Processus d’évaluation des facteurs relatifs à la vie privée (ÉFVP) pour les projets TI

Projets concernés

Une ÉFVP est requise pour tout projet qui implique l’acquisition, le développement, la refonte ou le remplacement d’une solution technologique (p. ex. système d’information, ressource logicielle ou matérielle) utilisée pour l’hébergement, le traitement, la diffusion et l’échange d’informations. La solution peut être reliée ou non au réseau informatique de l’UQAM. Elle peut soit être la propriété de l’UQAM, soit utiliser ou héberger des données ou informations dont l’UQAM est propriétaire, fiduciaire ou dépositaire. (Cette définition s’appuie sur l’art. 63.5 de la Loi sur l’accès et sur l’art. 1a du Règlement no 12 de l’UQAM.)

Quand procéder à l’ÉFVP

L’ÉFVP doit être effectuée dès la conception du projet TI afin que la protection des renseignements personnels soit partie intégrante des analyses et du choix de la solution.

À cet effet, la personne cadre responsable du projet désigne une personne responsable de la démarche d’ÉFVP. Le rôle de cette dernière sera de collecter les informations, de rédiger les documents requis et d’assurer le suivi avec l’équipe du Vice-rectorat aux systèmes d’information (ci-après, équipe du VRSI). Pour les rôles et responsabilités, voir l’Annexe 1 de l’aide-mémoire.

Étapes du processus d’ÉFVP

Le processus d’ÉFVP comporte trois étapes :

1. La préanalyse

Cette étape lance le processus et doit être effectuée dès la conception du projet. Elle permet de déterminer si la solution envisagée implique le traitement de renseignements personnels et si un rapport d’évaluation est requis.

Pour procéder à cette étape, il suffit de remplir la fiche de préanalyse et de la transmettre à l’adresse VRSI-EFVP@uqam.ca.

Après révision, l’équipe du VRSI soumettra la fiche au Comité sur l’accès à l’information et la protection des renseignements personnels (Comité AIPRP) pour avis, et au chef de la sécurité de l’information organisationnelle (CSIO; il s’agit du vice-recteur aux Systèmes d’information) pour autorisation quant à la poursuite du projet et à la nécessité de déposer un rapport d’évaluation le cas échéant (voir étape suivante).

2. Le rapport d’évaluation

Cette seconde étape doit être effectuée avant le début de l’exécution du projet afin que toutes les mesures requises en ce qui concerne la protection des renseignements personnels soient prises en compte et intégrées au projet, et ce, tant du point de vue de la sécurité de l’information que des aspects juridiques.

Plus précisément, cette étape permet de dresser un portrait complet des renseignements personnels impliqués dans le projet, des personnes concernées et des moyens utilisés pour traiter les renseignements. Elle comprend une analyse de risques et une analyse juridique, fournies respectivement par la Direction de la sécurité de l’information et par le Service des affaires juridiques.

Pour procéder à cette étape, la préanalyse (étape 1) doit être terminée. L’équipe du VRSI transmet alors à la personne responsable de la démarche d’ÉFVP le gabarit du rapport. Il suffit à la personne responsable de la démarche de remplir les trois premières sections du rapport d’évaluation, lesquelles concernent :

  • la nature, la provenance et les motifs d’utilisation des renseignements personnels impliqués dans le projet;
  • les catégories de personnes qui auront accès à ces renseignements;
  • les moyens utilisés pour traiter ces renseignements tout au long de leur cycle de vie, de la collecte à la destruction.

Une fois ces sections remplies, le rapport doit être acheminé à l’adresse VRSI-EFVP@uqam.ca. L’équipe du VRSI transmettra par la suite les directives appropriées au responsable de la démarche d’ÉFVP.

Une fois complété, le rapport sera soumis au Comité AIPRP pour avis et au CSIO pour autorisation quant à la poursuite du projet et à la nécessité de lui apporter des modifications le cas échéant.

3. La révision de l’évaluation

La révision consiste en une mise à jour périodique du plus récent rapport d’évaluation, selon une fréquence prédéfinie ou lors d’une mise à jour ou d’un changement qui pourraient affecter le traitement des renseignements personnels (exemple: ajout de fonctionnalités).

Pour toute question ou pour obtenir du soutien au cours du processus, veuillez communiquer avec le Vice-rectorat aux systèmes d’information à l’adresse VRSI-EFVP@uqam.ca.