Suite à l’adoption du Projet de loi 64, les organisations publiques comme privées du Québec devront procéder dès septembre 2022 à une Évaluation des facteurs relatifs à la vie privée (EFVP) avant de communiquer des données personnelles sans consentement pour des fins de recherche, d’étude ou d’évaluation.
Dès septembre 2023, les organisations devront notamment mener une EFVP :
- Pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels
- Avant de communiquer un renseignement personnel à l’extérieur du Québec
Comme le rappelle la Commission d’accès à l’information du Québec (CAI), « dans tous les cas, l’EFVP réalisée devra être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support. »
Au niveau fédéral, le Commissariat à la protection de la vie privée du Canada mène depuis plusieurs années des EFVP pour déterminer les risques d’atteinte à la vie privée qui pourraient découler de ses programmes ou services nouveaux ou remaniés.
Selon le Commissariat, « Une EFVP est un processus de gestion des risques qui aide les institutions à s’assurer qu’elles respectent les exigences de la loi et à déterminer l’incidence éventuelle de leurs programmes et de leurs activités sur la vie privée d’individus. » Le Commissariat ajoute dans son guide qu' »une EFVP n’est pas :
- une liste de contrôle superficielle portant sur les exigences prévues par la loi;
- un exercice ponctuel;
- un outil de marketing ne montrant que les avantages d’un projet;
- une justification de politiques déjà décidées ou de pratiques déjà en place; un processus nécessairement long et complexe exigeant beaucoup de ressources. »