CanucktAI
Retour au blogue
Conformité May 29, 2026 9 min de lecture

À quoi ressemble vraiment une évaluation des facteurs relatifs à la vie privée pour une entreprise canadienne de 10 personnes

Tous les guides d'ÉFVP que vous trouverez sont rédigés pour des équipes juridiques d'entreprise. Voici à quoi ressemble réellement une évaluation des facteurs relatifs à la vie privée pour une petite entreprise canadienne — pratique, et non théorique.

Par Vivek Chakravarthy

À quoi ressemble vraiment une évaluation des facteurs relatifs à la vie privée pour une entreprise canadienne de 10 personnes

Le problème de l'ÉFVP pour les petites organisations

Les évaluations des facteurs relatifs à la vie privée ont un problème de réputation dans le monde des PME : on les décrit universellement comme importantes et on les associe presque universellement à des processus à l'échelle de l'entreprise, à des échéanciers de plusieurs mois et à des équipes de spécialistes de la vie privée. Cela crée un fossé où les petites organisations qui ont véritablement besoin d'ÉFVP n'en font pas parce que le processus semble hors de portée.

La Loi 25 du Québec a rendu les ÉFVP obligatoires pour tout projet technologique qui présente des risques pour la vie privée — précisément, les projets impliquant la collecte, l'utilisation ou la communication de renseignements personnels par des moyens technologiques. Cela s'applique aux organisations de toutes tailles. La CAI a publié des directives, mais elles sont formulées pour des organisations dotées de fonctions de protection de la vie privée dédiées.

La LPRPDE n'impose pas nommément les ÉFVP, mais le Commissaire à la protection de la vie privée les a maintes fois approuvées comme pratique exemplaire et a cité leur absence comme facteur dans l'évaluation de l'adéquation des mesures de sécurité des organisations.

Voici à quoi ressemble réellement une ÉFVP pour une entreprise de dix personnes sans spécialiste de la vie privée.

Quand vous en avez besoin

Une ÉFVP est appropriée lorsque vous modifiez de façon notable la manière dont vous traitez les renseignements personnels. Les déclencheurs qui justifient une ÉFVP :

  • L'adoption d'un nouvel outil logiciel qui traite des données de clients ou d'employés
  • La création d'une nouvelle fonctionnalité de produit qui recueille des renseignements personnels additionnels
  • Le partage de données avec un nouveau fournisseur ou partenaire
  • Le déplacement de données vers un nouvel emplacement de stockage ou un nouveau fournisseur infonuagique
  • Le lancement d'un nouveau programme de marketing qui utilise des données de clients existantes d'une nouvelle façon
  • La mise en œuvre d'une IA ou d'une prise de décision automatisée qui utilise des renseignements personnels

Vous n'avez pas besoin d'une ÉFVP pour chaque changement opérationnel mineur. La question est : ce changement crée-t-il des risques pour la vie privée nouveaux ou notablement différents? Si oui, documentez votre réflexion avant de procéder.

Les quatre questions auxquelles répond une ÉFVP

Une ÉFVP pour une petite organisation n'a pas besoin d'être un document de 40 pages. Elle doit répondre honnêtement à quatre questions.

1. Quels renseignements personnels sont en jeu?

Nommez exactement quels renseignements personnels le projet, la fonctionnalité ou le changement met en jeu. Soyez précis — pas « données de clients » mais « noms de clients, adresses courriel et historique d'achat » ou « noms d'employés, titres de poste et notes d'évaluation du rendement ». Incluez les renseignements personnels de personnes qui pourraient ne pas être le sujet principal : un outil de gestion de projet utilisé par les employés contiendra aussi des renseignements sur leurs clients ou leurs contacts.

2. Quels sont les risques?

Pour chaque catégorie de renseignements personnels, déterminez ce qui pourrait mal tourner. Les risques à évaluer sont : l'accès non autorisé (qui pourrait obtenir ceci sans devoir le faire), la communication non autorisée (comment ceci pourrait-il aboutir là où il ne devrait pas), la collecte au-delà du nécessaire (recueillons-nous plus que ce qu'exige la fin), l'utilisation secondaire (ces renseignements pourraient-ils servir à autre chose qu'à leur fin déclarée) et la conservation au-delà de la nécessité (combien de temps les conserverons-nous et pourquoi).

Vous n'avez pas besoin d'une modélisation sophistiquée des risques. Un tableau avec une rangée par risque, une colonne « probabilité » (faible/moyenne/élevée) et une colonne « incidence » (faible/moyenne/élevée) suffit pour une petite organisation.

3. Que faites-vous pour atténuer ces risques?

Pour chaque risque notable, documentez le contrôle ou la mesure d'atténuation. Contrôle d'accès — qui a accès à ces données et comment cela est-il appliqué? Chiffrement — les données sont-elles chiffrées au repos et en transit? Évaluation du fournisseur — si un tiers est en jeu, que savez-vous de ses pratiques de sécurité et a-t-il un contrat exigeant une protection appropriée? Politique de conservation — quand et comment ces données seront-elles supprimées? Formation — les personnes qui traitent ces données connaissent-elles les obligations pertinentes?

Si un risque n'a aucune mesure d'atténuation, reconnaissez-le et décidez consciemment si le projet doit aller de l'avant, si une approche de rechange réduirait le risque, ou si le risque est acceptable compte tenu des avantages.

4. Est-il approprié de procéder au projet ou au changement?

La conclusion d'une ÉFVP est une recommandation : procéder tel que conçu, procéder avec des modifications pour atténuer les risques relevés, ou ne pas procéder. Documentez la conclusion à laquelle vous êtes arrivé et pourquoi.

Un modèle d'ÉFVP pratique pour les petites organisations

Le modèle ci-dessous prend environ deux à quatre heures à remplir pour un projet typique. Il n'est pas exhaustif au sens de l'entreprise — il est suffisamment complet pour démontrer que vous avez réfléchi aux implications pour la vie privée avant de procéder.


Nom et description du projet : [Que faites-vous?]

Date et personne ayant rempli le document : [Consignez ceci — vous en aurez besoin plus tard]

Renseignements personnels en jeu :

CatégorieÉléments de données précisSourceVolume (approx.)
[p. ex., Client][Nom, courriel, code postal][Formulaire en ligne][~500 enregistrements]

Risques :

Description du risqueProbabilitéIncidencePriorité
[p. ex., Le fournisseur reçoit des données sans protection contractuelle][Moyenne][Élevée][Élevée]

Mesures d'atténuation :

RisqueMesure d'atténuationResponsableÉtat
[Fournisseur sans contrat][Signer un ATD avant de partager les données][Opérations][En cours]

Risques résiduels après atténuation : [Tout risque qui subsiste après l'application des contrôles]

Recommandation : [Procéder / Procéder avec modifications / Ne pas procéder]

Approbation : [Nom et date]


La valeur de la documentation

La valeur première d'une ÉFVP pour une petite organisation n'est pas le processus — c'est le document. Si une plainte relative à la vie privée est déposée à l'égard du projet, ou si la CAI ou le CPVP enquête, vous pouvez démontrer que vous avez réfléchi aux risques pour la vie privée avant de procéder et que vous avez mis en œuvre des contrôles fondés sur cette réflexion. C'est la preuve d'une organisation axée sur les mesures de sécurité.

Les organisations qui mettent en œuvre de nouvelles technologies sans révision de la vie privée, découvrent un problème plus tard, puis tentent de démontrer après coup qu'elles avaient des mesures de sécurité appropriées en place se trouvent dans une posture difficile. Le document contemporain est la preuve.

La Loi 25 exige que les ÉFVP soient conservées au dossier et, dans certains cas, mises à la disposition de la CAI sur demande. Le document que vous rédigez avant le début d'un projet est le document que vous aurez si la CAI le demande un jour.

privacy impact assessment Canada small businessPIA PIPEDAprivacy impact assessment Canadian SMBPIPEDA PIA requirementsprivacy assessment small business

La conformité IA et vie privée, simplifiée.

Valdra aide les entreprises canadiennes à gouverner l’IA et à respecter PIPEDA et la Loi 25 — hébergé au Canada.

Découvrir Valdra

Notre propre conformité

Nous gérons notre propre programme de conformité dans Valdra — le produit que nous vendons. Nos programmes SOC 2, ISO 27001 et ISO 42001 sont en cours; nous ne revendiquons aucune certification que nous ne détenons pas encore.

Badge de conformité Valdra — cliquez pour vérifier
  • LPRPDE
  • Loi 25 (Québec)
  • LCAP
  • Données hébergées au Canada 🇨🇦
  • Gouvernance de l’IA
Voir notre centre de confiance

Auto-déclaré, et non audité par un tiers. Cliquez sur le badge pour vérifier son authenticité et voir ce qu’il couvre.

À quoi ressemble vraiment une évaluation des facteurs relatifs à la vie privée pour une entreprise canadienne de 10 personnes | Canuckt AI