Sommaires exécutifs 23 nov. 2023

Démystifier les Évaluations des facteurs relatifs à la vie privée (EFVP)

Depuis le 22 septembre 2023, les entreprises privées doivent désormais mener des évaluations des facteurs relatifs à la vie privéeEFVP ») dans diverses situations prévues par la loi. Ainsi, non seulement la nouvelle mouture de la Loi sur la protection des renseignements personnels dans le secteur privé1LPRPSP ») a introduit des sanctions importantes en cas de non-respect des obligations y étant contenues, mais elle a également introduit de nouveaux concepts, dont l'EFVP, qui méritent qu’on s’y attarde plus longuement.

Qu’est-ce qu’une EFVP?

L’EFVP joue un rôle important dans la LPRPSP puisqu’elle se présente comme un outil incontournable pour les entreprises, en raison notamment de son caractère obligatoire. Malgré son incorporation à la LPRPSP, cette dernière ne fournit pas de définition spécifique de ce qu’est une EFVP.

Une EFVP est une analyse de risques dont le principal objectif est d’identifier les enjeux liés à la protection des renseignements personnels, laquelle permettra notamment d'identifier des mesures de mitigations aux enjeux répertoriés, le cas échéant. La réalisation d’une EFVP permet donc de s’assurer que les entreprises :

  • Connaissent les risques en matière de protection de renseignements personnels existants au sein de leur entreprise,
  • Ont considéré les avantages et les inconvénients ainsi que les mesures de mitigation adéquates, et
  • Feront le suivi desdits risques par le biais de moyens concrets.

Ainsi, bien que de réaliser ces analyses puisse paraître comme une charge supplémentaire importante, les entreprises doivent percevoir ces EFVP comme étant utiles et nécessaires, que ce ne soit que pour éviter les impacts monétaires ou ceux liés à la réputation que peuvent engendrer des manquements aux requis de la loi.

La LPRPSP est également silencieuse sur les différentes modalités de réalisation d’une EFVP. En effet, celle-ci ne précise pas s’il est nécessaire de documenter toutes les EFVP ni la forme que l’analyse devrait prendre. Cependant, parce que ces analyses devront être réalisées à de nombreuses reprises, et que la conduite d’une seule EFVP peut nécessiter l’implication de plusieurs intervenants (responsable de la protection des renseignements personnels, équipe juridique, équipe de sécurité, fournisseurs externes, etc.), les entreprises ont intérêt à se doter d’un modèle de base d’EFVP adapté à leur réalité, contenant toutes les informations à documenter et leur permettant de procéder efficacement.

Quand réaliser une EFVP?

Avant l’entrée en vigueur des nouveaux requis de septembre 2023, la réalisation d’EFVP ne constituait qu’une bonne pratique. Or, la LPRSP rend maintenant la conduite d’une telle analyse obligatoire dans trois situations :

  • Avant de débuter tout projet visant l’acquisition, le développement ou la refonte d’un système d’information ou de prestation électronique de services, impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (par exemple, l’acquisition d’un nouveau système de gestion de la paie, le développement d’une application mobile, l’installation de caméras de surveillances, le lancement d’une campagne publicitaire ou le recours à l’intelligence artificielle, etc.);
  • Avant la communication de renseignements personnels à l’extérieur du Québec. Ce cas est très fréquent, car rares sont les entreprises dont les serveurs, ou ceux de tous ses fournisseurs, sont exclusivement situés au Québec; et
  • Avant de communiquer des renseignements personnels à un tiers qui souhaite les utiliser à des fins d’étude, de recherche, ou de production de statistiques, sans le consentement des personnes concernées.

Notons toutefois que l’obligation de réaliser une EFVP n’est pas rétroactive. Ainsi, tout projet terminé en date du 22 septembre 2023, de même que toute communication de renseignements personnels à l’extérieur du Québec survenus avant cette date, n’auront pas à faire l’objet d’une telle analyse.

Comment réaliser une EFVP?

Face à cette nouvelle obligation et à l’absence de directives claires de la LPRPSP sur la méthode à préconiser, la Commission d’accès à l’information (la « CAI ») a mis à jour un Guide d’accompagnement (« Guide »). Ce Guide se veut principalement informatif et comprend un modèle de rapport d’EFVP.

L’objectif de ces documents est d’accompagner les organisations soumises à la LPRPSP et devant conduire des EFVP, entre autres, en structurant l’analyse et en permettant la compréhension de différents concepts. Les étapes proposées par la CAI sont les suivantes :

1. Description du projet et de sa portée : Cette section introductive permet notamment de documenter les grandes lignes du projet, ses objectifs, etc.

2. Rôles et responsabilités : Cette section permet d’identifier les intervenants impliqués. Selon la taille de l’entreprise, ceux-ci pourraient varier allant, par exemple, de conseillers en conformité réglementaire à des conseillers en sécurité de l’information;

3. Renseignements personnels impliqués et ampleur de l’évaluation : Cette section permet de recenser les renseignements personnels impliqués ainsi que les catégories de personnes dont les renseignements sont visés (par exemple, des employés, des clients, etc.). Dans cette section, la CAI propose aux entreprises de justifier l’ampleur de l’EFVP réalisée. En effet, rappelons que la LPRSP mentionne que l’EFVP «  doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support  »2;

  • Bien que la CAI ne précise pas spécifiquement quels critères devraient être impliqués afin d’évaluer si une EFVP est proportionnelle ou non, il est possible de penser qu’un projet impliquant des renseignements personnels sensibles (par exemple, des renseignements de santé, biométriques ou de mineurs) ou liés à l’intelligence artificielle mériterait une analyse plus détaillée. À l’inverse, un nouveau projet impliquant très peu de renseignements personnels peu sensibles (par exemple, quelques noms, prénoms et coordonnées seulement) ne devrait pas faire l’objet d’une vaste analyse exhaustive.

4. Conformité aux obligations et aux principes de protection des renseignements personnels : Bien qu’elle indique que cette section vise à évaluer le respect des dispositions applicables, contrairement à son vis-à-vis français, la Commission Nationale de l’Information et des Libertés (la « CNIL »), la CAI n’énonce pas de liste précise d’obligations applicables ou de facteurs relatifs à la vie privée à respecter, à même le modèle d’analyse qu’elle propose. Ainsi, à cette troisième section de l’analyse, ce serait à l’entreprise de soulever les obligations légales auxquelles elle est soumise et d’évaluer la conformité des activités visées :

  • Le projet est-il conforme à la législation applicable en matière de protection des renseignements personnels?
  • Est-ce que l’entreprise est en mesure d’identifier les menaces potentielles et les conséquences de telles menaces pour les personnes concernées?
  • Est-ce que l’entreprise peut mettre en place des mesures de mitigation permettant de diminuer la probabilité ou l’impact d’un risque identifié préalablement?

C’est principalement à cette étape que l’accompagnement d’un membre de notre équipe peut être nécessaire. En effet, bien que le Guide de la CAI soit bien détaillé à l’égard de plusieurs autres étapes, au niveau de l’analyse légale, le recours à des professionnels du droit peut être une avenue à préconiser.

5. Identification des risques et des stratégies pour les atténuer : Cette section devrait décrire les risques d’atteintes à la vie privée du projet et identifier des mesures de mitigation proposées. C’est également à cet endroit que des matrices de risques, comme celle présentée ci-bas, pourraient être utiles. Cette matrice permet de qualifier le niveau du risque en fonction de la probabilité que celui-ci se produise et de la gravité des conséquences potentielles qui pourraient être engendrées ;

graphique-gravite-probabilite

6. Plan d’action  : Dans cette section, la CAI propose de décrire les actions concrètes qui seront mises en œuvre, notamment suivant les stratégies identifiées aux étapes précédentes. Ainsi, si par exemple, l’utilisation d’un outil ou d’un logiciel qui n’est pas sécuritaire est uniquement temporaire dans l’attente de la négociation d’un nouveau contrat, un responsable doit être identifié afin de s’assurer que ce volet du plan d’action sera mis en œuvre suivant l’échéance convenue;

7. Approbation du rapport et versions : Cette section permet à un haut responsable de l’entreprise d’approuver le contenu de l’EFVP. En effet, les risques en matière de vie privée et de protection des renseignements personnels sont importants et peuvent engendrer un préjudice considérable s’ils se matérialisent. Il est donc fondamental qu’ils soient connus des acteurs principaux de l’organisation, ce qui pourra guider leur prise de décision.

Dans son Guide, la CAI indique que « Bien qu’il soit possible de réaliser une EFVP sans la documenter formellement, vous devriez être en mesure d’expliquer et de justifier votre démarche d’EFVP  ». Par cette dernière étape, la CAI souligne aux entreprises l’importance de documenter l’EFVP. Le rapport d’analyse s’avérera important au moment où l’entreprise se verra obligée de rendre des comptes ou de démontrer sa conformité, par exemple, face à la demande d’un régulateur.

Aussi, il faut retenir que ces analyses doivent être mises à jour et doivent évoluer au fil du temps.

Pour toute question relative à la conduite d’EFVP, que ce soit pour vous accompagner dans la réalisation de l’analyse ou pour vous outiller afin que vous puissiez être en mesure de les conduire vous-même, ou pour toute autre interrogation en lien avec les différents impacts sur votre entreprise des nouvelles exigences applicables en matière de protection des renseignements personnels, n’hésitez pas à communiquer avec notre équipe.

[1] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1.

[2] LPRPSP, article 3.3 al.4.