pourrez réutiliser ce document et même en faire un gabarit pour tout projet futur nécessitant la réalisation d’une EFVP par votre entreprise. 

Pour plus d’informations à ce sujet, la Commission d’accès à l’information a élaboré un guide d’accompagnement5 qui explique en détail l’importance des EFVP et qui détaille notamment les étapes à suivre dans leur réalisation. Il est important de noter qu’avec l’entrée en vigueur de la Loi 25, ce document sera sans doute modifié et amélioré afin de mieux refléter les nouvelles obligations des entreprises en matière de réalisation d’EFVP.  

Conclusion 

La réalisation d’EFVP, actuellement considérée comme une bonne pratique pour les entreprises privées, deviendra obligatoire dans certaines circonstances avec l’entrée en vigueur progressive de la Loi 25. Les entreprises devraient donc commencer rapidement à intégrer cette nouvelle étape dans leurs processus, notamment lors de nouveaux projets impliquant la collecte, la conservation, l’utilisation ou la communication de renseignements personnels. Enfin, il ne faut pas hésiter à obtenir de l’aide dans l’implantation d’EFVP lorsque nécessaire. N’hésitez pas à consulter votre avocat(e) qui sera en mesure de confirmer si votre processus est conforme aux nouvelles exigences législatives.  


1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données). 
2 Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD) | CNIL, consulté le 17 février 2022. 
3 LQ, c.25. 
4 Évaluation des facteurs relatifs à la vie privée | Commission d’accès à l’information du Québec (gouv.qc.ca), consulté le 17 février 2022. 
5 Lien vers le guide: CAI_Guide_EFVP_FR.pdf (gouv.qc.ca) 

Attention : Cette publication ne constitue pas un avis juridique. Il s’agit uniquement d’informations d’ordre général dans le but de vous tenir informé sur certains sujets. Nous vous invitons à consulter votre avocat pour toute question d’ordre juridique.