FAQ sur l’évaluation des facteurs relatifs à la vie privée (EFVP)

Une évaluation des facteurs relatifs à la vie privée (EFVP) est un processus officiel visant à relever, évaluer et atténuer les risques pour la vie privée et la sécurité associés aux activités qui requièrent des renseignements personnels. Tout projet qui inclut la collecte de renseignements personnels doit faire l’objet d’une EFVP du début jusqu’à la fin. 

La Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) de l’Ontario oblige maintenant l’Université Laurentienne à effectuer des EFVP pour toutes les activités nouvelles ou grandement modifiées qui emploient des renseignements personnels. 

Ces évaluations contribuent à garantir la conformité, à instaurer la confiance et à protéger les personnes et l’Université contre les atteintes à la vie privée et les atteintes à la réputation.

Les renseignements personnels sont toutes les informations enregistrées ou non enregistrées concernant une personne identifiable. Ils comprennent, entre autres, le nom, l’âge, l’origine ethnique, la religion, les coordonnées, les dossiers scolaires, les informations financières, les antécédents médicaux ou judiciaires, les numéros d’identification et les opinions.

Depuis le 1er juillet 2025, la LAIPVP oblige à effectuer des EFVP avant de recueillir des renseignements personnels.

Cette obligation s’applique à toutes les activités nouvelles ou ayant subi des changements importants qui consistent à recueillir, utiliser, conserver, divulguer ou éliminer des renseignements personnels.

Cette exigence est supervisée par le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP).

Une EFVP examine l’objet de la collecte, de l’utilisation ou de la divulgation des renseignements personnels et le pouvoir légal de le faire; les types et sources de renseignements personnels concernés; les risques pour les personnes et l’Université; les mesures de protection et d’atténuation; les rôles et responsabilités en matière de protection de la vie privée; les pratiques de conservation et d’élimination; la conformité avec toutes les lois et politiques pertinentes.

Le fait de ne pas réaliser l’EFVP requise constitue un manquement aux obligations légales de l’Université Laurentienne prévues dans la LAIPVP.

Le CIPVP peut mener une enquête, rendre des décisions publiques et ordonner des changements.

Les EFVP insuffisantes exposent l’Université et les personnes responsables à des conséquences juridiques, pour la réputation et personnelles.

Il faut lancer une EFVP avant d’entreprendre tout nouveau projet ou toute nouvelle activité nécessitant des renseignements personnels.

Mettez-la à jour avant d’apporter toute modification importante à l’objet, à la technologie ou au processus faisant appel à des renseignements personnels.

Les EFVP sont des documents évolutifs et doivent être mises à jour au fil des projets.

L’obligation d’effectuer les EFVP est une responsabilité partagée.

Les chefs de projet, les responsables de programme et tout le personnel engagé dans des activités utilisant des renseignements personnels doivent y participer.

Le Bureau des affaires juridiques (BAJ) et l’agent de l’accès à l’information et de la protection de la vie privée (agent de l’AIPVP) fournissent une assistance spécialisée, des formulaires et des conseils, effectuent l’évaluation à partir des informations que vous fournissez et préparent le rapport d’EFVP.

Le BAJ et l’agent de l’AIPVP vous aideront à déterminer les activités nécessitant une EFVP, vous fourniront des formulaires et des conseils, effectueront l’analyse et prépareront le rapport officiel d’évaluation, vous conseilleront sur les mesures d’atténuation des risques et de conformité, et conserveront la documentation nécessaire à la reddition de comptes et aux demandes du CIPVP.

Le temps nécessaire dépend de la complexité de votre projet. Les activités simples peuvent prendre quelques jours, tandis que les projets complexes faisant appel à des technologies de pointe ou à de grands ensembles de données peuvent prendre plusieurs semaines.

Il est recommandé de communiquer dès que possible avec l’agent de l’AIPVP afin d’éviter tout retard.

Pour votre EFVP, vous devrez fournir une description détaillée du projet et de ses objectifs; les types et sources de renseignements personnels; les rôles et responsabilités; les mesures technologiques et de sécurité; les plans de conservation et d’élimination des renseignements et la participation des fournisseurs de services et autres tiers.

Nous vous fournirons les questionnaires appropriés et travaillerons avec vous afin de recueillir uniquement les informations nécessaires.

Les décideurs de l’Université doivent approuver les rapports d’EFVP qui doivent aussi être documentés.

La Laurentienne tient un entrepôt central des EFVP, accessible pour les examens, la mise à jour et la transmission au CIPVP au besoin. 

Les rapports d’EFVP sont des documents de la Laurentienne. Consultez le BAJ ou l’agent de l’AIPVP avant de transmettre la documentation d’une EFVP à l’externe.

Non, la loi oblige l’Université à préparer une EFVP avant de recueillir des renseignements personnels.

Les EFVP des fournisseurs peuvent fournir des informations utiles pour celles menées par l’Université et simplifier certaines tâches de collecte de renseignements, mais l’Université est légalement tenue d’effectuer sa propre EFVP conformément aux normes de la LAIPVP.

La Laurentienne doit fournir sur demande des EFVP et des pièces justificatives au CIPVP, en particulier en cas de violation. Des EFVP solides permettent de démontrer la diligence raisonnable et la conformité, réduisant ainsi le risque institutionnel.

De nombreuses activités de recherche et activités liées à l’emploi et aux relations de travail peuvent être exemptées de l’obligation d’effectuer une EFVP en vertu de la LAIPVP, mais le contexte est important.

Certaines parties de ces activités, ou certaines informations qui y sont associées ou qui en découlent, peuvent être soumises à l’obligation d’effectuer une EFVP.

En outre, les questions relatives à la protection de la vie privée doivent toujours être discutées avec le BAJ ou l’agent de l’AIPVP, car il peut y avoir des préoccupations quant à la protection de la vie privée ou la sécurité même si une EFVP n’est pas requise.

Utilisez toujours le formulaire de renseignements pour une EFVP pour confirmer si elle est nécessaire pour votre activité et consultez l’agent de l’AIPVP si vous avez des questions.

Les risques communs sont l’accès, l’utilisation ou la divulgation non autorisés de renseignements personnels; la collecte de renseignements personnels inutiles ou excessifs; les mesures de sécurité inadéquates; les logiciels intrusifs ou mal configurés; l’IA excessive ou intrusive ou le traitement algorithmique; la conservation au-delà des périodes requises; le défaut d’informer les personnes concernées ou d’obtenir les consentements nécessaires; les risques liés aux fournisseurs de services tiers, à leur personnel et à leurs agents.

La Laurentienne doit se conformer aux lois sur la protection de la vie privée et à d’autres exigences, et être en mesure de démontrer, à l’aide de documents et de preuves, qu’elle s’y conforme.

Si nos actions ne sont pas documentées, nous ne pouvons pas prouver ou démontrer qu’elles ont eu lieu.

Les EFVP appuient la responsabilité démontrable en montrant que la Laurentienne a évalué la protection de la vie privée et la sécurité des activités utilisant des renseignements personnels, qu’elle a déterminé et mis en œuvre des mesures d’atténuation, que nos EFVP ont été correctement examinées et approuvées par les responsables universitaires compétents, et que nous avons effectué une réévaluation, pris des mesures d’atténuation et donné au besoin une nouvelle approbation quand il y a eu des changements.

Adressez-vous à l’agent de l’AIPVP à privacyinquiries@laurentian.ca pour avoir de l’aide, des formulaires et des conseils ou discuter des exigences de votre projet au titre de la protection de la vie privée.