Evaluations d'impact (EFVP / DPIA)
Decouvrez quand et comment realiser une evaluation des facteurs relatifs a la vie privee (EFVP), alignee sur le guide de la CAI v3.1.
Quand une EFVP est-elle obligatoire ?
La Loi 25 impose une EFVP avant tout projet impliquant des renseignements personnels qui presente un risque eleve pour la vie privee. Conformaze detecte automatiquement les situations declenchantes : acquisition ou developpement d'un nouveau systeme traitant des renseignements personnels, transfert de donnees hors Quebec, utilisation de donnees biometriques, ou profilage au sens de l'article 8.1. Quand un declencheur est identifie, Conformaze cree une tache pour vous rappeler de lancer l'evaluation.
Structure d'une EFVP dans Conformaze
L'EFVP dans Conformaze est structuree selon le guide de la CAI v3.1. Vous remplissez les sections suivantes : description du projet et du contexte, inventaire des renseignements personnels traites, analyse des risques avec notation de probabilite et de gravite (matrice 5x5), mesures d'attenuation proposees, et decision finale (le projet est-il acceptable tel quel, avec conditions, ou inacceptable). Chaque section peut etre completee progressivement.
Analyse de risques
L'analyse de risques utilise une matrice 5x5 qui croise la probabilite d'occurrence et la gravite de l'impact. Pour chaque risque identifie, vous evaluez le risque initial (avant mesures), puis le risque residuel (apres mesures d'attenuation). Les risques sont lies aux elements d'inventaire (donnees, systemes, acteurs) pour une tracabilite complete. Conformaze calcule automatiquement le niveau de risque et signale les risques residuels eleves.
Important
Un risque residuel eleve (score ≥ 4×4) bloque l'approbation du ROPA associe. Vous devez ajouter des mesures d'attenuation supplementaires ou documenter une acceptation formelle du risque par la direction avant de poursuivre.
Approbation et export PDF
Une fois l'EFVP completee, soumettez-la pour approbation via le circuit RACI. L'approbateur (generalement le RPRP ou le dirigeant) peut approuver, demander des modifications ou rejeter. L'EFVP approuvee est exportable en PDF watermarke avec numero de version, date d'approbation et signature du responsable. Ce PDF constitue votre preuve de demarche en cas d'enquete de la CAI.
Lien avec le registre ROPA
Les EFVP sont liees aux activites de traitement correspondantes dans votre registre. L'approbation du registre ROPA est conditionnelle a la validation des EFVP associees. Si une EFVP identifie des risques residuels eleves non attenuis, Conformaze bloque l'approbation du registre et vous guide vers les actions correctives necessaires.
Questionnaire de qualification (phases)
L'EFVP dans Conformaze se remplit progressivement en quatre phases, accessibles depuis Evaluer > Analyses d'impact > Questionnaire. La phase 1 decrit le projet et son perimetre (objectifs, systemes impliques, parties prenantes). La phase 2 inventorie les renseignements personnels traites : types de donnees, volumes, sensibilite et durees de conservation. La phase 3 identifie les risques pour les personnes concernees selon trois dimensions — confidentialite, integrite et disponibilite — notes en probabilite et gravite. La phase 4 propose des mesures d'attenuation et calcule le risque residuel. Conformaze deverrouille chaque phase successivement : vous ne pouvez pas passer a la suivante sans avoir complete la precedente.
Questionnaire de qualification (phases)
Matrice de risques — comment l'utiliser
La matrice 5x5 croise deux axes : la probabilite d'occurrence (1 = improbable, 5 = quasi-certain) et la gravite de l'impact sur les personnes concernees (1 = negligeable, 5 = catastrophique). Le score de risque s'obtient en multipliant les deux valeurs. Exemple concret : un acces non autorise a des dossiers de sante recevra une probabilite de 3 et une gravite de 5, pour un score de 15 — classe « risque eleve ». Conformaze affiche le risque initial (avant mesures) et le risque residuel (apres mesures d'attenuation). Tout risque residuel dont le score depasse 12 bloque l'approbation du registre ROPA associe jusqu'a ce qu'une mesure supplementaire ou une acceptation formelle soit documentee.
Matrice de risques — comment l'utiliser