• Accueil
  • Évaluation des facteurs relatifs à la vie privée

Évaluation des facteurs relatifs à la vie privée

Une obligation pour protéger les renseignements personnels

À l’ère numérique, les renseignements personnels constituent une ressource de plus en plus prisée, tant par les organismes publics que par les entreprises. La multiplication des avancées technologiques qui en facilitent la collecte, le traitement ou la conservation peuvent cependant affecter le droit des citoyens à la vie privée. Ce droit fondamental est d’ailleurs protégé par la Charte des droits et libertés de la personne.

Dans ce contexte, la responsabilité de veiller à la protection des renseignements personnels revient autant aux citoyens concernés qu’aux organismes et aux entreprises.

Dans certaines situations :

  • Les lois applicables obligent les organisations publiques ou privées, quelle que soit leur taille, à la réalisation d’une évaluation des facteurs relatifs à la vie privée (EFVP).

Reconnue depuis longtemps comme une bonne pratique en matière de protection des renseignements personnels, l’EVFP est dorénavant obligatoire.

La Commission a produit, à ce sujet, le guide d’accompagnement ci-dessous.

Qu’est-ce qu’une EFVP?

  • C’est une démarche préventive et évolutive visant à mieux protéger les renseignements personnels et à mieux respecter la vie privée des personnes physiques.

Concrètement, il s’agit d’une analyse d’impact. Avant d’entamer un projet, et au cours de celui-ci, cette démarche permet de considérer tous les facteurs ayant un effet positif ou négatif sur le respect de la vie privée des personnes concernées.

Ces facteurs sont :

  • La conformité du projet aux lois applicables en matière de protection des renseignements personnels et le respect des principes l’appuyant;
  • L’identification des risques d’atteinte à la vie privée engendrés par le projet et l’évaluation de leurs conséquences;
  • La mise en place de stratégies pour éviter ces risques ou les réduire efficacement et leur maintien dans le temps.

Pourquoi réaliser une EFVP?

L’EFVP a pour objectifs de :

  • Protéger les personnes concernées par un projet, et ce, de la collecte de leurs renseignements personnels à leur destruction;
  • Mettre en place des mesures adéquates pour respecter les obligations en matière de protection des renseignements personnels;
  • Éviter les problèmes que causerait une gestion inadéquate de ces renseignements (incidents de confidentialité, poursuites, atteintes à l’image, etc.).

La réalisation d’une EFVP doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

L’organisation réalisant une EFVP démontre qu’elle assume ses responsabilités quant à la protection des renseignements personnels.

En 2018, un sondage Léger Marketing réalisé pour la Commission a d’ailleurs révélé que 91 % des Québécois accordaient de l’importance à la protection de leurs renseignements personnels et auraient fait davantage affaire avec une entreprise possédant une bonne réputation en la matière. Plus récemment, en 2022-2023, un sondage mené par le Commissariat à la protection de la vie privée du Canada dévoilait que la grande majorité (93 %) des répondants sont préoccupés par la protection de leur vie privée.

Au-delà des situations pour lesquelles les lois applicables commandent la réalisation d’une EFVP, la Commission recommande cette pratique à toute organisation ayant un projet mettant en cause des renseignements personnels.

Cinq situations principales vous obligent à réaliser une EFVP:

1- Pour un organisme ou une entreprise : Pour communiquer des renseignements personnels sans consentement à un tiers à des fins d’étude, de recherche ou de production de statistiques.

La communication doit être faite dans le cadre d’une entente écrite, transmise à la Commission. Cette entente entre en vigueur dans les 30 jours suivant sa réception.

Consultez la section sur la communication de renseignements personnels sans consentement à des fins de recherche.

2- Pour un organisme ou une entreprise : Dans le cadre d’un projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.

Dès le début du projet, aux fins d’évaluation :

  • L’organisme public doit consulter son comité sur l’accès à l’information et la protection des renseignements personnels.
  • L’entreprise doit consulter son responsable de la protection des renseignements personnels.

3- Pour un organisme ou une entreprise : Avant la communication d’un renseignement personnel à l’extérieur du Québec.

L’organisme public et l’entreprise privée doivent procéder à une EFVP :

  • Avant de communiquer un renseignement personnel à une entité située à l’extérieur du Québec.
  • Avant de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver, pour votre compte, un tel renseignement.

Consultez la section sur la Communication de renseignements personnels à l’extérieur du Québec.

4- Pour un organisme public : Dans le cadre de la collecte d’un renseignement personnel nécessaire à l’exercice des attributions d’un autre organisme public.

Il peut également s’agir de la mise en œuvre d’un programme de l’organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d’une mission commune.

  • Par exemple, un organisme peut recueillir un renseignement personnel afin de vérifier l’admissibilité de personnes à un programme qu’il administre.

Les organismes qui collaborent doivent conclure une entente et la transmettre à la Commission. Consultez la section sur les ententes de communication.

5- Pour un organisme public : Pour certaines autres communications d’un renseignement personnel sans le consentement de la personne concernée.

Plus précisément, une EFVP doit aussi être réalisée avant de communiquer un renseignement personnel sans consentement :

  • À un organisme public ou à un organisme d’un autre gouvernement lorsque la communication est manifestement au bénéfice de la personne concernée;
  • À un organisme public ou à un organisme d’un autre gouvernement pour l’exercice de ses attributions ou la mise en œuvre d’un programme dont il a la gestion;
  • À une personne ou à un organisme lorsque des circonstances exceptionnelles le justifient;
  • À une personne ou à un organisme si cette communication est nécessaire dans le cadre de la prestation d’un service à rendre à la personne concernée par un organisme public, notamment aux fins de l’identification de cette personne;

La communication doit être faite dans le cadre d’une entente écrite, transmise à la Commission. Cette entente entre en vigueur dans les 30 jours suivant sa réception.

Un guide pour faciliter votre évaluation!

Pour vous aider à réaliser votre Évaluation des facteurs relatifs à la vie privée (EFVP) et mieux comprendre cette démarche, consultez le Guide d’accompagnement conçu par la Commission. La Commission propose également un modèle générique de rapport permettant de rendre compte des résultats d’une EFVP.

Mise à jour : 21 septembre 2023