Sondage de 2019-2020 auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels
Rapport final
Préparé pour le Commissariat à la protection de la vie privée du Canada
Nom du fournisseur : Phoenix SPI
Numéro de contrat : 2R008-190099-001_CY
Valeur du contrat : 74 242,36 $ (TVH comprise)
Date d’attribution : 30 juillet 2019
Date de livraison : 31 janvier 2020
Numéro d’enregistrement : POR 037-19
Préparé pour le Commissariat à la protection de la vie privée du Canada
Janvier 2020
Le présent rapport de recherche sur l’opinion publique présente les résultats d’un sondage téléphonique mené par Phoenix SPI pour le compte du Commissariat à la protection de la vie privée du Canada. Le sondage a été mené auprès de 1 003 entreprises canadiennes, du 29 novembre au 19 décembre 2019.
La présente publication peut être reproduite à des fins non commerciales seulement. Il faut avoir obtenu au préalable l’autorisation écrite du Commissariat à la protection de la vie privée du Canada. Pour obtenir des renseignements supplémentaires sur le présent rapport, veuillez communiquer avec le Commissariat à la protection de la vie privée du Canada par courriel à l’adresse suivante : publications@priv.gc.ca, ou par la poste à l’adresse suivante :
Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec)
K1A 1H3
Liste des figures
- Figure 1 : Utilisation prévue des renseignements personnels des clients recueillis par les entreprises
- Figure 2: Communication, collecte ou utilisation des renseignements des clients
- Figure 3 : Méthodes utilisées par les entreprises pour entreposer les renseignements personnels
- Figure 4 : Importance que les entreprises accordent à la protection des renseignements personnels des clients
- Figure 5 : Importance que les entreprises accordent à la protection des renseignements personnels des clients [au fil du temps]
- Figure 6 : Politiques sur la protection des renseignements personnels
- Figure 7 : Caractéristiques des politiques sur la protection des renseignements personnels
- Figure 8 : Entreprises informant leurs clients des modifications apportées aux politiques sur la protection des renseignements personnels
- Figure 9 : Mesures prises pour informer les clients des pratiques de l’entreprise en matière de protection des renseignements personnels
- Figure 10 : Pratiques en matière de politiques sur la protection des renseignements personnels
- Figure 11 : Pratiques de conformité en matière de protection des renseignements personnels [au fil du temps]
- Figure 12 : Politiques organisationnelles visant à évaluer les risques liés à la protection des renseignements personnels
- Figure 13 : Proportion d’entreprises ayant connu une atteinte à la vie sécurité des données
- Figure 14 : Degré de préoccupation à propos des atteintes à la sécurité des données
- Figure 15 : Degré de préoccupation à propos des atteintes à la sécurité des données [au fil du temps]
- Figure 16 : Sensibilisation des entreprises aux responsabilités en vertu des lois sur la protection des renseignements personnels
- Figure 17 : Sensibilisation des entreprises à leurs responsabilités en vertu des lois régissant la protection des renseignements personnels [au fil du temps]
- Figure 18 : Conformité aux lois canadiennes régissant la protection des renseignements personnels
- Figure 19 : Degré de difficulté pour se conformer aux lois canadiennes régissant la protection des renseignements personnels
- Figure 20 : Conformité aux lois canadiennes régissant la protection des renseignements personnels
- Figure 21 : Connaissance des ressources du Commissariat
Sommaire
Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a retenu les services de Phoenix Strategic Perspectives (Phoenix SPI) afin de réaliser une étude quantitative auprès des entreprises canadiennes sur les enjeux liés à la protection des renseignements personnels.
But, objectifs et utilisation des résultats
Pour répondre à ses besoins en matière de renseignements, le Commissariat réalise tous les deux ans des sondages auprès des entreprises afin d’éclairer et d’orienter les efforts de sensibilisation. La présente recherche visait à recueillir des données sur le type de politiques et de pratiques de protection des renseignements personnels mises en œuvre par les entreprises, sur le respect de la loi par les entreprises, ainsi que sur la sensibilisation et les approches des entreprises en matière de protection des renseignements personnels. On utilisera les conclusions pour aider le Commissariat à fournir des conseils aux personnes et aux organisations sur les enjeux liés à la protection des renseignements personnels, et à renforcer ses efforts de sensibilisation auprès des petites entreprises, ce qui peut être un moyen efficace d’apporter des changements positifs en matière de protection des renseignements personnels.
Méthodologie
Un sondage téléphonique de 13 minutes a été réalisé auprès de 1 003 entreprises d’un bout à l’autre du Canada, du 29 novembre au 19 décembre 2019. Les répondants ciblés étaient des décideurs de haut niveau ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes. Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage : petite (de 1 à 19 employés); moyenne (de 20 à 99 employés) et grande (100 employés et plus). Les résultats ont été pondérés selon la taille, le secteur et la région au moyen des données de Statistique Canada afin de veiller à ce qu’elles reflètent la distribution réelle des entreprises au Canada. Compte tenu de la taille de l’échantillon, les résultats sont fiables à plus ou moins 3,1 %, 19 fois sur 20.
Principales constatations
- En ce qui concerne le consentement valable, au moins un tiers des entreprises canadiennes intègrent certains des principes directeurs dans leurs pratiques en matière de protection des renseignements personnels.
- Environ la moitié (51 %) des entreprises interrogées font en sorte que les clients ont facilement accès à leurs renseignements personnels.
- Quarante-cinq pour cent (45 %) des entreprises indiquent clairement aux clients si la collecte, l’utilisation ou la communication de renseignements est une condition de service.
- Environ un tiers d’entre elles informent les clients lorsqu’elles apportent des modifications à leur politique sur la protection des renseignements personnels (36 %) et obtiennent le consentement des clients lorsqu’elles apportent des modifications à leur politique sur la protection des renseignements personnels (34 %).
- De nombreuses entreprises ont mis en œuvre une politique sur la protection des renseignements personnels.
- Environ deux tiers (65 %) des entreprises interrogées ont mis en œuvre une politique sur la protection des renseignements personnels.
- Parmi les entreprises qui ont une politique sur la protection des renseignements personnels, beaucoup ont une politique qui explique en langage simple la manière dont elles recueillent, utilisent et communiquent les renseignements des clients (84 %), l’objectif de la collecte des renseignements personnels des clients (82 %), la nature des renseignements personnels recueillis (80 %) et les parties auxquelles les renseignements personnels recueillis seront communiqués (70 %).
- Environ un tiers (36 %) des entreprises qui ont une politique sur la protection des renseignements personnels informent leurs clients lorsqu’elles apportent des modifications à cette politique.
- Au moins la moitié des entreprises canadiennes ont mis en œuvre la plupart des pratiques de conformité en matière de protection des renseignements mesurés dans le sondage.
- Soixante-deux pour cent (62 %) des entreprises ont désigné une personne responsable des questions de protection de la vie privée et des renseignements personnels que leur entreprise détient (par rapport à 59 % en 2017 et 57 % en 2011, lorsque le suivi a commencé).
- Six entreprises sur 10 (60 %) ont mis en œuvre des procédures à suivre lorsque les clients demandent d’accéder à leurs renseignements personnels (par rapport à 47 % en 2017).
- Plus de la moitié (58 %) des entreprises ont mis en œuvre des procédures pour traiter les plaintes des clients qui s’inquiètent de la manière dont leurs renseignements ont été traités (par rapport à 51 % en 2017 et 48 % en 2011, lorsque le suivi a commencé).
- Cinquante-cinq pour cent (55 %) des entreprises ont élaboré et consigné des politiques internes à l’intention du personnel sur les obligations en matière de protection de la vie privée en vertu de la loi (par rapport à 50 % en 2017).
- Quatre entreprises sur 10 (39 %) offrent à leur personnel une formation périodique sur la protection de la vie privée.
- La plupart des entreprises n’ont pas connu d’atteinte à la vie privée.
- Plus de 9 entreprises sur 10 (95 %) n’ont pas connu d’atteinte à la vie privée.
- Les inquiétudes concernant les atteintes à la protection des données sont polarisées. Trois entreprises sur 10 (30 %) sont extrêmement préoccupées par l’atteinte à la sécurité des renseignements personnels, alors qu’exactement un tiers (33 %) des entreprises ne sont pas du tout préoccupées par l’atteinte à la sécurité des renseignements personnels.
- Les inquiétudes marquées concernant l’atteinte à la sécurité des renseignements personnels ont fluctué au fil du temps, passant d’un minimum de 24 % en 2013 à un maximum de 37 %, cette année.
- De nombreuses entreprises sont très conscientes des responsabilités qui leur incombent en vertu des lois canadiennes régissant la protection des renseignements personnels.
- Plus de la moitié des représentants d’entreprises pensent que leur entreprise est très consciente des responsabilités qui lui incombent en vertu des lois canadiennes régissant la protection des renseignements personnels (notes de 6 ou 7 sur une échelle de 7), dont 40 % qui disent que leur entreprise est extrêmement consciente de ces responsabilités.
- Plus de 7 entreprises sur 10 (77 %) ont pris des mesures pour s’assurer qu’elles respectent les lois canadiennes régissant la protection des renseignements personnels. Quarante-six pour cent (46 %) des entreprises qui ont pris des mesures pour se conformer aux lois disent qu’il a été assez facile d’appliquer ces mesures (notes de 3 à 5 sur une échelle de 7), et 37 % disent qu’il a été facile d’appliquer ces mesures (notes de 1 ou 2 sur une échelle de 7).
- Un peu plus d’un tiers (36 %) des entreprises savent que le Commissariat dispose de renseignements et d’outils pour les aider à respecter leurs obligations en matière de protection des renseignements personnels. Toutefois, près des deux tiers (63 %) des entreprises ne savent pas que le Commissariat dispose de ressources pour les aider à respecter leurs obligations en matière de protection des renseignements personnels.
- La taille de l’entreprise reste le meilleur indicateur des pratiques d’une entreprise en matière de protection des renseignements personnels.
- Les grandes entreprises (c’est-à-dire celles qui comptent au moins 100 employés) sont plus susceptibles d’avoir mis en œuvre une série de pratiques en matière de protection des renseignements personnels, de disposer de politiques ou de procédures pour évaluer les risques liés à la protection des renseignements personnels et d’avoir une politique en la matière.
Introduction
Le Commissariat à la protection de la vie privée du Canada a chargé Phoenix Strategic Perspectives (Phoenix SPI) de mener une recherche sur l’opinion publique auprès d’entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels.
Contexte
À titre de défenseur des droits des Canadiens en matière de protection de la vie privée, le commissaire à la protection de la vie privée est autorisé à enquêter sur les plaintes, à mener des vérifications en vertu de deux lois fédérales, à publier de l’information sur les pratiques de traitement des renseignements personnels dans le secteur public et privé et à mener des recherches sur les enjeux liés à la protection des renseignements personnels. Mandaté par le Parlement pour agir à titre d’ombudsman et de gardien de la vie privée au Canada, le Commissariat est chargé de faire respecter la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui s’applique aux activités commerciales dans les provinces de l’Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Le Québec, l’Alberta et la Colombie-Britannique possèdent leur propre loi sur la protection des renseignements personnels applicable au secteur privé. Toutefois, même dans ces provinces, la LPRPDE vise les entreprises du secteur privé sous réglementation fédérale ainsi que les renseignements personnels obtenus dans le cadre d’activités interprovinciales et internationales.
But et objectifs de la recherche
Compte tenu de son mandat, le Commissariat doit comprendre dans quelle mesure les entreprises connaissent les enjeux liés à la protection des renseignements personnels; quel type de politiques et de pratiques de protection des renseignements personnels les entreprises ont mis en œuvre; la conformité des entreprises à la loi; ainsi que la sensibilisation et les approches des entreprises en matière de protection des renseignements personnels. Pour répondre à ses besoins en matière de renseignements, le Commissariat réalise tous les deux ans des sondages auprès des entreprises afin d’éclairer et d’orienter ses efforts de sensibilisation des entreprises. On utilisera les conclusions pour aider le Commissariat : 1) à fournir des conseils aux personnes et aux organisations sur les questions de protection des renseignements personnels, et 2) à renforcer ses efforts de sensibilisation des petites entreprises, ce qui peut être un moyen efficace d’apporter des changements positifs à l’égard de la protection des renseignements personnels.Méthodologie
Un sondage téléphonique a été réalisé auprès de 1 003 entreprises d’un bout à l’autre du Canada. Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage. Elemental Data Collection Inc. (EDCI) s’est chargé de la réalisation des entrevues pour le compte de Phoenix SPI, au moyen de la technologie d’entrevues téléphoniques assistées par ordinateur (ETAO). Les résultats ont été pondérés selon la taille, le secteur et la région au moyen des données de Statistique Canada afin de veiller à ce qu’elles reflètent la distribution réelle des entreprises au Canada. Compte tenu de la taille de l’échantillon, les résultats sont fiables à plus ou moins 3,1 %, 19 fois sur 20.
Les caractéristiques techniques du sondage sont présentées ciaprès.
- Les répondants ciblés étaient des décideurs de haut niveau ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes.
- La base d’échantillonnage a été achetée auprès de Dun & Bradstreet (D&B). Une base d’échantillonnage aléatoire a été générée pour déterminer le contingent de chacun des trois groupes cibles formés en fonction de la taille des entreprises : petite (1 à 19 employés); moyenne (20 à 99 employés) et grande (100 employés et plus).
- Pour les besoins du test préalable effectué par téléphone, 10 entrevues ont été réalisées dans chacune des deux langues officielles. Les entrevues ont été enregistrées numériquement et passées en revue par la suite.
- Les entrevues ont été réalisées dans la langue officielle choisie par le répondant. Au total, 80 % des entretiens ont été réalisés en anglais et 20 % en français.
- Les répondants ont été avisés que le sondage a été commandé par le Commissariat.
- Le sondage a été effectué du 29 novembre au 19 décembre 2019.
Le tableau ci-après présente des renseignements au sujet de la répartition finale des appels dans le cadre de la réalisation du sondage, ainsi que les taux de réponse connexes.Note de bas de page 1
| Total | |
|---|---|
| Nombre total de tentatives d’appel | 10 047 |
| Répondants non admissibles – non valides | 1 288 |
| Non résolu (NR) | 3 974 |
| Aucune réponse/répondeur | 3 974 |
| Répondants potentiels – unités non répondantes (UNR) | 3 756 |
| Barrière linguistique | 47 |
| Incapable de répondre au questionnaire (maladie/décès) | 138 |
| Rappel (répondant non disponible) | 1 717 |
| Refus | 1 744 |
| Terminaison | 110 |
| Répondants potentiels – unités répondantes (UR) | 1 029 |
| Entrevues effectuées | 1 003 |
| Non admissible (à but non lucratif) | 26 |
| Taux de réponse | 11,8 % |
Notes aux lecteurs
- Les résultats sont comparés à ceux de sondages semblables menés en 2011, 2013, 2015 et 2017.
- Sauf indication contraire, tous les résultats sont exprimés en pourcentages. Tout au long du rapport, les pourcentages ne correspondent pas toujours à 100 % en raison de l’arrondissement et des questions pour lesquelles de multiples réponses étaient permises.
- Parfois, le nombre de répondants change dans le rapport parce qu’on a posé des questions à des sous-échantillons de la population du sondage. Les lecteurs devraient en être conscients et faire preuve de prudence lorsqu’ils interprètent des résultats obtenus auprès d’un plus petit nombre de répondants.
- Les tailles des bases indiquées dans les graphiques correspondent au nombre réel de répondants à qui la question a été posée, le cas échéant.
- Les différences entre les sous-groupes sont décrites dans le rapport. Lorsqu’il est question des variations entre les sous-groupes, seules les différences qui sont importantes au niveau de confiance de 95 % et qui ont trait à un sous-groupe dont la taille de l’échantillon dépasse n = 30 sont indiquées. Si une catégorie ou plus d’un sous-groupe n’est pas mentionné dans une discussion sur les différences entre les sous-groupes (si deux régions parmi six sont comparées, par exemple), on peut en conclure que seules les catégories en question présentaient des différences considérables.
- Seules les variations entre les sous-groupes qui sont statistiquement significatives à un niveau de confiance de 95 % ou qui s’inscrivent dans un modèle ou une tendance ont été mentionnées.
- Le questionnaire du sondage est fourni en annexe du présent rapport.
Conclusions détaillées
1. Utilisation et entreposage des renseignements sur les clients
La présente section traite de la manière dont les entreprises canadiennes utilisent et entreposent les renseignements personnels qu’elles recueillent auprès de leurs clients.
De nombreuses entreprises utilisent les renseignements personnels qu’elles recueillent sur les clients pour fournir un service.
Près des deux tiers des entreprises (63 %) utilisent les renseignements qu’elles recueillent sur leurs clients pour fournir des services. Un peu moins d’un tiers (30 %) des entreprises utilisent ces renseignements pour établir des profils afin de personnaliser les services offerts à leurs clients. Dix pour cent des entreprises ou moins utilisent ces renseignements à d’autres fins : marketing (10 %), comptabilité et facturation (7 %) et communication avec les clients (3 %).
Version textuelle de la figure 1
Figure 1 : Utilisation prévue des renseignements personnels des clients recueillis par les entreprises
| Réponses | 2019 | 2013 |
|---|---|---|
| Fournir des services | 63 % | 68 % |
| Établir le profil des clients | 30 % | 31 % |
| Marketing | 10 % | 17 % |
| À des fins de comptabilité ou de facturation | 7 % | 14 % |
| À des fins de communication | 3 % | 3 % |
| Autres motifs | 2 % | 5 % |
| Ne sait pas | 11 % | 8 % |
| Base en 2019 : n = 1 003, tous les répondants. | ||
Cette question a déjà été posée aux entreprises canadiennes en 2013. Comme en 2013, la prestation de services et l’établissement du profil des clients ont été les utilisations des renseignements personnels sur les clients les plus fréquemment mentionnées.
Une minorité importante indique si la collecte, l’utilisation et la communication des renseignements personnels constituent une condition de service
Plus de 4 représentants d’entreprises sur 10 (45 %) affirment que leur entreprise indique clairement aux clients si la collecte, l’utilisation ou la communication des renseignements constituent une condition de service. En revanche, 40 % disent que leur entreprise ne le fait pas, tandis que les autres estiment que cela ne s’applique pas à leur entreprise (9 %) ou ne savent pas si leur entreprise dispose d’une pratique de cette nature (7 %).
Version textuelle de la figure 2
Figure 2: Communication, collecte ou utilisation des renseignements des clients
| Réponses | % des répondants |
|---|---|
| Oui, on indique clairement s'il s'agit d'une condition de service | 45 % |
| Non, on n'indique pas clairement s'il s'agit d'une condition de service | 40 % |
| Ne sait pas/refus | 16 % |
| Base : n = 1 003, tous les répondants [NSP/PR : 7 %] | |
Les entreprises de l’Ontario (51 %) sont plus susceptibles que celles des Prairies (27 %) d’indiquer clairement aux clients si la collecte, l’utilisation ou la communication des renseignements est une condition de service. En outre, les travailleurs indépendants (33 %) sont moins susceptibles que les moyennes (53 %) et grandes (48 %) entreprises d’expliciter ce fait aux clients.
La plupart des entreprises entreposent les renseignements personnels sur place, par voie électronique.
Quoique les entreprises canadiennes utilisent diverses méthodes d’enreposage des renseignements personnels de leurs clients, l’entreposage des renseignements sur place, par voie électronique, est de loin la méthode la plus courante. La grande majorité des représentants d’entreprises (72 %) indiquent que leur entreprise conserve sur place, par voie électronique, des renseignements sur leurs clients. Ensuite, environ la moitié (49 %) des personnes interrogées indiquent que leur entreprise conserve sur place, en format papier, les renseignements personnels de ses clients, et une sur quatre (25 %) conserve des renseignements chez un tiers par voie électronique.
Version textuelle de la figure 3
Figure 3 : Méthodes utilisées par les entreprises pour entreposer les renseignements personnels
| Réponses | 2019 | 2017 |
|---|---|---|
| Entreposés sur place en format électronique | 72 % | 73 % |
| Entreposés sur place en format papier | 49 % | 56 % |
| Entreposés chez un tiers en format électronique | 21 % | 18 % |
| Base en 2019 : n = 1 003, tous les répondants. [NSP/PR = 1 %] | ||
Les entreprises situées au Québec (78 %) sont plus susceptibles d’entreposer les renseignements personnels des clients sur place, en format électronique, que les entreprises situées en Ontario, y compris celles qui sont précisément situées dans la région du Grand Toronto (RGT) [67 % et 65 % respectivement, qui disent entreposer les renseignements sur les clients sur place, par voie électronique]. La probabilité d’entreposer les renseignements sur les clients sur place, par voie électronique, augmente en général avec la taille de l’entreprise : de 64 % des travailleurs autonomes à 81 % des grandes entreprises (c.-à-d. entreprises comptant 100 employés et plus).
Par rapport à 2017, les entreprises sont moins nombreuses à entreposer sur place, en format papier, les renseignements sur les clients. En 2017, 56 % des entreprises interrogées entreposaient des renseignements sur place, en format papier; en 2019, 49 % des entreprises conservent des renseignements de cette manière. Le recours à la conservation électronique, que ce soit sur place ou auprès d’un tiers, n’a pas changé de façon marquée.
2. Pratiques de l’entreprise en matière de protection des renseignements personnels
La présente section expose les procédures et les politiques que les entreprises ont établies pour protéger les renseignements personnels qu’elles recueillent sur leurs clients.
La majorité des entreprises accordent une grande importance à la protection des renseignements personnels de leurs clients.
Avant d’examiner les pratiques des entreprises en matière de protection des renseignements personnels, on a demandé aux représentants d’entreprises quelle importance leur entreprise accorde à la protection des renseignements personnels de ses clients. La plupart des entreprises canadiennes accordent une grande importance à la protection des renseignements personnels de leurs clients. Quatre représentants d’entreprises sur cinq déclarent que leur entreprise accorde une importance élevée à la protection des renseignements personnels des clients (notes de 6 et 7), 69 % d’entre eux affirmant qu’il s’agit d’un objectif organisationnel extrêmement important. À l’autre extrémité du spectre, très peu d’entreprises (5 %) ont indiqué clairement que la protection des renseignements personnels des clients n’est pas un objectif organisationnel important.
Version textuelle de la figure 4
Figure 4 : Importance que les entreprises accordent à la protection des renseignements personnels des clients
| Importance | 2019 (n=1 003) |
|---|---|
| Objectif organisationnel très important (7) | 69 % |
| 6 | 12 % |
| 5 | 7 % |
| 4 | 4 % |
| 3 | 1 % |
| 2 | 1 % |
| N'est pas un objectif important (1) | 5 % |
| Base : n = 1 003, tous les répondants. [NSP/PR = 1 %]. | |
Les entreprises qui ne vendent qu’aux consommateurs (77 %) sont nettement plus susceptibles d’accorder une importance extrêmement élevée à la protection des renseignements personnels de leurs clients que les entreprises qui vendent à d’autres entreprises (63 %) ou à la fois aux entreprises et aux consommateurs (66 %). La probabilité d’accorder une importance extrêmement élevée à cet objectif organisationnel était la plus élevée parmi les grandes entreprises (83 % par rapport à 62 % à 74 % pour les petites et moyennes entreprises).
Au fil du temps, l’importance que les entreprises accordent à la protection des renseignements personnels de leurs clients a considérablement augmenté, passant de 62 % en 2011 à 81 % en 2019.
![Figure 5 : Importance que les entreprises accordent à la protection des renseignements personnels des clients [au fil du temps]](/media/5151/fig5_fra.png)
Version textuelle de la figure 5
Figure 5 : Importance que les entreprises accordent à la protection des renseignements personnels des clients [au fil du temps]
| Degré d’importance | 2011 (n=1 006) |
2013 (n=1 006) |
2015 (n=1 016) |
2017 (n=1 014) |
2019 (n=1 003) |
|---|---|---|---|---|---|
| Haute importance (6 et 7) | 62 % | 70 % | 67 % | 68 % | 81 % |
| Importance modérée (3 à 5) | 26 % | 20 % | 21 % | 19 % | 12 % |
| Faible importance (1 et 2) | 12 % | 9 % | 11 % | 9 % | 6 % |
Près des deux tiers des entreprises disposent d’une politique sur la protection des renseignements personnels.
Environ deux tiers des représentants d’entreprises (65 %) indiquent que leur entreprise dispose d’une politique sur la protection des renseignements personnels. À l’inverse, 32 % des entreprises canadiennes ne disposent pas d’une politique sur la protection des renseignements personnels (les autres – 3 % – ne savent pas si leur entreprise dispose d’une politique de cette nature).
Version textuelle de la figure 6
Figure 6 : Politiques sur la protection des renseignements personnels
| Réponses | % des répondants |
|---|---|
| Oui, mon entreprise a une politique | 65 % |
| Non, mon entreprise n'a pas de politique | 32 % |
| Ne sait pas/refus | 3 % |
| Base : n = 1 003, tous les répondants. | |
Les répondants se déclarant travailleurs autonomes (44 %) sont les moins susceptibles de disposer d’une politique sur la protection des renseignements personnels, et les entreprises employant 100 personnes ou plus (83 %) sont les plus susceptibles de disposer d’une politique de cette nature. En outre, les entreprises situées au Québec (48 %) sont moins susceptibles que celles situées en Ontario (75 %; 73 % dans la région du Grand Toronto), en Colombie-Britannique (71 %) et en Alberta (64 %) de disposer d’une politique de cette nature.
Parmi les entreprises qui disposent d’une politique sur la protection des renseignements personnels (n = 717), beaucoup d’entre elles disposent d’une politique qui explique en langage clair la manière dont leur entreprise collecte, utilise et communique les renseignements sur les clients (84 %), l’objectif de la collecte des renseignements personnels des clients (82 %), et la nature des renseignements personnels recueillis (80 %). Par ailleurs, 7 de ces entreprises sur 10 disposent d’une politique sur la protection des renseignements personnels qui explique clairement à quelles parties les renseignements personnels recueillis seront communiqués (70 %). Parmi les entreprises disposant d’une politique sur la protection des renseignements personnels, seuls 52 % indiquent que leur entreprise explique le risque de préjudice en cas d’atteinte à la protection des renseignements personnels.
Version textuelle de la figure 7
Figure 7 : Caractéristiques des politiques sur la protection des renseignements personnels
| Questions | 2019 | 2017 |
|---|---|---|
| la façon dont votre entreprise recueille, utilise et communique les renseignements personnels de ses clients? | 84 % | N/D |
| les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés ou communiqués? | 82 % | 95 % |
| les renseignements personnels que votre entreprise recueille auprès de ses clients? | 80 % | 92 % |
| les parties avec lesquelles les renseignements personnels des clients seront partagés? | 70 % | 75 % |
| le risque de préjudice en cas d'atteinte? | 52 % | 52 % |
| Base : n = 717, entreprises disposant d’une politique sur la protection de la vie privée. | ||
Par rapport à 2017, moins d’entreprises déclarent que leur politique sur la protection des renseignements personnels explique en langage clair les fins de la collecte, de l’utilisation et de la communication de leurs renseignements personnels (82 % par rapport à 95 % en 2017), la nature des renseignements personnels recueillis (80 % par rapport à 92 %) et à quelles parties leurs renseignements seront communiqués (70 % par rapport à 75 %).
Un tiers des entreprises informent leurs clients lorsqu’elles apportent des modifications à leur politique sur la protection des renseignements personnels.
Environ un tiers (36 %) des entreprises qui ont une politique sur la protection des renseignements personnels informent leurs clients lorsqu’elles apportent des modifications à cette politique. Exactement la moitié (50 %) ne le font pas. Les autres – 14 % – ne savent pas si leur entreprise informe leurs clients à ce sujet ou estiment que cela ne s’applique pas à leur entreprise.
Version textuelle de la figure 8
Figure 8 : Entreprises informant leurs clients des modifications apportées aux politiques sur la protection des renseignements personnels
| Réponses | % des répondants |
|---|---|
| Oui, mon entreprise avise ses clients quand elle modifie sa politique | 36 % |
| Non, mon entreprise n'avise pas ses clients quand elle modifie sa politique | 50 % |
| Ne sait pas/refus | 14 % |
| Base : n = 717, entreprises disposant d’une politique sur la protection des renseignements personnels. [NSP/PR : 7 %] | |
La moitié d’entre elles rendent les renseignements relatifs à la protection des renseignements personnels accessibles aux clients; un nombre moins important d’entre elles obtiennent le consentement du client lorsqu’elles apportent des modifications à leur politique sur la protection des renseignements personnels.
Environ la moitié (51 %) des entreprises interrogées font en sorte que les clients ont facilement accès à l’information sur la protection des renseignements personnels et environ un tiers (34 %) déclarent obtenir le consentement des clients lorsqu’elles modifient les pratiques de leur entreprise en matière de protection des renseignements personnels.
Version textuelle de la figure 9
Figure 9 : Mesures prises pour informer les clients des pratiques de l’entreprise en matière de protection des renseignements personnels
| Questions | Oui | Non | Ne s’applique pas / pas de réponse |
|---|---|---|---|
| Obtenir le consentement des clients quand elle modifie sa politique de protection de la vie privée | 34 % | 52 % | 14 % |
| Faire en sorte que vos clients aient facilement accès à l'information sur la protection des renseignements personnels | 51 % | 38 % | 11 % |
| Base: n=1,003; all respondents. [DK/NR: 4%] | |||
Les répondants qui se déclarent travailleurs autonomes (entreprises comptant un employé) sont beaucoup plus susceptibles que les grandes entreprises de dire qu’elles n’obtiennent pas le consentement des clients lorsqu’elles apportent des modifications aux pratiques en matière de protection des renseignements personnels de la entreprise et qu’elles ne font pas en sorte que les clients ont facilement accès à l’information sur la protection des renseignements personnels.
La moitié ou plus ont mis en œuvre la plupart des pratiques en matière de protection des renseignements personnels.
On a demandé aux représentants si leur entreprise avait mis en place une série de pratiques de protection des renseignements personnels. Notamment :
- la désignation d’un employé responsable des questions liées à la protection de la vie privée et des renseignements personnels que détient l’entreprise;
- l’élaboration et la description dans des documents des politiques internes à l’intention du personnel expliquant les obligations que leur impose la loi en matière de protection des renseignements personnels;
- la prestation d’une formation et la communication d’information sur la protection des renseignements personnels aux employés, et ce, sur une base régulière;
- la mise en place de procédures pour répondre aux demandes de clients concernant l’accès à leurs renseignements personnels;
- la mise en place de procédures pour gérer les plaintes des clients qui estiment que leurs renseignements personnels ont été traités de façon inadéquate.
Au moins la moitié des entreprises canadiennes interrogées ont mis en œuvre les pratiques de conformité suivantes en matière de protection des renseignements personnels : désigner un responsable de la protection des renseignements personnels (62 %); disposer de procédures pour répondre aux demandes d’accès des clients à leurs renseignements personnels (60 %); disposer de procédures pour traiter les plaintes des clients concernant le traitement de leurs renseignements personnels (58 %); et disposer de politiques internes à l’intention du personnel sur les obligations en matière de protection des renseignements personnels (55 %). Environ quatre répondants sur dix (39 %) indiquent que leur entreprise offre à son personnel une formation périodique sur la protection des renseignements personnels.
Version textuelle de la figure 10
Figure 10 : Pratiques en matière de politiques sur la protection des renseignements personnels
| Questions | % des répondants |
|---|---|
| Dans votre entreprise, est-ce qu'une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient? | 62 % |
| Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l'accès à leurs renseignements personnels? | 60 % |
| Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate? | 58 % |
| Votre entreprise a-t-elle élaboré et documenté des politiques internes à l'intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels? | 55 % |
| Votre organisation donne-t-elle régulièrement au personnel une formation et de l'information sur la protection des renseignements personnels? | 39 % |
| Base : n = 1 003, tous les répondants [NSP/PR = 3 % à 6 %] | |
Les entreprises situées au Québec sont généralement moins susceptibles d’avoir mis en œuvre ces pratiques de conformité en matière de protection des renseignements personnels. En outre, la probabilité d’avoir mis en œuvre ces pratiques augmentait en fonction de la taille de l’entreprise et était la plus élevée parmi les grandes entreprises.
Pour l’ensemble des mesures, la conformité a connu une amélioration au fil du temps.
![Figure 11 : Pratiques de conformité en matière de protection des renseignements personnels [au fil du temps]](/media/5157/fig11_fra.png)
Version textuelle de la figure 11
Figure 11 : Pratiques de conformité en matière de protection des renseignements personnels [au fil du temps]
| Questions | 2019 | 2017 | 2015 | 2013 | 2011 |
|---|---|---|---|---|---|
| Dans votre entreprise, est-ce qu'une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient? | 62 % | 59 % | 57 % | 58 % | 57 % |
| Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l'accès à leurs renseignements personnels? | 60 % | 47 % | N/D | N/D | N/D |
| Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate? | 58 % | 51 % | 50 % | 51 % | 48 % |
| Votre entreprise a-t-elle élaboré et documenté des politiques internes à l'intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels? | 55 % | 50 % | 50 % | 51 % | N/D |
| Votre organisation donne-t-elle régulièrement au personnel une formation et de l'information sur la protection des renseignements personnels? | 39 % | 37 % | 32 % | 34 % | N/D |
| Base : n = 1 003, tous les répondants [NSP/PR = 3 % à 6 %] | |||||
3. Gestion des risques liés à la protection des renseignements personnels
La présente section examine la manière dont les entreprises canadiennes gèrent les risques d’atteinte à la vie privée, y compris les atteintes à la sécurité des renseignements personnels.
Plus d’un tiers des répondants indiquent que leur entreprise a mis en œuvre une politique pour évaluer les risques liés à la protection des renseignements personnels.
Un peu moins de deux répondants sur cinq (38 %) indiquent que leur entreprise dispose de politiques ou de procédures établies pour évaluer les risques liés à la protection des renseignements personnels pour leur entreprise. Environ la moitié (51 %) ne disposent pas de politiques ni de procédures de cette nature. Les autres (11 %) ne savent pas si leur entreprise dispose de politiques ou de procédures pour évaluer les risques liés à la protection des renseignements personnels.
Version textuelle de la figure 12
Figure 12 : Politiques organisationnelles visant à évaluer les risques liés à la protection des renseignements personnels
| Réponses | % des répondants |
|---|---|
| Oui, mon entreprise a une politique d'évaluation des risques | 38 % |
| Non, mon entreprise n'a pas de politique d'évaluation des risques | 51 % |
| Ne sait pas/refus | 11 % |
| Base : n = 1 003, tous les répondants. | |
La probabilité de disposer de politiques ou de procédures pour évaluer les risques liés à la protection des renseignements personnels augmente en fonction de la taille de l’entreprise et est la plus élevée dans les grandes entreprises.
Depuis 2013, date à laquelle le suivi de cette mesure a commencé, le nombre d’entreprises qui ont mis en œuvre des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels a augmenté de 10 points de pourcentage. Alors que 28 % des entreprises interrogées en 2013 avaient mis en place des politiques et des procédures pour évaluer les risques liés à la protection des renseignements personnels, cette proportion est passée à 37 % en 2017, et demeure pratiquement inchangée, à 38 %, en 2019.
La grande majorité des répondants indiquent que leur entreprise n’a pas connu d’atteinte ayant compromis les renseignements personnels de leurs clients.
La plupart des représentants d’entreprises (95 %) indiquent que leur entreprise n’a pas connu d’atteinte ayant compromis les renseignements personnels de leurs clients. Conformément aux données précédentes, très peu (4 %) disent que leur entreprise a connu une atteinte à la vie privéeNote de bas de page 2.
Version textuelle de la figure 13
Figure 13 : Proportion d’entreprises ayant connu une atteinte à la vie sécurité des données
| Réponses | % des répondants |
|---|---|
| Oui, mon entreprise a connu une atteinte ayant compromis les renseignements personnels | 4 % |
| Non, mon entreprise n'a pas connu d'atteinte ayant compromis les renseignements personnels | 95 % |
| Base : n = 1 003, tous les répondants. [NSP/PR = 1 %] | |
Plus la taille de l’entreprise est petite, plus il est probable que l’entreprise n’ait pas connu d’atteinte à la vie privée.
De nombreuses entreprises ont réagi aux atteintes à la vie privée en informant les clients concernés.
Parmi les entreprises qui ont connu une atteinte à la vie privée (n = 38), près de la moitié ont informé les personnes concernées par cette atteinte. Ensuite, les entreprises déclarent avoir réagi à l’atteinte en suivant les procédures appropriées ou en mettant en place un système de sécurité ou en améliorant les systèmes de sécurité existants.
Polarisation du degré de préoccupation à propos de l’atteinte à la protection des données
On a invité les représentants d’entreprises à évaluer leur degré de préoccupation relative aux atteintes à la protection des données, lorsque les renseignements personnels de leurs clients sont compromis. Trois représentants d’entreprises sur 10 (30 %) se disent extrêmement préoccupés par l’atteinte à la protection des données, alors qu’exactement un tiers (33 %) ne sont pas du tout préoccupés par l’atteinte à la protection des données.
Avant de poser cette question aux répondants, on leur a fourni les renseignements suivants :
Les atteintes à la protection des données peuvent être causées par des activités criminelles, un vol, le piratage ou une erreur d’un employé, comme la perte d’un ordinateur portable ou d’un autre dispositif.
Version textuelle de la figure 14
Figure 14 : Degré de préoccupation à propos des atteintes à la sécurité des données
| Degré de préoccupation | % des répondants |
|---|---|
| Extrêmement préoccupé (7) | 30 % |
| 6 | 7 % |
| 5 | 7 % |
| 4 | 7 % |
| 3 | 5 % |
| 2 | 10 % |
| Pas du tout préoccupé (1) | 33 % |
| Base : n = 1 003; tous les répondants; [NSP/PR = 1 %]. | |
Comme 45 % des représentants d’entreprises situées au Québec ont choisi la note la plus élevée de 7 sur l’échelle, les entreprises situées au Québec sont les plus susceptibles d’être extrêmement préoccupées par les atteintes à la protection des données.
Les inquiétudes marquées concernant les atteintes à la sécurité des renseignements personnels ont fluctué au fil du temps, passant d’un minimum de 24 % en 2013 à un maximum de 37 %, cette année.
![Figure 15 : Degré de préoccupation à propos des atteintes à la sécurité des données [au fil du temps]](/media/5161/fig15_fra.png)
Version textuelle de la figure 15
Figure 15 : Degré de préoccupation à propos des atteintes à la sécurité des données [au fil du temps]
| Degré de préoccupation | 2011 (n=1 006) |
2013 (n=1 006) |
2015 (n=1 016) |
2017 (n=1 014) |
2019 (n=1 003) |
|---|---|---|---|---|---|
| Extrêmement préoccupé (6 et 7) | 32 % | 24 % | 32 % | 28 % | 37 % |
| Un peu préoccupé (3 à 5) | 23 % | 23 % | 23 % | 20 % | 19 % |
| Pas du tout préoccupé (1 et 2) | 43 % | 50 % | 44 % | 50 % | 43 % |
| Base : n = 1 003; tous les répondants; [NSP/PR = 1 %]. | |||||
4. Sensibilisation aux lois fédérales sur la protection des renseignements personnels et répercussions de ces lois
La présente section examine les constatations de l’étude en ce qui a trait à la sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels. Les questions figurant dans cette section ont été précédées de la description suivante des lois canadiennes régissant la protection des renseignements personnels.
La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques ou LPRPDE, établit les règles qui régissent la façon dont les entreprises exerçant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en ColombieBritannique et au Québec, le secteur privé est régi par des lois provinciales, lesquelles sont considérées comme semblables à la loi fédérale.
De nombreuses entreprises sont très conscientes des responsabilités en vertu des lois sur la protection des renseignements personnels.
Plus de la moitié des représentants d’entreprises pensent que leur entreprise est très consciente des responsabilités qui lui incombent en vertu des lois canadiennes régissant la protection des renseignements personnels (notes de 6 ou 7), dont 40 % qui disent que leur entreprise est extrêmement consciente de ces responsabilités. Un tiers (33 %) d’entre eux disent que leur entreprise est quelque peu sensibilisée à ses responsabilités en matière protection des renseignements personnels (notes de 3 à 5). Peu d’entre eux (9 %) disent que la sensibilisation de leur entreprise à cet égard est faible (notes de 1 ou 2).
Version textuelle de la figure 16
Figure 16 : Sensibilisation des entreprises aux responsabilités en vertu des lois sur la protection des renseignements personnels
| Degré de sensibilisation | % des répondants |
|---|---|
| Très sensibilisée (7) | 40 % |
| 6 | 17 % |
| 5 | 19 % |
| 4 | 9 % |
| 3 | 5 % |
| 2 | 2 % |
| Pas du tout sensibilisée (1) | 7 % |
| Base : n = 1 003; tous les répondants; [NSP/PR = 1 %]. | |
Les entreprises situées au Québec (50 %) et en Ontario (43 %) sont plus susceptibles que les entreprises des Prairies (23 %) et de la Colombie-Britannique (30 %) d’être extrêmement conscientes de leurs responsabilités en vertu des lois canadiennes régissant la protection des renseignements personnels.
La proportion de représentants d’entreprises qui déclarent que leur entreprise est très consciente de ses responsabilités en vertu des lois canadiennes régissant la protection des renseignements personnels a considérablement augmenté cette année, passant de 44 % en 2017 à 57 % en 2019.
![Figure 17 : Sensibilisation des entreprises à leurs responsabilités en vertu des lois régissant la protection des renseignements personnels [au fil du temps]](/media/5163/fig17_fra.png)
Version textuelle de la figure 17
Figure 17 : Sensibilisation des entreprises à leurs responsabilités en vertu des lois régissant la protection des renseignements personnels [au fil du temps]
| Degré de sensibilisation | 2011 (n=1 006) |
2013 (n=1 016) |
2015 (n=1 016) |
2017 (n=1 014) |
2019 (n=1 003) |
|---|---|---|---|---|---|
| Très sensibilisée (6 et 7) | 31 % | 45 % | 43 % | 44 % | 57 % |
| Modérément sensibilisée (3 à 5) | 47 % | 42 % | 39 % | 38 % | 33 % |
| Pas du tout sensibilisée (1 et 2) | 19 % | 12 % | 17 % | 14 % | 9 % |
| Base : n = 1 003; tous les répondants; [NSP/PR = 1 %]. | |||||
Plus des trois quarts ont pris des mesures pour respecter les lois régissant la protection des renseignements personnels
Plus des trois quarts des représentants d’entreprises (77 %) indiquent que leur entreprise a pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels. Cela représente une augmentation marquée depuis 2017, date à laquelle 66 % des entreprises avaient pris des mesures pour veiller à la conformité.
Version textuelle de la figure 18
Figure 18 : Conformité aux lois canadiennes régissant la protection des renseignements personnels
| Réponses | % des répondants |
|---|---|
| Oui, mon entreprise a pris des mesures pour assurer la conformité | 77 % |
| Non, mon entreprise n'a pas pris des mesures pour assurer la conformité | 16 % |
| Ne sait pas/refus | 7 % |
| Base : n = 1 003; tous les répondants. | |
Les entreprises de l’Alberta (86 %) et de l’Ontario (84 %) étaient plus susceptibles que celles des Prairies (64 %) et du Québec (68 %) d’avoir pris des mesures pour veiller à la conformité. En outre, les répondants qui se déclarent travailleurs autonomes sont plus susceptibles de ne pas avoir pris de mesures pour veiller à ce que leur entreprise respecte les lois canadiennes régissant la protection des renseignements personnels.
La grande majorité n’ont pas trouvé qu’il était difficile de respecter les lois.
Environ 9 entreprises sur 10 (92 %) ayant pris des mesures pour se conformer aux lois canadiennes régissant la protection des renseignements personnels (n = 797) n’ont pas eu de mal à rendre conformes leurs pratiques de traitement des renseignements personnels.
Version textuelle de la figure 19
Figure 19 : Degré de difficulté pour se conformer aux lois canadiennes régissant la protection des renseignements personnels
| Degré de difficulté | % des répondants |
|---|---|
| Extrêmement difficile (7) | 3 % |
| 6 | 3 % |
| 5 | 10 % |
| 4 | 38 % |
| 3 | 7 % |
| 2 | 10 % |
| Extrêmement facile (1) | 27 % |
| Base : n = 797; entreprises ayant pris des mesures pour veiller à la conformité. [NSP/PR = 3 %]. | |
La proportion d’entreprises qui trouvent très facile de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels n’a cessé de croitre au fil du temps, passant de 28 % en 2011 à 37 % cette année.
Version textuelle de la figure 20
Figure 20 : Conformité aux lois canadiennes régissant la protection des renseignements personnels
| Degré de difficulté | 2011 (n=1 006) |
2013 (n=1 006) |
2017 (n=719) |
2019 (n=719) |
|---|---|---|---|---|
| Extrêmement facile (1 et 2) | 28 % | 31 % | 33 % | 37 % |
| Modérément facile (3 à 5) | 61 % | 56 % | 56 % | 55 % |
| Extrêmement difficile (6 et 7) | 4 % | 6 % | 8 % | 6 % |
| En 2015, la question n’était pas la même. Les données de 2015 sont exclues de ces graphiques. Base : n = 797; entreprises ayant pris des mesures pour veiller à la conformité. [NSP/PR = 3 %]. |
||||
Plus du tiers des entreprises connaissent les ressources fournies par le Commissariat.
Un peu plus d’un tiers (36 %) des entreprises savent que le Commissariat dispose de renseignements et d’outils pour les aider à respecter leurs obligations en matière de protection des renseignements personnels. À l’inverse, près des deux tiers (63 %) disent ne pas connaître les ressources que le Commissariat fournit aux entreprises. La connaissance des ressources que le Commissariat fournit aux entreprises a diminué cette année par rapport au sommet de 44 % enregistré en 2017.
Version textuelle de la figure 21
Figure 21 : Connaissance des ressources du Commissariat
| Réponses | % des répondants |
|---|---|
| Oui, je connais les renseignements et les outils du Commissariat | 36 % |
| Non, je ne connais pas les renseignements et les outils du Commissariat | 63 % |
| Base : n = 1 003; tous les répondants. [NSP/PR : 1 %]. | |
Les entreprises situées au Québec (25 %) sont moins susceptibles que celles du Canada atlantique (50 %) ou de l’Ontario (43 %) de savoir que le Commissariat à la protection de la vie privée du Canada met à la disposition des entreprises des renseignements et des outils pour les aider à respecter leurs obligations en matière de protection des renseignements personnels. La probabilité de connaître ces ressources était plus élevée dans les moyennes (48 %) et grandes (49 %) entreprises que dans les petites.
5. Profil d’entreprise
Les tableaux suivants présentent les caractéristiques des entreprises canadiennes figurant dans l’échantillon du sondage (au moyen des données pondérées).
| Type de client | Pourcentage |
|---|---|
| Vend directement aux clients | 32 % |
| Vend directement à d’autres entreprises/organisations | 26 % |
| Vend directement aux clients et à d’autres entreprises/organisations | 41 % |
| Autre | <1 % |
| Région | Pourcentage |
|---|---|
| Canada atlantique | 6 % |
| Québec | 21 % |
| Manitoba et Saskatchewan | 7 % |
| Alberta | 16 % |
| Colombie-Britannique | 14 % |
| Ontario (à l’exception de la région du Grand Toronto) | 16 % |
| Région du Grand Toronto | 21 % |
| Taille de l’entreprise | Pourcentage |
|---|---|
| 1 employé (travailleur autonome) | 15 % |
| De 2 à 4 employés | 24 % |
| De 5 à 9 employés | 22 % |
| De 10 à 19 employés | 25 % |
| De 20 à 99 employés | 10 % |
| 100 employés et plus | 4 % |
| Ne sait pas/Refus | 2 % |
| Revenus | Pourcentage |
|---|---|
| Moins de 100 000 $ | 15 % |
| 100 000 $ à moins de 250 000 $ | 9 % |
| 250 000 $ à moins de 500 000 $ | 10 % |
| 500 000 $ à moins de 1 000 000 $ | 10 % |
| 1 000 000 $ à moins de 5 000 000 $ | 18 % |
| 5 000 000 $ à moins de 10 000 000 $ | 4 % |
| 10 000 000 $ à moins de 20 000 000 $ | 2 % |
| Plus de 20 millions de dollars | 1 % |
| Ne sait pas/Refus | 31 % |
Annexe
1. Questionnaire du sondage
INTRODUCTION
Bonjour, je m’appelle [nom de l’intervieweur]. Préférez-vous continuer en anglais ou en français? / Would you prefer to continue in English or French?
Je vous appelle au nom de Phoenix SPI, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du commissaire à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.
Pourrais-je parler à la personne au sein de votre entreprise qui connaît le mieux les types de renseignements personnels que vous recueillez au sujet de vos clients ainsi que la façon dont ces renseignements sont conservés et utilisés? Il pourrait s’agir du chef de la protection des renseignements personnels de votre entreprise, si ce poste existe.
- SI LA PERSONNE EST DISPONIBLE, POURSUIVRE. RÉPÉTER L’INTRODUCTION, AU BESOIN.
- SI ELLE N’EST PAS DISPONIBLE, FIXER LE MOMENT D’UN AUTRE APPEL.
Le sondage ne devrait pas durer plus de 15 minutes. Votre participation est volontaire et vos réponses demeureront absolument confidentielles et anonymes.
Est-ce que je peux continuer?
- Oui, maintenant [POURSUIVRE]
- Non, rappelez plus tard. Fixer la date et l’heure : Date : Heure :
- Refusé [MERCI / METTRE FIN À L’APPEL]
SCREENING
1. Lequel des énoncés suivants décrit le mieux votre entreprise? [LIRE LA LISTE; ACCEPTER UNE SEULE RÉPONSE]
- Elle vend directement à des consommateurs *
- Elle vend directement à d’autres entreprises/organisations
- Elle vend directement à des consommateurs et à d’autres entreprises/organisations
- Autres, veuillez préciser :
- NE PAS LIRE : Organisme sans but lucratif [REMERCIER ET METTRE FIN]
- NE PAS LIRE : Ne sait pas / pas de réponse [REMERCIER ET METTRE FIN]
* REMARQUE À L’INTENTION DE L’INTERVIEWEUR : SI L’INTERLOCUTEUR S’INTERROGE SUR L’OPTION (1) « CONSOMMATEURS », DIRE : Cela fait référence à une personne, pas à une entreprise ou à un organisme.
2. Environ combien d’employés travaillent pour votre entreprise au Canada? Veuillez tenir compte des employés à temps partiel comme des équivalents temps plein. [NE PAS LIRE LA LISTE]
- Un (c.-à-d. travailleur indépendant)
- 2-4
- 5-9
- 10-19
- 20-49
- 50-99
- 100-149
- 150-199
- 200-249
- 250-299
- 300-499
- 500-999
- 1 000-4 999
- Plus de 5 000
Section 1. Renseignements personnels des clients
J’aimerais commencer par vous demander quels types de renseignements personnels vous conservez sur vos clients dans votre entreprise.
REMARQUE À L’INTENTION DE L’INTERVIEWEUR : Si on demande de définir « renseignements personnels », dire : « Par renseignements personnels, on entend le nom, l’adresse de courriel, les opinions et l’historique d’achats d’un client, ou ses renseignements financiers comme un numéro de carte de crédit. »
3. Que fait votre entreprise des renseignements personnels qu’elle recueille concernant ses clients? Les utilisez-vous pour…? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES] S2013
- Faire du marketing
- Fournir des services *
- Établir le profil des clients afin de personnaliser le service
- Pour d’autres fins. Le cas échéant, veuillez préciser :
* SI ON DEMANDE DE DÉFINIR CE QU’ON ENTEND PAR « UTILISER DES RENSEIGNEMENTS PERSONNELS POU FOURNIR DES SERVICES », DIRE : Par exemple, recueillir le numéro de carte de crédit d’un client pour effectuer un achat, ou recueillir une adresse de courriel pour envoyer une facture.
4. Parmi les choix suivants, de quelle manière entreposez-vous les renseignements personnels de vos clients dans votre entreprise? Les renseignements sont-ils…? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES] S2017 MODIFIÉ
- entreposés sur place en format papier
- entreposés sur place en format électronique
- entreposés à l’extérieur chez un tiers, par exemple grâce à l’infonuagique
[DÉCLARATION SPONTANÉE] L’entreprise de recueille pas de renseignements personnels concernant ses clients.
[REMERCIER ET METTRE FIN À L’ENTRETIEN SI L’ENTREPRISE NE RECUEILLE PAS DE RENSEIGNEMENTS PERSONNELS]
5. Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise? Veuillez utiliser une échelle de 1 à 7, où 1 signifie que cela n’est pas un objectif organisationnel important et 7 signifie qu’il s’agit d’un objectif très important. S2017
Section 2 : Lois canadiennes sur la protection des renseignements personnels et conformité
La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie-Britannique et au Québec, le secteur privé est régi par des lois provinciales, lesquelles sont considérées comme semblables à la loi fédérale. S2017
6. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout sensibilisée et 7 signifie très sensibilisée. S2017
7. Votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte la loi sur la protection des renseignements personnels du Canada? S2017
- Oui CONTINUER
- Non PASSER À LA Q9
- [DÉCLARATION SPONTANÉE] Ne sait pas PASSER À LA Q9
[SI Q7 = « OUI »]
8. Dans quelle mesure a-t-il été difficile pour votre entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie extrêmement facile, 7, extrêmement difficile. S2017 MODIFIÉ
[TOUS]
9. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels? S2017 MODIFIÉ
- Oui
- Non
- [DÉCLARATION SPONTANÉE] Ne connaît pas le Commissariat
REMARQUE À L’INTENTION DE L’INTERVIEWEUR : Si l’interlocuteur pose des questions sur le Commissariat ou la façon de communiquer avec l’organisation, lui donner l’adresse du site Web suivant : priv.gc.ca.
Section 3 : Pratiques de l’entreprise en matière de protection de la vie privée
Maintenant, j’aimerais vous poser des questions sur les pratiques de votre entreprise en matière de protection de la vie privée.
10. Dans votre entreprise, est-ce qu’une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient? S2017
- Oui
- Non
- [DÉCLARATION SPONTANÉE] Ne sait pas
11. Votre entreprise a-t-elle élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels? S2017
- Oui
- Non
- [DÉCLARATION SPONTANÉE] Ne sait pas
12. Votre organisation donne-t-elle régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels? T2017
- Oui
- Non
- [DÉCLARATION SPONTANÉE] Ne sait pas
13. Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels? S2017
- Oui
- Non
- [DÉCLARATION SPONTANÉE] Ne sait pas
14. Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements ont été traités de façon inadéquate? S2017
- Oui
- Non
- [DÉCLARATION SPONTANÉE] Ne sait pas
15. Votre entreprise a-t-elle une politique sur la protection des renseignements personnels?
- Oui CONTINUER
- Non PASSER À LA Q17
- [DÉCLARATION SPONTANÉE] Ne sait pas PASSER À LA Q17
16. Votre politique sur la protection des renseignements personnels explique-t-elle en langage clair...? [LIRE LA LISTE] S2017
- La façon dont votre entreprise recueille, utilise et communique les renseignements personnels de ses clients
- Les renseignements personnels que votre entreprise recueille auprès de ses clients
- Les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés ou communiqués
- Les parties avec lesquelles les renseignements personnels des clients seront partagés
- Le risque de préjudice à la personne, le cas échéant, en cas d’atteinte à la protection des données
CHOIX DE RÉPONSES :
- Oui
- Non
- [DÉCLARATION SPONTANÉE] Ne sait pas
- [DÉCLARATION SPONTANÉE] Ne s’applique pas
[TOUS]
Toujours à propos de la collecte et de l’utilisation que fait votre entreprise des renseignements personnels…
17. Votre entreprise fait-elle ce qui suit? [LIRE LA LISTE] NOUVEAU-2019
- Aviser les clients quand elle modifie sa politique de protection de la vie privée
- Obtenir le consentement des clients quand elle modifie ses pratiques de protection de la vie privée
- Indiquer clairement si la collecte, l’utilisation ou la communication des renseignements est une condition de service
- Faire en sorte que vos clients aient facilement accès à l’information sur la protection des renseignements personnels
CHOIX DE RÉPONSES :
- Oui
- Non
- [DÉCLARATION SPONTANÉE] Ne sait pas
- [DÉCLARATION SPONTANÉE] Ne s’applique pas
Section 4 : Évaluation du risque et atteintes
18. Votre entreprise compte-t-elle sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels? Cela comprend l’évaluation des risques liés à la création ou à l’utilisation de nouvelles technologies ou de nouveaux produits ou services. S2017
- Oui
- Non
- [DÉCLARATION SPONTANÉE] Ne sait pas
-
Les atteintes à la protection des données sont causées par une activité criminelle, un vol, du piratage ou l’erreur d’un employé, comme le fait de laisser un ordinateur portable ou un autre appareil portatif à un endroit inapproprié. S2017
19. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout préoccupé et 7, très préoccupé. S2017
20. Votre entreprise s’assure-t-elle de conserver un registre de toutes les atteintes à la protection des données touchant les renseignements personnels de vos clients? NOUVEAU-2019
- Oui CONTINUER
- Non CONTINUER
- [DÉCLARATION SPONTANÉE]
- Ne s’applique pas; il n’y a pas eu d’atteinte PASSER À LA Q23
[SI Q20 ≠ « NE S’APPLIQUE PAS »]
21. Votre entreprise a-t-elle déjà été confrontée à une atteinte qui a compromis les renseignements personnels de vos clients? S2011
- Oui CONTINUER
- Non PASSER À LA Q23
- [DÉCLARATION SPONTANÉE] Ne sait pas PASSER À LA Q23
22. Qu’a fait votre entreprise pour régler cette situation? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES) S2011
- Averti les personnes concernées
- Averti les organismes gouvernementaux responsables de l’application des lois canadiennes sur la protection des renseignements personnels
- Averti les forces de l’ordre
- Suivi les procédures adéquates (en général)
- Averti le siège social, les RH ou le service responsable de la protection des renseignements personnels de l’entreprise
- Recours à un conseiller juridique ou poursuite en justice
- Réglé le problème avec les personnes responsables de l’atteinte (p. ex. congédiement de l’employé ou réprimande)
- Obtention de renseignements du gouvernement (sites Web, numéros 1-800)
- Formation ou formation d’appoint du personnel
- Examen des politiques ou des pratiques en matière de protection des renseignements personnels
- Mise en place d’un système de sécurité ou accroissement de la sécurité
- Autres (préciser) :
Section 5: Profil de l’entreprise
Ces dernières questions n’ont qu’une visée statistique, et toutes les réponses sont confidentielles.
23. Dans quelle industrie ou dans quel secteur exercez-vous vous des activités? Si votre entreprise exerce des activités dans plusieurs secteurs, veuillez indiquer le secteur principal. [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]
- Services d’hébergement et de restauration
- Services administratifs, services de soutien, services de gestion des déchets et services d'assainissement
- Agriculture, foresterie, pêche et chasse
- Arts, divertissements et loisirs
- Secteur de la construction
- Services d’éducation
- Finances et assurances
- Soins de santé et assistance sociale
- Industrie de l’information et industrie culturelle
- Gestion de sociétés et d’entreprises
- Secteur manufacturier
- Extraction minière et extraction de pétrole et de gaz
- Autres services (à l’exception de l’administration publique)
- Services professionnels, scientifiques et techniques
- Administration publique
- Services immobiliers et services de location et de location à bail
- Commerce de détail
- Transport et entreposage
- Services publics
- Commerce de gros
- Autres. Veuillez préciser :
24. Quel est votre poste dans l’organisation? [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]
- Propriétaire, président ou PDG
- Directeur général ou autre gestionnaire
- Gestionnaire de la TI
- Administration
- Vice-président
- Analyste, agent ou coordonnateur en matière de protection des renseignements personnels
- Conseiller juridique ou avocat
- RH/Opérations
- Autres : Préciser
25. Quelle catégorie correspond aux revenus de votre entreprise en 2018? [LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]
- Moins de 100 000 $
- De 100 000 $ à 249 999 $
- De 250 000 $ à 499 999 $
- De 500 000 $ à 999 999 $
- De 1 000 000 $ à 4 999 999 $
- De 5 000 000 $ à 9 999 999 $
- De 10 000 000 $ à 19 999 999 $
- Plus de 20 millions de dollars
- NE PAS LIRE : PRÉFÉRABLE DE NE PAS DIRE
Cela met fin au sondage.
Cela met fin au sondage. Merci de votre temps et de vos commentaires; nous vous sommes reconnaissants de votre participation.
2. Énoncé de neutralité politique
Je déclare par la présente, à titre de cadre supérieure de Phoenix Strategic Perspectives, que les produits livrables respectent toutes les exigences de neutralité politique du gouvernement du Canada décrites dans la Politique sur les communications et l’image de marque du gouvernement du Canada et la Procédure de planification et d’attribution des marchés de services de recherche sur l’opinion publique. Plus particulièrement, les produits finaux ne comprennent pas de renseignements sur les intentions de vote aux élections, les préférences de partis politiques, les positions vis-à-vis de l’électorat ou l’évaluation de la performance d’un parti politique ou de son dirigeant.
(Document original signé par)
Alethea Woods, présidente
Phoenix Strategic Perspectives
- Date de modification :