L'ÉFVP, ou évaluation des facteurs relatifs à la vie privée, est l'un des outils centraux de la Loi 25. C'est un exercice structuré de réflexion en amont d'un projet ou d'un changement, qui permet d'identifier les risques pour les personnes concernées et de poser les mesures qui les réduisent.
Pour les opérations d'une PME, c'est souvent là que la conformité passe du texte à la pratique. Cette leçon clarifie quand une ÉFVP s'impose, comment elle se structure et comment la mener avec efficacité.
Le cadre légal
Plusieurs articles convergent sur la nécessité d'une évaluation préalable.
L'article 3.3 prévoit que des paramètres de confidentialité par défaut doivent être assurés ; cette obligation suppose une réflexion préalable.
L'article 3.4 est central. Avant d'acquérir, de développer ou de revoir un système qui implique des renseignements personnels, l'entreprise procède à une ÉFVP proportionnée à la sensibilité, à la finalité et à la quantité.
L'article 17 impose une ÉFVP avant tout transfert hors Québec.
L'article 21 fait référence à l'évaluation requise dans le cadre de communications à des fins de recherche.
L'ÉFVP est donc à la fois une exigence ponctuelle (à chaque déclencheur) et une discipline structurelle (intégrée à la gouvernance).