Loi 25 - Démystifier l'évaluation des facteurs de risques à la vie privée : De nouveaux outils de la CAI

À la suite de l’entrée en vigueur le 22 septembre dernier de la majorité des dispositions de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), les organismes publics et les entreprises (ci-après, organisations) doivent dorénavant mener une évaluation des facteurs relatifs à la vie privée (EFVP) dans le cadre de divers projets qui touchent des renseignements personnels. Une EFVP est une analyse d’impact prenant en considération tous les facteurs liés aux renseignements personnels de personnes concernées afin d’éviter leur mauvaise gestion et d’assurer leur sécurité tout au long du projet.

Afin d’aider les organisations, la Commission d’accès à l’information (CAI) a publié un guide visant à accompagner celles-ci dans la réalisation de leur EFVP. Le guide décrit les étapes de l’EFVP et détaille différents facteurs qui doivent être considérés lors de cette analyse, de même que des considérations particulières s’appliquant aux différentes situations. Il est important de préciser que même si la réalisation d’une EFVP est obligatoire dans certains contextes, la loi ne prescrit pas précisément comment elle doit être réalisée. Le guide de la CAI est donc à titre informatif. 

Étapes recommandées

Dans son guide, la CAI résume la démarche à suivre pour effectuer une EFVP et souligne qu’elle doit être entamée dès le début du projet, de façon à ce qu’elle soit réalisée avant que le projet soit déployé. L’EFVP se réalise en quatre étapes :

1. Déterminer si une évaluation est requise

L’EFVP est obligatoire dans certains cas, notamment lorsqu’un projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services comprend des renseignements personnels ou que des renseignements personnels seront communiqués à l’extérieur du Québec. 

Indépendamment de ces situations, la CAI est d’avis qu’effectuer une EFVP est une bonne pratique aussitôt qu’un projet implique la gestion de renseignements personnels.

2. Préparer l’évaluation des facteurs relatifs à la vie privée

Préalablement à l’EFVP vient l’étape de sa préparation, qui demande de se questionner sur, notamment, le projet, son ampleur, les renseignements personnels concernés et les obligations de l’organisation en matière de vie privée.

La CAI souligne à plusieurs reprises l’importance que l’EFVP soit proportionnelle au projet et aux renseignements personnels en jeu. En préparant l’EFVP, il faut :

• Clairement définir le projet et ses objectifs;
• Déterminer la portée de l’EFVP;
• Définir les rôles et responsabilités au sein de l’organisation détentrice et avec les parties qui seront consultées;
• Inventorier et cartographier les renseignements, ce qui permet d’en connaître la nature, la sensibilité, la quantité et la finalité afin d’illustrer le parcours suivi par les renseignements personnels et les points d’interaction entre ces renseignements et les parties prenantes au projet;
• Évaluer l’ampleur de l’EFVP à réaliser; 
• Dresser la liste des obligations de l’organisation, ce qui peut inclure des lois provinciales, fédérales et étrangères, des pratiques organisationnelles et des normes internationales.

3. Analyser et évaluer les facteurs relatifs à la vie privée

Cette étape consiste à analyser les facteurs qui peuvent avoir une incidence sur le respect de la vie privée des personnes concernées, en se fondant sur les informations déterminées à l’étape précédente. Les facteurs relatifs à la vie privée qui sont évalués sont les suivants :

• Conformité du projet à la législation applicable en matière de protection des renseignements personnels :
  • Pour évaluer ce facteur, il faut vérifier si le projet respecte les obligations relatives à la vie privée, légales ou autres, qui ont été identifiées préalablement.
  • Ces obligations doivent être respectées tout au long du cycle de vie des renseignements personnels, de leur collecte à leur destruction.
• Risques d’atteinte à la vie privée engendrés par le projet et l’évaluation de leurs conséquences potentielles :
  • Afin d’évaluer ce facteur, les organisations doivent identifier ce qui menace potentiellement les renseignements personnels tout au long du projet, les conséquences de ces menaces pour les personnes concernées, leur cause, leur gravité et la probabilité qu’elles surviennent.
  • Cette étape permet de dresser un portrait des risques possibles et de leur niveau de risque.
• Mise en place de stratégies pour éviter ou réduire ces risques :
  • À la lumière des risques identifiés à l’étape précédente, l’organisation doit considérer des stratégies afin d’éviter ou de réduire ces risques, notamment en minimisant leurs conséquences potentielles ou la probabilité qu’ils se concrétisent. 
  • Après avoir mis en place ces stratégies, l’organisation réévalue la gravité des risques identifiés, afin de voir si le niveau de risque des renseignements personnels est acceptable et proportionnel par rapport au projet de l’organisation.

4. Rendre compte de l’évaluation

À cette dernière étape, la CAI signale aux organisations qu’elles devraient pouvoir expliquer et justifier les résultats de l’EFVP, notamment en cas d’inspection ou d’enquête. À cet effet, la rédaction d’un rapport et sa mise à jour fréquente sont recommandées. Le guide de la CAI donne des indications quant à ce que ce rapport devrait contenir et sa diffusion. Un modèle de rapport d’EFVP a également été publié par la CAI pour aider les organisations à le rédiger.

En bref, le Guide d’accompagnement de la CAI fournit aux organisations des conseils et des pistes de réflexion importantes pour la réalisation de leur EFVP. Ces informations sont accompagnées d’exemples, de schémas et de questions visant à les aider. Le tout s’appuie sur les principes de protection de la vie privée, de proportionnalité entre les projets et les risques pour les renseignements personnels, et de prévention, dans une perspective évolutive.

Les auteurs souhaitent remercier Marie-Dominique Simard, stagiaire, pour son aide avec la préparation de cette actualité juridique.