ÉFVP démystifiée : quand et comment évaluer vos sous-traitants

ÉFVP. Quatre lettres qui font peur à beaucoup de propriétaires de PME. L'évaluation des facteurs relatifs à la vie privée est pourtant l'une des obligations les plus concrètes de la Loi 25 — et l'ignorer peut coûter très cher.

Voici quand elle est obligatoire, ce qu'elle doit contenir, et comment la simplifier.

Qu'est-ce qu'une ÉFVP?

L'Évaluation des facteurs relatifs à la vie privée est une analyse systématique des risques que pose un projet, un système ou un transfert de données pour la protection des renseignements personnels.

C'est l'équivalent québécois du Privacy Impact Assessment (PIA) dans le monde anglophone ou de l'Analyse d'Impact relative à la Protection des Données (AIPD) sous le RGPD européen.

Quand l'ÉFVP est-elle obligatoire?

L'article 3.3 de la Loi 25 exige une ÉFVP dans deux situations principales :

• Avant tout nouveau projet — vous adoptez un nouveau logiciel, vous changez de fournisseur, vous lancez un portail client, vous déployez un système de collecte de données? Une ÉFVP est requise avant la mise en œuvre (art. 3.3).
• Avant tout transfert hors Québec — vous stockez des données chez un fournisseur dont les serveurs sont en Ontario, aux États-Unis ou ailleurs? Une ÉFVP est obligatoire, même pour un transfert interprovincial (art. 17).

En pratique, si vous utilisez Google Drive, Dropbox, Mailchimp, HubSpot, ou tout autre service dont les serveurs ne sont pas au Québec, vous devriez avoir réalisé une ÉFVP.

Ce que l’ÉFVP doit contenir

La Loi 25 ne prescrit pas de formulaire officiel, mais votre ÉFVP doit couvrir :

• La description du projet ou du système évalué
• Les types de renseignements personnels concernés
• Les risques d’atteinte à la vie privée identifiés
• Les mesures de protection mises en place pour atténuer ces risques
• Pour les transferts hors Québec (art. 17), vous devez également évaluer si le pays de destination offre une protection adéquate et documenter les mesures contractuelles qui compensent les lacunes.

Comment évaluer vos sous-traitants

Chaque fournisseur qui traite des renseignements personnels pour vous est un sous-traitant au sens de la Loi 25 (art. 18.3). Vous devez :

1. Identifier tous vos sous-traitants — comptabilité, stockage, courriel, CRM, paiements, hébergement web. Chacun qui touche à des données personnelles compte.
2. Vérifier où sont hébergées les données — Québec? Canada? États-Unis? Europe? Si c’est hors Québec, une ÉFVP est requise pour ce fournisseur.
3. Conclure une entente écrite — chaque sous-traitant doit être encadré par un contrat qui précise les mesures de sécurité, les obligations de confidentialité et les conditions de destruction des données.
4. Documenter le tout — conservez un registre de vos sous-traitants avec le type de données traitées, la localisation, et l’état de l’entente.

Les erreurs les plus fréquentes

• Ne pas réaliser d’ÉFVP du tout — la majorité des PME n’en ont jamais fait. La CAI peut l’exiger à tout moment.
• Faire une ÉFVP après la mise en œuvre — l’ÉFVP doit être réalisée avant le déploiement, pas après.
• Oublier les outils gratuits — Google Drive, Dropbox, WeTransfer — même gratuits, ils traitent des données personnelles hors Québec et nécessitent une ÉFVP.
• Ne pas mettre à jour — une ÉFVP n’est pas un document ponctuel. Elle doit être révisée lorsque le système change ou qu’un nouveau risque apparaît.

Et si tout ça était déjà géré pour vous?

Meo est une plateforme de gestion documentaire conçue pour la conformité Loi 25. Hébergement au Québec, consentement automatisé, rétention, audit, portabilité, anonymisation — tout est intégré. Pas de transfert hors Québec à évaluer — vos données restent à Montréal.

Essayez gratuitement pendant 30 jours et simplifiez votre gestion documentaire.