Évaluer les facteurs relatifs à la vie privée (ÉFVP)
Qu’est-ce qu’une ÉFVP?
L’ÉFVP est une démarche préventive et évolutive qui consiste à considérer tous les facteurs de risques susceptibles de porter atteinte à la vie privée des personnes concernées dans des cas prévus par la Loi.
Les objectifs de l’évaluation :
Identifier les circonstances du traitement qui sont susceptibles de mettre à risque les renseignements personnels des personnes.
Énoncer les mesures à mettre en place afin d’atténuer les risques identifiés.
L’évaluation est obligatoire dans les cas suivants
Article 63.5
Projet d'acquisition, développement ou refonte d'un système d'information ou prestation électronique de services impliquant des renseignements personnels
Article 64
Collecte de renseignements personnels dans le cadre d'une collaboration avec un organisme public
Entente
Article 67.2.1
Utilisation sans consentement de renseignements personnels à des fins d’études, de recherche ou de production de statistiques
Entente
Article 68
Communication sans consentement de renseignements personnels à une personne, un organisme public ou un organisme d'un autre gouvernement
Entente
Article 70.1
Communication de renseignements personnels ou délégation de leur traitement à une personne ou un organisme à l’extérieur du Québec
Entente
L’évaluation est recommandée dans les cas suivants
En dehors des cas où une ÉFVP est requise par la loi, celle-ci est recommandée lorsque l’Université envisage notamment de poser les actions suivantes. Si vous avez un doute quant à l’obligation de l’évaluation, n’hésitez pas à contacter l’équipe de protection des renseignements personnels (PRP).
Modification importante d’une plateforme ou d’un outil informatique qui traite des renseignements personnels
Tout changement dans le traitement de renseignements personnels pouvant augmenter le niveau de risque
Nouveau traitement de renseignements personnels sensibles qui n'implique pas la création ou la refonte d'un système d'information existant
L’ÉFVP dans le cadre de projets de recherche
Pour les projets de recherche utilisant des renseignements personnels détenus par l'Université de Montréal sans le consentement des personnes concernées, l'ÉFVP est intégrée directement dans la plateforme Nagano.
L’autorisation de réaliser des recherches concernant des renseignements personnels visés à l'article 67.2.1 de la LAI doit être accordée par le Comité d’évaluation (ÉFVP) de l’UdeM. Pour obtenir cette autorisation, le chercheur ou la chercheuse doit compléter le Formulaire de demande d’accès aux renseignements personnels sans consentement à des fins de recherche - Évaluation des facteurs relatifs à la vie privée (ÉFVP) et le déposer dans Nagano après avoir reçu l’approbation éthique finale de son comité d’éthique de la recherche. La demande d’accès sera alors transmise automatiquement au Comité d’évaluation (ÉFVP) en charge d’en faire l’analyse.
Une fois l’autorisation d’utilisation des renseignements personnels accordée par le Comité d’évaluation (ÉFVP), le chercheur ou la chercheuse doit transmettre à la Commission d'accès à l'information (CAI) l’entente signée avec l’UdeM accompagnée du rapport d’évaluation des facteurs relatifs à la vie privée. L’entente entrera en vigueur 30 jours après la réception par la CAI. Par conséquent, aucune communication de renseignements personnels ne pourra être faite par l’UdeM avant ce délai.
Pour plus de détails sur les étapes du processus d’ÉFVP dans le cadre de projets de recherche, veuillez consulter le site web de la Commission d'accès à l'information (CAI).
Les 7 étapes de l’ÉFVP
L’ÉFVP étant le témoignage d’une réflexion pour protéger les renseignements personnels, il importe de suivre chacune des étapes suivantes pour garder des traces de la démarche et permettre à l’Université de Montréal de s’y référer au besoin.
L’ÉFVP qui n’est pas requise par la Loi doit être transmise à l’équipe PRP, mais ne requiert pas d’approbation par le responsable de la protection des renseignements personnels (secrétaire général) ni de transmission au Comité sur les technologies de l'information, la protection des renseignements personnels, l'accès et la sécurité de l'information.
Pour plus d'informations, consultez la Directive sur les évaluations des facteurs relatifs à la vie privée.
Pour mieux comprendre le rôle des différentes personnes-ressources dans la gestion des renseignements personnels à l’UdeM, veuillez consulter cette section.
Étape 1 : Déterminer si une évaluation est requise
Toute personne responsable du traitement de renseignements personnels doit :
régulièrement passer en revue les initiatives susceptibles de traiter des renseignements personnels au sein de son unité;
informer la personne répondante en matière de protection des renseignements personnels (PRP) de son unité en cas de modification ou de création d'un traitement de renseignements personnels.
Une fois informée, la personne répondante en matière de PRP détermine si une ÉFVP est nécessaire :
en vérifiant si le traitement correspond aux situations prévues par la Loi exigeant une ÉFVP;
en évaluant la nécessité de mener une ÉFVP pour un motif non prévu par la Loi.
Cette activité nécessite la collaboration avec l’équipe PRP.
Étape 2 : Planifier une évaluation
Pour planifier une ÉFVP, les détails et les personnes impliquées dans le traitement doivent être connus.
La personne répondante en matière de PRP :
décrit le traitement des renseignements en détail (nom de l’unité, nom et description du traitement du renseignement personnel, raison pour laquelle l’évaluation est menée et unités impliquées);
définit la portée de l’évaluation (activités incluses et exclues);
identifie les personnes et entités impliquées dans le traitement des renseignements (ex. : unités, comités d’éthique, tiers, experts, consultants, autorités de régulation et clients);
évalue la durée de l’évaluation avec, par exemple, la mise en place d’un calendrier.
Étape 3 : Identifier les renseignements personnels et leur cheminement
L’identification des renseignements personnels et la description de leur cheminement permettent de faire ressortir les activités à risque pour la vie privée.
La personne responsable du traitement des renseignements personnels doit partager la documentation de son processus à la personne répondante en matière de PRP de l'unité. Celle-ci doit alors consulter la documentation pour identifier les renseignements personnels et décrire leur cheminement tout au long du cycle de vie.
Cet exercice permet :
d’identifier les finalités de la collecte;
d’évaluer la validité du consentement (lors des situations qui le requièrent);
d’identifier les modalités de la collecte des renseignements personnels;
d’identifier les situations de communication des renseignements personnels à un tiers;
d’identifier la durée de conservation des renseignements personnels;
de déterminer les cas et les modalités de destruction des renseignements personnels.
La personne répondante en matière de PRP s’assure que le traitement envisagé respecte les dispositions de la Directive sur la conformité des traitements. Le traitement envisagé pour les renseignements ne peut pas être soumis à une évaluation tant qu’il n’est pas conçu et documenté de façon à être conforme à ces principes de protection des renseignements personnels.
Étape 4 : Identifier et évaluer les risques
Cette étape consiste à évaluer le niveau de risque qui pèse sur le traitement des renseignements. Pour ce faire, il est important :
de déterminer les facteurs de risque;
d’estimer le niveau de risque de chaque facteur;
de calculer le risque inhérent;
de déterminer si ce niveau de risque est satisfaisant.
Le calcul est réalisé conjointement par la personne répondante en matière de PRP et l’équipe PRP. Si le niveau de risque inhérent issu de ce calcul dépasse le seuil de tolérance établi par l’Université de Montréal, il convient alors de considérer des mesures de protection afin de déterminer le risque résiduel du traitement prévu.
Atténuation des risques
Il s’agit ici de déterminer les mesures de protection à mettre en place et d’abaisser le niveau de risque sous le seuil de tolérance établi par l’Université de Montréal. Pour ce faire, la personne répondante en matière de PRP, conjointement avec l'équipe PRP :
choisit des mesures d’atténuation pertinentes;
estime le niveau de chaque mesure d’atténuation;
calcule le risque résiduel.
Le risque résiduel est ensuite validé par l’équipe PRP. Tel que prévu à la Politique de protection des renseignements personnels, si le niveau de risque résiduel est au-dessus du seuil de tolérance, il est impératif que ce dépassement soit dûment accepté et documenté par les personnes ou entités compétentes.
Étape 5 : Élaborer un plan d’action
L’élaboration d’un plan d’action selon les risques identifiés se fait conjointement par la personne responsable du traitement, la personne répondante en matière de PRP et l’équipe PRP.
Lors de l’élaboration du plan d’action, il est important :
d’identifier les risques à atténuer;
d’établir les actions concrètes permettant d’atténuer les risques;
d’identifier les personnes responsables de chaque mesure d’atténuation du risque;
de mettre en place un calendrier de mise en œuvre du plan d’action.
Étape 6 : Rédiger le rapport d’évaluation
Le rapport d’évaluation des facteurs relatifs à la vie privée vient témoigner de la réflexion, des mesures et des enjeux qui entourent la mise en place du traitement des renseignements personnels. C’est une preuve que la protection des renseignements personnels a été prise en considération dans la mise en place du projet.
Responsables du rapport
La personne répondante en matière de PRP, avec la collaboration de l’équipe PRP, rédige le rapport d’évaluation. Elle y consigne les éléments soulevés lors des précédentes étapes.
Finalisation du rapport
Le rapport doit être signé par la personne répondante en matière de PRP, l’équipe PRP et le responsable de la protection des renseignements personnels (secrétaire général).
Transmission du rapport
Le rapport d’ÉFVP est transmis au responsable de la protection des renseignements personnels ainsi qu’au Comité sur les technologies de l’information, la protection des renseignements personnels, l’accès et la sécurité de l’information de l’Université, dans tous les cas qui le requièrent.
Étape 7 : Assurer la mise en œuvre du plan d’action
La personne responsable du traitement :
applique le plan d’action élaboré dans l’évaluation des facteurs relatifs à la vie privée avant le traitement des renseignements;
veille sur le traitement des renseignements;
informe la personne responsable des renseignements personnels de son unité lorsque le traitement des renseignements et son niveau de risque changent.
La personne répondante en matière de PRP :
s’assure de la mise en œuvre du plan d’action;
ajuste l’évaluation lorsque le traitement ou le niveau de risque change pour des renseignements.
À toute étape du projet, le Comité sur les technologies de l'information, la protection des renseignements personnels, l'accès et la sécurité de l'information peut suggérer des mesures de protection des renseignements personnels. Ces mesures doivent alors être intégrées dans l’évaluation et son plan d’action.
En cas de doute ou si vous avez besoin d’accompagnement dans le processus, n’hésitez pas à communiquer avec l’équipe PRP.