Évaluation des facteurs relatifs à la vie privée (ÉFVP) pour les projets de systèmes d'information
Toute personne qui exploite une entreprise doit réaliser une évaluation des facteurs relatifs à la vie privée pour tout projet d'acquisition, de développement ou de refonte d'un système d'information ou de prestation électronique de services qui implique la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels. Dès le début du projet, elle doit consulter son responsable de la protection des renseignements personnels. Le projet doit aussi permettre qu'un renseignement personnel informatisé recueilli auprès de la personne concernée puisse lui être communiqué dans un format technologique structuré et couramment utilisé. L'évaluation doit être proportionnée à la sensibilité des renseignements, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.
S'applique aux entreprises (secteur privé) visées par la Loi sur la protection des renseignements personnels dans le secteur privé. L'ÉFVP doit être faite en amont, ce qui suppose une intégration du processus dès la conception des projets technologiques (privacy by design). L'exigence du format structuré et couramment utilisé soutient le droit à la portabilité des données. La proportionnalité de l'évaluation permet d'en moduler l'ampleur selon le risque.
Concepts (9)
collecte de renseignements personnels communication de renseignements personnels exploitation d'une entreprise personne concernée portabilité des renseignements personnels renseignement personnel responsable de la protection des renseignements personnels sensibilité du renseignement évaluation des facteurs relatifs à la vie privée
Articles apparentés (13)
- art. 8 Obligation d'information lors de la collecte de renseignements personnels · 3 concepts communs
- art. 1 Objet et champ d'application de la protection des renseignements personnels dans le secteur privé · 2 concepts communs
- art. 15 Consentement à la communication de renseignements personnels obtenus d'un tiers · 2 concepts communs
- art. 17 Communication de renseignements personnels hors Québec : évaluation des facteurs relatifs à la vie privée · 2 concepts communs
- art. 18.3 Communication de renseignements personnels à un mandataire ou sous-traitant · 2 concepts communs
- art. 21 Communication de renseignements personnels à des fins d'étude, de recherche ou de statistiques · 2 concepts communs
- art. 27 Droit d'accès aux renseignements personnels et portabilité · 2 concepts communs
- art. 28 Droit de rectification d'un renseignement personnel · 2 concepts communs
- art. 30 Conditions de la demande d'accès ou de rectification de renseignements personnels · 2 concepts communs
- art. 3.5 Obligations en cas d'incident de confidentialité · 2 concepts communs
- art. 3.7 Évaluation du risque de préjudice lors d'un incident de confidentialité · 2 concepts communs
- art. 83 Enquêtes non contradictoires et mesures correctives de la Commission · 2 concepts communs
- art. 91 Infractions pénales et amendes en matière de protection des renseignements personnels (secteur privé) · 2 concepts communs
Texte officiel de l’article
Toute personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
Aux fins de cette évaluation, la personne doit consulter, dès le début du projet, son responsable de la protection des renseignements personnels.
La personne doit également s’assurer que ce projet permet qu’un renseignement personnel informatisé recueilli auprès de la personne concernée soit communiqué à cette dernière dans un format technologique structuré et couramment utilisé.
La réalisation d’une évaluation des facteurs relatifs à la vie privée en application de la présente loi doit être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.