EFVP Loi 25 : quand et comment faire une évaluation

Vous déployez un nouveau CRM qui centralise clients et employés, ou vous ajoutez un chatbot qui collecte des renseignements de santé sur le site ? Avant d'appuyer sur « publier », posez-vous une question : avons-nous besoin d'une EFVP (évaluation des facteurs relatifs à la vie privée) ? C'est l'outil pour documenter les risques avant qu'un projet sensible ne parte en production.

Qu'est-ce qu'une EFVP ?

C'est un processus structuré pour décrire un projet, identifier les renseignements visés, analyser les risques pour les personnes, proposer des mesures d'atténuation et décider si les risques résiduels sont acceptables. La CAI publie des guides et attend une démarche documentée, pas une simple case à cocher.

En pratique : une EFVP n'est pas un document juridique de plus à ranger — c'est la preuve que nous avons réfléchi aux impacts avant d'exposer des personnes à un nouveau traitement.

Quand la réaliser ?

• Nouvel outil SaaS (CRM, RH, support client) qui centralise des renseignements personnels.
• Refonte de site Web avec nouveaux formulaires, chat, analytics ou partage vers des partenaires.
• Surveillance, géolocalisation ou biométrie — nouveaux ou étendus.
• Profilage ou décision automatisée ayant un impact significatif sur la personne.
• Communication de renseignements sensibles à des tiers ou hors Québec.
• Collecte à grande échelle ou fusion de bases de données auparavant séparées.
• Projets Web à risque — traceurs invasifs, chatbots sur données santé/finances, etc.

En cas de doute, consultez les critères officiels de la CAI et votre conseiller juridique. L'EFVP complète — ne remplace pas — les contrôles techniques sur le site public.

Étapes type d'une EFVP

1. Cadrage — description du projet, acteurs, flux de données.
2. Nécessité et proportionnalité — minimisez la collecte; ne gardez que ce qui est utile.
3. Analyse des risques — gravité, vraisemblance, personnes vulnérables.
4. Mesures — sécurité, contrats, politique, formation.
5. Validation — approbation direction / PRP, suivi et révision planifiée.

Documenter l'EFVP pour une vérification

Conservez une version datée du document (PDF ou dépôt sécurisé) : description du projet, analyse des risques, mesures retenues, décision du PRP ou de la direction et calendrier de révision. En cas de plainte ou d'enquête, la CAI s'attend à voir une démarche structurée, pas seulement une note interne vague.

Point à retenir : datez, nommez un responsable et prévoyez une révision — une EFVP figée de 2022 qui ne reflète plus le site actuel ne protège personne.

Lien avec le site Web et la conformité visible

Une EFVP aboutit souvent à des changements concrets : nouvelle bannière cookies, mise à jour de la politique ou de la politique Web, durcissement TLS ou en-têtes. Après déploiement, vérifiez que le site reflète bien les décisions documentées — sinon, nous créons un écart exploitable en plainte.

En bref

• L'EFVP documente les risques avant le lancement d'un traitement sensible ou à grande échelle.
• CRM, refonte Web, profilage, données sensibles ou hors Québec : déclencheurs fréquents en PME.
• Cinq étapes : cadrage, proportionnalité, risques, mesures, validation.
• Conservez une version datée; reliez les décisions au site public et aux contrats fournisseurs.

Références utiles

• CAI — EFVP (outils et guides) — modèles et critères pour structurer votre évaluation.
• Loi P-39.1 (secteur privé) — obligations liées aux évaluations de facteurs relatifs à la vie privée.
• Responsable PRP — rôle du PRP dans la validation et le suivi des EFVP.

Ce texte est informatif et ne constitue pas un avis juridique. Pour une décision engageant votre organisation, consultez la CAI et un professionnel du droit.

Vérifier votre site Web

Après une EFVP, le site public doit refléter vos décisions (cookies, politique, formulaires). Notre analyse technique gratuite aide à confirmer que le déploiement matche la documentation — elle complète, sans remplacer, votre programme de conformité.