CapGRC
Retour aux ressources
Loi 25Article

EFVP : guide pratique pour réaliser votre première évaluation

Méthodologie pas à pas pour réaliser une Évaluation des facteurs relatifs à la vie privée (EFVP) conforme à la Loi 25 — avec le gabarit téléchargeable inclus.

7 min de lectureOctobre 2024

L'EFVP (Privacy Impact Assessment) est l'outil central de la Loi 25 pour protéger la vie privée dès la conception des projets. Obligatoire depuis septembre 2023, elle s'applique à tout nouveau projet ou changement significatif impliquant des renseignements personnels.

Quand réaliser une EFVP ?

1

Nouveau projet ou système impliquant des données personnelles

2

Modification significative d'un système existant

3

Nouveau contrat avec un tiers traitant des données personnelles

4

Communication de données hors Québec

5

Mise en place d'un système de surveillance ou de localisation

6

Utilisation de l'intelligence artificielle sur des données personnelles

7

Changement de finalité d'utilisation des données collectées

Structure de l'EFVP

Section 1 : Description du projet

  • Quel est l'objectif du projet ou du système ?
  • Quelles données personnelles sont collectées ? (liste exhaustive)
  • Qui collecte les données et dans quel contexte ?
  • Quels systèmes traitent ou stockent ces données ?
  • Y a-t-il des communications de données à des tiers ?

Section 2 : Analyse des risques à la vie privée

  • Quels sont les risques d'accès non autorisé aux données ?
  • Quels sont les risques d'utilisation à des fins non prévues ?
  • Quels sont les risques liés à la conservation excessive ?
  • Quels risques pour les personnes vulnérables (enfants, etc.) ?
  • Quel est l'impact potentiel sur les personnes concernées ?

Section 3 : Mesures de protection

  • Quels contrôles d'accès sont mis en place ?
  • Comment les données sont-elles chiffrées (au repos et en transit) ?
  • Quelle est la politique de rétention et de destruction ?
  • Comment les incidents de confidentialité seront-ils détectés ?
  • Comment les droits des personnes sont-ils exercés ?

Section 4 : Conclusion et approbation

  • Les risques résiduels sont-ils acceptables ?
  • Des mesures supplémentaires sont-elles nécessaires avant le lancement ?
  • Le RPRP a-t-il approuvé l'EFVP ?
  • Une révision est-elle prévue (et à quelle date) ?

Gabarit EFVP prêt à l'emploi

Téléchargez notre gabarit Word structuré selon les 4 sections décrites ci-dessus, conforme aux recommandations de la CAI.

Télécharger le gabarit EFVP (DOCX)

Gérez vos EFVP directement dans CapGRC

Formulaires guidés, registre des EFVP, liaison avec les projets et archivage automatique — la conformité Loi 25 simplifiée.

Voir le module Sécurité des projetsDemander une démo