Réaliser une EFVP, étape par étape — le guide pratique pour PME
La Loi 25 exige une EFVP plus souvent qu’on le pense, et le guide officiel est dense. Voici la démarche ramenée à l’échelle d’une PME.
Ce qu’il faut retenir
Une EFVP — évaluation des facteurs relatifs à la vie privée — est l’examen des risques qu’un projet fait courir à la vie privée des personnes. La Loi 25 la rend obligatoire dans des situations précises, et l’exercice est plus abordable que sa réputation. L’article détaille la démarche; voici l’essentiel.
- Deux déclencheurs : tout projet d’acquisition, de développement ou de refonte d’un système d’information traitant des renseignements personnels, et toute communication de renseignements personnels hors Québec — l’Ontario compte.
- La loi exige une évaluation proportionnée : la sensibilité, la finalité, la quantité, la répartition et le support des renseignements dictent la profondeur de l’exercice.
- Le livrable est une trace écrite que vous conservez au dossier, montée avec votre responsable de la protection des renseignements personnels (RPRP) dès le début du projet — pas un formulaire à envoyer à un organisme.
Une EFVP, c’est quoi au juste?
Derrière l’acronyme, une question simple : avant de lancer un projet qui touche des renseignements personnels, avez-vous regardé ce qui pourrait mal tourner pour les personnes concernées — et pouvez-vous le prouver? L’EFVP est la réponse structurée à cette question. Elle décrit le projet, inventorie les données en jeu, vérifie si le projet en a réellement besoin, identifie les risques et consigne les mesures retenues pour les réduire.
Le terme vient de la Loi sur la protection des renseignements personnels dans le secteur privé, telle que modernisée par la Loi 25. Ailleurs au Canada, on parle de PIA — privacy impact assessment; au Québec, c’est le même exercice, mais inscrit dans la loi, avec des déclencheurs définis et un rôle réservé au RPRP.
La Commission d’accès à l’information publie un guide d’accompagnement pour réaliser une EFVP (PDF). Il est rigoureux et complet — et conçu d’abord pour des organisations qui ont du personnel dédié à la protection des renseignements personnels. Ce qui suit est la version ramenée à la réalité d’une PME : comment faire une EFVP quand le « bureau de la vie privée », c’est une personne qui porte déjà trois chapeaux.
Quand la Loi 25 exige une EFVP
Premier déclencheur : tout projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services qui traite des renseignements personnels. La formulation est large à dessein. Un nouveau CRM, une plateforme de paie, un portail client, la refonte de votre boutique en ligne : chacun de ces projets tombe dans le champ, dès qu’il touche des données permettant d’identifier une personne.
Deuxième déclencheur : la communication de renseignements personnels à l’extérieur du Québec. Cela couvre bien plus que la vente de données — confier vos renseignements à un fournisseur infonuagique hébergé aux États-Unis, centraliser des dossiers au siège social de Toronto, donner accès à une équipe de soutien à l’étranger. Avant de communiquer, l’évaluation doit peser la sensibilité des renseignements, les fins de leur utilisation, les mesures de protection et le régime juridique de la destination. Et si le transfert va de l’avant, il doit faire l’objet d’une entente écrite qui tient compte des résultats de l’évaluation.
Un mot sur la biométrie, parce que la question revient : ce n’est pas un troisième déclencheur d’EFVP à proprement parler, mais une obligation voisine. Tout système qui vérifie l’identité au moyen de caractéristiques biométriques doit être déclaré à la Commission d’accès à l’information, et la création d’une banque de caractéristiques biométriques doit l’être au moins 60 jours avant sa mise en service. La Commission recommande de réaliser une EFVP pour ces projets — vu la sensibilité des données en cause, c’est une recommandation qu’on suit sans se faire prier.
Une démarche proportionnée au projet
C’est la nuance qui rassure la plupart des dirigeants de PME : la loi elle-même précise que l’évaluation doit être proportionnée à la sensibilité des renseignements, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support. Autrement dit, le législateur n’attend pas le même document d’un cabinet de dix personnes qui adopte un outil de prise de rendez-vous et d’une clinique qui centralise des dossiers de patients.
Pour un petit projet aux données ordinaires — noms, coordonnées, historique d’achat — quelques pages honnêtes suffisent, pourvu qu’elles montrent le raisonnement : ce qu’on collecte, pourquoi, ce qui a été vérifié, ce qui a été décidé. Aucun gabarit n’est imposé. Ce qui compte, c’est que la réflexion ait eu lieu avant les décisions, et qu’il en reste une trace.
Réaliser une EFVP, étape par étape
Voici la démarche que nous utilisons avec nos clients, ramenée à six étapes. Elle tient dans une ou deux séances de travail pour un projet simple.
- Décrire le projet et ses flux de données. Quel système, quelles données personnelles, d’où elles viennent, où elles vont, qui y accède. Un schéma d’une page vaut mieux qu’un long texte.
- Identifier les risques pour la vie privée. Accès non autorisé, usage détourné, conservation trop longue, destination à l’étranger — vus du point de vue des personnes concernées, pas seulement de l’entreprise.
- Évaluer la nécessité et la proportionnalité. Chaque champ de données doit gagner sa place. Si le projet fonctionne sans la date de naissance, on ne la collecte pas.
- Choisir les mesures d’atténuation. Chiffrement, restriction des accès, hébergement au Canada, clauses contractuelles, durée de conservation réduite — des mesures concrètes, rattachées aux risques identifiés.
- Documenter et conserver au dossier. L’évaluation, les réponses du fournisseur, la décision et sa justification. C’est ce document qu’on vous demandera après une plainte ou un incident.
- Réviser quand le projet change. Nouveau module, nouveau sous-traitant, migration de centre de données : chaque changement significatif rouvre l’évaluation.
Le RPRP doit être consulté dès le début — c’est une exigence de la loi pour les projets de système, pas une politesse. Concrètement, invitez cette personne à la première séance de travail, pas à la relecture finale.
Les erreurs les plus fréquentes
La première, et la plus coûteuse : réaliser l’EFVP après avoir signé le contrat. Une fois l’entente conclue, votre levier de négociation a disparu — impossible d’exiger l’hébergement canadien ou de meilleures clauses quand le fournisseur sait que vous êtes engagé. La loi place l’évaluation avant l’acquisition et avant la communication pour une raison précise : c’est le seul moment où vos constats peuvent encore changer quelque chose.
La deuxième : traiter l’EFVP comme un exercice ponctuel. Les projets évoluent — le fournisseur ajoute une fonction d’intelligence artificielle, change de sous-traitant, déplace ses serveurs. Une évaluation figée en 2024 ne dit rien du système que vous utilisez réellement en 2026. La troisième découle des deux autres : ne rien conserver. Une diligence faite de vive voix, sans trace écrite, n’existe pas aux yeux d’un enquêteur. Le dossier est le livrable.
Exemple concret : un CRM hébergé aux États-Unis
Prenons un distributeur de Gatineau, vingt employés, qui veut adopter un CRM américain pour gérer sa clientèle québécoise : noms, courriels, historique de commandes, notes de représentants. Les deux déclencheurs jouent en même temps — c’est l’acquisition d’un système qui traite des renseignements personnels, et l’hébergement aux États-Unis constitue une communication hors Québec.
L’EFVP commence par l’inventaire : quels champs le CRM recevra-t-il vraiment? Les notes de représentants contiennent parfois plus que ce qu’on croit — situations familiales, informations de santé glanées en conversation. C’est le moment de trancher ce qui entre et ce qui reste dehors. Viennent ensuite les questions au fournisseur : où les données sont-elles hébergées, une région canadienne est-elle offerte, quels sous-traitants touchent aux données, quelles clauses de protection et de notification d’incident figurent au contrat?
Le dénouement typique : le fournisseur offre une région canadienne moyennant un léger surcoût, l’entreprise réduit les champs collectés, l’entente écrite reprend les conclusions de l’évaluation, et le tout — schéma, réponses, décision — tient dans un document court, classé avec le contrat. Six mois plus tard, quand le fournisseur annonce une nouvelle fonction d’analyse propulsée par l’IA, le réflexe est déjà en place : on rouvre le dossier.
Quand demander de l’aide
Beaucoup de PME peuvent réaliser leur première EFVP à l’interne : un système, des données ordinaires, une personne qui prend le dossier au sérieux. Si c’est votre cas, le guide de la CAI et la démarche ci-dessus suffisent probablement.
L’aide externe se justifie quand les enjeux montent : des renseignements sensibles, plusieurs systèmes qui s’échangent les mêmes données, un premier environnement infonuagique transfrontalier, ou personne à l’interne qui a le temps de porter le rôle de RPRP. Notre service de conformité à la Loi 25 couvre les EFVP, la gouvernance et le rôle de RPRP en impartition; et si vous êtes de la région, notre accompagnement Loi 25 en Outaouais se fait en personne, des deux côtés de la rivière.
Questions fréquentes
Une EFVP est-elle obligatoire?
Oui, dès qu’un déclencheur s’applique. La Loi 25 exige une évaluation des facteurs relatifs à la vie privée avant tout projet d’acquisition, de développement ou de refonte d’un système d’information qui traite des renseignements personnels, et avant de communiquer des renseignements personnels à l’extérieur du Québec. Aucune exemption pour les petites entreprises — mais la loi précise que l’évaluation doit être proportionnée à la sensibilité, à la quantité et à l’usage des renseignements. Un petit projet appelle une évaluation courte et documentée, pas un rapport de cent pages.
Qui doit approuver une EFVP?
La loi exige que le responsable de la protection des renseignements personnels — le RPRP — soit consulté dès le début d’un projet de système visé. En pratique, c’est cette personne qui révise l’évaluation, remet en question ce qui n’est pas nécessaire et conserve le dossier final. L’entreprise demeure responsable du résultat : une EFVP que personne d’imputable n’a lue ne protège personne.
Combien de temps prend une EFVP?
Pour un projet typique de PME — un système, des renseignements clients ou employés ordinaires — comptez en jours, pas en mois : une séance de travail pour cartographier les flux de données, une vérification du fournisseur et de la destination, puis la rédaction. Ce qui allonge une EFVP : des renseignements sensibles, plusieurs systèmes qui touchent les mêmes données, ou un fournisseur lent à répondre aux questions de base sur l’hébergement et la sous-traitance. Commencer tôt ne coûte rien; commencer après la signature du contrat, c’est ce qui transforme l’exercice en urgence.
EFVP et PIA, est-ce la même chose?
C’est le même exercice sous deux étiquettes. EFVP signifie évaluation des facteurs relatifs à la vie privée — le terme que la loi québécoise emploie pour ce que le reste du Canada appelle un privacy impact assessment, ou PIA. Si votre organisation réalise déjà des PIA en vertu de la LPRPDE ou pour des contrats fédéraux, l’essentiel du réflexe est acquis; la Loi 25 ajoute des exigences propres au Québec, dont l’évaluation avant toute communication hors province et la consultation obligatoire du RPRP.
Communiquer des renseignements en Ontario, c’est « hors Québec »?
Oui. La loi dit à l’extérieur du Québec, pas à l’extérieur du Canada : communiquer des renseignements personnels en Ontario, ou dans toute autre province, déclenche la même évaluation qu’un transfert vers les États-Unis. L’analyse est souvent plus rapide, parce que le régime de protection de la province destinataire est connu et généralement comparable — mais l’exercice, et la trace écrite qui en découle, restent requis.
Le CLOUD Act et vos données canadiennes
Un fournisseur sous contrôle américain répond au droit américain, où que soient vos données. Ce que ça change pour votre M365 — et ce qui protège vraiment.
Combien coûte un test d’intrusion au Québec?
Les fourchettes réelles par type de test, ce qui fait varier le prix — et les pièges des soumissions trop basses pour être vraies.
Une EFVP à réaliser bientôt?
On mène l’évaluation avec vous — flux de données, questions au fournisseur, trace écrite — et vous repartez avec un dossier qui tient la route.