Démystifier les Évaluations des facteurs relatifs à la vie privée (EFVP)

Depuis le 22 septembre 2023, les entreprises privées doivent désormais mener des évaluations des facteurs relatifs à la vie privée (« EFVP ») dans diverses situations prévues par la loi. Ainsi, non seulement la nouvelle mouture de la Loi sur la protection des renseignements personnels dans le secteur privé¹ (« LPRPSP ») a introduit des sanctions importantes en cas de non-respect des obligations y étant contenues, mais elle a également introduit de nouveaux concepts, dont l'EFVP, qui méritent qu’on s’y attarde plus longuement.

Qu’est-ce qu’une EFVP?

L’EFVP joue un rôle important dans la LPRPSP puisqu’elle se présente comme un outil incontournable pour les entreprises, en raison notamment de son caractère obligatoire. Malgré son incorporation à la LPRPSP, cette dernière ne fournit pas de définition spécifique de ce qu’est une EFVP.

Une EFVP est une analyse de risques dont le principal objectif est d’identifier les enjeux liés à la protection des renseignements personnels, laquelle permettra notamment d'identifier des mesures de mitigations aux enjeux répertoriés, le cas échéant. La réalisation d’une EFVP permet donc de s’assurer que les entreprises :

• Connaissent les risques en matière de protection de renseignements personnels existants au sein de leur entreprise,
• Ont considéré les avantages et les inconvénients ainsi que les mesures de mitigation adéquates, et
• Feront le suivi desdits risques par le biais de moyens concrets.

Ainsi, bien que de réaliser ces analyses puisse paraître comme une charge supplémentaire importante, les entreprises doivent percevoir ces EFVP comme étant utiles et nécessaires, que ce ne soit que pour éviter les impacts monétaires ou ceux liés à la réputation que peuvent engendrer des manquements aux requis de la loi.

La LPRPSP est également silencieuse sur les différentes modalités de réalisation d’une EFVP. En effet, celle-ci ne précise pas s’il est nécessaire de documenter toutes les EFVP ni la forme que l’analyse devrait prendre. Cependant, parce que ces analyses devront être réalisées à de nombreuses reprises, et que la conduite d’une seule EFVP peut nécessiter l’implication de plusieurs intervenants (responsable de la protection des renseignements personnels, équipe juridique, équipe de sécurité, fournisseurs externes, etc.), les entreprises ont intérêt à se doter d’un modèle de base d’EFVP adapté à leur réalité, contenant toutes les informations à documenter et leur permettant de procéder efficacement.

Quand réaliser une EFVP?

Avant l’entrée en vigueur des nouveaux requis de septembre 2023, la réalisation d’EFVP ne constituait qu’une bonne pratique. Or, la LPRSP rend maintenant la conduite d’une telle analyse obligatoire dans trois situations :

• Avant de débuter tout projet visant l’acquisition, le développement ou la refonte d’un système d’information ou de prestation électronique de services, impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (par exemple, l’acquisition d’un nouveau système de gestion de la paie, le développement d’une application mobile, l’installation de caméras de surveillances, le lancement d’une campagne publicitaire ou le recours à l’intelligence artificielle, etc.);
• Avant la communication de renseignements personnels à l’extérieur du Québec. Ce cas est très fréquent, car rares sont les entreprises dont les serveurs, ou ceux de tous ses fournisseurs, sont exclusivement situés au Québec; et

Notons toutefois que l’obligation de réaliser une EFVP n’est pas rétroactive. Ainsi, tout projet terminé en date du 22 septembre 2023, de même que toute communication de renseignements personnels à l’extérieur du Québec survenus avant cette date, n’auront pas à faire l’objet d’une telle analyse.

Comment réaliser une EFVP?

Face à cette nouvelle obligation et à l’absence de directives claires de la LPRPSP sur la méthode à préconiser, la Commission d’accès à l’information (la « CAI ») a mis à jour un Guide d’accompagnement (« Guide »). Ce Guide se veut principalement informatif et comprend un modèle de rapport d’EFVP.

L’objectif de ces documents est d’accompagner les organisations soumises à la LPRPSP et devant conduire des EFVP, entre autres, en structurant l’analyse et en permettant la compréhension de différents concepts. Les étapes proposées par la CAI sont les suivantes :

1. Description du projet et de sa portée : Cette section introductive permet notamment de documenter les grandes lignes du projet, ses objectifs, etc.

2. Rôles et responsabilités : Cette section permet d’identifier les intervenants impliqués. Selon la taille de l’entreprise, ceux-ci pourraient varier allant, par exemple, de conseillers en conformité réglementaire à des conseillers en sécurité de l’information;

3. Renseignements personnels impliqués et ampleur de l’évaluation : Cette section permet de recenser les renseignements personnels impliqués ainsi que les catégories de personnes dont les renseignements sont visés (par exemple, des employés, des clients, etc.). Dans cette section, la CAI propose aux entreprises de justifier l’ampleur de l’EFVP réalisée. En effet, rappelons que la LPRSP mentionne que l’EFVP «  doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support  »²;

• Bien que la CAI ne précise pas spécifiquement quels critères devraient être impliqués afin d’évaluer si une EFVP est proportionnelle ou non, il est possible de penser qu’un projet impliquant des renseignements personnels sensibles (par exemple, des renseignements de santé, biométriques ou de mineurs) ou liés à l’intelligence artificielle mériterait une analyse plus détaillée. À l’inverse, un nouveau projet impliquant très peu de renseignements personnels peu sensibles (par exemple, quelques noms, prénoms et coordonnées seulement) ne devrait pas faire l’objet d’une vaste analyse exhaustive.

4. Conformité aux obligations et aux principes de protection des renseignements personnels : Bien qu’elle indique que cette section vise à évaluer le respect des dispositions applicables, contrairement à son vis-à-vis français, la Commission Nationale de l’Information et des Libertés (la « CNIL »), la CAI n’énonce pas de liste précise d’obligations applicables ou de facteurs relatifs à la vie privée à respecter, à même le modèle d’analyse qu’elle propose. Ainsi, à cette troisième section de l’analyse, ce serait à l’entreprise de soulever les obligations légales auxquelles elle est soumise et d’évaluer la conformité des activités visées :

• Le projet est-il conforme à la législation applicable en matière de protection des renseignements personnels?
• Est-ce que l’entreprise est en mesure d’identifier les menaces potentielles et les conséquences de telles menaces pour les personnes concernées?
• Est-ce que l’entreprise peut mettre en place des mesures de mitigation permettant de diminuer la probabilité ou l’impact d’un risque identifié préalablement?

C’est principalement à cette étape que l’accompagnement d’un membre de notre équipe peut être nécessaire. En effet, bien que le Guide de la CAI soit bien détaillé à l’égard de plusieurs autres étapes, au niveau de l’analyse légale, le recours à des professionnels du droit peut être une avenue à préconiser.

5. Identification des risques et des stratégies pour les atténuer : Cette section devrait décrire les risques d’atteintes à la vie privée du projet et identifier des mesures de mitigation proposées. C’est également à cet endroit que des matrices de risques, comme celle présentée ci-bas, pourraient être utiles. Cette matrice permet de qualifier le niveau du risque en fonction de la probabilité que celui-ci se produise et de la gravité des conséquences potentielles qui pourraient être engendrées ;