Évaluation des facteurs relatifs à la vie privée

Une obligation de la Loi 25

L’EFVP est une démarche visant à protéger les renseignements personnels et à respecter la vie privée des personnes physiques. 

Il s’agit d’une forme d’analyse d’impact pour répondre aux exigences des articles 67.2.1 de la Loi sur l’accès et 21 de la Loi sur le privé et aux articles 63.5 de la Loi sur l’accès et 3.3 de la Loi sur le privé. 

Elle consiste à considérer, avant de commencer un projet et tout au long de sa durée, tous les facteurs ayant un effet positif ou négatif pour le respect de la vie privée des personnes concernées.

42 par 8 vous assiste dans la réalisation de vos EFVP.

Synthèse de la démarche

Étape 1 – Déterminer si une évaluation est requise

Projets concernés

  • Communication de renseignements personnels à un tiers, sans le consentement des personnes concernées, pour une utilisation à des fins d’étude, de recherche ou de production de statistiques;
  • Projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services impliquant des renseignements personnels;
  • Communication de renseignements personnels à l’extérieur du Québec;
  • Collecte de renseignements personnels par un organisme public pour le compte d’un autre organisme;
  • Autre communication de renseignements personnels, sans le consentement de la personne concernée :
    • À un autre organisme public, au Québec ou ailleurs :
      • Pour l’exercice de ses attributions ou la mise en œuvre d’un programme dont il a la gestion
      • Lorsque la communication est manifestement au bénéfice de la personne concernée
    • À toute personne ou à tout organisme :
      • Lorsque des circonstances exceptionnelles le justifient
      • Pour la prestation d’un service à rendre à la personne concernée par un organisme public, notamment à des fins d’identification

Il n’est pas obligatoire de mener rétroactivement une EFVP prévue par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Autrement dit, si votre projet était déjà finalisé à la date d’entrée en vigueur en septembre 2023 vous n’êtes pas tenu de réaliser d’EFVP sur celui-ci.

 

Étape 2 – Le projet

L’objectif est de documenter les informations importantes pour vous permettre d’évaluer les risques et les moyens d’éliminer ou de réduire ces risques.

  • Quel est le projet?
  • Dans quel contexte est-il apparu?
  • Quels objectifs le projet poursuit-il?
  • Quelles parties prenantes internes et externes participeront à ce projet?
  • Quelles seront leurs rôles et responsabilités?

 

Étape 3 – Cartographie des renseignements personnels concernés

Faites l’inventaire des renseignements personnels concernés par votre projet.

 

Étape 4 – Évaluer les risques

Un risque d’atteinte à la vie privée est une situation ou un événement futur qui peut ou non se réaliser et qui causerait une perte ou un préjudice à une personne quant au respect de son intimité ou de sa vie personnelle. Le risque est une menace potentielle.

Étape 5 
Mesurer le niveau de risque

Il n’y a pas de méthode prescrite pour qualifier ou évaluer les risques ni pour présenter les résultats de votre analyse. Néanmoins, une évaluation en fonction de la gravité potentielle des conséquences d’un événement et de la probabilité qu’il se concrétise peut répondre aux objectifs de l’EFVP. Vous pouvez par exemple utiliser un système de cotes et une grille de niveau de risque tel que suggéré par la Commission d’Accès à l’Information.

Étape 6 – Mesures pour mitiger le risque

À cette étape, vous déterminez quelles stratégies et quels moyens vous mettrez en place pour éliminer ou réduire un risque. Celles-ci peuvent chercher à réduire soit la gravité des conséquences potentielles liées au risque, soit les probabilités que ce dernier se concrétise, soit les deux en même temps.

 

Étape 7 – Revoir votre projet à la lumière de votre analyse

À la fin de cet exercice, est-ce que la solution que vous proposez pour atteindre vos objectifs vous parait acceptable compte tenu des risques résiduels? Il est possible que ces derniers soient trop importants et que vous décidiez de modifier votre projet. Cela pourra impliquer de recommencer votre analyse à la suite de vos changements. 

 

Étape 8 : Suivi de l’évaluation

Une fois que les facteurs relatifs à la vie privée sont évalués, vous devrez préparer la suite concrète pour assurer le suivi en cours de réalisation. Établissez un plan d’action qui permettra d’assurer la mise en œuvre des stratégies et des moyens retenus. Identifier des personnes responsables de surveiller l’évolution des risques résiduels et qui prendront en charge la gestion des évènements, s’ils devaient se concrétiser. 

 

Un processus rigoureux et itératif

Bien qu’il soit possible de réaliser une évaluation des facteurs relatifs à la vie privée sans la documenter formellement, vous devrez être en mesure d’expliquer et de justifier votre démarche. 42 par 8 peut vous assister dans cette démarche afin qu'elle respecte la conformité et assure une meilleure protection des renseignements personnels.

© Copyright 2024. Ce site n'utilise aucun cookie de traçage.
Politique de protection des renseignements personnels

We need your consent to load the translations

We use a third-party service to translate the website content that may collect data about your activity. Please review the details in the privacy policy and accept the service to view the translations.

Privacy Settings

Website Translator

Privacy Settings

This tool helps you to select and deactivate various tags / trackers / analytic tools used on this website.

Select all services
Website Translator
More
Save Settings