La CAI a-t-elle publié un modèle d'ÉFVP?

Non. En date de février 2026, la Commission d'accès à l'information du Québec (CAI) n'a pas publié de modèle standard d'évaluation des facteurs relatifs à la vie privée. Le modèle d'Upper Harbour a été créé pour combler cette lacune, offrant aux organismes un cadre structuré basé sur les exigences statutaires de la Loi 25 et les orientations publiées par la CAI.

Quand une ÉFVP est-elle requise sous la Loi 25?

Une ÉFVP est requise avant que des renseignements personnels soient communiqués à l'extérieur du Québec. Cela s'applique chaque fois que des renseignements personnels sont traités par un fournisseur dont les serveurs, la société mère ou les sous-traitants se trouvent à l'extérieur du Québec. Pour les outils SaaS, cela signifie qu'une ÉFVP est requise pour chaque outil dont la société mère est américaine et qui traite des renseignements personnels de résidents du Québec. Cette exigence est en vigueur depuis le 22 septembre 2023.

Modèle d'évaluation des facteurs relatifs à la vie privée — Loi 25

Q: Qu'est-ce qu'une évaluation des facteurs relatifs à la vie privée sous la Loi 25?

Une évaluation des facteurs relatifs à la vie privée (ÉFVP) est une évaluation documentée exigée par la Loi 25 du Québec avant que des renseignements personnels puissent être communiqués à l'extérieur du Québec. Elle doit évaluer la sensibilité des renseignements, le cadre juridique de la juridiction réceptrice et les mesures de protection en place. Le modèle d'ÉFVP d'Upper Harbour est le premier cadre structuré publiquement disponible pour compléter cette évaluation pour les outils SaaS.

Pourquoi ce modèle existe

La Loi 25 exige une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant que des renseignements personnels soient communiqués à l'extérieur du Québec. Cette exigence est en vigueur depuis le 22 septembre 2023. La loi précise ce que l'évaluation doit couvrir, mais ne fournit aucun format standard ni modèle pour documenter l'évaluation.

Résultat : la plupart des organismes assujettis à la Loi 25 n'ont aucun point de départ clair pour leur documentation d'ÉFVP. Beaucoup n'ont complété aucune évaluation, malgré l'utilisation de dizaines d'outils SaaS transfrontaliers. Selon l'Indice de souveraineté SaaS canadien d'Upper Harbour, un organisme typique utilisant 15 à 20 outils SaaS aura besoin de 10 à 16 ÉFVP — chacune couvrant la chaîne juridictionnelle d'un fournisseur différent.

Comment utiliser ce modèle

Complétez une ÉFVP par fournisseur SaaS qui traite des renseignements personnels à l'extérieur du Québec. Le modèle est organisé en sept sections. Les sections 1 à 3 établissent les faits (quelles données, où elles vont, quelles lois s'appliquent). Les sections 4 et 5 évaluent les protections. Les sections 6 et 7 documentent votre détermination du risque. HarbourScan automatise les sections 1 à 3 pour l'ensemble de votre parc SaaS. Lancer une évaluation gratuite →

Le modèle

1. Portée du transfert et inventaire des données

Établir quels renseignements personnels sont transférés et pourquoi.

Nom du fournisseur SaaS

[Nom du fournisseur tel qu'utilisé dans votre organisme]

Description du service

[Brève description du service et de son rôle dans vos opérations]

Catégories de renseignements personnels transférés

☐ Données d'employés

☐ Données de clients

☐ Renseignements de santé

☐ Données financières

☐ Coordonnées

☐ Données d'utilisation/comportementales

Niveau de sensibilité

☐ Faible

☐ Moyen

☐ Élevé

☐ Sensible (définition Loi 25)

Selon la Loi 25, les renseignements sensibles comprennent les données de santé, financières, biométriques et les renseignements concernant les mineurs de moins de 14 ans.

Finalité et nécessité du transfert

[Pourquoi ces données doivent-elles être traitées par ce fournisseur — existe-t-il une alternative moins invasive?]

Volume approximatif

[Nombre de résidents du Québec dont les renseignements personnels sont traités]

2. Cartographie de la chaîne juridictionnelle

Identifier chaque juridiction à laquelle les données peuvent être assujetties par la structure corporative et opérationnelle du fournisseur.

Société mère du fournisseur

[Nom de la société mère ultime]

Pays d'incorporation de la société mère

[Pays — ceci détermine l'exposition juridictionnelle principale]

Exposition au CLOUD Act

☐ Oui — société mère incorporée aux É.-U.

☐ Non — société mère non américaine

☐ Indirecte — filiale ou opérations aux É.-U.

Lieu(x) d'hébergement des données

[Emplacements physiques du stockage principal, des sauvegardes et de la réplication]

Résidence des données au Canada disponible?

☐ Oui — activée

☐ Oui — non activée

☐ Non

Sous-traitants

[Liste de tous les sous-traitants connus, leurs juridictions et la nature de leur accès aux données]

Consultez la liste des sous-traitants du fournisseur (habituellement publiée sur sa page de confiance/confidentialité). Notez les juridictions pour chacun.

Lieux d'accès du personnel

[Où se trouvent les employés de soutien, les ingénieurs et les autres membres du personnel ayant accès aux données?]

3. Cadre juridique de la juridiction réceptrice

Évaluer si la juridiction réceptrice offre une protection adéquate de la vie privée.

Juridiction réceptrice principale

[La ou les juridictions dont les lois régissent le traitement des données par le fournisseur]

Pouvoirs d'accès gouvernementaux

[Pour la juridiction américaine : CLOUD Act, FISA Section 702, Executive Order 12333, National Security Letters. Pour d'autres juridictions : identifier les pouvoirs équivalents.]

La juridiction exige-t-elle un avis avant la divulgation?

☐ Oui

☐ Non

☐ Conditionnel (ordonnances de non-divulgation possibles)

En vertu du CLOUD Act, les tribunaux américains peuvent émettre des ordonnances de non-divulgation empêchant le fournisseur de vous aviser.

Détermination de l'adéquation

[La juridiction réceptrice offre-t-elle un niveau de protection équivalent à celui du Québec? Documentez votre analyse.]

Note : Aucune juridiction n'a reçu de détermination formelle d'adéquation de la CAI. Cette évaluation relève de la responsabilité de votre organisme.

4. Mesures de protection contractuelles

Documenter les protections juridiques en place entre votre organisme et le fournisseur.

Entente de traitement des données (DPA) signée?

☐ Oui — signée

☐ Disponible — non encore signée

☐ Non disponible

L'entente couvre-t-elle les exigences de la Loi 25?

☐ Oui

☐ Partiellement

☐ Non — générique/RGPD seulement

Engagement du fournisseur à contester les demandes d'accès gouvernementales

[L'entente ou les conditions du fournisseur incluent-elles des engagements à contester les demandes d'accès gouvernementales? Documentez les dispositions spécifiques.]

Dispositions de notification en cas d'incident

[Délai et processus de notification par le fournisseur en cas d'incident de sécurité]

Droits d'audit

☐ Droit d'audit direct

☐ Audit par tiers (SOC 2/ISO)

☐ Aucune disposition d'audit

5. Mesures techniques et supplémentaires

Évaluer les mesures de protection techniques pouvant atténuer le risque juridictionnel.

Chiffrement au repos

☐ Oui — clés gérées par le fournisseur

☐ Oui — clés gérées par le client

☐ Non/Inconnu

Les clés de chiffrement gérées par le client offrent une protection plus forte car le fournisseur ne peut pas déchiffrer les données en réponse aux demandes gouvernementales.

Chiffrement en transit

☐ TLS 1.2+

☐ TLS 1.3

☐ Inconnu

Contrôles d'accès

[Accès basé sur les rôles, AMF, SSO, principe du moindre privilège — documentez les mesures en place]

Mesures de minimisation des données

[Les données peuvent-elles être pseudonymisées ou anonymisées avant le transfert? Pouvez-vous limiter les champs partagés?]

6. Évaluation du risque résiduel

Sur la base des sections 1 à 5, déterminer le risque résiduel après application de toutes les mesures de protection.

Niveau de risque résiduel global

☐ Faible — protections adéquates en place

☐ Moyen — certaines lacunes; mesures supplémentaires recommandées

☐ Élevé — exposition significative; le transfert devrait être reconsidéré

☐ Inacceptable — le transfert ne devrait pas avoir lieu

Justification du risque

[Expliquez la base de votre détermination du risque. Référencez les constatations spécifiques des sections 1 à 5.]

Mesures d'atténuation recommandées

[Si le risque est moyen ou élevé, quelles mesures supplémentaires pourraient réduire l'exposition?]

7. Détermination du transfert

Documenter la décision de votre organisme et maintenir le registre d'évaluation.

Détermination

☐ Transfert approuvé — protection adéquate démontrée

☐ Transfert approuvé avec conditions — mesures supplémentaires requises

☐ Transfert suspendu — en attente de mesures de protection additionnelles

☐ Transfert interdit — protection inadéquate

Conditions (le cas échéant)

[Conditions spécifiques devant être remplies pour que le transfert puisse avoir lieu]

Évalué par

[Nom et fonction de la personne complétant l'évaluation]

Approuvé par (Responsable de la protection des renseignements personnels)

[Nom du responsable désigné]

Date de l'évaluation

[Date]

Date de la prochaine révision

[Minimum : annuellement, ou lors d'un changement significatif dans la structure du fournisseur]

Quand mettre à jour une ÉFVP

Une ÉFVP complétée devrait être révisée et mise à jour lorsque le fournisseur change de structure corporative (acquisition, fusion, changement de société mère), lorsque le fournisseur change les emplacements d'hébergement ou de traitement des données, lorsque le cadre juridique de la juridiction réceptrice change, lorsque les types de renseignements personnels traités par le fournisseur changent, ou au minimum une fois par année civile.

Automatiser la recherche juridictionnelle

HarbourScan cartographie vos outils SaaS selon leurs juridictions parentales, signale l'exposition au CLOUD Act et identifie la disponibilité de la résidence des données — complétant les sections 1 à 3 de ce modèle pour l'ensemble de votre parc en environ 10 minutes. Lancer une évaluation gratuite →