Sondage d'opinion publique

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Les entreprises canadiennes et les renseignements personnels

Rapport Final

Sondage réalisé pour le compte du Commissariat à la protection de la vie privée du Canada

Phoenix SPI

Décembre 2013


Sommaire

Le Commissariat à la protection de la vie privée du Canada (CPVP) a retenu les services de Phoenix SPI afin de réaliser, auprès des entreprises canadiennes, une étude quantitative portant sur les questions liées à la protection des renseignements personnels. Cette étude doit nous permettre de mieux comprendre la mesure dans laquelle les entreprises connaissent les exigences et les enjeux liés à la protection des renseignements personnels, ainsi que leurs politiques et pratiques en la matière. Un sondage téléphonique de 15 minutes a été réalisé auprès de 1 006 entreprises de toutes les régions du pays, stratifiées selon leur taille. Les résultats ont été pondérés en fonction de la taille, du secteur et de la région, au moyen des données de Statistique Canada, afin qu’ils reflètent la répartition réelle des entreprises au Canada. Le sondage a été réalisé du 7 au 27 novembre 2013, et sa marge d’erreur est de ±3,1 %, 19 fois sur 20. Les résultats ont été comparés à ceux obtenus dans le cadre de sondages semblables menés en 2007, 2010 et 2011. En 2013, la version du questionnaire a été modifiée pour tenir compte de l’évolution du contexte de la protection des renseignements personnels.

Collecte et conservation des renseignements personnels

Les entreprises qui ont répondu aux questions du sondage travaillent pour un éventail d’entreprises différentes en ce qui a trait au type de clientèle servie. Au total, 36 % de ces entreprises vendent directement aux consommateurs (soit individuellement ou à des regroupements de consommateurs). Presque autant d’entreprises (35 %) vendent à la fois directement aux consommateurs et à d’autres entreprises et organisations. Environ le quart (26 %) vend uniquement à d’autres entreprises ou organisations.

Pour ce qui est du type d’information recueillie sur les clients, pratiquement toutes les entreprises sondées (97 %) recueillent leurs coordonnées, par exemple le nom, le numéro de téléphone et l’adresse. La grande majorité (83 %) recueille des renseignements sur l’emplacement, comme le code postal. Parmi les autres types de renseignements assez souvent mentionnés, citons les opinions, évaluations et commentaires (27 %), les renseignements financiers, comme les factures, les cartes de crédit et le dossier bancaire (25 %), les habitudes de consommation (18 %) et les renseignements médicaux (13 %). Pour ce qui est de la diversité des renseignements recueillis, la plupart des entreprises (65 %) recueillent des renseignements dans deux (39 %) ou trois (26 %) des catégories susmentionnées. Le quart des entreprises (24 %) en recueillent davantage, tandis que 11 % des entreprises en recueillent moins.

Environ les deux tiers (68 %) des entreprises canadiennes utilisent les renseignements personnels de leurs clients pour leur fournir un service. Un peu moins du tiers (31 %) s’en servent pour établir le profil de leurs clients. Le marketing (17 %) et l’utilisation à des fins financières, comme la comptabilité et la facturation (14 %), sont également mentionnés assez souvent.

Une nette majorité de représentants d’entreprises a fait état de trois méthodes couramment utilisées par les entreprises canadiennes pour conserver les renseignements personnels concernant leurs clients : sous forme de dossiers papier sur place (62 %), sur des serveurs sur place (58 %) et dans des ordinateurs de bureau (55 %). Aucune autre méthode n’est utilisée dans une proportion identique. Près du quart des entreprises (24 %) utilisent des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes, tandis qu’une proportion moindre a recours à l’infonuagique (7 %) ou à un tiers (à l’exception de l’infonuagique) (7 %).

Pratiques liées à la protection des renseignements personnels

Quand on a demandé aux cadres des entreprises qui conservent les renseignements personnels de leurs clients sur des dispositifs portatifs, comme des ordinateurs, des clés USB ou des tablettes, si leur entreprise avait recours au chiffrement pour protéger l’information stockée sur ces dispositifs, 36 % ont donné une réponse positive, 58 %, une réponse négative et 6 % ne savaient pas.

Les entreprises canadiennes utilisent diverses méthodes pour protéger les renseignements personnels de leurs clients. Plus des trois quarts emploient des outils technologiques, comme les mots de passe, le chiffrement ou les pare-feu (78 %), ou des mesures matérielles, comme le verrouillage des classeurs, la restriction de l’accès ou des alarmes de sécurité (78 %). Près des deux tiers (65 %) utilisent des mesures de contrôle organisationnelles, comme des politiques et des procédures. Parmi les entreprises ayant recours à des outils technologiques, la quasi-totalité (98 %) utilise des mots de passe, 82 %, des pare-feu, et 48 %, le chiffrement. Parmi les entreprises utilisant des mots de passe, 55 % mettent en place des mesures de contrôle pour veiller à ce que les employés utilisent des mots de passe difficiles à trouver. La plupart demandent aussi à leurs employés de modifier leurs mots de passe selon une fréquence variable : 21 % chaque mois, 17 %, chaque trimestre, 10 %, tous les six mois, 10 %, une fois par année, et 6 %, moins fréquemment. Dans 27 % des entreprises, les employés ne sont pas tenus de modifier leurs mots de passe.

On a demandé aux représentants des entreprises si celles-ci avaient mis en place des mécanismes liés à la protection des renseignements personnels. Au moins la moitié utilise quatre des six mécanismes proposés, c’est-à-dire la désignation d’une personne comme responsable des questions liées à la protection de la vie privée (58 %), des politiques internes à l’intention du personnel qui expliquent les obligations de la loi en matière de protection des renseignements personnels (51 %), des procédures pour gérer les plaintes des clients (51 %) et des procédures pour répondre aux demandes des clients concernant leurs renseignements personnels (50 %). Moins de la moitié (45 %) disposent d’une politique sur la protection des renseignements personnels expliquant aux clients la façon dont elles recueillent ou utilisent leurs renseignements personnels, tandis qu’un tiers donnent régulièrement à leurs employés une formation et de l’information sur la protection des renseignements personnels.

La protection des renseignements personnels en tant qu’objectif organisationnel

La plupart des cadres ont indiqué que leur entreprise accordait une grande importance à la protection des renseignements personnels. Plus de la moitié (59 %) ont d’ailleurs attribué la note la plus élevée sur l’échelle de 7 points qui leur était proposée, ce qui montre bien qu’ils estiment que la protection des renseignements personnels des clients constitue un objectif organisationnel très important. Au total, 82 % ont attribué une note se situant dans la partie supérieure de l’échelle, ce qui indique qu’il s’agit d’un objectif important. À l’autre extrémité, seulement 7 % des cadres ont indiqué clairement que la protection des renseignements personnels des clients n’était pas un objectif important pour leur entreprise.

Les représentants d’une entreprise ont généralement confiance dans la capacité de cette dernière de protéger parfaitement les renseignements personnels qu’elles recueillent sur les clients. Plus des deux tiers (69 %) s’en disent tout à fait convaincus, et presque tous les autres (28 %) en sont modérément convaincus.

Sensibilisation aux lois sur la protection des renseignements personnels et répercussions de ces lois

On a demandé aux cadres d’indiquer dans quelle mesure leur entreprise est sensibilisée à ses responsabilités en vertu des lois canadiennes régissant la protection des renseignements personnels en attribuant une note sur une échelle de 1 à 7, où 1 signifie « pas du tout sensibilisée » et 7 « très sensibilisée ». Près de la moitié des cadres (45 %) estiment que leur entreprise est très sensibilisée à ses responsabilités. Au total, près des deux tiers (66 %) des cadres ont choisi une note se situant dans la partie supérieure de l’échelle, ce qui indique un niveau relativement élevé de connaissance des responsabilités en matière de protection des renseignements personnels. À l’autre extrémité, 20 % ont choisi une note se situant dans la partie inférieure de l’échelle, ce qui témoigne d’un faible niveau de sensibilisation. La sensibilisation des entreprises à leurs responsabilités en vertu des lois canadiennes régissant la protection des renseignements personnels est relativement stable depuis 2007, année où le premier sondage a été effectué.

On a également demandé aux cadres dans quelle mesure leur entreprise était sensiblisée à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), loi fédérale sur la protection des renseignements personnels applicable au secteur privé, en leur proposant la même échelle de sept points. Selon les réponses obtenues, seulement un peu plus du tiers (35 %) des entreprises connaissent très bien la loi. Au total, cependant, plus de la moitié (57 %) des cadres ont choisi une note dans la partie supérieure de l’échelle, ce qui indique que leur entreprise possède une connaissance relativement bonne de ses responsabilités. Toutefois, 28 % des cadres ont choisi une note dans la partie inférieure, ce qui donne à penser qu’une proportion importante d’entreprises ont un niveau de connaissance relativement faible de la LPRPDE.

Conformité

On a demandé aux cadres dans quelle mesure il avait été difficile pour leur entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels en leur proposant une échelle de 7 points, où 1 signifie « extrêmement facile » et 7, « extrêmement difficile ». La plus grande partie des répondants (41 %) ont répondu de façon neutre, considérant que la conformité n’avait été ni facile ni difficile. Quant aux autres, la plupart (38 %) estimaient qu’il avait été facile pour leur entreprise de se conformer aux lois canadiennes régissant la protection des renseignements personnels, et 13 % considéraient que cela avait été difficile. Au fil du temps, il est devenu apparemment un peu plus difficile pour les entreprises de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels, car elles sont moins nombreuses qu’auparavant à avoir indiqué que cela avait été très facile.

La compréhension floue de la loi constitue l’obstacle ou le défi le plus souvent mentionné (17 %) pour ce qui est d’assurer la conformité aux lois du Canada régissant la protection des renseignements personnels. Huit pour cent des répondants ou moins ont mentionné plusieurs autres obstacles : le personnel doit y allouer du temps (8 %), cela entraîne des coûts (non liés au personnel) (7 %), il faut s’assurer que les employés se conforment aux lois (6 %), il faut garder ses connaissances à jour (5 %) et il faut conserver les renseignements dans un lieu sûr (4 %). Au moins 39 % des cadres n’ont pas répondu à la question.

Atteintes

On a demandé aux cadres d’évaluer leur niveau de préoccupation concernant le risque d’atteinte à la sécurité des renseignements personnels de leurs clients sur une échelle de sept points, où 1 signifie « pas du tout préoccupé » et 1, « extrêmement préoccupé ». Exactement 50 % d’entre eux ont indiqué ne pas être du tout préoccupés par le risque d’atteinte à la sécurité des renseignements personnels, alors que 24 % se sont dits fort préoccupés. Au total, un tiers des cadres ont choisi une note dans la partie supérieure de l’échelle, ce qui donne à penser qu’ils sont en fait modérément préoccupés par le risque d’atteinte. Au fil du temps, les entreprises canadiennes sont devenues moins préoccupées par le risque d’atteinte à la sécurité des renseignements personnels.

Priés de choisir dans une liste la plus grande menace à la sécurité susceptible de porter atteinte aux renseignements personnels au sein de leur entreprise, les cadres ont classé en tête de liste le piratage (24 %) et le vol (19 %). En outre, 11 % ont mentionné une erreur de la part d’un employé. Plusieurs autres menaces possibles ont été mentionnées par un petit nombre de cadres (3 % ou moins). Cinq pour cent des cadres ne pensaient toutefois à aucune menace, tandis que 25 % n’ont pas répondu à la question.

Cinquante-huit pour cent des entreprises sondées n’ont pas mis en place de directives en cas d’atteinte à la sécurité des renseignements personnels de leurs clients, et 5 % des répondants étaient incapables de dire avec certitude si leur entreprise s’était dotée de lignes directrices semblables. À l’inverse, 37 % des entreprises sondées disposent de lignes directrices au cas où une atteinte surviendrait. La grande majorité des entreprises (95 %) ont indiqué n’avoir jamais été confrontées à une atteinte à la sécurité des renseignements personnels de leurs clients. La proportion d’entreprises ayant adopté des lignes directrices pour faire face à une atteinte a légèrement augmenté depuis 2011 (31 %) et 2010 (34 %)Note de bas de page 1. Le nombre d’entreprises (4 %) qui ont indiqué avoir été confrontées à une atteinte à la sécurité des renseignements personnels est demeuré quasi inchangé depuis 2011 et 2010 (3 %).

Invités à indiquer ce que leur entreprise avait fait pour régler la situation, les représentants des entreprises confrontées à une atteinte ont répondu le plus souvent qu’ils avaient envoyé un avis aux personnes concernées (40 %). Les autres réponses choisies ont été le règlement du problème avec les personnes responsables de l’atteinte (29 %) et l’amélioration du système de sécurité (28 %). Par ailleurs, certaines entreprises ont offert une formation à leurs employés (18 %), revu leur politique sur la protection des renseignements personnels (18 %), envoyé un avis aux organismes d’application de la loi (17 %), envoyé un avis aux organismes gouvernementaux compétents (6 %), intenté des poursuites en justice (2 %), obtenu de l’information du gouvernement (1 %) ou envoyé un avis aux services concernés de l’entreprise (1 %). Huit pour cent des entreprises ont donné suite à l’atteinte par d’autres moyens.

Innovation au sein de l’entreprise

À la question portant sur l’existence de politiques au sein de l’entreprise pour évaluer les risques liés à la protection des renseignements personnels, les deux tiers des répondants (67 %) ont répondu que leur entreprise n’avait pas adopté de telles politiques, et 5 % ont indiqué ne pas savoir si c’était le cas.

Seulement 13 % des entreprises sondées transmettent les renseignements personnels de clients à un tiers aux fins de traitement, de conservation ou pour d’autres services. Les deux tiers (68 %) de celles qui ont recours à d’autres entreprises pour le traitement, la conservation ou tout autre service, y compris l’infonuagique, savent pertinemment qu’elles demeurent responsables de ces renseignements tandis que 31 % ne sont pas au courant de cette responsabilité.

La proportion d’entreprises ayant eu recours à des tiers pour le traitement des renseignements personnels de leurs clients est plus élevée en 2013 (13 %) qu’en 2011 (9 %), mais cette proportion demeure inférieure à celle de 2010 (18 %) Note de bas de page 2. Le nombre d’entreprises ayant des contrats en place avec un tiers pour assurer la protection des renseignements personnels de leurs clients a augmenté au fil du temps (59 % en 2013 comparativement à 54 % en 2011 et 50 % en 2010).

À la question de savoir si leur entreprise autorise les employés à utiliser des appareils électroniques personnels, comme un téléphone intelligent, une tablette ou un ordinateur portable, pour les besoins de leur travail, environ un représentant sur cinq (21 %) a répondu que l’entreprise permet aux employés d’utiliser leurs propres appareils pour les besoins de leur travail. Parmi ceux ci, toutefois, deux sur trois (64 %) ont indiqué que leur entreprise n’avait pas élaboré de politique interne officielle pour gérer les problèmes de sécurité découlant de cette pratique.

En 2013, la grande majorité des entreprises (96 %) ne recueillaient pas de renseignements personnels auprès de leurs clients à l’aide d’applications pour appareils mobiles. Seulement 3 % des représentants ont déclaré que leur entreprise utilisait ce genre d’applications pour recueillir des données.

Communications aux organismes d’application de la loi

Un petit nombre d’entreprises (4 %) seulement ont indiqué avoir reçu des demandes de renseignements personnels émanant de représentants d’organismes d’application de la loi n’ayant pas de mandat au cours des deux ou trois dernières années. Trois pour cent d’entre elles ont reçu entre une et cinq demandes, et 1 %, six demandes ou plus. Environ la moitié (48 %) des entreprises ayant reçu des demandes ont fourni les renseignements chaque fois qu’ils leur ont été demandés, tandis que 40 % n’ont jamais fourni les renseignements, et 13 % l’ont fait dans certains cas.

Obtention de précisions sur les responsabilités en vertu de la loi

La plupart des répondants (86 %) ont indiqué que leur entreprise n’avait jamais cherché à obtenir des précisions sur ses responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels, alors qu’environ un répondant sur 10 a indiqué que son entreprise avait cherché à obtenir de telles précisions.

Pour les entreprises qui ont cherché à obtenir des précisions, la principale source d’information a été Internet (43 %), 19 % se sont adressées à un organisme gouvernemental (fédéral, provincial ou général), 14 % ont demandé conseil à un avocat, 12 % ont consulté des experts de l’industrie, des sociétés d’experts-conseils ou des sources du domaine de l’éducation, 9 % se sont adressées à une association industrielle, 9 % ont communiqué avec le Commissariat à la protection de la vie privée et 4 % ont utilisé leurs ressources internes.

Lorsqu’on compare les résultats du sondage à ceux des sondages précédents, on constate que la proportion d’entreprises (11 %) ayant cherché à obtenir des précisions sur leurs responsabilités aux termes des lois canadiennes régissant la protection de la vie privée en 2013 a chuté puisqu’elle était respectivement de 22 % en 2007, de 22 % en 2010 et de 13 % en 2011. Les sources consultées par les entreprises pour obtenir des précisions ont beaucoup changé depuis le début du suivi en 2010. Les entreprises sont proportionnellement plus nombreuses (43 %) à se tourner vers Internet pour obtenir des précisions qu’en 2011 (28 %), et également à s’adresser à des experts de l’industrie, à des sociétés d’experts-conseils ainsi qu’à des sources du domaine de l’éducation (12 % comparativement à 2 % en 2010 mais à 16 % en 2011).

Commissariat à la protection de la vie privée du Canada

Quarante-et-un pour cent des cadres sondés savent que le Commissariat offre de l’information et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels.

Parmi les cadres qui connaissent le rôle du Commissariat, la majorité (78 %) ont indiqué ne jamais avoir eu recours à ses ressources. En effet, moins d’un cadre sur cinq (17 %) a eu recours aux ressources du Commissariat, mais 5 % des répondants ne pouvaient pas dire avec certitude si leur entreprise s’était déjà adressée au Commissariat ou pas. Pour les entreprises ayant eu recours aux ressources du Commissariat pour assumer leurs obligations en matière de protection des renseignements personnels, le site Web du Commissariat (56 %) constitue la principale source de référence. Plus précisément, 23 % des entreprises ont consulté les orientations en matière de politiques du Commissariat, 11 % ses publications, 4 % une présentation ou un exposé du Commissariat et 2 % ont téléphoné au Centre d’information du Commissariat.

Pour ce qui est de l’utilité des ressources sur la protection des renseignements personnels obtenues du Commissariat, lorsqu’on leur a demandé d’attribuer une note sur une échelle de 7 points où 7 signifie « extrêmement utile » et 1, « pas du tout utile », 75 % des cadres sondés ont attribué une note dans la partie supérieure de l’échelle, 35 % les jugeant extrêmement utiles. Cependant, 21 % des répondants ont indiqué qu’elles n’avaient été ni utiles ni inutiles ou qu’elles avaient été peu utiles. Cinq répondants ont accordé une faible note à l’utilité des ressources du Commissariat (notes de 1 à 3). À la question leur demandant d’expliquer pourquoi les renseignements ne leur avaient pas été utiles, ils ont répondu qu’ils connaissaient déjà l’information ou que l’information n’était pas adaptée à la taille de leur entreprise.

Depuis le début du suivi, en 2010, les entreprises trouvent que les ressources du Commissariat sont devenues plus utiles. Aujourd’hui, 75 % estiment qu’elles sont utiles (5 à 7 sur une échelle de sept points), comparativement à 72 % en 2011 et à 55 % en 2010.

Variations entre les sous-groupes

La taille de l’entreprise est la variable explicative la plus évidente du comportement d’une entreprise en ce qui a trait à la protection de la vie privée ainsi que du nombre de mécanismes dont elle dispose pour protéger les renseignements personnels. Les grandes entreprises (comptant au moins 100 employés) sont plus susceptibles d’adopter une variété de méthodes de protection des renseignements des clients, de demander à leurs employés de modifier régulièrement leurs mots de passe, d’avoir des représentants désignés pour prendre en charge les questions liées à la protection de la vie privée et d’élaborer des politiques internes pour assumer leurs obligations à cet égard. Elles sont également plus à même d’accorder une grande importance à la protection des renseignements personnels, de demander des précisions concernant leurs responsabilités en vertu des lois sur la protection des renseignements personnels et de bien connaître la LPRPDE. Les entreprises comptant plus d’employés sont également plus nombreuses à demander des précisions sur leurs responsabilités en vertu de ces lois.

Quand on examine les données par région, on observe que les entreprises établies au Québec donnent souvent des réponses légèrement différentes de celles établies ailleurs au Canada. Par exemple, les entreprises québécoises sont généralement moins nombreuses à disposer de procédures et de mécanismes pour protéger les renseignements personnels, à avoir désigné un responsable des questions liées à la protection de la vie privée et à avoir mis en place des politiques internes qui expliquent leurs obligations en matière de protection des renseignements personnels. Toutefois, elles sont également moins enclines à recueillir des renseignements sur les clients pour la prestation de services.

Introduction

Le Commissariat à la protection de la vie privée (CPVP) a retenu les services de Phoenix Strategic Perspectives Inc. (Phoenix) afin de réaliser une étude quantitative sur les enjeux liés à la protection de la vie privée auprès des entreprises canadiennes.

Contexte et objectifs

À titre de défenseur des droits des Canadiens en matière de protection de la vie privée, le Commissariat est autorisé à enquêter sur des plaintes et à mener des vérifications en vertu de deux lois fédérales, à publier de l’information sur les pratiques de traitement des renseignements personnels dans les secteurs public et privé, ainsi qu’à effectuer de la recherche sur les enjeux liés au respect de la vie privée. Aux termes de son mandat, le Commissariat est responsable de la surveillance de la conformité à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui régit les activités commerciales dans les provinces de l’Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Bien que le Québec, l’Alberta et la Colombie Britannique aient chacune leur propre loi régissant le secteur privé, la LPRPDE s’applique aux entreprises du secteur privé sous réglementation fédérale ainsi qu’aux renseignements personnels utilisés dans les transactions interprovinciales et internationales.

Comme le Commissariat a pour mandat de protéger et de promouvoir les droits à la protection des renseignements personnels et, à terme, de fournir des orientations aux individus et aux organisations concernant les questions relatives à la protection des renseignements personnels, il doit savoir :

  • dans quelle mesure les entreprises canadiennes ont une bonne connaissance des questions et des exigences en matière de protection des renseignements personnels;
  • quel est le type de politiques et de pratiques liées à la protection des renseignements personnels mises en place par les entreprises;
  • si les entreprises ont une bonne connaissance des lois canadiennes régissant la protection des renseignements personnels et de leurs responsabilités connexes;
  • si les entreprises sont sensibilisées aux questions et pratiques nouvelles en matière de protection des renseignements personnels et leur capacité d’y donner suite.

Le Commissariat s’efforce de comprendre ces questions dans le contexte de l’évolution des tendances, grâce au suivi de questions clés d’évaluation comparative. Ces objectifs ont été pris en compte dans le cadre de la recherche, qui servira à préciser l’approche qu’adoptera le CPVP pour s’acquitter de son mandat à l’égard des entreprises canadiennes.

Conception de la recherche

Pour respecter les objectifs de la recherche, un sondage téléphonique a été réalisé auprès de 1 006 entreprises de toutes les régions du Canada.

Les critères de sondage suivants ont été retenus :

  • Le répondant ciblé devait être un décideur de niveau supérieur ayant une connaissance des pratiques de protection des renseignements personnels et de sécurité de l’entreprise ainsi que des responsabilités connexes.
  • On a eu recours à une méthode d’échantillonnage aléatoire stratifié pour recueillir les données. La base d’échantillonnage a été achetée auprès de Dun & Bradstreet (D&B). Une base d’échantillonnage aléatoire employant une proportion d'échantillons et d'entrevues terminées de 10 sur 1 a été générée pour déterminer le contingent de chacun des trois groupes cibles (formés en fonction de la taille des entreprises) : petite (de 1 à 19 employés); moyenne (de 20 à 99 employés) et grande (de 100 employés ou plus). La base d’échantillonnage a été générée en fonction du nombre d’entreprises par région dans chacun des trois groupes.
  • Une note d’information détaillée a été préparée par Phoenix (et approuvée par le Commissariat) à l’intention de l’intervieweur pour le guider dans le processus de collecte de données.
  • Pour les besoins du test préalable effectué par téléphone, dix entrevues ont été réalisées dans chacune des deux langues officielles. Les entrevues ont été enregistrées numériquement et passées en revue par la suite.
  • Phoenix a écouté les entrevues réalisées dans le cadre du test préalable et a examiné les données ainsi recueillies. Ces données n’ont pas été incluses dans les données finales du sondage puisque des changements ont été apportés au questionnaire après le test préalable.
  • La durée moyenne des entrevues, réalisées dans la langue officielle choisie par le répondant, a été de 15 minutes.
  • Les appels ont été effectués à divers moments de la journée et de la semaine afin de maximiser les possibilités de joindre les répondants.
  • Certains répondants éventuels ont été rappelés jusqu’à dix reprises avant que leur dossier ne soit retiré de l’échantillon.
  • L’échantillon a fait l’objet d’un suivi rigoureux durant la période de collecte de données de manière à assurer une gestion efficace pour respecter les objectifs de l’étude et à maximiser le taux de réponse.
  • Le sondage a été inscrit auprès du système national d’enregistrement des sondages de l’Association de la recherche et de l’intelligence marketing (ARIM).
  • Le commanditaire du sondage (le Commissariat) a été révélé.
  • Les données ont été recueillies du 7 au 27 novembre 2013.
  • Le tableau qui suit décrit la répartition finale des appels du sondage, de même que le taux de réponse connexe (selon la formule de l’ARIM)Note de bas de page 3:

Répartition des appels

  • Nombre total de tentatives : 10 709
  • Non admissibles ̶ non valides : 1 124
  • N’ayant donné aucun résultat : 4 466
    • Pas de réponse/répondeur : 4 466
  • Admissibles ̶ non-réponse (IS) : 1 623
    • Problème de langue : 63
    • Incapacité de répondre (maladie/décès) : 11
    • Rappel (répondant non disponible) : 1 549
  • Nombre total de demandes : 3 496
    • Refus : 2 293
    • Le répondant raccroche : 50
  • Admissibles ̶ réponse (R) : 1 153
    • Entrevue réalisée : 1 006
    • NQ — Contingent complet — taille de l’entreprise : 114
    • NQ - Q1 (SANS BUT LUCRATIF/NSP/REF) : 33
  • Taux de réponse : 15,9

Toutes les tâches effectuées respectent à tout le moins les normes de l’industrie déterminées par l’ARIM, l’association de l’industrie chargée de la recherche par sondages, ainsi que la législation fédérale applicable (LPRPDE). Les tâches ont également été réalisées en conformité avec les Normes pour la recherche sur l’opinion publique effectuée par le gouvernement du Canada — Sondages téléphoniques.

Analyse

Les données finales ont été pondérées pour tenir compte de la constitution des échantillons en fonction de la taille de l’entreprise, de la région et de l’industrie afin de refléter la représentativité des entreprises à l’échelle nationale. Les statistiques canadiennes relatives à la répartition des entreprises selon la taille, la région et l’industrie proviennent du Registre des entreprises de Statistique Canada.

Le scénario de pondération tient compte de trois variables : la taille de l’entreprise, la région et l’industrie. Les entreprises de la catégorie « indéterminée » établie par Statistique Canada ont été exclues des distributions en fonction de la taille utilisées pour pondérer les données du sondage.

Trois systèmes de pondération ont été créés pour chacun des ensembles de résultats suivants : 1) les résultats globaux, 2) les résultats régionaux, et 3) les résultats selon la taille des entreprises. Voici les détails :

  • Résultats globaux : Les résultats ont d’abord été pondérés en fonction de la taille des entreprises dans chaque région. On a retenu trois distributions pour la taille des entreprises (de 1 à 9 employés, de 20 à 99 employés, 100 employés et plus) et sept régions (Colombie-Britannique, Alberta, Saskatchewan, Manitoba, Ontario, Québec et provinces de l’Atlantique). Les résultats ont ensuite été pondérés selon l’industrie, à l’échelle nationale, à l’aide du Système de classification des industries de l’Amérique du Nord (SCIAN).
  • Résultats régionaux : Les résultats ont été pondérés par région (Terre-Neuve et Labrador, Nouveau-Brunswick, Nouvelle-Écosse et Île-du-Prince-Édouard, Québec, Ontario, Manitoba, Saskatchewan, Alberta et Colombie-Britannique) puis en fonction de l’industrie (toujours à l’aide du SCIAN). Comme pour les résultats globaux, les résultats régionaux ont été pondérés en fonction de l’industrie à l’échelle nationale seulement.
  • Résultats selon la taille des entreprises : Trois distributions ont été retenues (de 1 à 9 employés, de 20 à 99 employés et 100 employés et plus). Comme pour les résultats globaux et régionaux, les résultats selon la taille des entreprises ont été pondérés en fonction de l’industrie à l’échelle nationale seulement, à l’aide du SCIAN.

Avis aux lecteurs

  • Dans le présent rapport, on fait référence aux conclusions tirées de sondages semblables effectués pour le compte du Commissariat auprès d’entreprises canadiennes en 2007, 2010 et 2011. Comme les procédures de pondération de même que la formulation des questions diffèrent parfois d’un sondage à l’autre, il faut faire preuve de prudence lorsqu’on effectue des comparaisons.
  • À moins d’avis contraire, les résultats présentés dans le rapport sont exprimés sous forme de pourcentages.
  • Les pourcentages indiqués dans le rapport ne totalisent pas toujours 100 % parce que les chiffres ont été arrondis.
  • Il y a des différences dans le rapport entre les catégories démographiques et d’autres sous-groupes. Le texte qui explique ces différences est présenté dans un encadré et intitulé « Variations entre les sous-groupes » pour en faciliter le repérage. Seules les différences entre les sous-groupes qui sont statistiquement significatives à un niveau de confiance de 95 % ou qui s’inscrivent dans un modèle ou une tendance ont été mentionnées. Le tableau présenté à la page suivante explique en détail comment les caractéristiques ont été regroupées pour l’analyse.
  • On trouvera en annexe les versions française et anglaise du questionnaire.

Tableau 1: Catégories des sous-groupes

Catégories démographiques
Industries de baseNote de bas de page 4:
  • Administration publique
  • Arts, spectacles et loisirs
  • Commerce de détail
  • Finance et assurances*
  • Hébergement et services de restauration
  • Industrie de l’information et industrie culturelle
  • Services administratifs, de soutien, de gestion des déchets et d’assainissement
  • Services d’enseignement
  • Services immobiliers et services de location et de location à bail
  • Services professionnels, scientifiques et techniques
  • Services publics
  • Soins de santé et assistance sociale
  • Transport et entreposage
Industries secondaires :
  • Agriculture, foresterie, pêche et chasse
  • Autres services (sauf les administrations publiques)
  • Commerce de gros
  • Construction
  • Extraction minière et extraction de pétrole et de gaz
  • Fabrication
  • Gestion de sociétés et d’entreprises
  • Autre
Revenus
  • Moins de 1 000 000 $
  • De 1 000 000 $ à 9 999 999 $
  • De 10 000 000 $ à 19 999 999 $
  • 20 000 000 $ et plus
Région :
  • Québec
  • Canada atlantique
  • Alberta
  • Colombie-Britannique (et le Yukon)
  • Région du Grand Toronto (RGT)
  • Ontario (incluant la RGT)
  • Prairies (Saskatchewan, Manitoba), Territoires du Nord-Ouest et Nunavut
Modèle d’entreprise
  • Vend directement aux consommateurs
  • Vend directement à d’autres entreprises ou organisations
  • Vend directement aux consommateurs et à d’autres entreprises ou organisations
Emplacement de l’entreprise :
  • Elle œuvre uniquement à cet emplacement
  • Il y a d’autres emplacements, mais seulement dans la province
  • Il y a d’autres emplacements dans d’autres provinces, mais seulement au Canada
  • Il y a d’autres emplacements, y compris à l’étranger
Taille de l’entreprise :
  • Travailleur autonome (1 employé)
  • de 2 à 19 employés
  • de 20 à 99 employés
  • 100 employés ou plus
Catégories relatives au comportement
  • Importance perçue de la protection des renseignements personnels
    • Sans importance (1-3)
    • Ni l’un ni l’autre (4)
    • Important (5-7)
  • Connaissance des obligations relatives à la protection des renseignements personnels
    • Non informé (1-3)
    • Ni l’un ni l’autre (4)
    • Informé (5-7)
  • Difficulté perçue de la conformité :
    • Facile (1-3)
    • Ni l’un ni l’autre (4)
    • Difficile (5-7)
  • Préoccupation quant au risque d’atteinte à la sécurité des renseignements personnels
    • Non préoccupé (1-3)
    • Ni l’un ni l’autre (4)
    • Préoccupé (5-7)

Collecte et conservation de renseignements personnels

La présente section expose les pratiques employées par les entreprises pour protéger les renseignements personnels de leurs clients. On y aborde notamment les types de clients avec qui les entreprises font affaire et les types de renseignements qu’elles recueillent, l’utilisation qui en est faite, ainsi que les procédures et les politiques de protection qu’elles ont mises en vigueur.

Types d’entreprises différentes selon les clients servis

Les dirigeants d’entreprise qui ont participé au sondage travaillent pour un ensemble d’entreprises différentes pour ce qui est du type de clientèle service. Au total, 36 % de ces entreprises vendent directement aux consommateurs (soit individuellement ou à des regroupements de consommateurs). Presque autant (35 %) vendent à la fois directement aux consommateurs et à d’autres entreprises ou organisations. Environ le quart (26 %) des entreprises vendent uniquement à d’autres entreprises et organisations, et 2 % d’entre elles n’appartiennent à aucune de ces catégories.

Type d'entreprise

Figure 1 : Type d'entreprise

Q : Lequel des énoncés suivants décrit le mieux votre entreprise?
Type d'entreprise %
Autre 2 %
Elle vend directement aux consommateurs 36 %
Elle vend directement aux consommateurs et à d'autres entreprises ou organisations 35 %
Elle vend directement à d'autres entreprises ou organisations 26 %

Niveau de référence : n = 1006; tous les répondants
Ne sait pas/Pas de réponse = > 1 %

Coordonnées et information sur l’emplacement ̶ types de renseignements souvent recueillis

En ce qui concerne les types de renseignements recueillis sur les consommateurs, pratiquement toutes les entreprises sondés (97 %) recueillent leurs coordonnées, par exemple le nom, le numéro de téléphone et l’adresse. La grande majorité (83 %) recueillent des renseignements sur l’emplacement, comme le code postal. Parmi les autres renseignements assez souvent mentionnés, citons ceux de la catégorie des opinions, évaluations et commentaires (27 %), des renseignements financiers, comme les factures, les cartes de crédit et le dossier bancaire (25 %), les habitudes de consommation (18 %) et des renseignements médicaux (13 %). Deux pour cent des répondants recueillent les adresses de courriel des clients (d’autres le font certainement aussi, mais l’ont inclus dans la catégorie « coordonnées »).

Les renseignements inclus dans la catégorie « autre » comprennent la date d’anniversaire, de l’information sur le crédit, le numéro d’assurance sociale et le numéro de permis de conduire. Au total, 1 % des entreprises ont indiqué ne recueillir aucun de ces renseignements sur les clients.

Types de renseignements recueillis

Figure 2 : Types de renseignements recueillis

Q : Parmi les choix suivants, quels types de renseignements personnels recueillez-vous sur vos clients dans votre entreprise?
Types de renseignements recueillis %
Autres renseignements 7 %
Adresse de courriel 2 %
Renseignements médicaux 13 %
Habitudes de consommation 18 %
Renseignements financiers 25 %
Opinions, évaluations et commentaires 27 %
Renseignements sur l'emplacement 83 %
Coordonnées 97 %

Niveau de référence : n = 1006; tous les répondants

Réponses multiples acceptées; Ne sait pas/Pas de réponse = < 1="">

En ce qui concerne la diversité des renseignements recueillis, la plupart des entreprises (65 %) recueillent des renseignements appartenant à deux (39 %) ou trois (26 %) des catégories susmentionnées. Près du quart (24 %) des entreprises en recueillent davantage, tandis que 11 % en recueillent moins.

Variations entre les sous-groupes

Les différences suivantes entre les sous-groupes ressortent clairement :

  • Les entreprises qui vendent uniquement aux consommateurs sont généralement moins nombreuses à recueillir des données sur les clients que celles qui vendent à d’autres entreprises et celles qui vendent directement aux consommateurs et à d’autres entreprises. Par exemple, les entreprises qui vendent uniquement aux consommateurs sont moins nombreuses à recueillir des renseignements sur l’emplacement (76 %), des renseignements financiers (19 %) et des renseignements sur les habitudes de consommation (13 %).
  • Par rapport aux petites entreprises, les grandes entreprises recueillent généralement plus de renseignements sur les clients. Ainsi, les entreprises comptant 100 employés ou plus (43 %) sont plus nombreuses à recueillir des renseignements financiers que les petites : 37 % pour les entreprises comptant entre 20 et 99 employés, 24 % pour les entreprises en comptant entre 2 et 19, et 14 % pour les travailleurs autonomes. Les grandes entreprises sont également plus nombreuses à recueillir les renseignements suivants :
    • opinions, évaluations et commentaires des clients (54 %);
    • habitudes de consommation des clients (29 %);
    • renseignements sur l’emplacement (90 %);
    • renseignements médicaux (17 %).
  • Les membres des industries de base sont plus nombreux que ceux des industries secondaires à recueillir des renseignements médicaux (18 % contre 8 %) et des renseignements financiers (28 % contre 20 %).
  • Les représentants d’entreprises qui accordent une grande importance à la protection des renseignements personnels sont plus nombreux à indiquer que leur entreprise recueille les opinions, évaluations et commentaires de ses clients (30 %, contre 6 % de représentants qui sont indécis et 12 % de ceux qui la considèrent comme peu importante), des renseignements financiers (27 %, comparativement à 25 % et 8 % respectivement) et des renseignements médicaux (16 % comparativement à 1 % et 3 % respectivement).
  • Les représentants d’entreprises ayant parfaitement conscience de leurs obligations en matière de protection des renseignements personnels sont proportionnellement plus nombreux à travailler pour une entreprise qui recueille des renseignements médicaux auprès de ses clients (18 % comparativement à 6 % des entreprises qui sont indécises et à 3 % de celles qui ont signalé ne pas les connaître).
  • Les représentants ayant indiqué que leur entreprise a eu de la difficulté à se conformer aux lois canadiennes sur la protection des renseignements personnels sont généralement plus nombreux à travailler pour des entreprises qui recueillent les opinions, évaluations et commentaires des clients (37 % comparativement à 26 % de ceux qui ont indiqué que ce n’était ni difficile ni facile et à 24 % de ceux qui ont indiqué que c’était difficile).

Prestation de services ̶ utilisation la plus courante des renseignements sur les clients

Environ les deux tiers (68 %) des entreprises canadiennes utilisent les renseignements personnels des clients pour leur fournir un service. Un peu moins du tiers (31 %) les utilisent pour établir leur profil. Le marketing (17 %) et l’utilisation à des fins financières, comme la comptabilité et la facturation (14 %), sont également mentionnés assez souvent. Seulement 3 % déclarent utiliser les renseignements sur les clients à des fins de communications ou de contact.

Utilisation des renseignements sur les clients par l'entreprise

Figure 3 : Utilisation des renseignements sur les clients par l'entreprise

Q : Que fait votre entreprise des renseignements personnels qu'elle recueille concernant ses clients?
Utilisation des renseignements par l'entreprise %
Autres 5 %
Communications et contacts 3 %
Comptabilité ou facturation 14 %
Marketing 17 %
Établissement du profil des clients 31 %
Prestation des services 68 %

Niveau de référence : n = 1 006; tous les répondants

Réponses multiples acceptées; Ne sait pas/Pas de réponse = 8 %

Variations entre les sous-groupes

Les différences suivantes entre les sous-groupes ressortent clairement :

  • Les entreprises établies au Québec (51 %) sont généralement moins nombreuses à recueillir des renseignements sur leurs clients pour offrir des services. Elles sont suivies de celles du Canada atlantique (61 %), comparativement à 73 à 80 % des entreprises établies ailleurs au Canada.
  • Les entreprises qui vendent uniquement aux consommateurs sont moins nombreuses à utiliser les renseignements sur leurs clients pour offrir des services et pour les besoins de la comptabilité et de la facturation.
  • Les grandes entreprises sont plus nombreuses à utiliser les données qu’elles recueillent sur les clients pour fournir un service (81 % de celles comptant 100 employés ou plus, comparativement à 70 % ou moins des petites entreprises) et établir le profil des clients afin de personnaliser les services (41 % des entreprises comptant 100 employés ou plus comparativement à 28 % des travailleurs autonomes).
  • Les entreprises des industries secondaires sont proportionnellement plus nombreuses que celles des industries principales à utiliser les renseignements sur les clients pour les besoins de la comptabilité et de la facturation (18 % comparativement à 11 % dans les industries principales).
  • Les cadres non préoccupés par le risque d’atteinte à la sécurité des renseignements personnels sont moins susceptibles de travailler pour une entreprise qui utilise les renseignements des clients pour établir leur profil afin de personnaliser ses services (26 % comparativement à 38 % de ceux qui sont préoccupés et 43 % de ceux qui sont indécis).
  • Les entreprises qui ont adopté une politique sur la protection des renseignements personnels sont plus enclines à utiliser les renseignements sur les clients pour fournir des services (76 % comparativement à 61 % de celles qui n’ont pas instauré de politique officielle) et à établir le profil des clients (36 % comparativement à 27 % des entreprises dépourvue de politique officielle). Par conséquent, les représentants des entreprises sans politique sur la protection des renseignements personnels étaient plus nombreux à choisir la mention « Ne sait pas/pas de réponse » pour décrire la façon dont leur entreprise utilise les renseignements sur les clients.

Diverses méthodes utilisées pour conserver les renseignements personnels

Les entreprises canadiennes ont généralement recours à trois méthodes pour conserver les renseignements personnels sur leurs clients et chacune d’entre elles a été mentionnée par une nette majorité de leurs représentants, à savoir des dossiers papier entreposés sur place (62 %), des serveurs sur place (58 %) et des ordinateurs de bureau (55 %). Aucune autre méthode n’a été citée aussi souvent.

Près du quart (24 %) des entreprises utilise des appareils portables, comme des ordinateurs, des clés USB ou des tablettes, tandis qu’une proportion moindre a recours à l’infonuagique (7 %) ou à un tiers (à l’exception de l’infonuagique) (7 %).

Un peu plus des deux tiers (68 %) des entreprises canadiennes ont recours à plus d’une méthode pour conserver les renseignements personnels qu’elles recueillent sur leurs clients. Une proportion égale (32 %) d’entreprises utilise une ou deux méthodes de conservation des données sur leurs clients. Un peu plus du tiers (36 %) a recours à trois méthodes ou plus.

Méthodes de stockage des renseignements personnels

Figure 4 : Méthodes de stockage des renseignements personnels

Q : De quelles manières entreposez-vous les renseignements personnels de vos clients dans votre entreprise?
Méthodes de stockage %
Autre 1 %
Enregistrements vidéo et audio 1 %
Infonuagique 7 %
Tiers (à l'exception de l'infonuagique) 7 %
Dispositifs portables 24 %
Ordinateurs de bureau 55 %
Sur place sur des serveurs 58 %
Sur place en format papier 62 %

Niveau de référence : n = 1 006; tous les répondants

Ne sait pas/Pas de réponse = 3 %

Variations entre les sous-groupes

Les différences suivantes entre les sous-groupes ressortent clairement :

  • Parmi les entreprises qui vendent directement aux consommateurs, aux entreprises ou aux deux types de clients, celles qui vendent directement aux consommateurs sont généralement moins nombreuses à conserver les renseignements personnels des clients sur des serveurs sur place (48 % contre 61 % et 65 % pour les autres entreprises) et dans les ordinateurs de bureau (45 % contre 59 % et 63 % pour les autres entreprises). En revanche, les entreprises qui vendent uniquement aux entreprises sont plus nombreuses que les autres types d’entreprises à conserver les données des clients sur des dispositifs portables (32 % comparativement à 18 % et à 23 % pour les autres entreprises).
  • Le taux de probabilité applicable à la conservation des renseignements personnels des clients sur des serveurs sur place augmente avec la taille de l’entreprise. Les grandes entreprises (100 employés ou plus) sont également plus susceptibles d’entreposer les renseignements des clients sur support électronique grâce à l’infonuagique que les petites. En revanche, les petites entreprises sont proportionnellement plus nombreuses à entreposer les données des clients sur des ordinateurs de bureau.
  • Les entreprises des industries de base sont plus enclines à conserver les renseignements des clients sur des serveurs sur place (61 % comparativement à 53 % des entreprises des industries secondaires) et à confier la conservation des renseignements à un tiers (à l’exception de l’infonuagique) (10 % comparativement à 3 % pour les industries secondaires).
  • Les entreprises qui accordent une grande importance à la protection des renseignements personnels sont également plus nombreuses à conserver les données des clients sur des serveurs sur place (60 % comparativement à 53 % de celles qui estiment que la protection des renseignements personnels n’est ni importante ni insignifiante et à 44 % de celles qui la jugent peu importante).
  • Les entreprises qui connaissent bien leurs obligations en matière de protection des renseignements personnels sont plus nombreuses à conserver les données des clients sur des serveurs sur place que celles qui les connaissent moins bien (62 % comparativement à 53 % de celles qui ne sont ni sensibilisées ni non sensibilisées et à 46 % de celles qui ne sont pas sensibilisées).

Pratiques liées à la protection des renseignements personnels

Une minorité utilise le chiffrement sur les dispositifs portables

On a demandé aux cadres dont l’entreprise utilise des dispositifs portables comme les ordinateurs, les clés USB ou les tablettes pour conserver les renseignements personnels de leurs clients si cette dernière utilise ou non le chiffrement pour protéger les renseignements conservés de cette façon. Trente-six pour cent des répondants ont répondu par l’affirmative, tandis que 58 % ont déclaré que ce n’était pas le cas. Six pour cent étaient incertains.

Utilisation du chiffrement sur les dispositifs portables

Figure 5 : Utilisation du chiffrement sur les dispositifs portables

Q : Dans votre entreprise, utilisez-vous le chiffrement pour protéger les renseignements personnels que vous entreposez dans des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes?
Utilisation du chiffrement %
Oui 36 %
Non 58 %
Pas certains 6 %

Niveau de référence : n = 224; les entreprises qui possèdent un dispositif portable

Les chiffres ayant été arrondis, leur somme peut ne pas correspondre à 100 %

Comparativement à 2011, le nombre d’entreprises qui conservent des renseignements personnels sur les dispositifs portables est demeuré pratiquement le même, mais le pourcentage d’entreprises utilisant le chiffrement sur ces appareils a légèrement diminué, passant de 44 % en 2011 à 36 % en 2013.

Variations entre les sous-groupes

Le taux de probabilité d’utilisation du chiffrement est le plus élevé parmi les entreprises qui accordent une grande importance à la protection des renseignements personnels (42 % contre 5 % à 20 % pour les entreprises qui y accordent une faible importance) et celles qui connaissent le mieux leurs obligations en matière de protection des renseignements personnels (49 % contre 11 % à 19 % pour les entreprises qui les connaissent moins bien).

Outils technologiques, mesures matérielles ̶ principaux moyens de protection des renseignements personnels concernant les clients

Les entreprises canadiennes utilisent diverses méthodes pour protéger les renseignements personnels de leurs clients. Plus des trois quarts emploient des outils technologiques, comme les mots de passe, le chiffrement ou les pare-feu (78 %), ou des mesures matérielles, comme le verrouillage des classeurs, la restriction de l’accès ou des alarmes de sécurité (78 %). Près des deux tiers (65 %) utilisent des contrôles organisationnels, comme des politiques et des procédures.

Sept pour cent disent ne prendre aucune mesure.

Examinées sous un angle légèrement différent, 77 % des entreprises canadiennes utilisent plus d’une méthode pour protéger les renseignements personnels de leurs clients. Par contre, 23 % ont recours à une seule méthode.

Méthodes utilisées pour protéger les renseignements personnels des clients

Figure 6 : Méthodes utilisées pour protéger les renseignements personnels des clients

Q : Quelles mesures prenez-vous pour protéger les renseignements personnels de vos clients?
Méthodes %
Aucune mesure 7 %
Contrôles organisationnels 65 %
Mesures matérielles 78 %
Outils technologiques 78 %

Niveau de référence : n = 1 006; tous les répondants

Réponses multiples acceptées; Ne sait pas/Pas de réponse = 1 %

Variations entre les sous-groupes

Les différences suivantes entre les sous-groupes ressortent clairement :

  • Les entreprises des Prairies sont proportionnellement les plus nombreuses (80 %) à disposer de politiques et de procédures (contrôles organisationnels) pour protéger les renseignements personnels de leurs clients, tandis que celles du Québec (41 %) arrivent au dernier rang au chapitre des contrôles organisationnels.
  • Les entreprises qui vendent uniquement aux clients sont proportionnellement les moins nombreuses à utiliser des outils technologiques (66 %) et des contrôles organisationnels particuliers (56 %) pour protéger les renseignements personnels de leurs clients. Quant aux entreprises qui vendent directement aux consommateurs, elles sont les plus nombreuses à utiliser des mesures matérielles comme le verrouillage des classeurs et des alarmes de sécurité (84 %).
  • Les grandes entreprises sont généralement plus enclines à adopter diverses mesures pour protéger les renseignements de leurs clients. Parallèlement, les travailleurs autonomes sont les moins susceptibles de disposer de mesures pour protéger les renseignements de leurs clients (24 % contre 1 % à 5 % des entreprises comptant au moins deux employés).
  • Les entreprises qui estiment que la protection des renseignements personnels est peu importante sont les moins enclines à adopter des mesures de sécurité de type verrouillage ou alarme de sécurité (54 %) et à avoir mis en place des politiques et des procédures de confidentialité (33 %). Par contre, les entreprises qui accordent une plus grande importance à la protection des renseignements personnels sont les plus susceptibles d’avoir mis en œuvre des outils technologiques, comme les mots de passe, le chiffrement ou les pare-feu (83 %).
  • Les entreprises qui, selon les cadres, connaissent bien leurs obligations en matière de protection des renseignements personnels sont comparativement plus nombreuses à avoir mis en œuvre des outils technologiques (67 %), des contrôles matériels (65 %) et des contrôles opérationnels (50 %).

Mots de passe, pare-feu ̶ les outils le plus souvent utilisés pour protéger l’information

Parmi ceux qui ont indiqué utiliser des outils technologiques pour protéger les renseignements des clients, presque tous (98 %) ont recours aux mots de passe. Par ailleurs, 82 % utilisent des pare-feu et 48 %, le chiffrement.

Outils technologiques utilisés

Figure 7 : Outils technologiques utilisés

Q : Quels outils technologiques utilisez-vous?
Outils technologiques %
Autre 2 %
Chiffrement 48 %
Pare-feu 82 %
Mots de passe 98 %

Niveau de référence : n = 852; ceux qui utilisent des outils technologiques

Réponses multiples acceptées; Ne sait pas/Pas de réponse = 1 %

Par rapport aux résultats de 2011, l’utilisation de ces outils a légèrement augmenté : mots de passe (98 % comparativement à 96 % en 2011), pare-feu (82 % contre 79 % en 2011) et chiffrement (48 % contre 43 % en 2011).

Variations entre les sous-groupes
  • Le taux de probabilité applicable à l’utilisation de ces outils technologiques est le plus faible parmi les entreprises du Québec, les travailleurs autonomes et les entreprises exerçant leurs activités dans les industries secondaires.
  • Les entreprises comptant 100 employés ou plus sont les plus nombreuses à utiliser ces trois outils.
  • Les entreprises dont les représentants ont indiqué qu’elles connaissaient bien leurs obligations en matière de protection des renseignements personnels sont proportionnellement plus nombreuses à utiliser ces trois outils.

Parmi les entreprises utilisant des mots de passe, 55 % disposent de contrôles pour veiller à ce que les employés utilisent des mots de passe difficiles à trouver (6 % étaient incertaines). La plupart demandent aussi à leurs employés de modifier leurs mots de passe selon une fréquence variable : 21 % chaque mois, 17 % chaque trimestre, 10 % tous les six mois, 10 % une fois par année et 6 % moins d’une fois par année. Dans un peu plus du quart (27 %) des entreprises, les employés ne sont pas tenus de modifier leurs mots de passe. Ces constatations n’ont pratiquement pas changé depuis le sondage de 2011.

Contrôles employés pour s'assurer que les mots de passe sont difficiles à trouver

Figure 8 : Contrôles employés pour s'assurer que les mots de passe sont difficiles à trouver

Q : Avez-vous pris des mesures pour veiller à ce que les employés utilisent des mots de passe difficiles à deviner?
Contrôles %
Oui 55 %
Non 39 %
Ne sait pas 6 %

Niveau de référence : n = 837; ceux qui utilisent des mots de passe

Fréquence de la modification obligatoire des mots de passe

Figure 9 : Fréquence de la modification obligatoire des mots de passe

Q : À quelle fréquence demandez-vous à vos employés de modifier leurs mots de passe?
Fréquence %
Une fois par mois 21 %
Une fois par trimestre 17 %
Tous les six mois 10 %
Une fois par année 10 %
Moins fréquemment 6 %
Les employés ne sont pas tenus de modifier leurs mots de passe 27 %

Niveau de référence : n = 837; ceux qui utilisent des mots de passe

Ne sait pas/Pas de réponse = 8 %

Variations entre les sous-groupes
  • On observe une corrélation positive entre la fréquence à laquelle les employés sont tenus de modifier leurs mots de passe et l’importance accordée par les entreprises à la protection des renseignements personnels et leur connaissance de leurs obligations à cet égard.
  • Les entreprises qui comptent 100 employés ou plus font preuve de la plus grande diligence en obligeant leurs employés à modifier leurs mots de passe ̶ elles sont proportionnellement plus nombreuses à obliger les employés à modifier leurs mots de passe une fois par mois (29 %) et une fois par trimestre (34 %). Par conséquent, les entreprises comptant moins de 100 employés sont plus susceptibles de ne pas obliger leurs employés à modifier leurs mots de passe (23 % à 32 % comparativement à 11 % pour les entreprises comptant 100 employés ou plus).
  • On observe une corrélation positive entre la probabilité qu’une entreprise dispose de contrôles pour assurer que les mots de passe sont difficiles à deviner et : l’importance qu’elle estime devoir accorder à la protection des renseignements personnels, la connaissance qu’elle a de ses obligations en matière de protection des renseignements personnels, et la perception de la difficulté qu’elle a à se conformer aux lois sur la protection des renseignements personnels.

Diversité des expériences concernant les pratiques de protection des renseignements personnels

On a demandé aux représentants d’entreprises s’ils avaient mis en place des mécanismes relatifs à la protection des renseignements personnels, notamment :

  • désignation d’un employé responsable des questions liées à la protection de la vie privée et des renseignements personnels que détient l’entreprise;
  • élaboration et documentation de politiques internes à l’intention du personnel expliquant les obligations que leur impose la loi en matière de protection des renseignements personnels;
  • prestation d’une formation et communication d’information sur la protection des renseignements personnels et ce, sur une base régulière;
  • mise en place de procédures pour répondre aux demandes de leurs clients concernant l’accès à leurs renseignements personnels;
  • mise en place de procédures pour gérer les plaintes des clients qui estiment que leurs renseignements personnels ont été traités de façon inadéquate;
  • mise en place d’une politique sur la protection des renseignements personnels qui explique aux clients comment ils recueillent et utilisent leurs renseignements personnels.

Plus de la moitié des entreprises sondées ont recours à quatre de ces pratiques, à savoir la désignation d’un employé responsable de la protection des renseignements personnels (58 %), la mise en place de politiques internes à l’intention du personnel expliquant les obligations en matière de protection des renseignements personnels (51 %), la mise en place de procédures pour gérer les plaintes des clients (51 %) et la mise en place de procédures pour répondre aux demandes des clients concernant leurs renseignements personnels (50 %).

Moins de la moitié (45 %) ont mis en place une politique sur la protection des renseignements personnels qui explique aux clients comment elles recueillent et utilisent les renseignements personnels, tandis qu’un tiers (34 %) fournit régulièrement aux employés une formation et de l’information sur la protection des renseignements personnels.

Pratiques des entreprises en matière de protection des renseignements personnels

Figure 10 : Pratiques des entreprises en matière de protection des renseignements personnels

Pratiques en matière de protection des renseignements personnels % ayant répondu oui
Fournit aux employés une formation sur la protection des renseignements personnels 33 %
A adopté une politique sur la protection des renseignements personnels 45 %
A mis en place des procédures pour répondre aux demandes des clients concernant les renseignements personnels 50 %
A mis en place des procédures pour gérer les plaintes en matière de protection des renseignements personnels 51 %
A élaboré des politiques internes à l'intention du personnel sur la protection des renseignements personnels 51 %
A désigné un responsable de la protection de la vie privée 58 %

Niveau de référence : n = 1 006; tous les répondants

Environ deux entreprises sur trois (70 %) ont adopté plus d’un mécanisme. Deux sur cinq (40 %) en ont adopté au moins quatre, 14 % seulement un, et 16 % n’en ont adopté aucun.

Nombre de mécanismes adoptés Pourcentage d’entreprises Pourcentage d’entreprises ayant au moins adopté ce nombre de mécanismes
Aucun 16 % s.o.
1 14 % 84 %
2 14 % 70 %
3 15 % 55 %
4 14 % 40 %
5 11 % 26 %
6 15 % 15 %
Variations entre les sous-groupes

Les différences suivantes entre les sous-groupes ressortent clairement :

  • On observe une corrélation positive entre la probabilité qu’une entreprise ait désigné une personne responsable des questions liées à la protection des renseignements personnels et les éléments suivants : le nombre d’employé, l’importance qu’elle estime devoir accorder à la protection des renseignements personnels et sa connaissance des obligations connexes. Le taux de probabilité applicable à la désignation d’une personne responsable des questions liées à la protection des renseignements personnels est le plus élevé pour :
    • les entreprises comptant 100 employés ou plus (72 %);
    • les entreprises des industries secondaires (62 %);
    • les entreprises accordant une grande importance à la protection des renseignements personnels (64 %);
    • les entreprises connaissant le mieux leurs obligations en matière de protection des renseignements personnels (65 %).
  • On observe une corrélation positive entre la probabilité qu’une entreprise ait élaboré des politiques internes expliquant les obligations en matière de protection des renseignements personnels et les facteurs suivants : le nombre d’employés, l’importance que l’entreprise estime devoir accorder à la protection des renseignements personnels et sa connaissance des obligations connexes. Le taux de probabilité applicable à l’existence de politiques documentées est le plus élevé pour :
    • les entreprises comptant 100 employés ou plus (78 %);
    • les entreprises des industries de base (56 %);
    • celles qui accordent une grande importance à la protection des renseignements personnels (58 %);
    • celles qui connaissent mieux leurs obligations en matière de protection des renseignements personnels (63 %).
  • On observe une corrélation positive entre la probabilité qu’une entreprise donne à ses employés une formation et de l’information sur les renseignements personnels et les éléments suivants : l’importance accordée à la protection des renseignements personnels, sa connaissance des obligations en matière de protection des renseignements personnels et sa préoccupation concernant le risque d’atteinte à la protection des données. Le taux de probabilité applicable à l’offre de formation est le plus élevé pour :
    • celles qui accordent une grande importance à la protection des renseignements personnels (39 %);
    • celles qui connaissent mieux leurs responsabilités en matière de protection des renseignements personnels (45 %);
    • celles qui sont davantage préoccupées par le risque d’atteinte à la protection des données (40 %).
  • La probabilité de la mise en place de procédures pour répondre aux demandes d’information des clients est la plus élevée pour :
    • les entreprises qui vendent directement aux consommateurs et aux entreprises (57 %);
    • les entreprises des industriels principales (58 %);
    • les entreprises qui accordent une grande importance à la protection des renseignements personnels (57 %);
    • les entreprises qui connaissent mieux leurs obligations en matière de protection des renseignements personnels (57 %).
  • On observe une corrélation positive entre la probabilité qu’une entreprise ait mit en place des procédures pour gérer les plaintes de clients qui estiment que leurs renseignements personnels ont été traités de façon inadéquate et les éléments suivants : le nombre d’employés, l’importance que l’entreprise estime devoir accorder à la protection des renseignements personnels, la connaissance des lignes directrices sur la protection des renseignements personnels et le degré de préoccupation concernant le risque d’atteinte à la sécurité des renseignements personnels. Le taux de probabilité applicable à la mise en place des procédures est le plus élevé pour :
    • les entreprises qui vendent aux entreprises et directement aux consommateurs (58 %);
    • les entreprises qui comptent 100 employés ou plus (61 %);
    • les entreprises des industries de base (55 %);
    • les entreprises qui accordent beaucoup d’importance à la protection des renseignements personnels (57 %);
    • les entreprises qui connaissent bien leurs obligations en matière de protection des renseignements personnels (59 %);
    • les entreprises qui sont le plus préoccupées par le risque d’atteinte à la sécurité des renseignements personnels (55 %).
    • On observe une corrélation positive entre la probabilité qu’une entreprise ait une politique sur la protection des renseignements personnels expliquant aux clients comment elle recueille et utilise leurs renseignements personnels et les éléments suivants : le nombre d’employés, l’importance que l’entreprise estime devoir accorder à la protection des renseignements personnels et sa connaissance des obligations en matière de protection des renseignements personnels. Le taux de probabilité applicable à la fourniture d’explications aux clients est le plus élevé pour :
      • les entreprises qui comptent 100 employés ou plus (51 %);
      • les entreprises des industries de base (50 %);
      • les entreprises qui accordent une plus grande importance à la protection des renseignements personnels (51 %);
      • les entreprises qui connaissent mieux leurs obligations en matière de protection des renseignements personnels (56 %).

Les entreprises du Québec sont généralement proportionnellement moins nombreuses à prendre des mesures pour améliorer leur capacité de gérer en privé les données des clients. Par exemple, elles sont moins nombreuses à avoir désigné un responsable pour les questions liées à la protection de la vie privée et des renseignements personnels (34 % contre 55 à 67 % pour les entreprises des autres régions) et à disposer d’une politique sur la protection des renseignements personnels expliquant aux clients la façon dont elles recueillent et utilisent leurs renseignements personnels (24 % contre 46 % à 58 % des entreprises des autres régions).

La protection des renseignements personnels en tant qu’objectif organisationnel

La présente section porte sur la façon dont les entreprises perçoivent la protection des renseignements comme un objectif organisationnel et la confiance dans la capacité de l’entreprise à protéger les renseignements personnels de ses clients.

La plupart des entreprises accordent une grande importance à la protection des renseignements personnels

De l’avis de la plupart des cadres, leur entreprise accorde une grande importance à la protection des renseignements personnels. Plus de la moitié (59 %) ont attribué à ce facteur la note la plus élevée (sur une échelle de sept points), ce qui indique qu’à leurs yeux, la protection des renseignements personnels des clients constitue un objectif très important de leur entreprise. Au total, 82 % attribuent une note dans la partie supérieure de l’échelle, indiquant qu’il s’agit d’un objectif important. À l’autre extrémité, 7 % indiquent clairement que la protection des renseignements personnels des clients n’est pas du tout un objectif important pour leur entreprise.

Perception de l'importance de la protection des renseignements personnels

Figure 11 : Perception de l'importance de la protection des renseignements personnels

Q : Dans quelle mesure la protection des renseignements personnels de vos clients est-elle importante pour votre entreprise?
Perception de l'importance %
Très importante (7) 59 %
6 11 %
5 12 %
4 5 %
3 3 %
2 2 %
Pas du tout importante (1) 7 %

Niveau de référence : n = 1 006; tous les répondants

Ne sait pas/Pas de réponse = 1 %

Variations entre les sous-groupes

La propension à accorder une grande importance (6 ou 7 sur une échelle de 7 points) à la protection des renseignements personnels est la plus forte parmi les entreprises qui :

  • vendent aux consommateurs uniquement (65 %) ou vendent aux consommateurs et aux entreprises (62 % comparativement à 44 % pour celles qui vendent uniquement aux entreprises);
  • comptent 100 employés ou plus (67 % contre 55 % et 59 % chez les petites et moyennes entreprises);
  • appartiennent à des industries de base (65 % comparativement à 50 % dans les industries secondaires);
  • sont mieux au courant de leurs obligations en matière de protection des renseignements personnels (85 % comparativement à 54 % ou moins chez les entreprises moins au courant);
  • sont davantage préoccupées par le risque d’atteinte à la sécurité des renseignements personnels (70 % comparativement à 52 % et à 58 % des entreprises non préoccupées).

Grande confiance dans la capacité de l’entreprise à protéger l’information

Les représentants d’entreprises ont fait état d’une grande confiance dans la capacité de leur entreprise à protéger parfaitement les renseignements personnels qu’elle recueille sur leurs clients. En effet, plus des deux tiers (69 %) ont indiqué être tout à fait convaincus tandis que presque tous les autres (28 %) se sont dits moyennement convaincus.

Confiance dans la capacité de l'entreprise à protéger l'information

Figure 12 : Confiance dans la capacité de l'entreprise à protéger l'information

Q : Dans quelle mesure êtes-vous convaincu que votre entreprise sait comment protéger parfaitement les renseignements personnels que vous recueillez?
Confiance %
Tout à fait convaincu 69 %
Moyennement convaincu 28 %
Pas Très convaincu 1 %
Pas du tout convaincu 1 %

Niveau de référence : n = 1 006; tous les répondants

Ne sait pas/Pas de réponse = 1 %

Variations entre les sous-groupes

Les différences suivantes entre les sous-groupes ressortent clairement :

  • Les cadres des entreprises qui vendent uniquement aux consommateurs sont plus confiants dans la capacité de leur entreprise à protéger les renseignements des clients (73 % comparativement à 61 % des entreprises qui vendent aux entreprises et à 68 % des entreprises qui vendent aux consommateurs et aux entreprises).
  • Les entreprises des industries de base sont les plus confiantes (72 % comparativement à 65 % des autres).
  • Les cadres qui considèrent la protection des renseignements personnels comme importante ont plus confiance dans la capacité de leur entreprise à protéger les renseignements personnels des clients (74 % comparativement à 28 % des entreprises qui ont exprimé un avis mitigé et à 53 % de celles qui ne la jugeaient pas importante).
  • Les cadres qui se disent au courant de leurs obligations en matière de protection des renseignements personnels ont plus confiance dans la capacité de leur entreprise à protéger les renseignements des clients (77 % comparativement à 61 % ou moins pour les entreprises qui ont fait état d’une moins bonne connaissance de leurs obligations).
  • Les cadres qui estiment qu’il est facile se conformer aux lois sur la protection des renseignements personnels ont plus confiance dans la capacité de leur entreprise à protéger les renseignements de leurs clients (79 % comparativement à 66 % ou moins pour les entreprises qui estiment qu’il n’est pas facile de se conformer aux lois).

Sensibilisation aux lois sur la protection des renseignements personnels et répercussions de ces lois

La présente section porte sur la sensibilisation des cadres aux lois sur la protection des renseignements personnels du Canada. La description suivante des lois canadiennes sur la protection des renseignements personnels précède les questions de cette section :

La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie-Britannique et au Québec, le secteur privé est régi par des lois provinciales, qui sont considérées comme semblables à la loi fédérale.

Plus grande sensibilisation des entreprises à leurs responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels

On a demandé aux cadres d’évaluer au moyen d’une échelle de sept points, 1 indiquant pas du tout sensibilisée et 7 très sensibilisée, la mesure dans laquelle leur entreprise était sensibilisée à ses responsabilités en vertu des lois canadiennes régissant la protection des renseignements personnels. Près de la moitié (45 %) estiment que leur entreprise est très sensibilisée à ses responsabilités, tandis que 22 % font état d’une certaine sensibilisation (note de 5). Au total, les deux tiers (67 %) ont attribué une note dans la partie supérieure de l’échelle, ce qui indique un niveau relativement élevé de connaissance des responsabilités de l’entreprise en matière de protection des renseignements personnels.

Sensibilisation aux responsabilités en vertu des lois sur la protection des renseignements personnels

Figure 13 : Sensibilisation aux responsabilités en vertu des lois sur la protection des renseignements personnels

Q : Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada?
Sensibilisation %
Très sensibilisée (6 ou 7) 45 %
5 22 %
4 12 %
3 8 %
Pas du tout sensibilisée 12 %

Niveau de référence : n = 1 006; tous les répondants

Ne sait pas/Pas de réponse = 1 %

À l’autre extrémité, 20 % ont choisi des notes dans la partie inférieure de l’échelle, ce qui témoigne d’un niveau de sensibilisation relativement faible.

Au fil du temps, la sensibilisation des entreprises à leurs responsabilités en vertu des lois canadiennes régissant la protection des renseignements personnels est demeurée relativement stable. La proportion d’entreprises qui connaissent bien leurs responsabilités en matière de protection des renseignements personnels n’a que légèrement diminué, passant de 49 % en 2007 à 45 % en 2013. Le pourcentage d’entreprises connaissant moyennement leurs responsabilités est demeuré inchangé, à 42 %, n’ayant augmenté qu’une seule fois, en 2011 (47 %). Au total, 12 % disent ne pas bien connaître les lois canadiennes sur la protection des renseignements personnels, en baisse comparativement à 19 % en 2011 et en hausse comparativement à 8 % en 2007, année du premier sondage.

Connaissance des responsabilités en vertu des lois sur la protection des renseignements personnels (au fil du temps)

Figure 14 : Connaissance des responsabilités en vertu des lois sur la protection des renseignements personnels (au fil du temps)

Q : Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada?
Sensibilisation 2007 2010 2011 2013
Très sensibilisée (6-7) 49 % 47 % 41 % 45 %
Moyennement sensibilisée 42 % 42 % 47 % 42 %
Peu sensibilisée 8 % 10 % 19 % 12 %

Niveau de référence : tous les répondants

Variations entre les sous-groupes

La probabilité d’une sensibilisation élevée (6-7) aux responsabilités en vertu des lois canadiennes régissant la protection des renseignements personnels est la plus élevée parmi les entreprises qui :

  • vendent uniquement aux consommateurs (49 % comparativement à 44 % des autres entreprises qui vendent aux consommateurs et aux entreprises et à 38 % des entreprises qui vendent uniquement aux entreprises);
  • comptent 100 employés ou plus (65 % comparativement à 41 % et 46 % des petites et les moyennes entreprises);
  • considèrent la protection des renseignements personnels comme importante (51 % comparativement à 17 % ou moins pour les entreprises qui ne la considèrent pas comme importante);
  • sont les plus préoccupées par le risque d’atteinte à la sécurité des renseignements personnels (54 % comparativement à 40 % ou moins pour les entreprises qui ont un avis mitigé ou ne sont pas préoccupés).

Connaissance plus limitée de la LPRPDE

On a également demandé aux cadres d’évaluer leur connaissance de la LPRPDE en utilisant la même échelle de sept points. Dans ce cas, un peu plus du tiers (35 %) étaient bien au courant de la loi, et 22 % quelque peu au courant (note de 5). Au total, par conséquent, plus de la moitié (57 %) ont choisi une note dans la partie supérieure de l’échelle, ce qui indique une fois de plus qu’ils connaissent relativement bien leurs responsabilités.

Sensibilisation à la LPRPDE

Figure 15 : Sensibilisation à la LPRPDE

Q : En ce qui concerne la LPRPDE, la loi du gouvernement fédéral sur la protection des renseignements personnels, dans quelle mesure considérez-vous que votre entreprise y est sensibilisée?
Sensibilisation %
Très sensibilisée (6 ou 7) 35 %
5 22 %
4 13 %
3 9 %
Pas du tout sensibilisée (1 ou 2) 19 %

Niveau de référence : n = 1 006; tous les répondants

Ne sait pas/Pas de réponse = 2 %

Toutefois, 28 % ont choisi une note dans la partie inférieure de l’échelle, ce qui donne à penser qu’ils connaissent assez mal la loi. De manière générale, la connaissance de la LPRPDE en particulier est légèrement inférieure à la connaissance des responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels.

La sensibilisation des entreprises envers la LPRPDE a légèrement augmenté (de 27 % en 2011 à 35 % en 2013). Par conséquent, le nombre de cadres indiquant que leur entreprise ne connaît pas bien cette loi a légèrement diminué (de 24 % en 2011 à 19 % en 2013).

Sensibilisation aux responsabilités aux termes des lois sur la protection des renseignements personnels (au fil du temps)

Figure 16 : Sensibilisation à la LPRPDE (au fil du temps)

Q : En ce qui concerne la LPRPDE, la loi du gouvernement fédéral sur la protection des renseignements personnels, dans quelle mesure considérez-vous que votre entreprise y est sensibilisée?
Sensibilisation 2011 2013
Très sensibilisée 27 % 35 %
Ni sensibilisée ni non sensibilisée 46 % 44 %
Pas du tout sensibilisée 24 % 19 %

Niveau de référence : tous les répondants

Variations entre les sous-groupes

La propension à faire état d’une très grande sensibilisation (6-7) de leur entreprise à ses responsabilités en vertu des lois canadiennes régissant la protection des renseignements personnels est la plus forte parmi les répondants qui :

  • travaillent au sein d’une entreprise de 100 employés ou plus (54%);
  • travaillent au sein d’une entreprise appartenant à une industrie de base (38 % comparativement à 30 % pour les répondants des industries secondaires);
  • considèrent la protection des renseignements personnels comme importante (40 %);
  • connaissent bien leurs obligations en matière de protection des renseignements personnels (51 %);
  • ont indiqué qu’il était facile ou difficile pour leur entreprise de se conformer aux lois canadiennes sur la protection des renseignements personnels (49 %);
  • se sont dits préoccupés par le risque d’atteinte à la sécurité des renseignements personnels (43 %).

Conformité

La présente section porte sur les perceptions relatives à la difficulté de se conformer aux lois canadiennes sur la protection des renseignements personnels, y compris les obstacles à la conformité.

La conformité aux lois sur la protection des renseignements personnels n’est jugée ni facile ni difficile

On a demandé aux cadres dans quelle mesure il était difficile pour leur entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes au moyen d’une note sur une échelle de sept points, où 1 signifie « extrêmement facile » et 7, « extrêmement difficile ». La plus grande proportion (41 %) des répondants ont exprimé un avis neutre, indiquant que cela n’était ni facile ni difficile. La plupart des autres répondants (38 %) ont estimé qu’il leur avait été facile de se conformer aux lois, alors que 13 % ont estimé que cela avait été difficile pour leur entreprise.

Difficulté perçue de la conformité

Figure 17 : Difficulté perçue de la conformité

Q : Dans quelle mesure a-t-il été difficile dans votre entreprise de rendre vos pratiques de traitement des renseignements personnels conformes aux lois sur la protection des renseignements personnels du Canada?
Difficulté perçue %
Extrêmement aisé (1 ou 2) 31 %
3 7 %
Ni aisé ni difficile (4) 41 %
5 8 %
Extrêmement difficile (6 ou 7) 6 %

Niveau de référence : n = 1 006; tous les répondants

Ne sait pas/Pas de réponse = 7 %

Variations entre les sous-groupes

La probabilité d’attribution d’une note indiquant qu’il est très aisé (1-2) pour l’entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels est la plus élevée parmi les entreprises des industries de base (35 %) et celles qui ont déclaré bien connaître leurs obligations en matière de protection des renseignements personnels (37 %). Elle est la plus faible parmi celles qui considèrent que la protection des renseignements personnels est relativement peu importante (20 % comparativement à 32 % et 37 %, respectivement, des entreprises qui ont un avis neutre ou qui considèrent la protection des renseignements personnels comme étant importante).

Au fil du temps, le nombre d’entreprises qui estiment qu’il est difficile de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois canadiennes sur la protection des renseignements personnels a augmenté légèrement, alors que le nombre d’entreprises qui estime que cela est très facile a diminué. Au total, 38 % des représentants d’entreprises pensent qu’il est actuellement facile de se conformer aux lois sur la protection des renseignements personnels, ce qui représente une diminution par rapport au sommet atteint en 2010 (47 %), mais une légère hausse par rapport au pourcentage obtenu en 2011 (34 %).

Difficulté perçue de la conformité

Figure 18 : Difficulté perçue de la conformité (au fil du temps)

Q : Dans quelle mesure a-t-il été difficile dans votre entreprise de rendre vos pratiques de traitement des renseignements personnels conformes aux lois sur la protection des renseignements personnels du Canada?
Difficulté perçue 2007 2010 2011 2013
Aisé (1-3) 42 % 47 % 34 % 38 %
Ni aisé ni difficile 45 % 42 % 49 % 41 %
Difficile (5-7) 8 % 5 % 10 % 14 %

Niveau de référence : tous les répondants

Mauvaise compréhension de la loi ̶ principal obstacle à la conformité

La mauvaise compréhension de la législation sur la protection des renseignements personnels constitue l’obstacle le plus important et le plus souvent cité (17 %) à la conformité aux lois canadiennes en la matière. Huit pour cent des répondants ou moins ont cité plusieurs autres obstacles : le personnel doit y allouer du temps (8 %), le coût de la conformité (coûts non liés au personnel) (7 %), la nécessité de s’assurer que les employés se conforment à la loi (6 %), la nécessité de garder ses connaissances à jour (5 %) et la nécessité de conserver l’information en lieu sûr (4 %).

Obstacles à la conformité

Figure 19 : Obstacles à la conformité

Q : Selon vous, quel est l'obstacle ou le défi le plus important en ce qui concerne la conformité aux lois sur la protection des renseignements personnels du Canada?
Obstacles %
Rien ou aucun obstacle 15 %
Autre 3 %
Conservation de l'information 1 %
Sensibilisation ou communication d'information 3 %
Nécessité de conserver l'information en lieu sûr 4 %
Tenir à jour ses connaissances 5 %
Nécessité de s'assurer que les employés s'y conforment 6 %
Coût de la conformité 7 %
Le personnel doit y allouer du temps 8 %
Compréhension vague de la loi 17 %

Niveau de référence : n = 1 006; tous les répondants

Ne sait pas/Pas de réponse = 39 %

Les exemples inclus dans la catégorie « Autre », mentionnés chacun par 2 % des répondants ou moins, sont les suivants : se tenir au courant de la loi; trop de paperasserie ou de bureaucratie; obstacles à l’accès à l’information; difficultés à mettre en œuvre la politique de manière systématique; sensibilisation des clients; quantité de renseignements à protéger. Au moins 39 % des répondants n’ont pas répondu à cette question.

Atteintes à la sécurité des renseignements personnels

La présente section porte sur les questions liées aux atteintes à la sécurité des renseignements personnels.

Niveaux de préoccupation polarisés à propos du risque d’atteinte à la sécurité des renseignements personnels

On a demandé aux cadres sondés d’évaluer leur degré de préoccupation concernant le risque d’atteinte à la sécurité des renseignements personnels de leurs clients en attribuant une note sur une échelle de sept points, où 1 signifie « pas du tout préoccupé » et 7, « très préoccupé ». Exactement la moitié (50 %) ont indiqué ne pas être du tout préoccupés par le risque d’atteinte à la sécurité des renseignements personnels, alors que 24 % étaient très préoccupés. Au total, exactement un tiers a choisi une note dans la partie supérieure de l’échelle, ce qui semble indiquer une préoccupation modérée en ce qui a trait au risque d’atteinte à la protection des données.

Préoccupation concernant les atteintes à la protection des données

Figure 20 : Préoccupation concernant les atteintes à la protection des données

Q : Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données qui compromettrait les renseignements personnels de vos clients?
Préoccupation %
Pas du tout préoccupé (1 ou 2) 50 %
3 8 %
4 7 %
5 8 %
Très préoccupé (6 ou 7) 24 %

Niveau de référence : n = 1 006; tous les répondants

Ne sait pas/Pas de réponse = 2 %

Avant de poser cette question aux cadres, on leur a fourni l’information suivante :

Parfois, les renseignements personnels de nature délicate qu’une entreprise détient sur ses clients sont compromis pour différentes raisons, par exemple des activités criminelles, un vol, un piratage ou une erreur d’un employé, comme un ordinateur portatif ou un autre appareil égaré.

Variations entre les sous-groupes

Le taux de probabilité que le risque d’atteinte à la protection des données suscite des préoccupations (6-7) est le plus élevé chez :

  • les entreprises établies au Québec (35 %);
  • les entreprises qui jugent relativement importante la protection des renseignements personnels (28 %);
  • les entreprises qui connaissent relativement bien leurs obligations en matière de protection des renseignements personnels (30 %).

Avec le temps, les entreprises canadiennes sont devenues un peu moins préoccupées par le risque d’atteinte à la sécurité des renseignements personnels. Par rapport à celui de 2011, le sondage de 2013 fait état d’une diminution de la proportion d’entreprises très préoccupées (33 % comparativement à 40 %), ou moyennement préoccupées (7 % comparativement à 9 %) par ce genre d’atteinte. Par conséquent, la proportion d’entreprises qui ne sont guère préoccupées a augmenté pour passer de 42 % en 2010 à 49 % en 2011, et atteindre 59 % en 2013.

Préoccupation concernant une atteinte à la protection des données (au fil du temps)

Figure 21 : Préoccupation concernant une atteinte à la protection des données (au fil du temps)

Q : Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données qui compromettrait les renseignements personnels de vos clients?
Préoccupation 2010 2011 2013
Très préoccupé 35 % 40 % 33 %
Quelque peu préoccupé 21 % 9 % 7 %
Peu ou pas du tout préoccupé 42 % 49 % 59 %

Niveau de référence : tous les répondants

Principales menaces à la sécurité : piratage, vol et erreur d’un employé

Priés de choisir dans une liste la plus grande menace à la sécurité susceptible de porter atteinte aux renseignements personnels au sein de leur entreprise, les cadres ont classé en tête de liste le piratage (24 %) et le vol (19 %). En outre, 11 % ont mentionné une erreur de la part d’un employé. Plusieurs autres menaces possibles ont été mentionnées par un petit nombre (3 % ou moins).

Sources perçues des atteintes à la protection des données

Figure 22 : Sources perçues des atteintes à la protection des données

Q : Quelle serait, à votre avis, la plus grande menace à la sécurité susceptible de compromettre des renseignements personnels au sein de votre entreprise?
Sources perçues %
Autre 5 %
Rien ou aucune menace 5 %
Atteinte externe 2 %
Erreur humaine ou négligence 2 %
Introduction par effraction et vandalisme 2 %
Perte 2 %
Atteinte interne 3 %
Erreur d'un employé 11 %
Vol 19 %
Piratage 24 %

Niveau de référence : n = 1 006; tous les répondants; Réponses multiples acceptées

Ne sait pas/Pas de réponse = 25 %

Plus de la moitié des entreprises ne disposent pas de lignes directrices en cas d’atteinte

Cinquante huit pour cent des entreprises sondées n’ont pas mis en place de directives en cas d’atteinte à la sécurité des renseignements personnels de leurs clients, et 5 % des répondants étaient incapables de dire avec certitude si leur entreprise s’était dotée de lignes directrices semblables. À l’inverse, 37 % des entreprises sondées disposent de lignes directrices au cas où une atteinte surviendrait.

Lignes directrices à suivvre en cas d'atteinte

Figure 23 : Lignes directrices à suivre en cas d'atteinte

Q : Est-ce que votre entreprise a adopté des protocoles ou des procédures à suivre en cas d'atteinte qui compromettrait les renseignements personnels de vos clients?
Protocoles ou procédures %
Oui 37 %
Non 58 %
Ne sait pas 5 %

Niveau de référence : n = 1 006; tous les répondants

Variations entre les sous-groupes

La probabilité d’adoption de protocoles ou de procédures à suivre en cas d’atteinte est la plus élevée parmi :

  • les entreprises de la RGT (53 %) et de l’Alberta (48 %);
  • les entreprises comptant au moins 100 employés (53 %);
  • les entreprises des industries de base (45 %);
  • celles qui considèrent la protection des renseignements personnels comme relativement importante (43 %);
  • celles qui ont indiqué connaître leurs obligations en matière de protection des renseignements personnels (47 %);
  • celles qui se sont dites relativement préoccupées par le risque d’atteinte à la sécurité des renseignements personnels (44 %).

Relativement peu d’entreprises ont indiqué avoir été victimes d’une atteinte

La grande majorité (95 %) des entreprises ont indiqué n’avoir jamais été confrontées à une atteinte à la sécurité des renseignements personnels de leurs clients. En fait, seulement 4 % l’ont été (1 % des répondants n’étaient pas certains).

Expérience d'une atteinte

Figure 24 : Expérience d'une atteinte

Q : Votre entreprise a-t-elle déjà été confrontée à une atteinte ayant compromis des renseignements personnels?
Expérience d'une atteinte %
Oui 4 %
Non 95 %
Ne sait pas 1 %

Niveau de référence : n = 1 006; tous les répondants

Variations entre les sous-groupes

Les grandes entreprises sont plus nombreuses que les petites à faire état d’une atteinte à la sécurité des renseignements personnels (11 % des entreprises comptant au moins 100 employés contre 1 % et 5 % des petites et moyennes entreprises)Note de bas de page 5.

La proportion d’entreprises ayant mis en place des lignes directrices à suivre en cas d’atteinte a légèrement augmenté depuis 2011 (31 %) et 2010 (34 %)Note de bas de page 6. Le nombre d’entreprises (4 %) qui ont été confrontées à une atteinte à la sécurité des renseignements personnels est demeuré pratiquement inchangé depuis 2011 et 2010 (3 %).

Lignes directives à suivre en cas d'atteinte à la protection des données et expérience d'une atteinte (au fil du temps)

Figure 25 : Lignes directrices à suivre en cas d'atteinte à la protection des données et expérience d'une atteinte (au fil du temps)

Q : Est-ce que votre entreprise a adopté des protocoles ou des procédures à suivre en cas d'atteinte qui compromettrait les renseignements personnels de vos clients?
Année %
2010 34 %
2011 31 %
2013 37 %

Niveau de référence : tous les répondants

Q : Votre entreprise a-t-elle déjà été confrontée à une atteinte ayant compromis des renseignements personnels?
Année %
2010 3 %
2011 3 %
2013 4 %

Niveau de référence : tous les répondants

Au total, 52 répondants ont indiqué que leur entreprise avait été confrontée à une atteinte. Parmi les mesures le plus souvent prises par ces entreprises pour faire face à la situation, on a mentionné l’envoi d’un avis aux personnes concernées, puis le règlement du problème avec la personne responsable de l’atteinte et l’apport d’améliorations au système de sécurité. D’autres entreprises ont offert une formation à leurs employés, revu leur politique sur la protection des renseignements personnels, envoyé un avis aux organismes d’application de la loi ou aux organismes gouvernementaux compétents, intenté des poursuites, obtenu de l’information auprès du gouvernement ou avisé les services concernés au sein de l’entreprise. Huit pour cent des entreprises y ont donné suite par d’autres moyens.

Innovation au sein de l’entreprise

La présente section porte sur le recours des entreprises à des tiers pour le traitement, la conservation ou d’autres services en lien avec les renseignements personnels de leurs clients.

Politiques en place pour évaluer les risques liés à la protection des renseignements personnels

Interrogés sur la question de savoir si leur entreprise disposait de politiques pour évaluer les risques liés à la protection des renseignements personnels, environ les deux tiers des représentants (67 %) ont répondu par la négative, tandis que 5 % ne savaient pas.

Politiques en place pour évaluer les risques liés à la protection des renseignements personnels

Figure 26 : Politiques en place pour évaluer les risques liés à la protection des renseignements personnels

Q : Votre entreprise dispose-t-elle de politiques ou de procédures pour évaluer les risques liés à la protection des renseignements personnels? Cela comprend l'évaluation des risques liés à la création ou à l'utilisation de nouvelles technologies ou de nouveaux produits ou services.
Politiques ou procédures %
Oui 28 %
Non 67 %
Ne sait pas 5 %

Niveau de référence : n = 1 006; tous les répondants

Variations entre les sous-groupes

La probabilité de l’existence de politiques ou de procédures pour évaluer les risques liés à la protection des renseignements personnels est la plus élevée parmi :

  • les entreprises qui vendent à la fois aux consommateurs et aux entreprises (33 %);
  • les grandes entreprises (46 %);
  • les entreprises dans les industries de base (32 %);
  • celles qui considèrent la protection des renseignements personnels comme relativement importante (32 %);
  • celles qui ont indiqué relativement bien connaître leurs obligations en matière de protection des renseignements personnels (35 %).

Recours à un tiers pour la gestion des renseignements personnels

Seulement 13 % des entreprises sondées transmettent les données personnelles de clients à un tiers à des fins de traitement, de conservation ou pour d’autres services. Parmi elles, 59 % affirment savoir pertinemment que lorsqu’une entreprise transfère des renseignements personnels à un tiers aux fins de traitement, de conservation ou pour d’autres services, y compris tout processus lié à l’infonuagique, elle demeure responsable de cette information. En revanche, 36 % n’étaient pas au courant de ce fait.

Recours à des tiers pour le traitement des renseignements personnels

Figure 27 : Recours à des tiers pour le traitement des renseignements personnels

Q : Dans votre entreprise, recueillez-vous des renseignements personnels auprès des clients pour ensuite les acheminer à une autre entreprise à des fins de traitement, d'entreposage ou pour tout autre service, y compris tout processus lié à l'infonuagique?
Recours à des tiers %
Oui 13 %
Non 86 %
Ne sait pas 1 %

Niveau de référence : n = 1 006; tous les répondants

Q : Avez-vous conclu un contrat ou pris d'autres mesures pour veiller à ce que les renseignements personnels de vos clients qui sont traités ou entreposés par une autre entreprise, y compris par l'entremise de l'infonuagique, soient protégés adéquatement?
Mesures %
Oui 59 %
Non 36 %
Ne sait pas 5 %

Niveau de référence : n = 152; tous ceux qui ont recours à un tiers

Variations entre les sous-groupes

La probabilité qu’une entreprise transfère des renseignements personnels des clients à une autre entreprise aux fins de traitement, de conservation et pour d’autres services est la plus élevée parmiNote de bas de page 7: les entreprises comptant au moins 100 employés (24%) et les entreprises des industries de base (16 %).

En 2013, les entreprises ont été proportionnellement plus nombreuses à indiquer avoir eu recours à des tiers (13 %) qu’en 2011 (9 %). Toutefois, cette proportion demeure inférieure à celle de 2010, alors que 18 % des répondants avaient indiqué qu’un tiers était responsable du traitement des renseignements personnelsNote de bas de page 8.

Recours à un tiers pour le traitement des renseignements personnels (au fil du temps)

Figure 28 : Recours à un tiers pour le traitement des renseignements personnels (au fil du temps)

2010 : Est-ce que votre entreprise recueille de ses clients des renseignements personnels qui sont transmis pour traitement à une autre entreprise située au Canada?

En 2010, 1 % a indiqué avoir envoyé ses renseignements personnels à une autre entreprise à l'extérieur du Canada aux fins de traitement.

2011 et 2013 : Dans votre entreprise, recueillez-vous des renseignements personnels auprès des clients pour ensuite les acheminer à une autre entreprise à des fins de traitement, d'entreposage et pour tout autre service?
Année %
2010 18 %
2011 9 %
2013 13 %

Niveau de référence : tous les répondants

Le nombre d’entreprises ayant conclu un contrat pour veiller à ce que les renseignements personnels de leurs clients soient traités par une autre entreprise n’a cessé d’augmenter depuis 2010.

Recours à un contrat avec un tiers (au fil du temps)

Figure 29 : Recours à un contrat avec un tiers

2010 : Est-ce que vous avez établi un contrat ou mis en place d'autres mesures pour veiller à ce qu'un niveau de protection comparable s'applique lorsque ces autres entreprises traitent les renseignements transmis?
2011 et 2013 : Avez-vous conclu un contrat ou pris d'autres mesures pour veiller à ce que les renseignements personnels de vos clients qui sont traités ou entreposés par une autre entreprise, y compris par l'entremise de l'infonuagique, soient protégés adéquatement?
Année %
2010 50 %
2011 54 %
2013 59 %

Niveau de référence : les entreprises ayant recours à des tiers

Utilisation d’appareils électroniques non fournis par l’entreprise

On a demandé aux représentants si la politique de leur entreprise autorisait les employés à utiliser leurs appareils électroniques personnels (p. ex. téléphone intelligent, tablette ou ordinateur portable) pour les besoins de leur travail. Environ une entreprise sur cinq (21 % ou 251 répondants) le permet et parmi elles, deux sur trois (64 %) n’avaient pas élaboré de politique interne officielle pour gérer les problèmes de sécurité découlant de cette pratique. Deux pour cent des répondants n’étaient pas certains de la politique de leur entreprise à cet égard.

Utilisation d'appareils électroniques non fournis par l'entreprise

Figure 30 : Utilisation d'appareils électroniques non fournis par l'entreprise

Q : Votre entreprise autorise-t-elle les employés à utiliser des appareils électroniques qu'elle ne fournit pas elle-même, par exemple un téléphone intelligent, une tablette ou un ordinateur personnel, pour les besoins de leur travail?
Utilisation d'appareils électroniques non fournis par l'entreprise %
Oui 21 %
Non 78 %
Ne sait pas 1 %

Niveau de référence : n = 1 006; tous les répondants

Q : Votre entreprise a-t-elle élaboré une politique interne officielle pour gérer les probl'mes de sécurité découlant de cette pratique?
Politique interne officielle %
Oui 35 %
Non 64 %
Ne sait pas 2 %

Niveau de référence : n = 251; les entreprises qui autorisent les appareils qu'elles n'ont pas fournis

Variations entre les sous-groupesNote de bas de page 9

La probabilité que les employés soient autorisés à utiliser des appareils électroniques non fournis par l’entreprise pour les besoins de leur travail est la plus élevée parmi :

  • les entreprises de la RGT (32 %) et de la Colombie-Britannique (31 %);
  • les entreprises qui vendent seulement aux entreprises (27 %);
  • les entreprises qui comptent au moins 20 employés.

Les grandes entreprises sont proportionnellement plus nombreuses à avoir établi une politique interne officielle pour gérer les problèmes de sécurité découlant de cette pratique (62 % des entreprises comptant au moins 100 employés comparativement à 42 % ou moins pour les plus petites entreprises).

Collecte de renseignements concernant les clients sur les appareils mobiles

La grande majorité des entreprises (96 %) ne recueillent pas de renseignements personnels auprès de leurs clients à l’aide d’applications pour appareils mobiles. Seulement 3 % des représentants d’entreprises ont indiqué que leur entreprise recueillait des données de cette façon.

Collecte de renseignements personnels dur des appareils mobiles

Figure 31 : Collecte de renseignements personnels sur des appareils mobiles

Q : Votre entreprise recueille-t-elle des renseignements personnels auprès de ses clients en utilisant une application pour les appareils mobiles?
Collecte de renseignements personnels %
Oui 3 %
Non 97 %
Ne sait pas 1 %

Niveau de référence : n = 1 006; tous les répondants

Parmi les 34 entreprises qui recueillent des renseignements sur des appareils mobiles, la majorité prennent note des coordonnées, comme le nom, le numéro de téléphone et l’adresse. Un plus petit nombre recueille de l’information sur l’emplacement, les opinions, évaluations et commentaires des clients ainsi que des renseignements financiers, des données sur les habitudes de consommation des clients ou d’autres formes de renseignements personnels.

Ces entreprises informent le plus souvent leurs clients de la collecte de données les concernant par l’entremise de leur politique générale sur la protection des renseignements personnels et d’une politique sur la protection des renseignements personnels distincte se rapportant à l’application. Environ deux représentants sur cinq des entreprises qui consignent les données des clients ne savaient pas comment leur entreprise informe ses clients de la collecte de données les concernant.

Communication aux organismes d’application de la loi

La présente section porte sur la collaboration des entreprises avec les organismes d’application de la loi en accord avec les lois sur la protection des renseignements personnels.

Demandes de renseignements personnels par des organismes n’ayant pas de mandat

Au cours des deux ou trois dernières années, très peu d’entreprises (4 %) ont indiqué avoir reçu des demandes de renseignements personnels émanant de représentants d’organismes d’application de la loi n’ayant pas de mandat.

Demandes d'information émanant d'organismes d'application de la loi

Figure 32 : Demandes d'information émanant d'organismes d'application de la loi

Q : Au cours des deux ou trois dernières années, combien de fois des organismes d'application de la loi n'ayant pas de mandat ont-ils demandé à votre entreprise des renseignements personnels concernant ses clients?
Demandes d'information %
Jamais 94 %
Une fois ou plus 4 %

Niveau de référence : n = 1 006; tous les répondants

Parmi les 62 entreprisesNote de bas de page 10 qui ont reçu ces demandes, environ la moitié (48 %) ont fourni l’information à chaque fois qu’elle leur était demandée. Relativement peu (13 %) l’ont fait à quelques reprises. En revanche, exactement quatre sur dix ont indiqué n’avoir jamais fourni l’information demandée.

Obtention de précisions sur les responsabilités en vertu de la loi

La présente section fait état de la rétroaction des participants sur les sources et les moyens employés par leur entreprise pour recueillir de l’information sur les questions liées à la protection des renseignements personnels.

Internet ̶ principale source possible d’information concernant les lois sur la protection des renseignements personnels

La majorité des représentants sondés (86 %) ont indiqué que leur entreprise n’avait jamais cherché à obtenir des précisions sur ses responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels. Environ une entreprise sur dix a cherché à obtenir des précisions (11 %) et 4% des répondants ont indiqué ne pas savoir si leur entreprise avait déjà cherché à obtenir des précisions ou pas.

La proportion d’entreprises (11 %) ayant cherché à obtenir des précisions sur leurs responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels en 2013 est moins élevée qu’en 2007 (22 %), qu’en 2010 (22 %) et qu’en 2011 (13 %).

Obtention de précisions sur les responsabilités en matière de protection des renseignements personnels (au fil de temps)

Figure 33 : Obtention de précisions sur les responsabilités en matière de protection des renseignements personnels (au fil du temps)

Q : Dans votre entreprise, avez-vous déjà cherché à obtenir des précisions sur vos responsabilités aux termes des lois sur la protection des renseignements personnels du Canada?
Année %
2007 22 %
2010 22 %
2011 13 %
2013 11 %

Niveau de référence : tous les répondants

Variations entre les sous-groupes

La probabilité qu’une entreprise cherche à obtenir des précisions sur ses responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels est plus élevée parmi les grandes entreprises (28 %), celles qui considèrent la protection des renseignements personnels comme importante (13 %), celles qui ont indiqué être relativement au courant de leurs obligations en matière de protection des renseignements personnels (15 %) et celles qui estiment qu’il est relativement difficile de se conformer aux lois sur la protection des renseignements personnels (21 %).

Au total, 141 entreprises ont cherché à obtenir des précisions sur leurs responsabilités en matière de protection des renseignements personnels. Les répondants de 43 % de ces entreprises ont indiqué avoir principalement consulté Internet pour obtenir de l’information, 19 % d’entre elles se sont adressées à un organisme gouvernemental (fédéral, provincial ou général), 14 % ont demandé conseil à un avocat, 12 % ont consulté des experts de l’industrie, des sociétés d’experts-conseils ou des sources du domaine de l’éducation, 9 % se sont adressées à une association industrielle, 9 % ont communiqué avec le Commissariat à la protection de la vie privée, et 4 % ont utilisé leurs ressources internes.

Obtention de précisions sur les responsabilités en matière de protection des renseignements personnels

Figure 34 : Obtention de précisions sur les responsabilités en matière de protection des renseignements personnels

Q : Où avez-vous obtenu ces précisions?
Obtention de précisions %
Autre 10 %
Ressources internes 4 %
Commissariat à la protection de la vie privée 9 %
Association de l'industrie 9 %
Experts de l'industrie, sociétés d'experts-conseils ou sources du domaine de l'éducation 12 %
Avocat 14 %
Gouvernement 19 %
Internet 43 %

Niveau de référence : n = 141; les entreprises qui ont cherché à obtenir des précisions; Réponses multiples acceptées

Un représentant d’entreprise sur dix (10 %) a cherché à obtenir des précisions auprès d’une autre source, et 7 % des répondants n’étaient pas certains de la source consultée.

Les sources consultées par les cadres pour obtenir des précisions ont beaucoup changé depuis le début du suivi en 2010.

Obtention de précisions sur les responsabilités en matière de protection des renseignements personnels (au fil du temps)

Figure 35 : Obtention de précisions sur les responsabilités en matière de protection des renseignements personnels (au fil du temps)

Q : Où avez-vous obtenu ces précisions?
Obtention de précisions 2010 2011 2013
Gouvernement et Commissariat à la protection de la vie privée 34 % 12 % 28 %
Avocat 36 % 12 % 14 %
Association de l'industrie 4 % 13 % 9 %
Ressources internes 6 % 15 % 4 %
Experts de l'industrie, sociétés d'experts-conseils ou sources du domaine de l'éducation 2 % 16 % 12 %
Internet (général) 18 % 28 % 43 %

Niveau de référence : les entreprises qui ont cherché à obtenir des précisions sur leurs responsabilités en matière de protection des renseignements personnels

Commissariat à la protection de la vie privée du Canada

La présente section porte sur le niveau de connaissance des ressources offertes par le Commissariat à la protection de la vie privée ainsi que sur l’utilisation de ces ressources et leur évaluation.

Une minorité importante de répondants connaît les ressources offertes par le Commissariat mais la plupart d’entre eux n’y ont jamais eu recours

Quarante-et-un pour cent des cadres sondés savent que le Commissariat offre de l’information et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels.

Toutefois, parmi les cadres qui connaissent les ressources du Commissariat, la majorité (78 %) n’y a jamais eu recours. Près d’un répondant sur cinq (17 %) a déjà eu recours aux ressources du Commissariat et 5 % des répondants ont dit ne pas savoir si leur entreprise avait déjà eu recours à ces ressources ou pas.

Connaissance et utilisation des ressources du Commissariat

Figure 36 : Connaissance et utilisation des ressources du Commissariat

Q : Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels?
Connaissance %
Oui 41 %
Non 59 %
Ne sait pas 1 %

Niveau de référence : n = 1 006; tous les répondants

Q : Avez-vous déjà fait appel à ces ressources dans votre entreprise?
Appel à ces ressources %
Oui 17 %
Non 78 %
Ne sait pas 5 %

Niveau de référence : n = 427; les entreprises qui connaissent les ressources du Commissariat

Variations entre les sous-groupes

La probabilité que les entreprises sachent que le Commissariat offre des ressources était la plus élevée parmi les entreprises quiNote de bas de page 11 :

  • sont situées dans les Prairies (63 %) et en Alberta (56 %);
  • vendent à la fois aux consommateurs et aux entreprises (48 %);
  • comptent au moins 100 employés (53 %);
  • considèrent que la protection des renseignements personnels est importante (44 %);
  • se disent au courant de leurs obligations en matière de protection des renseignements personnels (48 %).

Les grandes entreprises et celles ayant indiqué qu’elles connaissaient leurs obligations en matière de protection des renseignements personnels sont proportionnellement plus nombreuses à avoir utilisé les ressources du CPVP.

La connaissance et l’utilisation des ressources du Commissariat n’ont pratiquement pas changé depuis 2011.

Connaissance et utilisation des ressources du Commissariat (au fil du temps)

Figure 37 : Connaissance et utilisation des ressources du Commissariat (au fil du temps)

Q : Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels?
Année %
2010 55 %
2011 40 %
2013 41 %

Niveau de référence : tous les répondants

Q : Avez-vous déjà fait appel à ces ressources dans votre entreprise?
Année %
2010 36 %
2011 19 %
2013 17 %

Niveau de référence : les entreprises qui connaissent les ressources du Commissariat

Le site Web du Commissariat constitue la principale source de référence (56 %) utilisée par les 121 entreprises ayant eu recours aux ressources du Commissariat pour s’acquitter de leurs obligations en matière de protection des renseignements personnels. Par ailleurs, 23 % des entreprises ont consulté les orientations du Commissariat en matière de politiques, 11 % ses publications, 4 % une présentation ou un exposé du Commissariat, et 2 % ont téléphoné au Centre d’information du Commissariat. Quinze pour cent des répondants n’étaient pas certains des ressources utilisées par leur entreprise.

Ressources du Commissariat utilisées

Figure 38 : Ressources du Commissariat utilisées

Q : À quelles ressources du Commissariat à la protection de la vie privée du Canada avez-vous fait appel dans votre entreprise?
Ressources %
Autre 8 %
Appel au Centre d'information du Commissariat 2 %
Présentation ou exposé du Commissariat 4 %
Publications du Commissariat 11 %
Orientations du Commissariat en matière de politiques 23 %
Site Web du Commissariat 56 %

Niveau de référence : n = 121; les entreprises ayant eu recours aux ressources du Commissariat; Réponses multiples acceptées

Ne sait pas/Pas de réponse = 15 %

On a demandé aux cadres d’évaluer sur une échelle de sept points, où 7 correspond à « extrêmement utile » et 1 à « pas du tout utile », l’utilité des ressources sur la protection des renseignements personnels obtenues du Commissariat. Les trois quarts exactement ont attribué une note dans la partie supérieure de l’échelle; 35 % ont indiqué que les ressources obtenues leur avaient été extrêmement utiles.

Utilité perçue des ressources du Commissariat

Figure 39 : Utilité perçue des ressources du Commissariat

Q : Dans quelle mesure les ressources ou les renseignements reçus du Commissariat à la protection de la vie privée du Canada ont-ils été utiles pour aider votre entreprise à assumer ses obligations en matière de protection des renseignements personnels?
Utilité perçue %
Très utiles (7) 35 %
6 20 %
5 20 %
Neutre ou moins (4 ou moins) 21 %

Niveau de référence : n = 121; les entreprises ayant eu recours aux ressources du Commissariat

Ne sait pas/Pas de réponse = 4 %

Cinq répondants ont accordé une faible note à l’utilité des ressources du Commissariat (notes de 1 à 3). À la question leur demandant d’expliquer pourquoi les renseignements ne leur ont pas été utiles, ils ont répondu qu’ils connaissaient déjà l’information ou que l’information n’était pas adaptée à la taille de leur entreprise.

L’utilité perçue des ressources du Commissariat parmi les représentants des entreprises a augmenté depuis le début du suivi en 2010.

Utilité perçue des ressources du Commissariat

Figure 40 : Utilité perçue des ressources du Commissariat (au fil du temps)

Q : Dans quelle mesure les ressources ou les renseignements reçus du Commissariat à la protection de la vie privée du Canada ont-ils été utiles pour aider votre entreprise à assumer ses obligations en matière de protection des renseignements personnels?
Utilité perçue 2010 2011 2013
Utiles (5-7) 55 % 72 % 75 %
Quelque peu utiles (4) 36 % 12 % 16 %
Peu ou pas utiles (1-3) 8 % 8 % 5 %

Niveau de référence : les entreprises ayant eu recours aux ressources du Commissariat

Profil de l’entreprise

Les tableaux qui suivent présentent les caractéristiques des répondants au sondage (en utilisant des données pondérées).

Région Pourcentage
Canada atlantique 7 %
Québec 20 %
Manitoba et Saskatchewan 7 %
Alberta 14 %
Colombie-Britannique 16 %
Ontario (à l’exclusion de la région du Grand Toronto) 21 %
Région du Grand Toronto 14 %
Ne sait pas / pas de réponse 1 %
Total 100 %
Taille de l’entreprise Pourcentage
Travailleur autonome (1 employé) 14 %
Petite (2-19 employés) 74 %
Moyenne (20-99 employés) 10 %
Grande (plus de 100 employés) 2 %
Total 100 %
Langue de l’entrevue Pourcentage
Anglais 80 %
Français 20 %
Total 100 %
Revenus en 2012 Pourcentage
Moins de 100 000 $ 16 %
de 100 000 $ à 249 999 $ 13 %
de 250 000 $ à 499 999 $ 10 %
de 500 000 à 999 999 $ 13 %
de 1 000 000 $ à 4 999 999 $ 19 %
de 5 000 000 $ à 9 999 999 $ 4 %
de 10 000 000 $ à 19 999 999 $ 2 %
Plus de 20 millions de dollars 2 %
Ne sait pas / pas de réponse 22 %
Total 100 %Note de bas de page 12

Annexe

Questionnaire

Nota : Certaines questions ont été supprimées. Ces suppressions, qui reflètent les changements apportés au questionnaire à la suite de la préenquête, ont pour but de réduire la longueur du sondage.

Bonjour, je m’appelle [le nom de l'enquêteur]. Je vous appelle au nom de Phoenix, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du Commissariat à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.

Pourrais-je parler à la personne qui est le plus au courant du genre de renseignements personnels que vous recueillez sur vos clients et de la façon dont ces renseignements sont conservés et utilisés? Il pourrait s’agir de la personne qui est responsable de la protection de la vie privée au sein de votre entreprise, si ce poste existe.

  • SI LA PERSONNE EST DISPONIBLE, POURSUIVRE. RÉPÉTER L’INTRODUCTION, AU BESOIN.
  • SI ELLE N’EST PAS DISPONIBLE, PRÉVOIR UN NOUVEL APPEL.

Le sondage dure environ 15 minutes, n’est pas obligatoire et est entièrement confidentiel. Vos réponses demeureront anonymes. Puis-je continuer?

  • Oui, maintenant (POURSUIVRE)
  • Non, rappelez plus tard. Établir la date et l’heure : Date : Heure :
  • Refus (REMERCIER LA PERSONNE ET METTRE FIN À L’APPEL)

REMARQUES À L’INTENTION DU RESPONSABLE DE L’ENTREVUE

SI LE RÉPONDANT DEMANDE LA DURÉE DU SONDAGE, LUI DIRE QUE CELA DEVRAIT PRENDRE ENVIRON 15 MINUTES.

SI LE RÉPONDANT REMET EN QUESTION LA VALIDITÉ DU SONDAGE, LUI DEMANDER DE TÉLÉPHONER À HEATHER ORMEROD, DU COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, AU 613 947 8416 (OU DEMANDER À HEATHER DE TÉLÉPHONER AU RÉPONDANT). VOUS POUVEZ AUSSI DEMANDER AU RÉPONDANT DE TÉLÉPHONER AU SYSTÈME NATIONAL D’ENREGISTREMENT DES SONDAGES (VOIR CI-DESSOUS).

SI LE RÉPONDANT LE DEMANDE, LE SONDAGE EST ENREGISTRÉ DANS LE SYSTÈME NATIONAL D’ENREGISTREMENT DES SONDAGES :

Le système d’enregistrement a été créé par le secteur de la recherche par sondage afin de permettre au public de vérifier la légitimité d’un sondage, de se renseigner sur le secteur ou de déposer une plainte. Le numéro de téléphone sans frais du système d’enregistrement est le 1 888 602 6742, poste 8728.

CERTAINES QUESTIONS SONT DES QUESTIONS DE SUIVI QUI ONT ÉTÉ UTILISÉES DANS DES SONDAGES ANTÉRIEURS. LES QUESTIONS DE SUIVI SONT MARQUÉES DE LA FAÇON SUIVANTE : S2011 = SUIVI (S) DU SONDAGE AUPRÈS DES ENTREPRISES 2011.

LES TITRES EN BLEU NE DOIVENT PAS ÊTRE LUS AUX RÉPONDANTS.

LE CHOIX « NE SAIT PAS/AUCUNE RÉPONSE » DOIT ÊTRE FOURNI POUR TOUTES LES QUESTIONS.

1. Lequel des énoncés suivants décrit le mieux votre entreprise? (LIRE LA LISTE, ACCEPTER UNE SEULE RÉPONSE) S2011

     Elle vend directement aux clients						1
     Elle vend directement à d’autres entreprises ou organisations		2
     Elle vend directement aux clients et à d’autres 
          entreprises ou organisations                         3
     Autre, veuillez préciser : _____________________

(NE PAS LIRE : ENTREPRISE SANS BUT LUCRATIF, REMERCIER LA PERSONNE ET METTRE FIN  
          À L’APPEL; NSP/AR, REMERCIER LA PERSONNE ET METTRE FIN À L’APPEL)

2. Environ combien d’employés travaillent pour votre entreprise au Canada? Veuillez tenir compte des employés à temps partiel en équivalents temps plein. (NE PAS LIRE LA LISTE) S2011

     Un (c. à. d. travailleur indépendant)   1
     2 à 4                                   2
     5 à 9                                   3
     10 à 19                                 4
     20 à 49                                 5
     50 à 99                                 6
     100 à 149                               7
     150 à 199                               8
     200 à 249                               9
     250 à 299                              10
     300 à 499                              11
     500 à 999                              12
     1 000 à 4 99                           13
     Plus de 5 000                          14

Section 1 : Pratiques liées à la protection des renseignements personnels

J’aimerais commencer par vous demander quels types de renseignements personnels vous conservez sur vos clients dans votre entreprise. S2011 MODIFIÉ

3. Parmi les choix suivants, quels types de renseignements personnels recueillez-vous sur vos clients dans votre entreprise? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.) S2011

 
     Coordonnées, comme le nom, le numéro de téléphone et l’adresse         1
     Opinions, évaluations et commentaires                                  2
     Habitudes de consommation                                              3
     Renseignements financiers, y compris les numéros de carte de crédit    4
     Renseignements médicaux                                                5
     Renseignements sur l’emplacement, comme le code postal                 6
     Autres renseignements. Le cas échéant, veuillez préciser :              	
     Aucune de ces réponses (NE PAS LIRE)                                   7

4. Que fait votre entreprise des renseignements personnels qu’elle recueille concernant ses clients? Les utilisez-vous pour...? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.)

  1. faire du marketing
  2. fournir des services
  3. établir le profil des clients afin de personnaliser le service
  4. pour d’autres fins. Le cas échéant, veuillez préciser :

5. Supprimé

6. Supprimé

7. Parmi les choix suivants, de quelles manières entreposez-vous les renseignements personnels de vos clients dans votre entreprise? Les renseignements sont-ils…? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.) S2011 MODIFIÉ

  entreposés sur place en format papier                                          1
  entreposés sur place sur des serveurs                                          2
  entreposés dans des ordinateurs de bureau                                      3
  entreposés dans des dispositifs portables, comme des ordinateurs 
       portables, des clés USB ou des tablettes                                  4
  entreposés par voie électronique grâce à l’infonuagique*                       5
  entreposés par un tiers, à l’exception de l’infonuagique**                     6
  entreposés sous forme d’enregistrements vidéo et audi                          7
  entreposés d’une autre manière : le cas échéant, veuillez préciser             8

*REMARQUE AU RESPONSABLE DE L’ENTREVUE : SI LE RÉPONDANT NE SAIT PAS CE QU’EST L’INFONUAGIQUE, LUI DIRE QU’IL S’AGIT DE LA FOURNITURE DE RESSOURCES INFORMATIQUES PAR INTERNET. PLUTÔT QUE DE CONSERVER DES DONNÉES SUR VOTRE DISQUE DUR OU DE METTRE À JOUR DES APPLICATIONS POUR VOS PROPRES BESOINS, VOUS FAITES APPEL AU SERVICE D’UN TIERS PAR INTERNET, LEQUEL OEUVRE À UN AUTRE ENDROIT ET VOUS PERMET D’ENTREPOSER VOS RENSEIGNEMENTS OU D’UTILISER SES APPLICATIONS.

**REMARQUE AU RESPONSABLE DE L’ENTREVUE : POUR CETTE QUESTION, IL FAUT DISTINGUER L’INFONUAGIQUE DE L’ENTREPOSAGE PAR UN TIERS.

SI LES RENSEIGNEMENTS SONT « ENTREPOSÉS DANS DES DISPOSITIFS PORTABLES », POSER LA QUESTION SUIVANTE :

8. Dans votre entreprise, utilisez-vous le chiffrement pour protéger les renseignements personnels que vous entreposez dans des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes? S2011

     Oui     1
     Non     2

POSER LA QUESTION SUIVANTE À TOUS LES RÉPONDANTS :

9. Quelles mesures prenez-vous pour protéger les renseignements personnels de vos clients? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.) S2011

	Mesures matérielles, comme le verrouillage des classeurs, 
	                la restriction de l’accès ou les alarmes de sécurité.   1
	Outils technologiques, comme des mots de passe, 
	                le chiffrement ou des pare-feu.                         2
	Contrôles organisationnels, comme des politiques et des procédures.     3
	Autre mesure. Le cas échéant, veuillez préciser :                       4
	Aucune mesure prise                                                     5

SI DES « OUTILS TECHNOLOGIQUES » SONT UTILISÉS, POSER LA QUESTION SUIVANTE :

10. Quels outils technologiques utilisez-vous ? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.) S2011 MODIFIÉ

	Mots de passe                  1
	Chiffrement                    2
	Pare-feu                       3
	Autre, veuillez préciser :                 	

SI DES « MOTS DE PASSE » SONT UTILISÉS, POSER LES DEUX QUESTIONS SUIVANTES :

11. À quelle fréquence demandez-vous à vos employés de modifier leurs mots de passe? (NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE.) S2011

	Une fois par mois                                1
	Une fois par trimestre                           2
	Tous les six mois                                3
	Une fois par année                               4
	Moins fréquemment                                5
	LIBRE : Les employés ne sont pas tenus 
              de modifier leurs mots de passe            6

12. Avez-vous pris des mesures pour veiller à ce que les employés utilisent des mots de passe difficiles à deviner? S2011

     Oui     1
     Non     2

POSER LES QUESTIONS SUIVANTES À TOUS LES RÉPONDANTS :

13. Dans votre entreprise, est-ce qu’une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient? S2011

     Oui     1
     Non     2

14. Votre entreprise a-t-elle élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels?

     Oui     1
     Non     2

15. Votre organisation donne-t-elle régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels?

     Oui     1
     Non     2

16. Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels? S2011

     Oui     1
     Non     2

17. Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements ont été traités de façon inadéquate? S2011

     Oui     1
     Non     2

18. Votre entreprise a-t-elle une politique sur la protection des renseignements personnels qui explique aux clients comment vous recueillerez et utiliserez leurs renseignements personnels? S2011 MODIFIÉ

     Oui     1
     Non     2

Section 2 : La protection des renseignements personnels en tant qu’objectif organisationnel

19. Dans quelle mesure la protection des renseignements personnels de vos clients est-elle importante pour votre entreprise? Veuillez utiliser une échelle de 1 à 7, où 1 signifie que cela n’est pas un objectif organisationnel important et 7 signifie qu’il s’agit d’un objectif très important. S2011 MODIFIÉ

20. Supprimé

21. Dans quelle mesure êtes-vous convaincu que votre entreprise sait comment protéger parfaitement les renseignements personnels que vous recueillez? Diriez-vous que vous êtes tout à fait convaincu, modérément convaincu, pas très convaincu ou pas du tout convaincu?

Section 3 : Sensibilisation aux lois sur la protection des renseignements personnels et répercussions de ces lois

La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie Britannique et au Québec, le secteur privé est régi par des lois provinciales, qui sont considérées comme semblables à la loi fédérale. S2011

22. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout sensibilisée et 7 signifie très sensibilisée. S2011

23. En ce qui concerne la LPRPDE, la loi du gouvernement fédéral sur la protection des renseignements personnels, dans quelle mesure considérez-vous que votre entreprise y est sensibilisée? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout sensibilisée et 7 signifie très sensibilisée. S2011

Section 4 : Conformité, atteintes et évaluation des risques

24. Dans quelle mesure a-t-il été difficile dans votre entreprise de rendre vos pratiques de traitement des renseignements personnels conformes aux lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie extrêmement aisé, 7, extrêmement difficile et 4, ni aisé ni difficile. S2011

25. Selon vous, quel est l’obstacle ou le défi le plus important en ce qui concerne la conformité aux lois sur la protection des renseignements personnels du Canada? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES.)

	Compréhension vague de la loi                             1
	Le personnel doit y allouer du temps                      2
	Coût de la conformité (coûts non liés au personnel)       3
	Autre, veuillez préciser :                 

26. Supprimé

Section 5 : Atteintes à la sécurité des renseignements personnels

Parfois, les renseignements personnels de nature délicate qu’une entreprise détient sur ses clients sont compromis pour différentes raisons, par exemple des activités criminelles, un vol, un piratage ou une erreur d’un employé, comme un ordinateur portable ou un autre appareil égaré. S2011 MODIFIÉ

27. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout préoccupé et 7, très préoccupé. S2011

28. Quelle serait, à votre avis, la plus grande menace à la sécurité susceptible de compromettre des renseignements personnels au sein de votre entreprise? (NE PAS LIRE LA LISTE. ACCEPTER UNE RÉPONSE.)

	Piratage                                            1
	Vol                                                 2
	Perte                                               3
	Utilisation d’appareils mobiles par les employés    4
	Erreur d’un employé                                 5
	Autre, veuillez préciser :                 

29. Est-ce que votre entreprise a adopté des protocoles ou des procédures à suivre en cas d’atteinte qui compromettrait les renseignements personnels de vos clients? S2011 MODIFIÉ

     Oui     1
     Non     2

30. Votre entreprise a-t-elle déjà été confrontée à une atteinte ayant compromis des renseignements personnels? S2011 MODIFIÉ

     Oui     1
     Non     2    SAUTER LA QUESTION QUI SUIT

POSER LA QUESTION SUIVANTE AUX RÉPONDANTS AYANT INDIQUÉ QUE LEUR ENTREPRISE AVAIT ÉTÉ CONFRONTÉE À UNE ATTEINTE À LA SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS :

31. Qu’avez-vous fait pour régler cette situation? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES.) S2011

  Avis aux personnes concernées                                                      1
  Avis aux organismes gouvernementaux chargés de la surveillance 
     des lois sur la protection des renseignements personnels du Canada              2
  Avis aux organismes d’application de la loi                                        3
  Suivi de la procédure adéquate (générale)                                          4
  Avis au siège social, aux RH ou au service responsable de la protection 
     des renseignements personnels de l’entreprise                                   5
  Recours à un conseiller juridique ou poursuite en justice                          6
  Règlement du problème avec les personnes responsables de l’atteinte 
     (p. ex. congédiement ou réprimande de l’employé)                                7
  Obtention de renseignements auprès du gouvernement 
     (sites Web, numéros 1 800)                                                      8
  Formation ou formation d’appoint du personnel                                      9
  Examen des politiques ou des pratiques en matière de protection des 
     renseignements personnels                                	                    10
  Mise en place d’un système de sécurité ou accroissement de la sécurité            11
  Autre, veuillez préciser :                                                        12

32. Supprimé

Section 6 : Innovation au sein de l’entreprise

33. Votre entreprise dispose t elle de politiques ou de procédures pour évaluer les risques liés à la protection des renseignements personnels? Cela comprend l’évaluation des risques liés à la création ou à l’utilisation de nouvelles technologies ou de nouveaux produits ou services. S2011

     Oui     1
     Non     2

34. Dans votre entreprise, recueillez-vous des renseignements personnels auprès des clients pour ensuite les acheminer à une autre entreprise à des fins de traitement, d’entreposage ou pour tout autre service, y compris tout processus lié à l’infonuagique? S2011 [NOTEZ DES INCOHÉRENCES AVEC LA QUESTION 7 ET SONDEZ POUR LA BONNE RÉPONSE À CES DEUX QUESTIONS]

     Oui     1
     Non     2

POSER LA QUESTION SUIVANTE UNIQUEMENT AUX RÉPONDANTS DONT L’ENTREPRISE FAIT APPEL À DES TIERS (Q34):

35. Avez-vous conclu un contrat ou pris d’autres mesures pour veiller à ce que les renseignements personnels de vos clients qui sont traités ou entreposés par une autre entreprise, y compris par l’entremise de l’infonuagique, soient protégés adéquatement? S2011

     Oui     1
     Non     2

*NE LIRE L’ÉNONCÉ « Y COMPRIS PAR L’ENTREMISE DE L’INFONUAGIQUE » QUE POUR LES RÉPONDANTS QUI UTILISENT ACTUELLEMENT CE PROCESSUS.

36. Votre entreprise autorise-t-elle les employés à utiliser des appareils électroniques qu’elle ne fournit pas elle-même, par exemple un téléphone intelligent, une tablette ou un ordinateur personnel, pour les besoins de leur travail?

     Oui     1
     Non     2    ALLER À Q38

SI LA RÉPONSE EST « OUI «, POSER LA QUESTION SUIVANTE :

37. Votre entreprise a-t-elle élaboré une politique interne officielle pour gérer les problèmes de sécurité découlant de cette pratique?

     Oui     1
     Non     2

38. Votre entreprise recueille-t-elle des renseignements personnels auprès de ses clients en utilisant une application pour appareils mobiles?

     Oui     1
     Non     2

SI LA RÉPONSE EST « OUI », POSER LES DEUX QUESTIONS SUIVANTES :

39. Quels types de renseignements votre entreprise recueille-t-elle au moyen de ses applications? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.)

	
	Coordonnées, p. ex. le nom, le numéro de téléphone et l’adresse         1
	Opinions, évaluations et commentaires                                   2
	Habitudes de consommation                                               3
	Renseignements financiers, y compris les numéros de carte de crédit     4
	Renseignements sur l’emplacement                                        5
	Autre renseignement, veuillez préciser :                
	Aucune de ces réponses (NE PAS LIRE)                                    6

40. Comment votre entreprise indique-t-elle aux utilisateurs les fins auxquelles serviront les renseignements recueillis au moyen des applications?

	Dans sa politique générale sur la protection des renseignements personnels    1
	Dans une politique sur la protection des renseignements personnels 
	                   distincte se rapportant à l’application                    2
	Dans la « boutique » qui distribue l’application                              3
	Au moyen d’avis intégrés à l’application                                      4
	Autre, veuillez préciser :                                                    5

Section 7 : Coopération avec les organismes d’application de la loi et le gouvernement

En vertu des lois canadiennes sur la protection des renseignements personnels, si les organismes d’application de la loi ont un mandat de la cour, ils peuvent exiger qu’une entreprise leur communique les renseignements personnels qu’elle détient concernant ses clients. S’ils n’ont pas de mandat, l’entreprise peut accepter ou refuser de communiquer les renseignements.

41. Au cours des deux ou trois dernières années, combien de fois des organismes d’application de la loi n’ayant pas de mandat ont-elles demandé à votre entreprise des renseignements personnels concernant ses clients? (LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE.)

	Jamais 
	De 1 à 5 fois		
	De 6 à 10 fois		
	Plus de 10 fois 	

SI DES RENSEIGNEMENTS ONT ÉTÉ DEMANDÉS (QUESTION PRÉCÉDENTE), POSER LA QUESTION SUIVANTE :

42. Est-ce que votre entreprise a accepté de fournir les renseignements demandés? (LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE.)

	Oui, chaque fois que des renseignements ont été demandés
	Oui, quelques fois
	Non, jamais 

Section 8 : Communications

43. Supprimé

44. Supprimé

45. Dans votre entreprise, avez-vous déjà cherché à obtenir des précisions sur vos responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? S2011

     Oui     1
     Non     2      SAUTER LA QUESTION QUI SUIT

SI LA RÉPONSE EST « OUI », POSER LA QUESTION SUIVANTE :

46. Où avez-vous obtenu ces précisions? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES.) S2011

	Internet (général)                                                    1
	Gouvernement 
            *[Sondez si fédéral (2a) ou provincial (2b)]                      2 
	Commissariat à la protection de la vie 	
	Privée 
	    *[Sondez si fédéral (3a) ou provincial (3b)]                      3
	Avocat                                                                4
	Expert de l’entreprise ou du siège social ou ressource 
	    interne de l’entreprise                                           5
	Experts de l’industrie, sociétés d’experts-conseils ou 
	    sources du domaine de l’éducation                                 6
	Association de l’industrie                                            7
	Autre, veuillez préciser :                 

Section 9 : Commissariat à la protection de la vie privée du Canada

47. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels? S2011 MODIFIÉ

     Oui     1
     Non     2      PASSER À LA SECTION QUI SUIT

SI LA RÉPONSE EST « OUI », POSER LA QUESTION SUIVANTE :

48. Avez-vous déjà fait appel à ces ressources dans votre entreprise? S2011

     Oui     1
     Non     2      PASSER À LA SECTION QUI SUIT

SI LA RÉPONSE EST « OUI », POSER LA QUESTION SUIVANTE :

49. À quelles ressources du Commissariat à la protection de la vie privée du Canada avez vous fait appel dans votre entreprise? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES.) S2011 MODIFIÉ

	Site Web du Commissariat                                                1
	Publications du Commissariat                                            2
	Conseils ou orientations en matière de politiques du Commissariat       3
	Présentation ou exposé du Commissariat                                  4
	Appel au Centre d’information du Commissariat 
	             (pour des demandes de renseignements)                      5
	Autre, veuillez préciser :                

50. Dans quelle mesure les ressources ou les renseignements reçus du Commissariat à la protection de la vie privée du Canada ont-ils été utiles pour aider votre entreprise à assumer ses obligations en matière de protection des renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout utiles et 7, très utiles. S2011

SI LE RÉPONDANT DONNE UN CHIFFRE DE 1 À 3 COMME RÉPONSE, POSER LA QUESTION SUIVANTE :

51. Pourquoi les ressources ou les renseignements n’ont-ils pas été très utiles? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES.) S2011

	Pas assez détaillés                                 1
	Trop difficiles à comprendre                        2
	Rien de nouveau; renseignements déjà connus         3
	Pas dans le format voulu                            4
	Non adéquats pour la taille de l’entreprise         5
	Non adéquats pour le secteur opérationnel           6
	Autre, veuillez préciser :                 

Section 10 : Profil organisationnel

Ces dernières questions ne sont posées qu’à des fins statistiques, et toutes les réponses sont confidentielles.

52. Dans quelle industrie ou dans quel secteur œuvrez-vous? Si votre entreprise œuvre dans plusieurs secteurs, veuillez indiquer le secteur principal. (NE PAS LIRE LA LISTE. ACCEPTER UNE RÉPONSE.) S2011

	Hébergement et services de restauration                               1
	Services administratifs, de soutien, de gestion des déchets 
	         et d’assainissement                                          2
	Agriculture, foresterie, pêche et chasse                              3
	Arts, spectacles et loisirs                                           4
	Construction                                                          5
	Services d’enseignement                                               6
	Finance et assurances                                                 7
	Soins de santé et assistance sociale                                  8 
	Industrie de l’information et industrie culturelle                    9
	Gestion de sociétés et d’entreprises                                 10
	Fabrication                                                          11
	Extraction minière et extraction de pétrole et de gaz                12
	Autres services (sauf les administrations publiques)                 13
	Services professionnels, scientifiques et techniques                 14
	Administrations publiques                                            15
	Services immobiliers et services de location et de location à bail   16
	Commerce de détail                                                   17
	Transport et entreposage                                             18
	Services publics                                                     19
	Commerce de gros                                                     20
	Autre, veuillez préciser :                                           21

53. Quel est votre poste au sein de l’organisation? (NE PAS LIRE LA LISTE. ACCEPTER UNE RÉPONSE.) S2011

	Propriétaire, président ou PDG                               1
	Directeur général ou autre gestionnaire                      2
	Gestionnaire des TI                                          3
	Administration                                               4 
	Vice-président                                               5
	Analyste, agent ou coordonnateur en matière de 
		protection des renseignements personnels             6
	Conseiller juridique ou avocat                               7
	RH ou Opérations                                             8
	Autre, veuillez préciser :                                   9

54. Quel est votre poste au sein de l’organisation? (NE PAS LIRE LA LISTE. ACCEPTER UNE RÉPONSE.) S2011

	Moins de 100 000 $                                          1
	De 100 000 $ à juste au-dessous de 250 000 $                2
	De 250 000 $ à juste au-dessous de 500 000 $                3
	De 500 000 $ à juste au-dessous de 1 000 000 $              4
	De 1 000 000 $ à juste au-dessous de 5 000 000 $            5
	De 5 000 000 $ à juste au-dessous de 10 000 000 $           6
	De 10 000 000 $ à juste au-dessous de 20 000 000 $          7
	Plus de 20 millions de dollars                              8
                             Cela met fin au sondage.
             Merci de votre temps et de vos commentaires; c’est très apprécié.
Date de modification :