Sommaire
Vous traitez des données personnelles? Vous n’allez plus pouvoir passer à côté des ÉFVP 🙃
Cela fait partie des nouvelles exigences en vigueur de la loi 25 au Québec! Depuis septembre 2022, il vous est demandé de réaliser une Évaluation des Facteurs relatifs à la Vie Privée (ÉFVP) lorsque la loi 25 l’exige.
Petit rappel sur les exigences de la loi 25 pour les curieux 💡
Ok, mais c’est quoi exactement une ÉFVP et comment réaliser une évaluation des facteurs relatifs à la vie privée sans virer fou?
Nos experts en loi 25 sont là pour vous sauver! 🚀
Dans ce guide réalisé par notre agence loi 25, on vous explique tout ce que vous devez savoir sur les ÉFVP! Et on vous donne 5 étapes pour les réussir 😉.
Qu’est-ce qu’une ÉFVP?
L’évaluation des facteurs relatifs à la vie privée (ÉFVP) permet aux organisations d’identifier les risques potentiels liés à la collecte, à l’utilisation, au stockage et à la divulgation de renseignements personnels.
Par exemple des informations utilisées à des fins statistiques ou des fins administratives.
L’ÉFVP peut être utilisée pour s’assurer que les informations personnelles sont correctement protégées et gérées conformément à la loi 25 au Québec.
Les 3 aspects d’une évaluation des facteurs relatifs à la vie privée comprennent:
- l’alignement du projet avec les principes de protection des données personnelles
- l’identification et l’évaluation des risques pour la vie privée
- l’élaboration et le maintien de stratégies pour contrer ou minimiser ces risques dans le traitement des renseignements personnels
Pourquoi réaliser une ÉFVP?
Voici deux raisons de vous lancer dans une Évaluation des Facteurs Relatifs à la Vie Privée
1) Vous conformer aux exigences de la loi 25:
Réaliser une évaluation des facteurs relatifs à la vie privée démontre à la Commission d’Accès à l’information du Québec que votre entreprise se conforme aux obligations en matière de protection des renseignements personnels.
Mais aussi que toutes les mesures nécessaires ont été prises pour protéger les renseignements personnels des clients/utilisateurs concernés.
2) Une meilleure gestion des risques pour les utilisateurs:
L’ÉFVP est essentielle non seulement pour se conformer aux exigences légales, mais aussi pour protéger les individus concernés par le traitement de leurs données, depuis la collecte jusqu’à leur destruction ou anonymisation.
Quand réaliser une ÉFVP?
L’Évaluation des Facteurs Relatifs à la vie Privée doit débuter dès les premières phases du projet pour guider son évolution (et ne pas vous lancer dans une collecte de données illégale) .
Répondez à ces questions vous savoir si vous devez réaliser une ÉFVP:
Source: Diagramme du commissariat à la protection de la vie privée du Canada
Même si un projet est déjà en cours, il est toujours utile d’intégrer une ÉFVP pour s’assurer que les changements sont gérés avec une considération pour la protection des renseignements personnels.
5 étapes pour un processus d’ÉFVP conforme à la loi 25
Voici un programme complet pour réaliser une ÉFVP au Canada conforme à la loi 25:
1. Déterminez si une ÉFVP est nécessaire
Je lance un nouveau projet pour mon entreprise, mais une Évaluation des Facteurs relatifs à la Vie Privée est-elle vraiment nécessaire?
- Votre projet implique-t-il la collecte de renseignements personnels? Oui/Non
Vous avez répondu oui? De manière générale, dès qu’une initiative ou un projet implique des renseignements personnels, la réalisation d’une ÉFVP est recommandée ✅
Voici 3 situations dans lesquelles la loi 25 exige la réalisation d’une ÉFVP:
1) Communication de renseignements personnels, sans le consentement des personnes concernées, pour une utilisation à des fins d’étude, de recherche ou de production de statistiques
2) Projet d’acquisition, de développement ou de refonte d’un système ou services impliquant des renseignements personnels
3) Communication de renseignements personnels à l’extérieur du Québec
2. Préparez votre Évaluation des Facteurs Relatifs à la Vie Privée (ÉFVP)
Préparer une Évaluation des Facteurs Relatifs à la Vie Privée (ÉFVP), c’est un peu comme cuisiner une recette de grand chef: il faut beaucoup de précision et des talents variés.
Constituez d’abord une équipe multidisciplinaire incluant:
- Des conseillers juridiques pour naviguer dans les méandres légaux
- Des spécialistes en TI pour s’assurer de la sécurité et de l’intégrité des données
- Des professionnels des ressources humaines pour évaluer l’impact de l’ÉFVP sur le personnel
Ensuite, élaborez votre protocole d’ÉFVP (votre recette), que vous suivrez lors de chaque nouveau projet: l’ÉFVP défini les rôles et les responsabilités de chaque membre de l’équipe).
Enfin, conservez un registre de chaque ÉFVP, réalisée des risques identifiés et des mesures prises (votre livre de recettes) . Vous pourrez ainsi le réutiliser lors de chaque nouvelle ÉFVP.
3. Faire un audit des facteurs relatifs à la vie privée
Ok, maintenant que tout est prêt, on se lance dans le grand bain!
Réalisez un audit de toutes les données personnelles que vous détenez ou allez détenir dans le cadre de votre projet et classez-les en fonction de leur sensibilité et de leur utilité pour votre entreprise.
L’objectif: identifier les activités à risque pour la vie privée.
Indiquez également comment ces renseignements personnels sont conservés.
Tableau récapitulatif des niveaux de risque
Voici comment définir le niveau de risque des renseignements personnels que vous collectez:
Facteur de risque | Niveau de risque faible 😊 | Niveau de risque élevé ☹️ |
Quantité de renseignements personnels | Implique un volume restreint de données personnelles | Englobe un volume conséquent de données personnelles |
Sensibilité des informations | Il exclut les informations à caractère délicat | Il contient des informations délicates telles que le numéro d’assurance sociale, données financières, médicales ou concernant les mineurs |
Étendue de l’impact sur les individus | Concernant une poignée d’individus | Affectant un grand nombre d’individus |
Toucher les groupes vulnérables | Ne touche pas les informations de groupes vulnérables | Affecte les informations de un ou plusieurs groupes vulnérables |
Portée de l’impact | Impact limité sur les personnes concernées | Impact significatif sur les personnes concernées |
Temporalité | Incidence occasionnelle ou à court terme | Répercussions à long terme |
Présence de risques additionnels | Aucun autre risque identifié | Au moins un risque supplémentaire identifié |
Confidentialité des échanges | Communications non sujettes à des obligations de confidentialité strictes | Soumis à des normes élevées de confidentialité |
Méthodes de collecte | Collecte des données par des moyens standards et transparents | Utilisation de méthodes intrusives ou non conventionnelles pour la collecte |
Probabilité d’accès non autorisé | Risques faibles d’accès non autorisé | Risques élevés d’accès non autorisé |
Conséquences d’une fuite de données | Conséquences négligeables en cas de fuite | Conséquences graves et étendues en cas de fuite |
Potentiel d’usage abusif | Faible probabilité d’usage abusif des données | Forte probabilité d’usage abusif des données |
Plus votre niveau de risque de confidentialité est élevé, plus votre ÉFVP est crucial pour limiter l’incidence éventuelle d’une fuite de données. Des mesures de protection doivent être mises en place pour garantir la sécurité des renseignements confidentiels.
Pour vous aider dans votre audit, nous avons réalisé ce template d’ÉFVP que vous pouvez télécharger et adapter à votre entreprise.
4) Rédigez un rapport
Il n’est pas obligatoire d’avoir un rapport pour réaliser votre ÉFVP mais c’est un bon moyen de justifier votre démarche en cas de contrôle.
Un mot d’ordre: simplicité. Votre rapport d’ÉFVP doit pouvoir être compris par tout lecteur.
Le rapport dois contenir:
- Présentation détaillée du projet (incluant sa description, sa motivation, objectifs, parties prenantes et leurs rôles, etc)
- Approbation du rapport par les hautes instances de l’entreprise
- Toute annexe fournissant des informations supplémentaires (liste de vos politiques en matière de protection des renseignements personnels, résumé des avis de sécurité de partenaires, certifications obtenues pendant votre projet).
Voici un modèle de rapport rédigé par le gouvernement du Québec.
Bonne pratique: publier le rapport (ou une partie anonymisée) sur votre site web ✅
Cela témoigne de la volonté de transparence de votre entreprise et de soucis du respect de la loi 25.
5) Mettez à jour votre ÉFVP en continu
Une ÉFVP n’est pas qu’un exercice ponctuel.
Pour être efficace, votre ÉFVP doit évoluer avec votre projet.
Si des modifications sont apportées à votre projet ou si de nouveaux risques apparaissent, votre ÉFVP doit être mise à jour.
Une fois achevée, votre ÉFVP doit être contrôlée et révisée régulièrement. Cela vous permettra de vous assurer qu’elle reste à jour par rapport aux besoins actuels du projet et à toute nouvelle réglementation ou loi 25.
Pratique exemplaire: mettez à jour votre évaluation des facteurs relatifs à la vie privée tous les six mois pour vérifier qu’elle est toujours conforme.
Vous êtes prêts à réaliser une ÉFVP
En suivant les 5 étapes de ce guide, vous êtes bonne voie pour vous mettre en conformité avec la loi 25 au Québec. Choisissez les bons chefs, sortez les bons outils de la loi 25, suivez la recette et vous obtiendrez une délicieuse Évaluation des Facteurs Relatifs à la Vie Privée!
Optimisez votre conformité avec notre agence loi 25 au Québec
Nous sommes l’agence loi 25 à Montréal qu’il vous faut! Transformez votre mise en conformité en opportunité avec nos experts loi 25 à Montréal.
Contactez-nous dès aujourd’hui pour obtenir un devis gratuit!