Retour au blog
Conformité

EFVP : comment réaliser une évaluation des facteurs relatifs à la vie privée

Willie Savard — PDG & Cofondateur, Tchat N Sign19 février 202614 min

EFVP : comment réaliser une évaluation des facteurs relatifs à la vie privée

L'EFVP (évaluation des facteurs relatifs à la vie privée) est l'analyse documentée que vous devez réaliser avant tout projet qui touche des renseignements personnels. C'est l'équivalent québécois du PIA (Privacy Impact Assessment) du RGPD européen. Depuis le 22 septembre 2023, cette obligation est en vigueur pour toutes les entreprises assujetties à la Loi 25.

Pour un cabinet de services financiers, l'EFVP n'est pas un exercice théorique réservé aux grandes organisations. Chaque nouveau fournisseur technologique, chaque changement de CRM, chaque outil de signature électronique ou de communication avec vos clients peut déclencher l'obligation d'en réaliser une. Et si le fournisseur est situé hors du Québec, même en Ontario, l'EFVP est obligatoire sans exception.

Quand une EFVP est-elle obligatoire

La Loi 25 prévoit deux situations qui déclenchent l'obligation de réaliser une EFVP.

Avant tout projet d'acquisition, de développement ou de refonte d'un système d'information impliquant des renseignements personnels. « Système d'information » est interprété au sens large. Cela inclut un CRM, un logiciel de gestion de dossiers clients, une plateforme de courriels, un outil de vidéoconférence, un service infonuagique de stockage de documents, un outil d'intelligence artificielle. Si le système touche des renseignements personnels de vos clients ou de vos employés, l'EFVP est requise. Avant toute communication de renseignements personnels à l'extérieur du Québec. C'est la particularité québécoise qui n'a pas d'équivalent dans le RGPD ni dans aucune autre législation nord-américaine. Le seuil n'est pas « hors du Canada » mais bien « hors du Québec ». Utiliser un fournisseur dont les serveurs sont en Ontario, en Colombie-Britannique ou aux États-Unis déclenche l'obligation. Concrètement, la majorité des fournisseurs technologiques utilisés par les cabinets financiers québécois hébergent leurs données hors du Québec, ce qui rend l'EFVP pertinente pour presque chaque relation fournisseur. Ce qui ne déclenche pas une EFVP : Le renouvellement d'un contrat avec un fournisseur existant, sans changement dans les pratiques de traitement des renseignements personnels, ne devrait pas nécessiter une nouvelle EFVP. Par contre, si le fournisseur change ses conditions, déplace ses serveurs ou ajoute de nouvelles fonctionnalités qui touchent les données, une mise à jour de l'EFVP existante est prudente.

Ce que l'EFVP doit contenir

La Loi 25 ne prescrit pas un format rigide pour l'EFVP. Elle exige que l'évaluation soit « proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support ». En clair, l'EFVP d'un cabinet de 5 personnes qui change de CRM n'a pas besoin d'être un document de 50 pages. Elle doit par contre couvrir les éléments essentiels de manière documentée.

Voici les éléments que toute EFVP devrait contenir au minimum.

La description du projet ou du fournisseur. Quel système est mis en place ou acquis? Quel fournisseur est impliqué? Quel est l'objectif du projet? Qui dans l'organisation sera impliqué? L'inventaire des renseignements personnels touchés. Quels types de renseignements seront collectés, utilisés, communiqués ou stockés? Noms, coordonnées, NAS, données financières, données de santé? Combien de personnes sont concernées? Quelle est la durée de conservation prévue? L'identification des risques pour la vie privée. Quels sont les risques associés au projet? Accès non autorisé? Perte de données? Utilisation à des fins non prévues? Transfert vers une juridiction offrant une protection moindre? Plus les renseignements sont sensibles (et dans le secteur financier, ils le sont presque toujours), plus l'analyse des risques doit être approfondie. Les mesures d'atténuation. Pour chaque risque identifié, quelles mesures sont prévues pour le réduire? Chiffrement des données, contrôles d'accès, authentification multifacteur, clauses contractuelles avec le fournisseur, formation du personnel, politique de rétention et de destruction. La conclusion et la décision. Après analyse, le niveau de risque résiduel est-il acceptable? Le projet peut-il aller de l'avant tel quel, avec des conditions, ou doit-il être modifié? Qui a pris la décision et quand?

Le cas particulier des transferts hors Québec

Quand l'EFVP concerne un transfert de renseignements personnels à l'extérieur du Québec, la loi exige une sixième composante obligatoire : l'évaluation du cadre juridique applicable dans la juridiction de destination.

Cette évaluation doit tenir compte de la sensibilité des renseignements, de la finalité de leur utilisation, des mesures de protection dont ils bénéficieront dans la juridiction de destination, et du cadre juridique de cette juridiction. La loi prévoit que la communication ne peut avoir lieu que si l'évaluation conclut que les renseignements bénéficieront d'une protection adéquate.

En pratique, pour les transferts vers d'autres provinces canadiennes (Ontario, C.-B., Alberta), l'évaluation est généralement favorable. Ces provinces disposent de lois de protection des renseignements personnels reconnues comme essentiellement similaires à la loi fédérale. L'exercice reste obligatoire, mais la conclusion sera normalement positive. Pour les transferts vers les États-Unis, l'analyse est plus nuancée. Il n'y a pas de loi fédérale américaine de protection des données équivalente au RGPD ou à la Loi 25. La protection varie selon l'État (la Californie avec le CCPA offre plus de garanties que d'autres États) et selon le secteur. Les clauses contractuelles avec le fournisseur (DPA, entente sur le traitement des données) deviennent essentielles pour compenser les lacunes du cadre législatif. Les certifications du fournisseur (SOC 2 Type II, ISO 27001) renforcent la démonstration de protection adéquate. Pour les transferts vers l'Europe, la situation est paradoxalement plus simple. Le RGPD offre un cadre de protection robuste et bien documenté. L'évaluation conclura normalement que le cadre juridique est adéquat.

Un modèle simplifié pour votre cabinet

Voici une structure en six sections qu'un cabinet de services financiers peut adapter pour la majorité de ses EFVP. L'objectif n'est pas de produire un document juridique de 30 pages, mais un dossier structuré, proportionné et défendable en cas d'enquête de la CAI.

Section 1 : Identification du projet
  • Nom du projet ou du fournisseur évalué
  • Date de l'évaluation
  • Responsable de l'évaluation (normalement le responsable de la protection des RP)
  • Description du projet en 2 à 5 phrases
  • Objectif d'affaires poursuivi
Section 2 : Inventaire des renseignements personnels
  • Types de renseignements collectés, utilisés ou communiqués (liste précise)
  • Nombre estimé de personnes concernées
  • Source des renseignements (collectés directement, transmis par un tiers, générés par le système)
  • Durée de conservation prévue
  • Lieu de stockage (Québec, autre province, autre pays)
Section 3 : Analyse des risques

Pour chaque risque identifié, documentez trois éléments : la description du risque, la probabilité (faible, moyenne, élevée) et l'impact potentiel (faible, moyen, élevé). Les risques typiques pour un cabinet financier incluent l'accès non autorisé aux données clients, la perte ou le vol de données, le transfert vers une juridiction sans protection adéquate, l'utilisation des données à des fins non prévues par le fournisseur, et la rétention excessive des données après la fin de la relation.

Section 4 : Mesures d'atténuation

Pour chaque risque, décrivez la mesure de contrôle en place ou prévue. Par exemple : chiffrement des données en transit et au repos, authentification multifacteur, contrôles d'accès basés sur les rôles, clauses contractuelles imposant la confidentialité et la sécurité au fournisseur (DPA), processus de destruction des données à la fin du contrat, formation annuelle du personnel.

Section 5 : Évaluation du cadre juridique de destination (si transfert hors Québec)
  • Pays ou province de destination
  • Loi de protection des données applicable dans cette juridiction
  • Niveau de protection offert (adéquat, partiel, insuffisant)
  • Garanties contractuelles en place (DPA, clauses de confidentialité, droit d'audit)
  • Certifications du fournisseur (SOC 2, ISO 27001, ISO 27701)
  • Conclusion : la protection est-elle adéquate compte tenu de l'ensemble des mesures?
Section 6 : Décision
  • Niveau de risque résiduel global (faible, moyen, élevé)
  • Décision (approuvé, approuvé avec conditions, refusé)
  • Conditions à respecter, le cas échéant
  • Nom et signature du décideur
  • Date de la prochaine révision prévue

Le document complet devrait tenir en 3 à 6 pages pour un projet ou un fournisseur standard. Conservez-le dans un dossier centralisé accessible au responsable RP et disponible pour la CAI sur demande.

L'erreur classique : confondre EFVP ponctuelle et obligation continue

La plupart des cabinets qui découvrent l'obligation d'EFVP pensent qu'il s'agit d'un exercice unique. En réalité, c'est une obligation continue qui se déclenche à chaque nouveau projet ou changement significatif.

Nouveau CRM : EFVP avant le déploiement. Le CRM change ses conditions d'utilisation ou déplace ses serveurs : Mise à jour de l'EFVP. Ajout d'un outil de signature électronique : Nouvelle EFVP. Adoption d'un outil d'IA pour rédiger des communications : Nouvelle EFVP, avec une attention particulière aux questions de données d'entraînement et de rétention par le fournisseur. Changement de fournisseur de courriels : Nouvelle EFVP. Embauche d'un sous-traitant qui aura accès aux données clients : EFVP.

La bonne approche est d'intégrer l'EFVP dans votre processus d'acquisition technologique. Avant de signer un contrat avec un nouveau fournisseur, posez-vous la question : « Ce fournisseur touchera-t-il des renseignements personnels de nos clients ou de nos employés? » Si la réponse est oui, réalisez l'EFVP avant de signer.

Les questions à poser à vos fournisseurs

Pour alimenter la section 5 de votre EFVP (cadre juridique de destination), voici dix questions essentielles à poser à tout fournisseur technologique qui traitera des données de vos clients :

1. Où sont hébergées les données physiquement (pays, province, ville)?

2. Les données peuvent-elles être transférées ou répliquées dans d'autres juridictions?

3. Disposez-vous de certifications de sécurité (SOC 2 Type II, ISO 27001, ISO 27701)?

4. Offrez-vous un DPA (Data Processing Agreement / entente sur le traitement des données)?

5. Comment gérez-vous la notification en cas d'incident de confidentialité?

6. Quelle est votre politique de rétention et de destruction des données?

7. Quels contrôles d'accès sont en place (chiffrement, authentification multifacteur, accès basés sur les rôles)?

8. Les données de nos clients sont-elles utilisées pour entraîner des modèles d'IA ou à d'autres fins que le service contractuel?

9. Pouvons-nous effectuer ou demander un audit de vos pratiques de sécurité?

10. Que se passe-t-il avec les données de nos clients si nous résilions le contrat?

Un fournisseur qui ne peut pas répondre clairement à ces questions est un signal d'alarme. [Notre article sur l'évaluation des fournisseurs technologiques approfondit ce sujet](/blogue/loi-25-evaluation-fournisseurs-technologiques).

---

*Cet article fait partie d'une série sur la Loi 25 et la conformité pour les cabinets de services financiers. Consultez aussi :*

  • *[Loi 25 du Québec : ce que chaque conseiller financier doit savoir en 2026](/blogue/loi-25-guide-conseiller-financier)*
  • *[Les 7 obligations Loi 25 que votre cabinet doit respecter maintenant](/blogue/loi-25-obligations-cabinet-financier)*
  • *[Comment évaluer si vos fournisseurs technologiques sont conformes à la Loi 25](/blogue/loi-25-evaluation-fournisseurs-technologiques)*
  • *[Loi 25 vs RGPD : ce que le Québec a emprunté à l'Europe](/blogue/loi-25-vs-rgpd-comparaison)*

Questions fréquentes

L'EFVP est-elle obligatoire même pour un petit cabinet de 3 personnes?

Oui. La Loi 25 ne prévoit aucun seuil d'exemption basé sur la taille de l'entreprise. Par contre, l'EFVP doit être « proportionnée » à la situation. Pour un petit cabinet, un document de 3 à 4 pages couvrant les éléments essentiels est suffisant. L'obligation porte sur l'existence de l'évaluation documentée, pas sur sa longueur.

Dois-je refaire une EFVP pour un fournisseur que j'utilise déjà depuis avant la Loi 25?

La loi ne l'exige pas explicitement pour les relations existantes inchangées. Cependant, si vous n'avez jamais réalisé d'EFVP pour un fournisseur qui traite des données de vos clients hors du Québec, c'est une bonne pratique de le faire rétroactivement. En cas d'enquête de la CAI, disposer d'une EFVP même réalisée après coup démontre votre diligence.

Combien de temps dois-je conserver les EFVP?

La Loi 25 ne fixe pas de durée de conservation spécifique pour les EFVP. La bonne pratique est de les conserver aussi longtemps que la relation avec le fournisseur ou le système est active, plus un minimum de 5 ans après la fin de la relation.

Mon fournisseur a un DPA et des certifications SOC 2. Est-ce que ça suffit pour l'EFVP?

Un DPA et des certifications SOC 2 Type II sont des éléments importants qui alimentent votre EFVP, mais ils ne la remplacent pas. L'EFVP est votre analyse documentée, pas celle du fournisseur. Elle doit inclure votre évaluation du risque dans votre contexte spécifique et votre conclusion motivée. Les certifications du fournisseur sont un facteur favorable, pas un substitut.