Est-ce que toutes les PME au Québec doivent faire une EFVP ?

Oui, dès qu'elles réalisent un projet impliquant des renseignements personnels. Il n'y a pas de seuil basé sur la taille de l'entreprise. La Loi 25 s'applique à toutes les entreprises qui collectent des données de résidents québécois, qu'il s'agisse d'une entreprise de 2 ou de 2 000 employés.

Quelles sont les sanctions si on ne fait pas d'EFVP ?

La CAI peut imposer des sanctions administratives pécuniaires (SAP) allant jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial. Ces montants sont réservés aux violations graves et répétées. Pour les premières infractions d'une petite entreprise, la CAI privilégie généralement les mesures correctives avant les sanctions financières.

Un logiciel hébergé en Europe est-il conforme à la Loi 25 ?

Oui, à condition que le pays d'hébergement offre une protection équivalente à celle du Québec. Les pays de l'UE avec le RGPD sont généralement considérés comme offrant une protection équivalente. Vous devez quand même avoir un contrat écrit avec votre fournisseur et documenter cette évaluation dans votre EFVP.

KLARHEIT

EFVP pour une PME de 5 employés : ce que vous devez faire concrètement

02. May 2026 · 8 Min.

La Loi 25 exige une Évaluation des facteurs relatifs à la vie privée (EFVP) pour tout projet impliquant des renseignements personnels. Pour une grande entreprise, c'est un processus formel avec juristes et consultants. Pour une PME de 5 personnes, c'est souvent une question sans réponse claire : par où commencer ?

Cette page répond à cette question directement.

Ce qu'est une EFVP – et ce qu'elle n'est pas

Une EFVP est une analyse documentée des risques pour la vie privée d'un projet spécifique. Elle n'est pas un audit général de votre entreprise. Elle ne s'applique pas à tous vos systèmes existants – mais à chaque nouveau projet qui collecte, utilise ou communique des renseignements personnels.

Exemples concrets qui déclenchent une EFVP : vous installez un nouveau logiciel de gestion des employés, vous commencez à utiliser un CRM pour les données clients, vous ajoutez un formulaire de contact à votre site web.

Les 5 étapes d'une EFVP pour une PME

Étape 1 : Décrire le projet. Qu'est-ce que vous allez faire ? Quels renseignements personnels vont être collectés ? (noms, adresses, courriels, données financières, données de santé). Qui y aura accès ?

Étape 2 : Identifier les risques. Pour chaque type de données, posez trois questions : Qu'arrive-t-il si ces données sont divulguées ? Qu'arrive-t-il si elles sont modifiées par erreur ? Qu'arrive-t-il si elles ne sont plus disponibles ?

Étape 3 : Évaluer les mesures en place. Quelles protections existent déjà ? Chiffrement, contrôle d'accès, sauvegardes. Sont-elles suffisantes pour les risques identifiés ?

Étape 4 : Documenter les mesures à ajouter. Pour chaque risque non couvert, notez ce que vous allez faire. Cela peut être aussi simple que « ajouter un mot de passe sur le fichier Excel des employés ».

Étape 5 : Conserver le document. La Commission d'accès à l'information (CAI) peut demander à voir votre EFVP. Gardez-la à jour lors de chaque modification du projet.

Ce que votre logiciel doit permettre

Si vous choisissez un logiciel hébergé chez un fournisseur étranger – notamment américain – votre EFVP doit démontrer que la protection équivalente est assurée. La Loi 25 exige un contrat écrit avec le fournisseur et une évaluation du cadre légal du pays d'hébergement.

Un logiciel hébergé sur votre propre serveur en Europe simplifie radicalement cette partie de l'EFVP : vous contrôlez l'hébergement, le cadre légal est clair, pas de transfert transfrontalier à justifier.

Combien de temps ça prend ?

Pour un projet simple (nouveau logiciel de gestion pour 5 employés) : 2 à 4 heures la première fois, 30 minutes pour les projets suivants une fois que vous avez un modèle. Il existe des modèles gratuits fournis par la CAI du Québec.

Logiciel hébergé en Europe – EFVP simplifiée pour les PME québécoises

→ Tycho Platform – serveur en Europe, données sous votre contrôle

→ Demander un entretien

Suivre le canal Telegram

Votre espace numérique vous attend.

Découvrir Tycho Platform Nous contacter