🔍 Évaluation obligatoire

EFVP : évaluation des facteurs relatifs à la vie privée

Q: Combien de temps prend une EFVP?

Pour un projet simple, 1 à 2 semaines. Pour un projet complexe, 4 à 8 semaines avec l'implication du RPRP, de la TI et du juridique.

Q: Faut-il refaire l'EFVP périodiquement?

Oui, dès qu'il y a un changement significatif. Sinon, une revue annuelle est une bonne pratique.

Q: Existe-t-il un modèle officiel d'EFVP?

La CAI publie des gabarits pour les organismes publics. Pour les entreprises privées, il n'existe pas de modèle obligatoire.

Mis à jour le 24 avril 2026

Depuis septembre 2023, toute entreprise du Québec qui démarre un projet impliquant des renseignements personnels doit réaliser une évaluation des facteurs relatifs à la vie privée (EFVP). Ce guide explique quand elle est obligatoire, comment la structurer et ce qu'elle doit contenir.

📖

Qu'est-ce qu'une EFVP?

Une évaluation des facteurs relatifs à la vie privée (EFVP, ou PIA en anglais) est une analyse structurée des risques qu'un projet fait peser sur la protection des renseignements personnels. La Loi 25 en fait une obligation pour plusieurs situations, avant le lancement du projet.

⚖️

Quand une EFVP est-elle obligatoire?

Acquisition ou développement d'un système qui traite des renseignements personnels
Refonte majeure d'un système existant
Communication hors Québec de renseignements personnels
Communication à un tiers sans le consentement (recherche, statistiques)
Profilage ou décision automatisée impactant un individu

🗂️

Les 6 sections d'une EFVP conforme

1. Description du projet

Contexte, objectifs, parties prenantes, technologies utilisées.

2. Cartographie des flux de données

Quels renseignements sont collectés, par qui, comment, où sont-ils stockés et transférés.

3. Analyse de conformité

Vérification point par point des obligations Loi 25 : finalités, consentement, conservation, destruction.

4. Identification des risques

Risques résiduels pour les personnes concernées (probabilité x gravité).

5. Mesures d'atténuation

Contrôles techniques, organisationnels et juridiques pour réduire les risques.

6. Recommandation et décision

Avis du RPRP, décision d'aller de l'avant, revue périodique prévue.

👥

Qui doit la réaliser?

L'EFVP est coordonnée par le RPRP (responsable de la protection des renseignements personnels), en collaboration avec les équipes projet, TI, juridique et conformité. Pour une PME, elle peut être rédigée à l'interne ou confiée à un consultant externe.

⚠️

Que risque-t-on sans EFVP?

L'absence d'EFVP avant le lancement d'un projet constitue un manquement à la Loi 25. En cas d'incident ou de plainte, cette omission est un facteur aggravant pouvant mener à des sanctions administratives pouvant atteindre 10 M$ ou 2 % du chiffre d'affaires mondial, et jusqu'à 25 M$ au pénal.

📚 Références officielles

Sources officielles

Les informations présentées sur cette page sont tirées du texte de loi officiel du Québec et des publications de la Commission d'accès à l'information. Consultez directement les sources pour la version à jour :

→
LégisQuébec — Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c. P-39.1)
Texte de loi officiel modifié par la Loi 25
→
Commission d'accès à l'information du Québec (CAI) — Section entreprises
Guides, gabarits et décisions de l'autorité de surveillance
→
Québec.ca — Protection des renseignements personnels
Portail gouvernemental sur la Loi 25

Expertise Loi 25

À propos de Loi25Simple

Loi25Simple publie des contenus pratiques pour aider les PME québécoises à comprendre la Loi 25, former leurs employés et documenter leur conformité. Nos pages publiques visent la vulgarisation opérationnelle: obligations, sanctions, rôles internes, incidents et formation par fonction.

Pour qui

PME et équipes québécoises qui manipulent des renseignements personnels.

Ce qu’on couvre

RPRP, politiques, consentement, incidents, sanctions, formation et preuves de conformité.

Portée

Contenu d’information pratique et liens vers les ressources officielles du Québec quand la loi est citée.

❓

Questions fréquentes sur l'EFVP

Combien de temps prend une EFVP? +

Pour un projet simple, comptez 1 à 2 semaines (2 à 5 jours-personnes). Pour un projet complexe (CRM multi-pays, IA, profilage), comptez 4 à 8 semaines avec l'implication du RPRP, de la TI et du juridique.

L'EFVP doit-elle être publique? +

Non, elle est un document interne. Mais la CAI peut l'exiger en cas de vérification. Certains éléments (finalités, destinataires) doivent toutefois se retrouver dans votre politique de confidentialité publique.

Faut-il refaire l'EFVP périodiquement? +

Oui, dès qu'il y a un changement significatif : nouvelle finalité, nouveau sous-traitant, nouveau transfert, nouvelle fonctionnalité. En l'absence de changement, une revue annuelle est une bonne pratique.

Existe-t-il un modèle officiel d'EFVP? +

La CAI publie des gabarits pour les organismes publics qui peuvent servir de base. Il n'existe pas de modèle officiel obligatoire pour les entreprises privées : c'est le contenu qui importe, pas la mise en forme.

EFVP et EIVP, est-ce la même chose? +

Oui. EFVP (Québec) et EIVP (Europe, RGPD) sont deux appellations du même exercice. Si vous êtes déjà conforme au RGPD, votre DPIA peut servir de base à votre EFVP avec quelques adaptations québécoises.

🔍

Besoin d'évaluer votre conformité globale?

Notre vérificateur couvre EFVP, consentement, formation et documentation en 2 minutes.

Lancer le vérificateur →