Sondage d'opinion publique
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Les entreprises canadiennes et la protection des renseignements personnels
Rapport final
This report is also available in English
Présenté au :
Commissariat à la protection de la vie privée du Canada Communications
Place de Ville, 112, rue Kent, pièce 300
Ottawa (Ontario)
K1A 1H3
LES ASSOCIÉS DE RECHERCHE EKOS INC.
Mars 2010
LES ASSOCIÉS DE RECHERCHE EKOS
Bureau d’Ottawa
359, rue Kent, pièce 300
Ottawa (Ontario)
K2P 0R6
Téléphone : (613) 235 7215
Télécopieur : (613) 235 8498
Courriel : pobox@ekos.com
Bureau de Toronto
480, avenue University, pièce 1006
Toronto (Ontario)
M5G 1V2
Téléphone : (416) 598 8002
Télécopieur : (416) 598 2543
Courriel : toronto@ekos.com
www.ekos.com
Sommaire
Les Associés de recherche EKOS ont reçu du Commissariat à la protection de la vie privée du Canada (CPVP) le mandat d’effectuer un sondage afin d’étudier l’opinion des entrepreneurs canadiens sur divers enjeux de la vie privée et la mise en œuvre de la LPRPDE. Le sondage a repris certaines questions posées d’abord en 2007, auxquelles s’en sont ajoutées de nouvelles portant sur la LPRPDE et la protection des renseignements personnels.
Pour la présente étude, la méthodologie a consisté en un sondage téléphonique auprès de 1005 entreprises canadiennes. Étant donné que l’étude portait principalement sur la mise en œuvre des lois touchant la protection des renseignements personnels et sur leurs effets, le sondage s’adressait à des cadres supérieurs, responsables ou au courant des mesures prises par leur organisation en matière de renseignements personnels et de sécurité.
Les résultats montrent que les entreprises canadiennes connaissent bien les lois canadiennes sur la protection des renseignements personnels, qu’il leur semble assez facile de s’y conformer et qu’elles ont adopté dans ce domaine beaucoup de directives en vue de protéger les renseignements personnels de leurs clients. De plus, elles estiment que les lois relatives à la protection des renseignements personnels ont eu un effet positif sur la façon dont les entreprises canadiennes traitent les renseignements personnels de leurs clients. Les observations clés découlant de la présente étude sont mentionnées ci-dessous et décrites plus en détails dans la suite du rapport :
- D’après les résultats du sondage, il est courant pour les entreprises canadiennes de recueillir des renseignements personnels : près de sept sur dix des sociétés sondées (68 p. 100) affirment recueillir de l’information sur leurs clients (une hausse de 5 p. 100 depuis 2007).
- Les résultats révèlent également que la majorité des entreprises qui recueillent des renseignements personnels sur leurs clients ont adopté des dispositions afin de protéger ces renseignements.
- Près de la moitié des entreprises sondées déclarent bien connaître leurs obligations découlant des lois canadiennes sur la protection des renseignements personnels, et seules 10 p. 100 qualifient de faibles leurs connaissances à cet égard.
- Une majorité relative des entreprises sondées trouvent qu’il leur a été assez facile de se conformer aux lois touchant les renseignements personnels (47 p. 100, soit une hausse de 5 p. 100 depuis 2007), et elles ne sont que 5 p. 100 à dire qu’elles ont eu de la difficulté à se conformer à ces mesures (une baisse de 3 p. 100 depuis 2007).
- Les résultats du sondage laissent aussi entendre que la LPRPDE a eu un effet positif sur la façon dont les entreprises canadiennes traitent les renseignements personnels de leurs clients. Environ les deux tiers des sociétés sondées disent se préoccuper davantage de protéger les renseignements personnels de leurs clients (68 p. 100) et être mieux renseignées sur leurs obligations en matière de renseignements personnels (63 p. 100) grâce à la LPRPDE. Elles sont plus de la moitié (57 p. 100) à dire que la mise en œuvre de la LPRPDE a eu pour effet d’améliorer la sécurité associée aux renseignements personnels que la compagnie détient sur ses clients.
- Plus de la moitié des entreprises sondées se disent au courant de l’information et des outils offerts par le CPVP afin d’aider les entreprises à respecter leurs obligations en matière de renseignements personnels. Environ le tiers des entreprises au courant de l’information et des outils offerts par le CPVP ont consulté cette information, et la plupart de celles qui l’ont fait ont trouvé l’information utile.
- Une majorité relative des sociétés sondées ne s’inquiètent pas de la possibilité qu’une atteinte à la sécurité vienne compromettre les renseignements personnels de leurs clients (42 p. 100), peut-être parce que, pour la vaste majorité d’entre elles (94 p. 100), leurs données n’ont jamais été compromises.
- Environ le tiers seulement des sociétés sondées répondent qu’elles possèdent un processus officiel en cas d’atteinte à la sécurité des renseignements personnels de leurs clients; la majorité (63 p. 100) n’en ont pas.
- Enfin, les résultats révèlent que pour la vaste majorité des entreprises sondées (89 p. 100), la mauvaise situation économique des dix-huit derniers mois n’a pas entraîné de baisse des dépenses liées à la protection des renseignements personnels de leurs clients.
Nom du fournisseur : Les Associés de recherche EKOS
No du contrat avec TPSGC : # 2R008-090284/001/CY
Date du contrat : 16/02/2010
Pour de plus amples renseignements sur cette étude, veuillez adresser un courriel à publications@priv.gc.ca.
1. Aperçu général et méthodologie
1.1 Aperçu général
La commissaire à la protection de la vie privée du Canada défend ardemment les droits des Canadiennes et des Canadiens en matière de vie privée. Elle est habilitée, entre autres, à enquêter sur les plaintes et à mener des vérifications en vertu de deux lois fédérales, à publier de l’information sur les pratiques relatives au traitement des renseignements personnels dans les secteurs public et privé, de même qu’à effectuer des recherches sur des enjeux liés à la protection de la vie privée.
Les deux lois fédérales sont la Loi sur la protection des renseignements personnels, qui régit le secteur public, et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui régit le secteur privé. Plus précisément, la LPRPDE expose les règles fondamentales de la gestion des renseignements personnels dans le secteur privé et elle crée un équilibre entre le droit d’une personne à la vie privée et le besoin des entreprises de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins lucratives légitimes.
En vertu de la LPRPDE, on entend par renseignements personnels « tout renseignement, factuel ou subjectif, consigné ou non, au sujet d’une personne identifiable », qu’il s’agisse ou non d’un employé, comme son âge, son nom, son revenu, son origine ethnique, son statut socioéconomique, son dossier de crédit, son dossier de prêts ou son dossier médical. Si une organisation veut utiliser les renseignements personnels d’une personne à d’autres fins que celles pour lesquelles ils ont été recueillis, il lui faut le consentement de la personne concernée. De même, toute personne a le droit de voir les renseignements personnels qu’une organisation détient à son sujet et de corriger toute donnée inexacte.
La LPRPDE est entrée en vigueur en 2001 mais ne s’appliquait, à l’époque, qu’aux entreprises privées relevant du gouvernement fédéral. En 2002, le champ d’application de la loi s’est étendu aux activités de ces organisations concernant les renseignements médicaux personnels. Deux ans plus tard, soit en janvier 2004, la LPRPDE a acquis une portée générale. De nos jours, la loi vise toutes les organisations engagées dans des activités commerciales, y compris celles qui, sous d’autres aspects (par exemple, l’emploi), sont régies par les provinces. La LPRPDE prévoit la tenue d’un examen parlementaire obligatoire tous les cinq ans.
Cela étant, il importe de bien saisir dans quelle mesure les entreprises connaissent leurs obligations découlant de la LPRPDE et s’y conforment, de même qu’elles comprennent les autres enjeux liés à la mise en œuvre de la loi. Il convient par conséquent, dans ce contexte, de mener auprès des entreprises canadiennes un sondage susceptible d’apporter à cet égard des éclaircissements.
1.2 Méthodologie
Dans le cadre de la présente recherche, les observations proviennent des résultats d’un sondage téléphonique de 16 minutes qui s’est déroulé du 4 au 25 mars 2010 auprès de 1005 entreprises canadiennes. Étant donné que l’étude portait principalement sur la mise en œuvre des lois touchant la protection des renseignements personnels et sur leurs effets, le sondage s’adressait à des cadres supérieurs, responsables ou au courant des mesures prises par leur organisation en matière de renseignements personnels et de sécurité..
L’instrument de sondage a été élaboré en étroite collaboration avec le Commissariat à la protection de la vie privée (CPVP). Une fois les questions approuvées, le questionnaire a été programmé dans le logiciel d’interview téléphonique assistée par ordinateur (ITAO) d’EKOS. Outre la saisie du libellé de chaque question, on a également programmé à cette étape les directives destinées à l’enquêteur (comme celles de lire ou de ne pas lire au répondant les réponses offertes), la randomisation des questions ou des réponses (les batteries de questions et quelques-unes des réponses aux questions sont randomisées de manière à réduire au minimum le biais dû à l’ordre des questions ou des réponses), de même que la logique par sauts. Afin de vérifier le bon déroulement et la clarté de l’instrument de sondage, le questionnaire a fait l’objet d’un prétest au moyen d’entrevues téléphoniques menées en français et en anglais avec des répondants authentiques. Ce prétest avait pour but d’établir la clarté des questions, leur enchaînement, la durée globale des entrevues et de déceler tout facteur susceptible d’affecter le taux de réponse. Aucun changement d’importance n’a dû être apporté au questionnaire en raison du prétest. L’annexe A du présent rapport en renferme la version définitive.
Puisque les moyennes et grandes entreprises représentent, ensemble, moins de 15 p. 100 de toutes les entreprises, l’échantillon a été stratifié en fonction de la taille des entreprises (d’après le nombre d’employés) de manière à obtenir un nombre suffisant de répondants provenant de ces deux segments selon la taille. Aux fins de la présente étude, la taille des entreprises a été définie de la façon suivante : petite (1-19 employés), moyenne (20-99 employés) et grande (100 employés ou plus). Les résultats reposent sur les échantillons ci-dessous :
- 555 sondages auprès de petites entreprises;
- 302 sondages auprès de moyennes entreprises;
- 148 sondages auprès de grandes entreprises.
Les observations ont ensuite été pondérées selon la taille, la région et le code d’activité économique de telle sorte que les données constituent un portrait plus fidèle des entreprises canadiennes. Ainsi pondérées, les observations tendent à refléter davantage les réponses des petites entreprises, lesquelles forment plus de quatre entreprises sur cinq au Canada.
Un échantillon de 1005 donne des résultats pouvant être qualifiés d’exacts sur le plan statistique dans une marge de ± 3,1 points de pourcentage, 19 fois sur 20. La marge d’erreur est plus élevée en ce qui concerne les résultats d’un sous-échantillon particulier.
2. Vie privée et renseignements personnels
2.1 Temps consacré aux enjeux en matière de vie privée
Les entreprises étaient d’abord invitées à dire combien de temps elles consacrent aux questions liées à la protection des renseignements personnels au cours d’un mois normal. Il semble, d’après les résultats, que la plupart des entreprises canadiennes consacrent peu de temps aux questions liées à la protection des renseignements personnels : elles ne sont que 11 p. 100 à affirmer qu’elles consacrent énormément de temps aux questions liées à la protection des renseignements personnels, tandis que la majorité (51 p. 100) disent y consacrer peu de temps au cours d’un mois normal. Toutefois, le suivi révèle une baisse de 7 p. 100 depuis 2007 dans la proportion des entreprises qui consacrent peu de temps à ces questions, en regard d’une hausse de 7 points (pour atteindre 33 p. 100) dans la proportion de celles qui consacrent un certain temps aux questions liées à la protection des renseignements personnels.
2.2 Collecte de renseignements personnels
On a ensuite demandé aux entreprises canadiennes si elles recueillent des renseignements personnels sur leurs clients. D’après les résultats, la plupart des sociétés sondées recueillent en effet des renseignements personnels sur leurs clients (68 p. 100) et elles sont 5 p. 100 de plus qu’en 2007 à le faire.
- La collecte de renseignements personnels auprès des clients ne varie pas sensiblement en fonction de la taille de l’entreprise.
| Recueillent des renseignements personnels sur leurs clients | Ne recueillent pas de renseignements personnels sur leurs clients | ||
|---|---|---|---|
| Q : Diriez-vous que votre entreprise recueille... (Base : Ensemble des entreprises; mars 2010, n=) |
|||
| Taille de l’entreprise | Petite | 69 | 31 |
| Moyenne | 67 | 32 | |
| Grande | 74 | 26 | |
2.3 Quantité de renseignements recueillis
Les résultats révèlent en outre que la moitié des entreprises qui recueillent des renseignements personnels sur leurs clients disent n’en recueillir qu’une petite quantité (51 p. 100). Elles sont environ une sur cinq (19 p. 100) à recueillir une quantité moyenne de renseignements sur leurs clients et trois sur dix (29 p. 100) répondent qu’elles en recueillent une grande quantité.
Fait intéressant, le suivi révèle une polarisation dans la collecte de renseignements personnels de la part des entreprises canadiennes. La proportion de celles qui disent recueillir une petite ou une grande quantité de renseignements personnels a augmenté depuis 2007, alors que la proportion de celles qui disent en recueillir une quantité « moyenne » a baissé de 12 p. 100 depuis 2007.
- Les petites entreprises sont plus susceptibles de dire qu’elles ne recueillent qu’une petite quantité de renseignements personnels.
| Petite quantité | Quantité moyenne | Grande quantité | ||
|---|---|---|---|---|
| Q : Diriez-vous que votre entreprise recueille... (Base : Entreprises qui recueillent des renseignements personnels; mars 20107, n=) |
||||
| Taille de l’entreprise | Petite | 52 | 18 | 30 |
| Moyenne | 45 | 25 | 28 | |
| Grande | 34 | 37 | 29 | |
2.4 Méthode de conservation des renseignements personnels
On a aussi demandé aux entreprises qui recueillent des renseignements personnels sur leurs clients de dire si elles les conservent sur papier, sur support électronique ou des deux façons. La majorité (55 p. 100) répondent qu’elles conservent ces renseignements aussi bien sur papier qu’électroniquement. Elles sont environ une sur cinq (19 p. 100) à dire qu’elles conservent ces renseignements sur papier seulement, et une sur quatre (25 p. 100) à dire qu’elles les conservent en format électronique seulement.
2.5 Mise en œuvre de directives quant à la collecte, l’utilisation et la communication des renseignements
Aux entreprises qui recueillent des renseignements personnels sur leurs clients, on a aussi posé une suite de questions pour savoir à quel stade elles en sont dans la mise en œuvre de directives précises pour protéger l’information recueillie. D’après les résultats, la majorité des sociétés en cause (73 p. 100) ont instauré des lignes directrices pour surveiller comment l’entreprise et ses employés recueillent, utilisent et communiquent les renseignements personnels, ce qui représente une hausse de 6 p. 100 depuis 2007. Seulement 14 p. 100 disent ne pas encore avoir mis en œuvre de lignes directrices.
- Les petites entreprises sont plus susceptibles que les grandes de dire qu’elles n’ont pas encore procédé à la mise en œuvre de semblables directives.
| Parfaitement mise en œuvre | En voie de mise en œuvre | Mise en œuvre pas encore commencée | Sans objet | ||
|---|---|---|---|---|---|
| Q : À quel stade votre entreprise se trouve-t-elle en ce qui concerne la mise en œuvre de lignes directrices ou politiques claires afin de surveiller comment l'entreprise et ses employés recueillent, utilisent et communiquent les renseignements personnels? (Base : Entreprises qui recueillent des renseignements personnels; mars 2010, n=) |
|||||
| Taille de l’entreprise | Petite | 73 | 6 | 14 | 5 |
| Moyenne | 77 | 11 | 10 | 2 | |
| Grande | 87 | 8 | 4 | 0 | |
2.6 Mise en œuvre de moyens quant à la protection contre l’accès non autorisé
En ce qui concerne la mise en œuvre de moyens pour protéger les renseignements personnels contre un accès non autorisé, plus des trois quarts des entreprises qui recueillent des renseignements personnels (76 p. 100) disent avoir pleinement mis en œuvre des garanties à cet égard (hausse de 2 p. 100 depuis 2007). Elles sont moins d’une sur dix (9 p. 100) à répondre qu’elles n’ont pas encore mis en œuvre de garanties de cette nature.
- Les petites entreprises sont plus susceptibles que les grandes de dire qu’elles n’ont pas encore mis en place de mesures pour protéger les renseignements personnels.
| Parfaitement mise en œuvre | En voie de mise en œuvre | Mise en œuvre pas encore commencée | Sans objet | ||
|---|---|---|---|---|---|
| Q : À quel stade se trouve votre entreprise en ce qui concerne la mise en œuvre de moyens de protéger les renseignements personnels contre l’accès non autorisé? (Base : Entreprises qui recueillent des renseignements personnels; mars 2010, n=) |
|||||
| Taille de l’entreprise | Petite | 76 | 10 | 9 | 3 |
| Moyenne | 83 | 9 | 5 | 2 | |
| Grande | 92 | 6 | 0 | 1 | |
2.7 Mise en œuvre moyens quant à l’accès aux renseignements personnels
La majorité des entreprises qui recueillent des renseignements personnels affirment aussi avoir parfaitement mis en œuvre des moyens permettant à leurs clients de demander à consulter les renseignements personnels qu’elles détiennent à leur sujet et d’y avoir accès (61 p. 100), mais leur proportion a baissé de 7 p. 100 depuis 2007.
- Les PME sont plus susceptibles que les grandes entreprises de répondre qu’elles n’ont pas encore adopté de mesures pour permettre à leurs clients de consulter les renseignements personnels les concernant.
| Parfaitement mise en œuvre | En voie de mise en œuvre | Mise en œuvre pas encore commencée | Sans objet | ||
|---|---|---|---|---|---|
| Q : À quel stade se trouve votre entreprise en ce qui concerne la mise en œuvre de moyens permettant à ses clients de demander à consulter les renseignements personnels qu’elle détient à leur sujet et d’y avoir accès? (Base : Entreprises qui recueillent des renseignements personnels; mars 2010, n=) |
|||||
| Taille de l’entreprise | Petite | 61 | 6 | 17 | 14 |
| Moyenne | 63 | 3 | 25 | 5 | |
| Grande | 77 | 5 | 9 | 4 | |
2.8 Mise en œuvre d’un processus permettant aux clients de contacter l’entreprise
Une faible majorité des entreprises (54 p. 100) déclarent avoir parfaitement mis en œuvre un processus permettant à leurs clients de déposer une plainte s'ils estiment que les renseignements personnels les concernant ont été traités de manière incorrecte; leur proportion a toutefois baissé de 4 p. 100 depuis 2007. Une entreprise sur quatre (25 p. 100) dit ne pas avoir encore instauré de processus semblable.
- Les petites entreprises sont plus susceptibles que les grandes de dire qu’elles n’ont pas encore instauré de processus semblable.
| Parfaitement mise en œuvre | En voie de mise en œuvre | Mise en œuvre pas encore commencée | Sans objet | ||
|---|---|---|---|---|---|
| Q : À quel stade se trouve votre entreprise en ce qui concerne la mise en œuvre d’un processus permettant à ses clients de déposer une plainte s'ils estiment que les renseignements personnels les concernant ont été traités de manière incorrecte? (Base : Entreprises qui recueillent des renseignements personnels; mars 2010, n=) |
|||||
| Taille de l’entreprise | Petite | 54 | 6 | 26 | 12 |
| Moyenne | 71 | 7 | 16 | 3 | |
| Grande | 80 | 5 | 8 | 4 | |
2.9 Processus pour traiter les questions de renseignements personnels
Selon les résultats du sondage, la plupart des entreprises interrogées affirment avoir établi des processus pour traiter les enjeux liés à la protection des renseignements personnels que soulèvent tant le personnel à l’interne (59 p. 100) que les clients et des tiers à l’externe (61 p. 100).
3. Lois sur la protection des renseignements personnels
3.1 Connaissance des obligations associées aux renseignements personnels
Les répondants ont tous entendu une brève description de la LPRPDE et se sont fait demander d’évaluer leur connaissance de leurs obligations découlant des lois canadiennes sur la protection des renseignements personnels. Les résultats révèlent que les entreprises canadiennes sont très au courant des lois canadiennes sur la protection des renseignements personnels : près de la moitié des répondants s’estiment très sensibles aux obligations qui leur incombent en vertu des mesures législatives touchant la protection des renseignements personnels (47 p. 100) et 10 p. 100 seulement se disent peu renseignés en la matière. Ces résultats sont demeurés très stables depuis 2007.
- La connaissance des lois sur la protection des renseignements personnels est plus élevée parmi les grandes entreprises canadiennes.
3.2 Formation touchant les obligations associées aux renseignements personnels
On a également demandé aux entreprises si des membres de leur personnel avaient reçu de la formation sur les pratiques informationnelles appropriées et les obligations découlant des lois canadiennes sur la protection des renseignements personnels. Elles sont moins de quatre sur dix (37 p. 100) à déclarer avoir procuré ce genre de formation à leurs employés (soit cependant 4 p. 100 de plus qu’en 2007), alors que près de six sur dix (59 p. 100) disent ne pas l’avoir fait (soit une baisse correspondante de quatre points depuis 2007).
- Les grandes entreprises sont plus susceptibles d’avoir procuré à leurs employés de la formation sur les pratiques informationnelles appropriées et les obligations découlant des lois canadiennes sur la protection des renseignements personnels.
3.3 Fréquence de la révision de la formation
Les entreprises ayant répondu qu’elles avaient procuré à leur personnel de la formation sur les pratiques informationnelles appropriées qui découlent des lois canadiennes touchant la protection des renseignements personnels se sont fait ensuite demander à quelle fréquence elles passent en revue leurs modules, manuels ou processus de formation dans ce domaine. D’après les résultats, cela se produit assez peu souvent : seulement 11 p. 100 ont dit faire cette révision au moins une fois par mois, et près du double (21 p. 100) ont mentionné que c’était moins d’une fois par année. La plupart des entreprises affirment réviser l’information en question à peu près une fois l’an (61 p. 100).
3.4 Proportion des entreprises qui recueillent des renseignements personnels et les transmettent à une autre entreprise
Les répondants étaient aussi invités à dire si leur entreprise recueille au sujet de ses clients des renseignements personnels qui sont transmis pour traitement à une autre entreprise située au Canada ou à l’étranger. Assez peu d’entre eux (18 p. 100) ont dit transmettre pour traitement des renseignements personnels à une autre entreprise située au Canada, et il semble qu’à peu près aucune entreprise (1 p. 100) ne transmette des renseignements de cette nature à l’extérieur du Canada pour qu’ils y soient traités.
3.5 Connaissance des mesures à prendre pour protéger les renseignements personnels
On a voulu savoir si les entreprises qui confient le traitement de renseignements personnels à une autre compagnie sont au courant de mesures qu’elles doivent prendre pour s’assurer que ces renseignements personnels soient protégés. La vaste majorité d’entre elles (93 p. 100) déclarent connaître ces mesures.
Toutefois, parmi les entreprises qui se disent au courant de ces mesures, la moitié seulement (50 p. 100) ont établi un contrat ou mis en œuvre d’autres moyens pour veiller à ce qu’un niveau de protection comparable s’applique lorsque cette autre entreprise traite les renseignements transmis. Les autres répondants (49 p. 100) disent ne pas avoir conclu d’engagement contractuel de cette nature.
![Connaissance des mesures à prendre pour protéger les renseignements personnels ([SI OUI] 'Est-ce que vous êtes au courant de mesures que vous devez prendre pour veiller à ce que ces renseignements personnels soient protégés?') -- Oui: 93%, Non: 6%, NSP/PDR: 1%. Connaissance des mesures à prendre pour protéger les renseignements personnels ([SI OUI] 'Est-ce que vous avez établi un contrat ou mis en ?uvre d'autres mesures pour veiller à ce qu'un niveau de protection comparable s'applique lorsque cette autre entreprise traite les renseignements transmis?') -- Oui: 50%, Non: 49%, NSP/PDR: 1%.](/media/3066/037-10-final-f_html_71bfd2ae.gif)
3.6 Effet de la LPRPDE
On a demandé à tous les répondants d’exprimer leur opinion quant à l’effet de la LPRPDE sur leur entreprise. Les résultats laissent entendre que la LPRPDE a eu un effet positif sur la façon dont les entreprises canadiennes traitent les renseignements personnels de leurs clients (quoique l’ampleur de cet effet varie selon les questions à l’étude). Environ les deux tiers des entreprises sondées affirment que, grâce à la LPRPDE, elles se préoccupent davantage de la protection des renseignements personnels de leurs clients (68 p. 100) et sont mieux sensibilisées à leurs obligations en la matière (63 p. 100). De l’avis d’un peu plus de la moitié (57 p. 100), l’adoption de la LPRPDE a eu pour effet d’améliorer la protection des renseignements personnels qu’elles détiennent sur leurs clients. Plus de quatre entreprises sur dix (43 p. 100) trouvent que la LPRPDE les a aidées à améliorer la formation qu’elles offrent à leur personnel en ce qui concerne leurs obligations en matière de renseignements personnels, et une entreprise sur trois (33 p. 100) croit que dans la foulée de la LPRPDE, le nombre d’atteintes à la sécurité des renseignements personnels de leurs clients a diminué.
3.7 Recherche d’éclaircissements sur les lois touchant la protection des renseignements personnels
On a aussi demandé aux répondants si leur entreprise avait déjà cherché à obtenir des éclaircissements sur ses obligations qui découlent des lois canadiennes touchant la protection des renseignements personnels. La majorité des entreprises affirment ne pas avoir recherché d’information de ce genre (72 p. 100), tandis qu’environ une sur cinq (22 p. 100) en a recherché. Les résultats sont demeurés très stables depuis 2007.
- Les grandes entreprises sont particulièrement susceptibles de dire qu’elles ont cherché à se renseigner sur leurs obligations qui découlent des lois canadiennes touchant la protection des renseignements personnels.
3.8 Provenance des éclaircissements
Parmi les entreprises qui ont cherché à se renseigner sur leurs obligations en matière de renseignements personnels, la plupart disent s’être adressées à un avocat (36 p. 100) ou bien au Commissariat à la protection de la vie privée ou au gouvernement, en général (34 p. 100). Environ une entreprise sur cinq (18 p. 100) a aussi cherché de l’information dans Internet.
![Provenance des éclaircissements ([SI OUI] 'Où vous êtes-vous adressés pour obtenir ces éclaircissements?' [Question ouverte]) -- Avocat: 36%; Gouvernement/Commissaire à la protection de la vie privée: 34%; Internet (en général): 18%; Entreprise/bureau principal: 6%; Association/organisation professionnelle: 4%; Experts dans l'industrie: 2%; Comptable, banque, compagnie d'assurances: 2%; NSP/PDR: 7%.](/media/3070/037-10-final-f_html_m22314c48.gif)
3.9 Difficulté à se conformer aux lois touchant la protection des renseignements personnels
On a demandé aux entreprises canadiennes ayant au moins une certaine connaissance des lois canadiennes touchant la protection des renseignements personnels (réponses de 2 à 7 sur l’échelle de sept points) dans quelle mesure il leur a été difficile de se conformer aux pratiques informationnelles prévues dans ces mesures législatives. Elles sont une majorité relative (47 p. 100) à avoir trouvé assez facile de se conformer aux dispositions en cause, ce qui représente une hausse de 5 p. 100 depuis 2007. Seulement 5 p. 100 des entreprises concernées ont trouvé difficile de se conformer aux lois touchant la protection des renseignements personnels (une baisse de 3 p. 100 depuis 2007).
- L’impression d’une difficulté à se conformer aux lois sur la protection des renseignements personnels ne varie pas de manière importante en fonction de la taille de l’entreprise.
3.10 Façon de se renseigner davantage sur les lois touchant la protection des renseignements personnels
Tous les répondants étaient invités à préciser comment leur entreprise procéderait pour se renseigner davantage sur ses obligations en vertu des lois canadiennes touchant la protection des renseignements personnels. La source la plus fréquente est celle des sites Web gouvernementaux (70 p. 100 – hausse de 7 p. 100 depuis 2007), suivie de loin par le numéro d’une ligne sans frais du gouvernement (17 p. 100 – baisse de 1 p. 100 depuis 2007).
3.11 Connaissance de l’information et des outils offerts par le CPVP
On a en outre demandé aux répondants s’ils savaient que le Commissariat à la protection de la vie privée offre aux entreprises de l’information et des outils pour les aider à respecter leurs obligations en matière de protection des renseignements personnels. Un peu plus de la moitié des entreprises sondées (55 p. 100) affirment être au courant de cette information alors que quatre sur dix environ (45 p. 100) disent ne pas l’être.
- Les grandes entreprises sont plus susceptibles de savoir que le CPVP offre de l’information et des outils.
3.12 Utilisation de l’information et des outils offerts par le CPVP
Aux entreprises qui ont affirmé savoir que le CPVP offre de l’information et des outils pour les aider à respecter leurs obligations en matière de renseignements personnels, on a demandé si elles avaient déjà consulté cette information. Un peu plus du tiers de ces entreprises (36 p. 100) ont répondu que oui, alors que la moitié d’entre elles (53 p. 100) ont dit ne pas avoir consulté l’information offerte par le CPVP.
On a demandé à celles qui ont consulté cette information dans quelle mesure elle s’est révélée utile pour les aider à honorer leurs obligations en matière de protection des renseignements personnels. Plus de la moitié des entreprises en cause (55 p. 100) ont jugé utile cette information tandis qu’elles sont moins d’une sur dix (8 p. 100) à l’avoir trouvée peu utile.
![Utilisation de l'information et des outils offerts par le CPVP ([SI OUI] 'Est-ce que votre entreprise a déjà consulté cette information?') -- Oui: 36%; Non: 53%; NSP/PDR: 12%. Utilisation de l'information et des outils offerts par le CPVP ([SI OUI] 'dans quelle mesure est-ce que cette information s'est révélée utile pour aider votre entreprise à honorer ses obligations en matière de protection des renseignements personnels?') -- Pas utile (1-3): 8%; Assez utile (4): 36%; Utile (5-7): 55%.](/media/3076/037-10-final-f_html_25423e89.gif)
3.13 Utilité de la formation
On a voulu savoir de tous les répondants dans quelle mesure leur entreprise trouverait utile d’obtenir de la formation au sujet de ce qu’elle doit faire pour se conformer aux lois canadiennes sur la protection des renseignements personnels. Malgré des niveaux de satisfaction assez élevés quant à l’information offerte par le CPVP parmi les entreprises qui ont consulté cette information (comme en témoigne la question précédente), la plupart des entreprises canadiennes ne voient pas la nécessité d’une formation dans ce domaine. Elles ne sont qu’une sur quatre environ (23 p. 100) à penser qu’il leur serait utile de recevoir de la formation sur ce qu’elles doivent faire pour se conformer aux lois canadiennes sur la protection des renseignements personnels, et plus de quatre sur dix (42 p. 100) à croire que cela leur serait peu utile.
3.14 Genre de formation
Les entreprises devaient aussi se prononcer sur la façon qui serait la plus efficace pour leur procurer de la formation afin de les aider à se conformer aux lois canadiennes sur la protection des renseignements personnels. Les trousses d’information à consulter soi-même en ligne paraissent nettement préférables aux séminaires donnés en personne (79 p. 100 contre 14 p. 100, respectivement), et cette préférence a augmenté de 6 p. 100 depuis 2007.
3.15 Prestation de la formation
Quant à savoir qui devrait fournir aux entreprises de la formation pour les aider à se conformer aux lois canadiennes sur la protection des renseignements personnels, la préférence va aux ministères ou agences du gouvernement chargés de surveiller la mise en application des lois canadiennes touchant la protection des renseignements personnels plutôt qu’à des organisations comme les chambres de commerce (56 p. 100 contre 33 p. 100, respectivement).
4. Atteintes à la sécurité
4.1 Préoccupations quant aux atteintes à la sécurité
Le sondage comportait diverses questions sur les atteintes à la sécurité qui peuvent compromettre les renseignements personnels des clients. Il ressort des résultats qu’une majorité relative des entreprises sondées ne s’inquiètent pas au sujet de cette forme d’atteinte à la sécurité (42 p. 100), bien qu’une assez forte minorité d’entreprises (35 p. 100) expriment de l’inquiétude à cet égard.
- Les préoccupations quant aux atteintes à la sécurité de l’information ne varient pas sensiblement selon la taille de l’entreprise.
4.2 Antécédents d’atteintes à la sécurité
On a en outre demandé aux entreprises s’il leur était déjà arrivé que les renseignements personnels qu’elles détiennent au sujet de leurs clients soient compromis. La vaste majorité (94 p. 100) ont répondu que non et seulement 3 p. 100 des entreprises sondées ont affirmé avoir déjà éprouvé des atteintes de ce genre.
Les rares entreprises qui ont dit avoir éprouvé une atteinte à la sécurité de leurs données ont été invitées à préciser spontanément de quelle manière elles avaient réagi. La plupart ont répondu qu’elles en ont averti les personnes touchées, qu’elles ont traité directement avec les coupables ou qu’elles ont procuré à leurs employés de la formation sur les mesures à prendre en pareille situation.
![Antécédents d'atteintes à la sécurité ('Est-ce qu'il est déjà arrivé, dans votre entreprise, qu'un manquement du genre compromette les renseignements personnels de vos clients?') -- Oui: 3%; Non: 94%; NSP/PDR: 3%. Antécédents d'atteintes à la sécurité ('Qu'est-ce que votre entreprise a fait pour faire face à la situation? [Question ouverte]') -- Avertir les personnes touchées: 29%; Traiter avec les coupables: 23%; Offrir de la formation/une mise à jour: 22%; Adopter un système de sécurité: 19%; Avertir les organismes d'application de la loi: 11%; Avertir/consulter la compagnie: 8%; Avertir les organismes gouvernementaux qui supervisent l'application des lois canadiennes en matière de protection des renseignements personnels: 7%; Autre: 8%; NSP/PDR: 8%.](/media/3082/037-10-final-f_html_m1eb01207.gif)
4.3 Mesures prises en cas d’atteinte à la sécurité
Les entreprises n’ayant jamais connu d’atteinte à la sécurité de leurs données se sont fait demander ce qu’elles feraient si jamais les renseignements personnels de leurs clients se trouvaient compromis. Comme réponses libres, la plupart ont dit qu’elles en informeraient les personnes touchées (34 p. 100), qu’elles avertiraient les responsables de l’application de la loi (14 p. 100) ou bien qu’elles consulteraient leur avocat ou demanderaient un avis juridique (12 p. 100).
![Mesures prises en cas d'atteinte à la sécurité ([SI OUI] 'S'il arrivait, dans votre entreprise, qu'un manquement du genre compromette les renseignements personnels de vos clients, que ferait votre entreprise?' [Question ouverte]) -- Avertir les personnes touchées: 34%; Avertir les organismes d'application de la loi: 14%; Consulter un avocat/obtenir un avis juridique: 12%; Avertir les organismes gouvernementaux qui supervisent l'application des lois canadiennes en matière de protection des renseignements personnels: 9%; Enquêter sure le manquement: 9%; Corriger le problème de sécurité: 8%; Améliorer les systèmes de sécurité: 8%; NSP/PDR: 20%.](/media/3083/037-10-final-f_html_15a10c17.gif)
4.4 Lignes directrices en cas d’atteinte à la sécurité
On a demandé à l’ensemble des entreprises canadiennes si elles ont adopté des lignes directrices à mettre en application en cas d’atteinte à la sécurité de leurs données. Seulement le tiers environ des entreprises sondées (34 p. 100) ont dit posséder des lignes directrices en bonne et due forme au cas où les renseignements personnels de leurs clients seraient compromis. La majorité (63 p. 100) ne possèdent pas de lignes directrices de cette nature.
- Les grandes entreprises sont plus susceptibles d’affirmer qu’elles possèdent des lignes directrices en cas d’atteinte à la sécurité de leurs données.
4.5 Appui à l’obligation de déclarer les atteintes à la sécurité
On a également voulu savoir des entreprises si elles sont pour ou contre l’idée que les entreprises canadiennes soient obligées de déclarer les cas d’atteinte à la sécurité des renseignements personnels. Les résultats révèlent un appui assez ferme à cette idée : une majorité relative des entreprises sondées (43 p. 100) sont favorables à l’obligation de déclarer les atteintes à la sécurité, et seulement une entreprise sur six environ (16 p. 100) s’opposerait à cette obligation (les autres sont demeurées neutres ou ne se sont pas prononcées).
4.6 Source de la menace d’atteinte à la sécurité
En ce qui concerne la principale provenance d’une menace à la sécurité des données, la plupart des entreprises canadiennes estiment qu’il est beaucoup plus probable que les menaces proviennent de l’extérieur de leur entreprise que de l’entreprise même (64 p. 100 contre 26 p. 100, respectivement). Les autres entreprises (10 p. 100) ne se prononcent pas.
4.7 Réduction dans les dépenses de sécurité
Compte tenu du ralentissement récent de l’économie, on a voulu savoir si les entreprises ont réduit leurs dépenses destinées à protéger les renseignements personnels de leurs clients. La vaste majorité des sociétés sondées (89 p. 100) affirment que la situation économique défavorable des dix-huit derniers mois n’a pas eu pour effet de réduire leurs dépenses quant aux mesures destinées à protéger les renseignements personnels de leurs clients. Seulement 6 p. 100 ont répondu qu’à cause du ralentissement économique, elles ont consacré moins d’argent aux mesures de sécurité ayant pour objet de protéger les renseignements personnels de leurs clients.
4.8 Outils de l’informatique en nuage
On a demandé aux répondants si leur entreprise se sert des outils de l’informatique en nuage. La plupart des entreprises sondées ont répondu que non (66 p. 100) mais elles sont trois sur dix (30 p. 100) à mentionner que leur organisation se sert de ces outils. À celles qui ont affirmé ne pas se servir actuellement des outils de l’informatique en nuage, on a demandé si elles prévoyaient le faire à l’avenir. Ces entreprises ont par une écrasante majorité (87 p. 100) répondu qu’elles ne prévoyaient pas utiliser les outils de l’informatique en nuage dans l’avenir.
![Outils de l'informatique en nuage ('Est-ce que votre organisation se sert d'outils de l'informatique en nuage?') -- Oui: 30%; Non: 66%; NSP/PDR: 4%. Outils de l'informatique en nuage ([SI NON] 'Est-ce que vous prévoyez utiliser des outils de l'informatique en nuage dans l'avenir?') -- Oui: 4%; Non: 87%; NSP/PDR: 8%.](/media/3089/037-10-final-f_html_31e39d23.gif)
4.9 Prise en compte de la protection des renseignements personnels en mettant au point de nouvelles technologies
Enfin, on a voulu savoir des répondants, advenant que leur entreprise mette au point une nouvelle technologie ou un nouveau produit susceptible d’avoir des répercussions sur le plan de la protection des renseignements personnels, si cette entreprise tiendrait compte des règlements canadiens en la matière avant de lancer le produit ou la technologie. La majorité des entreprises sondées (84 p. 100) déclarent qu’elles tiendraient compte des règlements canadiens en la matière, et seulement une entreprise sur dix ne tiendrait pas compte des règlements canadiens touchant la protection des renseignements personnels avant de lancer un produit ou une technologie.
Annexe A : Questionnaire du sondage
INTRO
Je m'appelle .... et je vous téléphone de la part des Associés de recherche EKOS. Nous faisons un bref sondage pour le compte de la Commissaire à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.
Pourrais-je parler à la personne qui est la plus au courant du genre de renseignements personnels que vous recueillez sur vos clients et de la façon dont ces renseignements sont conservés et utilisés? Il pourrait s'agir de la personne de votre entreprise qui est responsable de la protection de la vie privée, si ce poste existe.
Ce sondage est important et va aider le gouvernement du Canada. Votre participation est volontaire. Toutes les réponses seront traitées de manière absolument confidentielle.
Puis-je commencer?
PRIV
Cet appel peut être enregistré pour contrôle de la qualité ou formation.
TYP
Quelle est, parmi les suivantes, la meilleure description de votre entreprise?
LIRE LES CATÉGORIES, ACCEPTER UNE SEULE RÉPONSE
- Elle vend directement aux consommateurs (1)
- Elle vend directement à d'autres entreprises/organisations (2)
- Elle vend directement aux consommateurs et à d'autres entreprises/organisations (3)
- (NE PAS LIRE) Autre réponse, veuillez préciser-> ATYP; C160 L2 C80 (77)
- (NE PAS LIRE) SANS BUT LUCRATIF, REMERCIER ET METTRE FIN (98)
- (NE PAS LIRE) NSP/PDR, REMERCIER ET METTRE FIN (99)
LOC1
Quel énoncé parmi les suivants décrit le mieux votre entreprise?
LIRE LA LISTE
- Elle n'a que ce bureau (1)
- Elle a plusieurs bureaux, mais seulement au Canada (2)
- Elle a d'autres bureaux à l'extérieur du Canada (3)
- (NE PAS LIRE) NSP/PDR (9)
EMPL
A peu près combien d'employés, à temps partiel, temps plein et saisonniers, travaillent présentement pour votre entreprise?
- 1 à 4 employés (1)
- 5 à 9 employés (2)
- 10 à 19 employés (3)
- 20 à 49 employés (4)
- 50 à 99 employés (5)
- 100 à 149 employés (6)
- 150 à 199 employés (7)
- 200 à 249 employés (8)
- 250 à 299 employés (9)
- 300 à 499 employés (10)
- 500 à 999 employés (11)
- 1 000 à 4 999 employés (12)
- Plus de 5 000 employés (13)
- NSP/PDR (99)
EMPL2
A peu près combien d'employés, à temps partiel, temps plein et saisonniers, travaillent présentement pour votre entreprise au Canada?
- 1 à 4 employés (1)
- 5 à 9 employés (2)
- 10 à 19 employés (3)
- 20 à 49 employés (4)
- 50 à 99 employés (5)
- 100 à 149 employés (6)
- 150 à 199 employés (7)
- 200 à 249 employés (8)
- 250 à 299 employés (9)
- 300 à 499 employés (10)
- 500 à 999 employés (11)
- 1 000 à 4 999 employés (12)
- Plus de 5 000 employés (13)
- NSP/PDR (99)
PT
Une entreprise et ses employés consacrent du temps à diverses activités. Dites-moi s'il vous plaît combien de temps votre entreprise consacre aux questions liées à la protection des renseignements personnels, y compris le respect des lois canadiennes sur la protection des renseignements personnels, au cours d'un mois NORMAL. Veuillez répondre selon une échelle de sept points où « 1 » signifie peu ou pas du tout de temps, « 7 », énormément de temps et « 4 », une quantité moyenne de temps.
- 1 Peu ou pas du tout de temps (1)
- 2 (2)
- 3 (3)
- 4 Une quantité moyenne de temps (4)
- 5 (5)
- 6 (6)
- 7 Énormément de temps (7)
- NSP/PDR (9)
PRPI
Les prochaines questions portent sur le genre de renseignements personnels que votre entreprise détient sur ses clients. Par « renseignements personnels », je veux parler, par exemple, du nom d'un client, de son âge, de son adresse, de son revenu, des achats qu'il a faits, de son adresse de courriel, et ainsi de suite.
C1
Laquelle des phrases suivantes décrit le mieux les activités de votre entreprise en ce qui concerne les renseignements personnels de vos clients? Diriez-vous que votre entreprise...
LIRE LA LISTE
- recueille des renseignements personnels sur ses clients (1)
- ne recueille aucun renseignement personnel sur ses clients (2)
- (NE PAS LIRE) NSP/PDR (9)
C2
Et diriez-vous que votre entreprise recueille...
LIRE LA LISTE
- une petite quantité seulement de renseignements personnels sur ses clients (1)
- une quantité moyenne de renseignements personnels sur ses clients (2)
- une grande quantité de renseignements personnels sur ses clients (3)
- (NE PAS LIRE) NSP/PDR (9)
C3 [1,2]
Et diriez-vous que les renseignements personnels sur vos clients sont conservés sur papier, électroniquement ou dans un autre format?
CHOISIR TOUTES LES RÉPONSES PERTINENTES
- Conservés sur papier (1)
- Conservés électroniquement (2)
- Conservés dans un autre format (3)
- (NOTE À L’ENQUÊTEUR : Recourir à ce code si le/la répondant(e), plutôt que de choisir chaque format individuellement, affirme que les renseignements sont conservés des deux façons, merci) (NE PAS LIRE) Conservés des deux façons : sur papier et électroniquement (8)
- (NE PAS LIRE) NSP/PDR (9)
C4A
A propos des renseignements personnels que votre entreprise recueille sur ses clients et qu'elle utilise, à quel stade votre entreprise se trouve-t-elle en ce qui concerne les mesures suivantes? Diriez-vous que votre entreprise a mis parfaitement en oeuvre la mesure suivante, qu'elle est en train de la mettre en oeuvre ou qu'elle n'a pas encore commencé à la mettre en oeuvre?
En particulier, à quel stade se trouve votre entreprise en ce qui concerne cette mesure :
adopter des lignes directrices ou politiques claires afin de surveiller comment l'entreprise et ses employés recueillent, utilisent et communiquent les renseignements personnels?
- parfaitement mise en oeuvre (1)
- en voie de mise en oeuvre (2)
- pas encore commencé la mise en oeuvre (3)
- (NE PAS LIRE) Sans objet (8)
- (NE PAS LIRE) NSP/PDR (9)
C4B
A propos des renseignements personnels que votre entreprise recueille sur ses clients et qu'elle utilise, à quel stade votre entreprise se trouve-t-elle en ce qui concerne les mesures suivantes? Diriez-vous que votre entreprise a mis parfaitement en oeuvre la mesure suivante, qu'elle est en train de la mettre en oeuvre ou qu'elle n'a pas encore commencé à la mettre en oeuvre?
En particulier, à quel stade se trouve votre entreprise en ce qui concerne cette mesure :
adopter des moyens de protéger les renseignements personnels contre l'accès non autorisé?
- parfaitement mise en oeuvre (1)
- en voie de mise en oeuvre (2)
- pas encore commencé la mise en oeuvre (3)
- (NE PAS LIRE) Sans objet (8)
- (NE PAS LIRE) NSP/PDR (9)
C4C
A propos des renseignements personnels que votre entreprise recueille sur ses clients et qu'elle utilise, à quel stade votre entreprise se trouve-t-elle en ce qui concerne les mesures suivantes? Diriez-vous que votre entreprise a mis parfaitement en oeuvre la mesure suivante, qu'elle est en train de la mettre en oeuvre ou qu'elle n'a pas encore commencé à la mettre en oeuvre?
En particulier, à quel stade se trouve votre entreprise en ce qui concerne cette mesure :
adopter des moyens permettant à vos clients de demander puis d’accéder aux renseignements personnels que votre entreprise détient sur eux?
- parfaitement mise en oeuvre (1)
- en voie de mise en oeuvre (2)
- pas encore commencé la mise en oeuvre (3)
- (NE PAS LIRE) Sans objet (8)
- (NE PAS LIRE) NSP/PDR (9)
C4D
A propos des renseignements personnels que votre entreprise recueille sur ses clients et qu'elle utilise, à quel stade votre entreprise se trouve-t-elle en ce qui concerne les mesures suivantes? Diriez-vous que votre entreprise a mis parfaitement en oeuvre la mesure suivante, qu'elle est en train de la mettre en oeuvre ou qu'elle n'a pas encore commencé à la mettre en oeuvre?
En particulier, à quel stade se trouve votre entreprise en ce qui concerne cette mesure :
adopter un processus permettant à vos clients de déposer une plainte s'ils estiment que les renseignements personnels les concernant ont été traités de manière incorrecte?
- parfaitement mise en oeuvre (1)
- en voie de mise en oeuvre (2)
- pas encore commencé la mise en oeuvre (3)
- (NE PAS LIRE) Sans objet (8)
- (NE PAS LIRE) NSP/PDR (9)
PIP
La loi fédérale servant à protéger les renseignements personnels, qui s’intitule Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est entrée en vigueur le 1er janvier 2004. La Loi établit des obligations pour les entreprises en matière de protection des renseignements personnels.
[BC]
La loi fédérale servant à protéger les renseignements personnels, intitulée Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), est entrée en vigueur le 1er janvier 2004. La Loi établit des obligations pour les entreprises en matière de protection des renseignements personnels. En Colombie-Britannique, le secteur privé est assujetti à des lois provinciales sur la protection des renseignements personnels, qui sont jugées similaires à la loi fédérale.
[Alberta]
La loi fédérale servant à protéger les renseignements personnels, intitulée Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), est entrée en vigueur le 1er janvier 2004. La Loi établit des obligations pour les entreprises en matière de protection des renseignements personnels. En Alberta, le secteur privé est assujetti à des lois provinciales sur la protection des renseignements personnels, qui sont jugées similaires à la loi fédérale.
[Québec]
La loi fédérale servant à protéger les renseignements personnels, intitulée Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), est entrée en vigueur le 1er janvier 2004. La Loi établit des obligations pour les entreprises en matière de protection des renseignements personnels. Au Québec, le secteur privé est assujetti à des lois provinciales sur la protection des renseignements personnels, qui sont jugées similaires à la loi fédérale.
DSPRV
Votre entreprise a-t-elle du personnel désigné, comme un responsable de la protection de la vie privée, qui joue un rôle crucial afin d'assurer le respect des obligations prévues dans les lois canadiennes touchant la protection des renseignements personnels?
- Oui (1)
- Non (2)
- NSP/PDR (9)
IPRV1
Est-ce que votre entreprise a établi des processus pour traiter les enjeux liés à la protection des renseignements personnels que soulève le personnel à l’interne?
- Oui (1)
- Non (2)
- NSP/PDR (9)
CEPRV
Et est-ce que votre entreprise a établi des processus pour traiter les enjeux liés à la protection des renseignements personnels que soulèvent vos clients ou d’autres tiers de l’extérieur?
- Oui (1)
- Non (2)
- NSP/PDR (9)
QAWRSP
Comment évaluez-vous le degré de sensibilisation de votre entreprise à ses obligations en vertu des lois canadiennes touchant la protection des renseignements personnels, selon une échelle de sept points où « 1 » signifie pas du tout sensible, « 7 », fortement sensible et « 4 », plutôt sensible?
- 1 Pas du tout sensible (1)
- 2 (2)
- 3 (3)
- 4 Plutôt sensible (4)
- 5 (5)
- 6 (6)
- 7 Fortement sensible (7)
- NSP/PDR (9)
TRPRV
Parmi les membres de votre personnel, y en a-t-il qui ont reçu de la formation sur les pratiques informationelles appropriées et les obligations en vertu des lois canadiennes sur la protection des renseignements personnels?
- Oui (1)
- Non (2)
- NSP/PDR (9)
TRPRV2
À quelle fréquence passez-vous en revue vos modules, manuels ou processus de formation sur l’information et les pratiques indiquées en vertu des lois canadiennes sur la protection des renseignements personnels?
- Tous les mois au moins (1)
- Chaque année au moins (2)
- Moins d’une fois par année (3)
- Jamais (8)
- NSP/PDR (9)
OSPC
Est-ce que votre entreprise recueille de ses clients des renseignements personnels qui sont transmis pour traitement à une autre entreprise située au Canada?
- Oui (1)
- Non (2)
- NSP/PDR (9)
OSPO
Est-ce que votre entreprise recueille de ses clients des renseignements personnels qui sont transmis pour traitement à une autre entreprise à l’étranger?
- Oui (1)
- Non (2)
- NSP/PDR (9)
MEASP
Est-ce que vous êtes au courant de mesures que vous devez prendre pour veiller à ce que ces renseignements personnels soient protégés?
- Oui (1)
- Non (2)
- NSP/PDR (9)
MEASC1
Est-ce que vous avez établi un contrat ou mis en œuvre d’autres mesures pour veiller à ce qu’un niveau de protection comparable s’applique lorsque cette autre entreprise traite les renseignements transmis?
- Oui (1)
- Non (2)
- NSP/PDR (9)
MEASC2
Est-ce que vous avez établi un contrat ou mis en œuvre d’autres mesures pour veiller à ce qu’un niveau de protection comparable s’applique lorsque ces autres entreprises traitent les renseignements transmis?
- Oui (1)
- Non (2)
- NSP/PDR (9)
PIP2A
Dans la foulée de l’adoption de la LPRPDE, diriez-vous que votre entreprise...
s’est sensibilisée davantage à ses obligations en matière de protection des renseignements personnels?
- Oui (1)
- Non (2)
- NSP/PDR (9)
PIP2B
Dans la foulée de l’adoption de la LPRPDE, diriez-vous que votre entreprise...
a amélioré la formation qu’elle offre au personnel pour ce qui concerne les obligations en matière de protection des renseignements personnels?
- Oui (1)
- Non (2)
- NSP/PDR (9)
PIP2C
Dans la foulée de l’adoption de la LPRPDE, diriez-vous que votre entreprise...
se préoccupe davantage de la protection des renseignements personnels de vos clients?
- Oui (1)
- Non (2)
- NSP/PDR (9)
PIP2D
Dans la foulée de l’adoption de la LPRPDE, diriez-vous que votre entreprise...
a amélioré les mesures de protection pour les renseignements personnels qu’elle détient au sujet de ses clients?
- Oui (1)
- Non (2)
- NSP/PDR (9)
PIP2E
Dans la foulée de l’adoption de la LPRPDE, diriez-vous que votre entreprise...
a moins souvent dérogé à ses obligations pour ce qui concerne les renseignements personnels de vos clients?
- Oui (1)
- Non (2)
- NSP/PDR (9)
CLPRV
Votre entreprise a-t-elle déjà tenté d'obtenir des éclaircissements sur ses obligations en vertu des lois canadiennes touchant la protection des renseignements personnels?
- Oui (1)
- Non (2)
- NSP/PDR (9)
CLPRV2 [1,6]
Où vous êtes-vous adressés pour obtenir ces éclaircissements?
- Internet (en général) (1)
- gouvernement/Commissaire à la protection de la vie privée (2)
- Avocat(e) (3)
- Autre (préciser)-> ACLPRV2; C160 L1 C80 (77)
- NSP/PDR (99)
DFPVR
Dans quelle mesure a-t-il été difficile pour votre entreprise de se conformer aux pratiques informationnelles en vertu des lois canadiennes sur la protection des renseignements personnels, selon une échelle de sept points où « 1 » signifie extrêmement facile, « 7 », extrêmement difficile et « 4 », ni facile ni difficile.
- 1 Extrêmement facile (1)
- 2 (2)
- 3 (3)
- 4 Ni facile, ni difficile (4)
- 5 (5)
- 6 (6)
- 7 Extrêmement difficile (7)
- NSP/PDR (9)
MTA
Si vous aviez besoin de vous renseigner davantage sur les responsabilités de votre entreprise en vertu des lois canadiennes sur la protection des renseignements personnels, comment procéderiez-vous? Seriez-vous surtout susceptible ...
LIRE LA LISTE
- de consulter un site Web du gouvernement (1)
- d’adresser un courriel à un ministère (2)
- de composer le numéro d'une ligne sans frais du gouvernement (3)
- d’aller dans un bureau du gouvernement (4)
- d’adresser une lettre à un ministère (5)
- (NE PAS LIRE) AUTRE, Préciser-> AMTA; C160 L1 C80 (77)
QAWR2
Est-ce que vous savez que le Commissariat à la protection de la vie privée offre aux entreprises de l’information et des outils pour les aider à respecter leurs obligations en matière de protection des renseignements personnels?
- Oui (1)
- Non (2)
- NSP/PDR (9)
QAWR2B
Est-ce que votre entreprise a déjà consulté cette information?
- Oui (1)
- Non (2)
- NSP/PDR (9)
USE2
Selon une échelle de sept points où « 1 » signifie pas du tout utile, « 7 », extrêmement utile et le point milieu, « 4 », assez utile, dans quelle mesure est-ce que cette information s’est révélée utile pour aider votre entreprise à honorer ses obligations en matière de protection des renseignements personnels?
- 1 Pas du tout utile (1)
- 2 (2)
- 3 (3)
- 4 Assez utile (4)
- 5 (5)
- 6 (6)
- 7 Extrêmement utile (7)
- NSP/PDR (9)
TRGA
Selon la même échelle, dans quelle mesure serait-il utile pour votre entreprise d’être en mesure de recevoir de la formation au sujet de ce que les entreprises doivent faire pour se conformer aux lois canadiennes sur la protection des renseignements personnels?
- 1 Pas du tout utile (1)
- 2 (2)
- 3 (3)
- 4 Assez utile (4)
- 5 (5)
- 6 (6)
- 7 Extrêmement utile (7)
- NSP/PDR (9)
TRGB
Selon une échelle de sept points où « 1 » signifie pas du tout utile, « 7 », extrêmement utile et le point milieu, « 4 », assez utile, dans quelle mesure serait-il utile pour votre entreprise d’être en mesure de recevoir de la formation au sujet de ce que les entreprises doivent faire pour se conformer aux lois canadiennes sur la protection des renseignements personnels?
- 1 Pas du tout utile (1)
- 2 (2)
- 3 (3)
- 4 Assez utile (4)
- 5 (5)
- 6 (6)
- 7 Extrêmement utile (7)
- NSP/PDR (9)
TRG2
Et quelle serait, selon vous, la façon la plus efficace d'offrir cette formation?
LIRE LA LISTE
- Séminaires donnés en personne dans différentes villes (1)
- Trousses d'information à consulter soi-même en ligne (2)
- (NE PAS LIRE) Autre réponse, préciser-> ATRG2; C160 L1 C80 (77)
- (NE PAS LIRE) NSP/PDR (99)
TRG3A
Et qui serait, selon vous, le plus efficace dans la prestation de ce genre de formation?
LIRE LA LISTE
- Des organisations comme une chambre de commerce locale (1)
- Des ministères ou agences du gouvernement chargés de surveiller la mise en application des lois canadiennes touchant la protection des renseignements personnels (2)
- (NE PAS LIRE) Autre réponse, préciser-> ATRG3A; C160 L1 C80 (77)
- (NE PAS LIRE) NSP/PDR (99)
CCPC
Il peut parfois arriver que les renseignements personnels sensibles que détient une entreprise au sujet de ses clients soient compromis à cause d’activités criminelles ou à cause d’une brèche dans le système de sécurité de l’entreprise.
Selon une échelle de sept points où « 1 » signifie pas du tout préoccupés, « 7 », extrêmement préoccupés et le point milieu, « 4 », assez préoccupés, dans quelle mesure vous préoccupez-vous des manquements qui peuvent compromettre les renseignements personnels des clients?
- 1 Pas du tout préoccupés (1)
- 2 (2)
- 3 (3)
- 4 Assez préoccupés (4)
- 5 (5)
- 6 (6)
- Extrêmement préoccupés (7)
- NSP/PDR (9)
BREACH
Est-ce qu’il est déjà arrivé, dans votre entreprise, qu’un manquement du genre compromette les renseignements personnels de vos clients?
- Oui (1)
- Non (2)
- NSP/PDR (9)
BREACH2 [1,7]
Qu’est-ce que votre entreprise a fait pour faire face à la situation?
QUESTION OUVERTE. NE PAS LIRE. CHERCHER À OBTENIR DES PRÉCISIONS.
- Avertir les personnes touchées (1)
- Avertir les organismes gouvernementaux qui supervisent l’application des lois canadiennes en matière de protection des renseignements personnels (le Commissariat à la protection de la vie privée) (2)
- Avertir les personnes touchées et les organismes gouvernementaux (3)
- Avertir les organismes d’application de la loi (services policiers) (4)
- Autre, préciser-> ABREACH2; C160 L1 C80 (77)
- NSP/PDR (99)
BREACH3 [1,7]
S’il arrivait, dans votre entreprise, qu’un manquement du genre compromette les renseignements personnels de vos clients, que ferait votre entreprise?
QUESTION OUVERTE. NE PAS LIRE. CHERCHER À OBTENIR DES PRÉCISIONS.
- Avertir les personnes touchées (1)
- Avertir les organismes gouvernementaux qui supervisent l’application des lois canadiennes en matière de protection des renseignements personnels (le Commissariat à la protection de la vie privée) (2)
- Avertir les personnes touchées et les organismes gouvernementaux (3)
- Avertir les organismes d’application de la loi (services policiers) (4)
- Autre, préciser-> ABREACH3; C160 L1 C80 (77)
- NSP/PDR (99)
BREACH4
Est-ce que votre entreprise a adopté des lignes directrices à mettre en application si un manquement du genre compromet les renseignements personnels de vos clients?
- Oui (1)
- Non (2)
- NSP/PDR (9)
BREACH5
Êtes-vous pour ou contre l’idée voulant que les entreprises canadiennes soient obligées de déclarer les cas d’atteinte à la vie privée? Veuillez répondre selon une échelle de sept points où « 1 » signifie fermement contre, « 7 », fermement pour et le point milieu, « 4 », ni pour, ni contre.
- 1 Fermement contre (1)
- 2 (2)
- 3 (3)
- 4 Ni pour, ni contre (4)
- 5 (5)
- 6 (6)
- 7 Fermement pour (7)
- NSP/PDR (9)
BREACH6
Toujours pour ce qui concerne l’atteinte à la protection des données, parmi les éléments suivants, qu’est-ce qui constitue selon vous la menace la plus importante dans votre organisation?
LIRE LA LISTE
- Des attaques de l’intérieur de votre entreprise (1)
- Des attaques de l’extérieur de votre entreprise (2)
- (NE PAS LIRE) NSP/PDR (9)
SPNDLS
Est-ce que votre entreprise a consacré moins d’argent aux mesures de sécurité ayant pour objet de protéger les renseignements personnels de vos clients à cause du ralentissement économique?
- Oui (1)
- Non (2)
- NSP/PDR (9)
CCOMP
Nous allons maintenant aborder un autre sujet.
Comme vous le savez peut-être, « l’informatique en nuage » désigne habituellement la prestation de services en ligne au moyen de matériel informatique et de logiciels que gèrent des tiers. Les services, qui comptent notamment la conservation de fichiers en ligne, les sites de réseautage social, le courriel Web et les applications opérationnelles en ligne, proviennent habituellement d’ordinateurs à distance. Les services sont offerts au moyen de connexions réseau, quel que soit le lieu où se trouve l’utilisateur. Est-ce que votre organisation se sert d’outils de l’informatique en nuage?
- Oui (1)
- Non (2)
- NSP/PDR (9)
CCOMP2
Est-ce que vous prévoyez utiliser des outils de l’informatique en nuage dans l’avenir?
- Oui (1)
- Non (2)
- NSP/PDR (9)
CCOMP3
Si votre entreprise mettait au point une nouvelle technologie ou un nouveau produit susceptible d’avoir des répercussions sur le plan de la protection des renseignements personnels, est-ce que vous tiendriez compte des règlements canadiens en la matière avant de lancer le produit ou la technologie?
- Oui (1)
- Non (2)
- NSP/PDR (9)
DEMO
Les dernières questions ont pour seul objet la compilation de statistiques. Toutes vos réponses seront confidentielles.
WS6
Est-ce que votre entreprise a son propre site Web sur Internet?
- Oui (1)
- Non (2)
- NSP/PDR (9)
WSO6 [1,2]
Le site Web de votre entreprise sur Internet offre-t-il l'une ou l'autre des caractéristiques suivantes?
LIRE LA LISTE; CHOISIR TOUTES LES RÉPONSES PERTINENTES
- Un énoncé de principe touchant la protection des renseignements personnels (1)
- Un moyen pour les clients de communiquer par courriel avec l'entreprise (2)
- (NE PAS LIRE) Aucune de ces réponses (8)
- (NE PAS LIRE) NSP/PDR (9)
INDUS
Quelle est la PRINCIPALE industrie de votre organisation?
- Commerce de détail (1)
- Commerce de gros (2)
- Fabrication (3)
- Construction (4)
- Finance, immobilier, assurance (5)
- Transports (6)
- Communications (7)
- Services commerciaux (8)
- Services personnels (9)
- Services publics (eau, gaz, électricité) (10)
- Industries de base/ressources naturelles (11)
- Agriculture (12)
- Services de santé/services sociaux (13)
- Éducation (14)
- Hospitalité (15)
- Tourisme (16)
- Divertissement, loisirs, arts, culture (17)
- Autre (préciser)-> AINDUS; C160 L1 C80 (77)
- NSP/PDR (99)
POSIT
Quel est le poste que vous occupez au sein de l’organisation?
- Propriétaire, président(e) ou PDG (1)
- Directeur/directrice général(e) ou autre poste de gestion (2)
- Responsable principal(e) de la TI (technologie de l’information) (3)
- Administration (4)
- Autre niveau de la TI (5)
- Contrôleur/contrôleuse, comptabilité, tenue de comptes (6)
- Ventes, marketing (7)
- Divers postes de niveau inférieur ou postes de service au sein de l’organisation, p. ex., monteur/monteuse, mécanicien(ne) (8)
- Vice-président(e) (9)
- Directeur/directrice (10)
- Poste d’ingénierie (11)
- Autre (préciser)-> APOSIT; C160 L1 C80 (77)
- NSP/PDR (99)
REV
Dans quelle catégorie, parmi les suivantes, se situe le revenu de votre compagnie en 2009?
LIRE LA LISTE
- Moins de 100 000 $ (1)
- 100 000 $ à 249 999 $ (2)
- 250 000 $ à 499 999 $ (3)
- 500 000 $ à 999 999 $ (4)
- 1 000 000 $ à 4 999 999 $ (5)
- 5 000 000 $ à 9 999 999 $ (6)
- 10 000 000 $ à 19 999 999 $ (7)
- Plus de 20 millions de dollars (8)
- (NE PAS LIRE) NSP/PDR (99)
THNK
Voilà qui met fin au sondage. Merci beaucoup d’avoir pris le temps de répondre à ce sondage et d’avoir mis à profit vos commentaires.
Fin de l'entrevue
Supports de substitution
- PDF (396 Ko) Accessibilité non vérifiée
- Date de modification :