Évaluation des facteurs relatifs à la vie privée à la Laurentienne

Une EFVP est un processus officiel structuré visant à relever et à réduire les risques pour la vie privée que présentent des programmes, activités, services, technologies ou systèmes qui nécessitent la collecte, l’utilisation, la divulgation, la conservation ou l’élimination de renseignements personnels, et qui montre que l’établissement comprend et accepte les activités évaluées et tout risque connexe.

Une EFVP bien effectuée confirme que l’Université a évalué tout risque détectable et prévisible pour la vie privée, qu’elle a pris des mesures pour les atténuer et réduire les préjudices, et qu’une instance de décision a examiné et approuvé l’EFVP et déterminé que les mesures d’atténuation sont suffisantes pour que l’activité puisse avoir lieu conformément aux exigences légales et pratiques et aux attentes concernant la protection de la vie privée et la sécurité.

Ces points sont traités en détail dans les documents de travail sur l’EFVP, les feuilles de travail et les formulaires, la documentation sur le projet, la documentation pour le fournisseur, les normes et exigences applicables, les certificats et attestations, les documents sur l’atténuation et les préjudices, et les rapports approuvés sur l’EFVP. Tous ces documents doivent être fournis sur demande au Commissaire à l’information et à la protection de la vie privée (CIPVP).

La Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) définit les renseignements personnels comme des renseignements consignés ayant trait à un particulier qui peut être identifié. Ils incluent entre autres le nom, l’âge, la race, la religion, les coordonnées, les renseignements financiers, les antécédents médicaux ou criminels, les numéros d’identification et les opinions. Ils incluent également des renseignements non enregistrés sur des personnes pouvant être identifiées, comme des renseignements oraux.

Même si les renseignements personnels n’incluent généralement pas des renseignements sur des personnes agissant à titre professionnel ou officiel, ils incluent tous les renseignements sur les personnes agissant en leur propre nom. Par conséquent, presque tous les renseignements sur les étudiants et leurs activités et résultats scolaires, leur identité, leurs coordonnées et la plupart d’autres caractéristiques et données les concernant constituent des renseignements personnels. De même, les renseignements sur d’autres membres de la communauté, des parents et la plupart des membres du public qui interagissent avec l’Université constituent généralement des renseignements personnels.

Une EFVP est un processus systématique visant à effectuer soigneusement et entièrement ce qui suit :

• évaluer le pouvoir légal de travailler avec des renseignements personnels dans une activité ou un projet;
• cartographier, examiner et évaluer un projet ou une activité;
  évaluer et considérer l’usage des renseignements personnels dans le projet ou l’activité;
• déterminer et documenter les risques pour la vie privée et les préjudices possibles afin de les atténuer;
• confirmer et documenter le rendement des mesures nécessaires d’atténuation des risques;
• confirmer la responsabilité de l’Université au moyen d’un examen approprié et de l’approbation de l’EFVP.
  
   

Les EFVP ont plusieurs objets utiles et positifs, notamment :

• encouragent la confiance parmi la population étudiante, les membres de la communauté et le public;
• réduisent les surprises et les problèmes durant la mise en œuvre ainsi que les remaniements/corrections;
• facilitent l’approvisionnement et l’octroi de contrats de manière harmonieuse;
• aident à obtenir l’approbation institutionnelle et les ressources nécessaires;
  réduisent la probabilité de :
  • atteinte à la vie privée;
  • préjudice pour les sujets fournissant des données;
  • enquête du CIPVP;
  • atteinte à la réputation de projets et de l’Université;
• appuient la reddition de comptes au CIPVP et la supervision par celui-ci;
• démontrent et documentent la conformité aux exigences de la LAIPVP.
   

Avant le 1er juillet 2025, les EFVP étaient une bonne pratique exemplaire, quelque chose que les établissements faisaient à leur discrétion pour protéger la vie privée et gérer les risques.

Depuis le 1er juillet 2025, la LAIPVP oblige à préparer une EFVP écrite avant de recueillir tout renseignement personnel. Le CIPVP supervise cette obligation légale. La LAIPVP a été modifiée dans le cadre du projet de loi 194, qui a aussi promulgué la Loi de 2024 visant à renforcer la sécurité et la confiance en matière numérique, pour exiger les EFVP.

Étant donné que l’Université est régie par la LAIPVP, elle doit effectuer une EFVP comme l’exige le paragraphe 38 (3) avant de recueillir des renseignements personnels au cours de ses activités. Cette obligation s’applique à tous les responsables d’activités comprenant la collecte de renseignements personnels à l’Université, pour elle et en son nom.

Une EFVP inclut l’atténuation des risques relevés ainsi qu’un examen et l’approbation des instances responsables de l’activité à l’Université avant toute collecte des renseignements personnels.

L’Université doit fournir sur demande les EFVP au CIPVP.
 

Les EFVP sont obligatoires pour tous les programmes, activités, systèmes, services, technologies ou initiatives nouveaux ou très modifiés qui incluent la collecte, l’utilisation, la divulgation ou la conservation de renseignements personnels. Il peut s’agir de toute activité qui fait appel à des renseignements personnels, simples ou complexes, à une partie d’un programme d’études ou à des tâches administratives menées par le personnel ou un service de l’Université ou par des entrepreneurs ou fournisseurs de services externes.

En d’autres mots, l’obligation légale d’effectuer des EFVP s’applique à toutes les activités de l’Université utilisant des renseignements personnels, et elles sont obligatoires quand l’Université :
 

• a l’intention de recueillir des renseignements personnels pour un programme, une activité ou un service;
• modifie :
  • le but dans lequel les renseignements personnels sont recueillis, utilisés ou divulgués;
  • la manière de recueillir, utiliser, divulguer, conserver ou entreposer, comme l’entreposage ou des services dans le nuage, un nouveau vendeur/fournisseur de services, IA/analyse ou biométrie.
• met en œuvre une nouvelle technologie qui traite des renseignements personnels (p. ex., outils de surveillance, détection faciale, Internet des objets, modèles d’IA).
   

Exemples d’activités qui exigeront certainement une EFVP ou des conseils sur la protection de la vie privée :

• systèmes utilisés par la population étudiante (intégrations dans le système de gestion de l’apprentissage, outils d’examen, plateformes de conseil);
• systèmes des bureaux des anciens, de l’avancement et des donateurs;
• systèmes administratifs liés à la recherche qui ne sont pas déjà couverts par un Comité d’éthique de la recherche (CER);
• technologies de sécurité (télévision en circuit fermé, contrôle de l’accès, biométrie, suivi des emplacements);
• services dans le nuage fournis par un vendeur traitant des données de l’Université.
   

La LAIPVP exclut certains types de renseignements, notamment ceux touchant la recherche, les ressources humaines et l’emploi, ce qui fait que ces activités ne requièrent pas d’EFVP, car un CER couvre déjà les exigences touchant la protection de la vie privée ou elles sont incluses dans les politiques et procédures touchant l’emploi ou les ressources humaines. Cependant, dans le doute, nous vous demandons de communiquer avec le Bureau des affaires juridiques de l’Université, ou d’indiquer votre activité ou projet dans le formulaire de renseignements pour l’EFVP, car des aspects de ces activités peuvent exiger une EFVP. En outre, le Bureau des affaires juridiques peut devoir évaluer des activités faisant appel à des renseignements personnels afin d’éviter des problèmes juridiques ou réglementaires, même si une EFVP n’est pas requise.

Par exemple, les recherches faisant appel à des êtres humaines examinées et approuvées par un CER sont généralement régies par les processus de ce comité, qui devrait aussi évaluer la protection de la vie privée et de la confidentialité, conformément aux exigences de l’Énoncé de politique des trois Conseils : Éthique de la recherche avec des êtres humains (EPTC 2), mais des activités et systèmes administratifs appuyant les recherches ou utilisés peuvent nécessiter une EFVP.

Dans le doute, communiquez sans tarder avec le Bureau des affaires juridiques; nous vous dirons si une EFVP est nécessaire ou si d’autres processus, comme un examen par un CER, une évaluation de la sécurité des renseignements ou un examen de contrat est nécessaire ou approprié.
 

Nous vous demandons d’utiliser le bouton « Renseignements pour l’EFVP » et de commencer à travailler avec nous.

Lorsque vous aurez appuyé sur le bouton, vous recevrez un court questionnaire visant à recueillir des renseignements de base sur votre activité et à confirmer si des renseignements personnels entrent en jeu afin de déterminer si une EFVP s’impose.

Nous évaluerons vos réponses et vous dirons rapidement si une EFVP est nécessaire. Si tel est le cas, nous vous indiquerons le questionnaire à remplir pour nous permettre d’effectuer l’EFVP.

Étant donné que vous connaîtrez les détails de l’activité, nous vous demanderons les renseignements dont nous aurons besoin pour l’évaluer en profondeur afin d’effectuer une EFVP conforme aux exigences de la LAIPVP et qui répond aux normes énoncées dans « Planifier pour réussir : guide d’évaluation de l’impact sur la vie privée pour les institutions publiques de l’Ontario » publié par le Bureau du commissaire à l’information et à la protection de la vie privée.

Nous devrons peut-être vous demander des renseignements supplémentaires ou des détails au cours de notre évaluation, mais nous entendons simplifier votre travail le plus possible tout en obtenant les renseignements nécessaires pour effectuer une EFVP conforme.

Nous utiliserons vos renseignements pour évaluer des points comme l’autorité légale, si vous recueillez uniquement les renseignements personnels nécessaires et rien de plus, si la sécurité est solide et conforme aux normes actuelles, et nous travaillerons aussi avec vos vendeurs pour vérifier que vos arrangements avec eux et leurs pratiques ainsi que les termes des contrats protègent la vie privée et sont sécuritaires.

Nous communiquerons de nouveau avec vous si des mesures d’atténuation sont nécessaires, puis lorsqu’elles auront été effectuées, nous ferons examiner et approuver l’EFVP par l’Université.

Nous vous demanderons uniquement ce qui est nécessaire pour effectuer l’EFVP.

Nous vous demanderons de faire preuve de transparence et de nous fournir des renseignements complets. L’Université et votre activité réussiront ou échoueront en fonction de la qualité de l’EFVP que nous pourrons produire, qualité qui dépendra entièrement de la qualité et de l’exhaustivité des renseignements sur lesquels elle repose.

Toutes ces étapes sont nécessaires pour avoir une EFVP conforme à la législation. Nous nous occuperons de toutes les étapes juridiques et techniques touchant la protection de la vie privée et la sécurité, en collaboration avec le personnel chargé la TI de l’Université et de la cybersécurité ainsi que d’autres spécialistes au besoin pour produire le rapport de l’EFVP.

Nous travaillons de cette façon, car vous possédez les renseignements essentiels sur l’activité, nous possédons les connaissances juridiques nécessaires, nos spécialistes de la TI et de la cybersécurité possèdent les connaissances nécessaires en matière de sécurité, et d’autres spécialistes peuvent être nécessaires pour les EFVP techniques ou spécialisées.

Les EFVP d’activités simples peuvent être très brèves et rapides alors que les EFVP d’activités complexes peuvent demander beaucoup de temps et faire appel à une grande équipe complexe.

C’est pourquoi nous vous demandons de prendre en considération le temps requis pour effectuer une EFVP lors de la planification de la date de lancement de votre activité ou projet et de prévoir suffisamment de temps pour l’EFVP. N’hésitez pas à consulter le Bureau des affaires juridiques ou l’agent de l’accès à l’information et de la protection de la vie privée (agent de l’AIPVP) si vous désirez discuter de la période prévue d’une EFVP pour une activité que vous planifiez.
 

Les EFVP effectuées et approuvées seront conservées dans l’entrepôt d’EFVP de l’Université afin de :

• suivre l’atténuation des risques et la réduction des préjudices et confirmer qu’elles ont eu lieu;
• mettre à jour les EFVP lorsque l’atténuation des risques et la réduction des préjudices ont eu lieu;
• mettre les EFVP à jour lorsque des changements sont apportés à des programmes;
• enregistrer et conserver les dates d’exécution et d’approbation et les versions des EFVP;
• fournir des évaluations au Bureau du CIPVP, qui sont requises par la LAIPVP.