# Évaluation des facteurs relatifs à la vie privée (EFVP)
## Template de base — Loi 25 du Québec

> Ce template s'adresse aux organisations québécoises qui doivent réaliser une
> EFVP en vertu de l'article 3.3 de la *Loi sur la protection des renseignements
> personnels dans le secteur privé* (RLRQ c P-39.1, modifiée par la Loi 25).
>
> **Quand une EFVP est obligatoire :**
> - Acquisition, développement ou refonte d'un système d'information ou d'une
>   prestation électronique de service impliquant la collecte, l'utilisation, la
>   communication, la conservation ou la destruction de renseignements personnels.
> - Transfert hors Québec de renseignements personnels.
> - Communication de renseignements à des fins de recherche, d'étude ou de statistiques.
>
> **Référence officielle :** Commission d'accès à l'information du Québec (CAI),
> guide « L'évaluation des facteurs relatifs à la vie privée », 2023.
>
> **Comment l'utiliser :** dupliquez ce fichier, remplacez chaque section
> `[À remplir : ...]` par les informations propres à votre projet. Conservez
> l'EFVP signée à votre registre interne — la CAI peut la demander en cas
> d'inspection.

---

## 1. Identification du projet

| Champ | Valeur |
|-------|--------|
| Titre du projet | [À remplir : nom interne du projet ou système] |
| Responsable du projet | [À remplir : nom + titre] |
| Responsable de la protection des renseignements personnels (RPRP) | [À remplir : nom + courriel] |
| Date de l'évaluation | [À remplir : AAAA-MM-JJ] |
| Date de mise en service prévue | [À remplir : AAAA-MM-JJ] |
| Version du document | 1.0 |

## 2. Description du projet et de son contexte

### 2.1 Objectif

[À remplir : décrivez en 5–10 lignes la finalité du projet. Pourquoi le système
est-il acquis ou développé ? Quels problèmes d'affaires résout-il ?]

### 2.2 Contexte d'affaires

[À remplir : marché desservi, contraintes réglementaires sectorielles
(ex. Barreau du Québec, OACIQ, Collège des médecins), volumétrie attendue
(nombre d'utilisateurs, de dossiers).]

### 2.3 Parties prenantes

- Maître d'ouvrage : [à remplir]
- Maître d'œuvre / fournisseur principal : [à remplir]
- Sous-traitants impliqués : [à remplir — voir section 7]

## 3. Cadre juridique applicable

- Loi sur la protection des renseignements personnels dans le secteur privé
  (RLRQ c P-39.1), modifiée par la Loi 25 — articles 3.1 à 3.7, 8 à 14, 17, 28.
- Loi sur la protection des renseignements personnels et les documents
  électroniques (LPRPDE / PIPEDA) — applicable aux activités commerciales
  inter-provinciales ou internationales.
- Lois sectorielles applicables : [à remplir si pertinent — Loi sur les
  services de santé et services sociaux (LSSSS), Loi sur les courtiers
  immobiliers, Code des professions, etc.]

## 4. Description des renseignements personnels visés

### 4.1 Catégories de renseignements collectés

Cochez et précisez :

- [ ] Identité (nom, prénom, date de naissance, NAS) : [détail]
- [ ] Coordonnées (adresse, courriel, téléphone) : [détail]
- [ ] Données de connexion (IP, identifiants techniques, témoins) : [détail]
- [ ] Données financières (numéro de carte, IBAN, revenus) : [détail]
- [ ] Données de santé : [détail]
- [ ] Données biométriques : [détail]
- [ ] Données de géolocalisation : [détail]
- [ ] Communications professionnelles (courriels, conversations, documents) : [détail]
- [ ] Renseignements sensibles au sens de l'article 12 al. 2 (origine ethnique,
      opinions politiques, convictions religieuses, orientation sexuelle, etc.) : [détail]

### 4.2 Volumétrie estimée

| Catégorie de personne | Nombre estimé | Renseignements moyens par personne |
|-----------------------|---------------|-------------------------------------|
| [ex. clients]         | [à remplir]   | [à remplir]                         |
| [ex. employés]        | [à remplir]   | [à remplir]                         |

## 5. Cycle de vie des renseignements personnels

### 5.1 Collecte

- **Source :** [À remplir : directement de la personne / d'un tiers / d'une source publique]
- **Moyen :** [Formulaire web / téléphone / contrat papier / API tierce]
- **Information fournie à la personne au moment de la collecte (art. 8) :**
  - Finalité de la collecte
  - Moyens de collecte
  - Droits d'accès et de rectification
  - Catégories de personnes ayant accès dans l'organisation
  - Durée de conservation
  - Coordonnées du RPRP

### 5.2 Utilisation

- **Finalités principales :** [À remplir — chaque finalité doit être déclarée
  à la collecte ; toute nouvelle finalité requiert un nouveau consentement.]
- **Algorithmes ou décisions automatisées (art. 12.1) :** [À remplir : préciser
  si une décision est fondée exclusivement sur un traitement automatisé. Si oui,
  documenter les principaux facteurs et la possibilité pour la personne de
  présenter ses observations.]

### 5.3 Communication à des tiers

| Tiers destinataire | Finalité | Cadre légal | Pays |
|--------------------|----------|-------------|------|
| [à remplir]        | [à remplir] | [contrat / consentement / obligation légale] | [Québec / Canada / autre — voir section 7] |

### 5.4 Conservation

- **Durée de conservation :** [À remplir, par catégorie. Référer aux calendriers
  de conservation sectoriels (ex. CPA Canada 7 ans, Barreau 10 ans).]
- **Critères de fin de conservation :** [Date fixe / fin de relation contractuelle / demande de la personne]

### 5.5 Destruction ou anonymisation

- **Procédure :** [À remplir : suppression logique, écrasement cryptographique
  des clés, purge des sauvegardes (délai), destruction physique si support papier.]
- **Preuve de destruction :** [Journal d'audit / certificat fournisseur]

## 6. Communication hors Québec ou hors Canada

> **Article 17 Loi 25 :** une communication hors Québec exige une *évaluation*
> qui prend en compte la sensibilité des renseignements, la finalité, les
> mesures de protection mises en œuvre et le cadre juridique applicable dans
> le pays de destination, incluant les principes de protection des
> renseignements personnels qui y sont applicables.

- **Hors Québec ?** [Oui / Non]
- **Pays de destination :** [À remplir]
- **Évaluation art. 17 :** [À remplir : niveau de protection équivalent ou non,
  mesures contractuelles compensatoires (ex. SCC européennes), risque CLOUD Act
  ou équivalent, accord transfrontalier le cas échéant.]
- **Décision finale :** [Approuvée / Refusée / Approuvée sous conditions]

## 7. Sous-traitants

| Sous-traitant | Pays | Service rendu | Type de données | DPA signé | Mesures de sécurité contractuelles |
|---------------|------|---------------|------------------|-----------|--------------------------------------|
| [à remplir]   | [à remplir] | [à remplir] | [à remplir] | [Oui / Non + date] | [chiffrement, audits, certifications] |

## 8. Mesures de sécurité

### 8.1 Mesures techniques

- Chiffrement au repos : [algorithme — ex. AES-256-GCM]
- Chiffrement en transit : [TLS 1.3]
- Contrôle d'accès : [RBAC, MFA obligatoire pour les administrateurs]
- Journalisation : [conservation des logs d'accès — durée]
- Sauvegardes : [fréquence, chiffrement, durée de rétention, test de restauration]
- Détection d'incidents : [SIEM, alertes anomalies]

### 8.2 Mesures organisationnelles

- Politique interne de sécurité : [référence document]
- Formation des employés : [fréquence + contenu]
- Confidentialité des employés : [clause contractuelle]
- Procédure d'incident de confidentialité (art. 3.5) : [délai de notification CAI]
- Registre des incidents (art. 3.8) : [responsable + lieu de conservation]

### 8.3 Mesures physiques

- Accès aux serveurs : [centre de données certifié — préciser]
- Politique BYOD : [à remplir]

## 9. Analyse des risques

| Risque identifié | Probabilité | Impact | Risque résiduel | Mesures d'atténuation |
|------------------|-------------|--------|-----------------|------------------------|
| Accès non autorisé interne | [Faible / Moyen / Élevé] | [F / M / É] | [F / M / É] | [à remplir] |
| Vol de support physique | | | | |
| Compromission d'un sous-traitant | | | | |
| Demande d'accès gouvernementale étrangère (CLOUD Act, FISA) | | | | |
| Erreur humaine (envoi au mauvais destinataire) | | | | |
| Attaque par rançongiciel | | | | |
| Perte d'intégrité (modification non autorisée) | | | | |

## 10. Conclusion et recommandations

### 10.1 Verdict global

[À remplir : Le projet présente-t-il un niveau de risque acceptable au regard
de la Loi 25 ? Quels conditions doivent être remplies avant la mise en
production ?]

### 10.2 Recommandations

1. [à remplir]
2. [à remplir]
3. [à remplir]

### 10.3 Plan de suivi

- Réévaluation prévue : [À remplir : annuellement / lors de tout changement
  significatif de finalité, de sous-traitant ou d'architecture.]

## 11. Approbations

| Rôle | Nom | Signature | Date |
|------|-----|-----------|------|
| Responsable du projet | | | |
| Responsable de la protection des renseignements personnels | | | |
| Direction générale | | | |

---

> **Avertissement :** Ce template est un *guide générique* fourni par
> Syntria AI Inc. à des fins documentaires et éducatives. Il ne constitue pas
> un avis juridique. Pour les projets à risque élevé ou faisant intervenir des
> renseignements sensibles (santé, finance, mineurs), consultez un avocat
> spécialisé en protection des renseignements personnels au Québec.