Sondage de 2025-2026 mené auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels

Rapport final

Nom du fournisseur : Phoenix SPI
Numéro de contrat : CW2230204
Date d’attribution : 2025-11-24
Valeur du contrat : 77 744,41 $ (incluant la TVH)
Date de livraison : 2026-03-25

Documents connexes (numéro d’enregistrement de la ROP) : POR 059-25

Préparé pour le Commissariat à la protection de la vie privée du Canada
Nom du fournisseur : Phoenix Strategic Perspectives Inc.
Mars 2026

Le présent rapport de recherche sur l’opinion publique présente les résultats d’un sondage téléphonique mené par Phoenix SPI pour le compte du Commissariat à la protection de la vie privée du Canada. Le sondage a été mené auprès de 800 représentants d’entreprises canadiennes, entre le 19 janvier et le 25 février 2026.

La présente publication peut être reproduite à des fins non commerciales seulement. Il faut cependant avoir obtenu au préalable l’autorisation écrite du Commissariat à la protection de la vie privée du Canada. Pour obtenir des renseignements supplémentaires sur le présent rapport, veuillez communiquer avec le Commissariat à la protection de la vie privée du Canada par courriel, à l’adresse suivante : Communications@priv.gc.ca, ou par la poste, à l’adresse suivante :

Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec)
K1A 1H3

Numéro de catalogue : IP54-96/2026F-PDF

Numéro international normalisé du livre (ISBN) : ISBN 978-0-660-99752-0

Numéro de catalogue (rapport final, anglais) : IP54-96/2026E-PDF
ISBN : 978-0-660-99751-3

Also available in English under the title: “2025-2026 Survey of Canadian businesses on privacy-related issues”.

Résumé

Le Commissariat à la protection de la vie privée du Canada a retenu les services de Phoenix Strategic Perspectives (Phoenix SPI) afin de réaliser une étude quantitative auprès des entreprises canadiennes sur les enjeux liés à la protection des renseignements personnels.

But, objectifs et utilisation des résultats

Pour répondre à ses besoins en matière de renseignements, le Commissariat réalise tous les deux ans des sondages auprès des entreprises afin d’éclairer et d’orienter les efforts de sensibilisation. La recherche de cette année visait à recueillir des données sur le type de politiques et de pratiques de protection des renseignements personnels mises en œuvre par les entreprises; sur le respect de la loi par les entreprises; ainsi que sur la sensibilisation des entreprises à la protection des renseignements personnels et leurs approches en la matière. Les résultats du sondage permettront au Commissariat de fournir une orientation aux individus et aux organisations sur les enjeux liés à la protection des renseignements personnels et de renforcer ses efforts de sensibilisation auprès des entreprises, ce qui peut être un moyen efficace d’apporter des changements positifs en matière de protection des renseignements personnels.

Méthodologie

Un sondage téléphonique de 15 minutes a été réalisé auprès de 800 entreprises de partout au Canada qui exercent leurs activités dans des secteurs où la probabilité de recueillir, d’utiliser, de conserver ou de communiquer des renseignements personnels sur les clients est plus élevée. Pour être admissibles, les entreprises devaient vendre ou offrir des services ou des produits directement à des consommateurs. Les secteurs suivants, qui correspondent au Système de classification des industries de l’Amérique du Nord, étaient inclus :

• 44-45 – Commerce de détail
• 48-49 – Transport et entreposage
• 51 – Industrie de l’information et industrie culturelle
• 52 – Finances et assurances
• 53 – Services immobiliers et services de location et de location à bail
• 54 – Services professionnels, scientifiques et techniques
• 61 – Services d’éducation
• 62 – Soins de santé et assistance sociale
• 71 – Arts, divertissements et loisirs
• 72 – Services d’hébergement et de restauration
• 81 – Autres services (à l’exception de l’administration publique)

Les répondants étaient des décideurs principaux ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes. Le travail sur le terrain s’est déroulé du 19 janvier au 25 février 2026. Les résultats du sondage ont été pondérés selon la base de sondage, en fonction de la taille de l’entreprise, de la région et du secteur pour veiller à ce qu’ils reflètent la distribution des entreprises au Canada dans les secteurs ciblés. Les résultats obtenus au moyen d’un échantillon de 800 entreprises comportent une marge d’erreur de ± 3,5 %, 19 fois sur 20.

Principales constatations

Les entreprises canadiennes continuent d’utiliser les renseignements sur leurs clients principalement pour fournir des services et elles se fient à des méthodes de stockage électroniques et de tiers. Moins d’une entreprise sur cinq utilise l’intelligence artificielle (IA) pour ses activités commerciales.

• La plupart des représentants d’entreprises (86 %) ont indiqué que leur entreprise utilise les renseignements personnels des clients pour leur offrir des services. Très peu d’entreprises (2 %) utilisent ces renseignements pour entraîner un système d’IA.
• Près des deux tiers des entreprises (63 %) stockent les renseignements qu’elles recueillent sur les clients en format électronique, sur place, tandis que la moitié (50 %) les stockent hors site auprès d’un tiers, comme un service en nuage.
• Seize pour cent des entreprises canadiennes ont indiqué utiliser l’IA pour leurs activités. Parmi les entreprises qui utilisent l’IA, l’utilisation la plus courante est la recherche et la rédaction de documents (45 %), suivie du marketing (24 %), de l’analyse de texte ou de données (18 %) et du service à la clientèle ou des robots conversationnels (15 %).

Les entreprises canadiennes appliquent diverses mesures de sécurité pour protéger les renseignements personnels de leurs clients.

• Les représentants d’entreprises ont indiqué que leur entreprise prenait un éventail de mesures pour protéger les renseignements personnels des clients. Parmi les mesures les plus courantes, mentionnons l’utilisation d’outils de protection pour appareils (90 %), l’utilisation de mots de passe pour accéder aux comptes (87 %) et le contrôle de l’accès des employés aux fichiers électroniques (86 %). De nombreuses entreprises utilisent également l’authentification multifactorielle (65 %), tandis qu’un peu plus de la moitié utilise le chiffrement (55 %) et les systèmes de détection d’intrusions (52 %).
• Parmi les entreprises qui recueillent des renseignements personnels auprès des jeunes, la plupart vérifient l’âge (85 %) et obtiennent le consentement des parents si l’enfant a moins de 13 ans (84 %). De plus, 68 % des entreprises expliquent leurs politiques et pratiques en matière de protection de la vie privée dans un langage simple et adapté à l’âge des personnes concernées. Un moins grand nombre d’entreprises utilisent par défaut des paramètres de confidentialité stricts, par exemple la désactivation automatique de la géolocalisation (36 %) ou le fait de permettre aux jeunes de supprimer facilement leur compte ou des renseignements qu’ils ont publiés (34 %).

La plupart des entreprises canadiennes connaissent très bien leurs responsabilités quant aux lois sur la protection des renseignements personnels du Canada et indiquent avoir pris des mesures pour s’assurer de les respecter.

• La vaste majorité des représentants d’entreprises (93 %) ont déclaré que leur entreprise connaît au moins moyennement ses responsabilités en matière de protection des renseignements personnels, dont 72 % qui les connaît très bien.
• Neuf entreprises sur dix (91 %) ont pris des mesures pour s’assurer de respecter les lois sur la protection des renseignements personnels du Canada, et près de six sur dix (58 %) estiment qu’il a été facile de se conformer à ces lois.

De nombreuses entreprises connaissent les ressources du Commissariat et considèrent que les outils pratiques sur la conformité sont le type de soutien le plus utile.

• La moitié des représentants d’entreprises (51 %) ont déclaré être au courant que le Commissariat offre des renseignements et des outils aux entreprises pour les aider à respecter leurs obligations en matière de protection des renseignements personnels. Parmi les représentants d’entreprises qui connaissaient les ressources du Commissariat, 40 % ont indiqué que leur entreprise les avait déjà utilisées.
• Les guides étape par étape sur la conformité (65 %), les modules de formation en ligne pour le personnel (64 %) et les gabarits (63 %) sont les ressources qui ont été le plus souvent mentionnées comme des outils utiles, ayant été sélectionnés près des deux tiers des fois où ils ont été présentés aux répondants. Les outils d’autoévaluation (42 %), les orientations sur le signalement des atteintes à la vie privée (34 %) et les orientations sur l’utilisation de l’IA et des technologies émergentes (25 %) ont été choisis moins fréquemment.

La majorité des entreprises canadiennes déclarent avoir mis en place des pratiques officielles en matière de protection de la vie privée pour protéger les renseignements personnels recueillis auprès de leurs clients.

• Environ les trois quarts des représentants d’entreprises ont indiqué que leur entreprise a mis en place des procédures pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels n’ont pas été traités adéquatement (77 %) et pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels (75 %). Une proportion similaire des représentants ont indiqué que leur entreprise avait élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations imposées par la loi en ce qui a trait à la protection des renseignements personnels (74 %), tandis que sept représentants sur dix ont affirmé que leur entreprise avait désigné une personne responsable des questions liées à la protection de la vie privée et des renseignements personnels détenus par leur entreprise (72 %). Une proportion plus faible de représentants, soit 62 % – ce qui constitue tout de même une majorité –, ont indiqué que leur entreprise donnait régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels.

La plupart des entreprises déclarent avoir une politique de confidentialité et affirment qu’elle explique en langage clair leurs principales pratiques en matière de traitement des renseignements personnels.

• Huit représentants d’entreprises sur dix (84 %) ont indiqué que leur entreprise dispose d’une politique de confidentialité.
• La plupart des représentants dont l’entreprise a une politique de confidentialité (n = 665) ont indiqué qu’elle explique en langage clair les éléments clés de leurs pratiques de traitement des renseignements personnels. Près de neuf représentants d’entreprises sur dix (87 %) ont déclaré que la politique de leur entreprise décrit les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués. De même, une grande majorité des représentants ont indiqué que la politique de leur entreprise explique la façon dont les renseignements personnels sont recueillis, utilisés et communiqués (85 %) ainsi que la nature des renseignements personnels qui sont recueillis (84 %). Environ trois quarts des représentants ont affirmé que la politique de confidentialité de leur entreprise explique à qui les renseignements personnels peuvent être transmis (76 %), pendant combien de temps ils sont conservés (75 %) et comment ils sont détruits (73 %). Sept représentants sur dix (70 %) ont dit que la politique de leur entreprise explique aussi les risques de préjudice en cas d’atteinte à la sécurité des données.
• Parmi les entreprises qui ont une politique de confidentialité, nombreuses sont celles qui communiquent aux clients des pratiques clés en matière de confidentialité : 75 % des entreprises expliquent comment les clients peuvent soulever leurs préoccupations concernant la protection de la vie privée ou poser des questions à ce sujet, 71 % indiquent clairement si la collecte, l’utilisation ou la communication des renseignements personnels est une condition de service et font en sorte que les clients aient facilement accès à l’information sur la protection des renseignements personnels, 69 % expliquent comment les clients peuvent demander l’accès à leurs renseignements personnels et 65 % expliquent comment les clients peuvent déposer une plainte officielle concernant la protection de la vie privée.

La vaste majorité des entreprises sont au moins moyennement prêtes à réagir à une atteinte à la sécurité des données, et près des deux tiers des répondants considèrent que leur entreprise est tout à fait prête.

• Neuf représentants sur dix (90 %) ont déclaré que leur entreprise est au moins moyennement prête à réagir en cas d’atteinte à la sécurité des données touchant les renseignements personnels, dont 64 % ont indiqué que leur entreprise est très bien préparée à réagir.
• Parallèlement, une entreprise sur dix (10 %) a, à un moment donné, subi une atteinte qui a compromis les renseignements personnels de ses clients.

Valeur du contrat

La valeur du contrat était de 77 744,41 $ (taxes applicables comprises).

Attestation de neutralité politique

À titre de cadre supérieure de Phoenix Strategic Perspectives, j’atteste par la présente que le rapport livré est entièrement conforme aux exigences en matière de neutralité politique du gouvernement du Canada énoncées dans la Politique sur les communications et l’image de marque et de la Directive sur la gestion des communications et de l’image de marque, Annexe B : Procédure obligatoire relative à la recherche sur l’opinion publique. Plus précisément, ce rapport ne renferme pas d’information sur les intentions de vote, les préférences quant aux partis politiques, les positions des partis ou l’évaluation de la performance d’un parti politique ou de son chef.

Introduction

La société Phoenix Strategic Perspectives Inc. (Phoenix SPI) a été mandatée par le Commissariat à la protection de la vie privée du Canada afin de mener une recherche sur l’opinion publique (ROP) auprès d’entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels.

Contexte

Le Commissaire à la protection de la vie privée du Canada est un agent du Parlement qui a pour mission de protéger et de promouvoir le droit à la vie privée. Le Commissaire enquête sur les plaintes et publie les conclusions de ses enquêtes, fournit des conseils en matière de protection de la vie privée et des données aux parlementaires, aux institutions fédérales, aux entreprises et aux individus, mène des recherches sur des enjeux liés à la protection de la vie privée et travaille avec d’autres organismes de réglementation au Canada et à l’étranger pour améliorer la protection de la vie privée.

Le Commissariat veille au respect de la Loi sur la protection des renseignements personnels, laquelle porte sur les pratiques de traitement des renseignements personnels utilisées par les ministères et organismes fédéraux, et de la Loi sur la protection des renseignements personnels et les documents électroniques, la loi fédérale sur la protection des renseignements personnels dans le secteur privé, qui s’applique aux activités commerciales menées dans les provinces de l’Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Le Québec, l’Alberta et la Colombie-Britannique possèdent leur propre loi sur la protection des renseignements personnels applicable au secteur privé. Toutefois, même dans ces provinces, la LPRPDE s’applique aux entreprises du secteur privé sous réglementation fédérale ainsi qu’aux renseignements personnels obtenus dans le cadre d’activités interprovinciales et internationales.

But et objectifs de la recherche

Compte tenu de son mandat, le Commissariat doit comprendre dans quelle mesure les entreprises connaissent les enjeux liés à la protection des renseignements personnels et savoir quel type de politiques et de pratiques en la matière elles ont mis en place. Le Commissariat doit également évaluer la conformité à la loi. Pour ce faire, il est important que le Commissariat comprenne le niveau de sensibilisation des entreprises à la protection des renseignements personnels et leurs approches en la matière.

La présente recherche visait à permettre de mieux comprendre la mesure dans laquelle les entreprises connaissent les exigences et les enjeux liés à la protection des renseignements personnels. Elle visait aussi à en savoir plus sur les types de politiques et de pratiques en la matière adoptées par les entreprises et à déterminer les besoins en information de ces dernières dans ce domaine. Les résultats du sondage serviront à éclairer et à orienter les efforts déployés par le Commissariat pour sensibiliser les entreprises.

Méthodologie

Un sondage téléphonique de 15 minutes a été réalisé auprès de 800 entreprises de partout au Canada qui exercent leurs activités dans des secteurs où la probabilité de recueillir, d’utiliser, de conserver ou de communiquer des renseignements personnels sur les clients est plus élevée. Les secteurs où le traitement direct des données sur les clients est limité ou inexistant ont été exclus afin d’améliorer la pertinence des résultats. Cette approche permet d’obtenir des résultats qui reflètent avec plus de précision les pratiques en matière de protection de la vie privée au sein des entreprises où la gestion des renseignements personnels est une considération opérationnelle de base.

Le Commissariat sonde les entreprises canadiennes depuis 2011, ce qui lui permet d’obtenir des résultats qui sont représentatifs des entreprises à l’échelle du pays et qui appuient ses efforts de sensibilisation. Cette année, l’auditoire du sondage a été ciblé de façon plus précise afin de mieux répondre aux objectifs de communication et de sensibilisation; pour ce faire, nous avons limité la participation au sondage aux entreprises qui vendent ou offrent des services ou des produits directement aux consommateurs et qui recueillent des renseignements personnels sur leurs clients. Les répondants étaient des décideurs principaux ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes.

Les secteurs suivants, qui correspondent au Système de classification des industries de l’Amérique du Nord, étaient inclus :

• 44-45 – Commerce de détail
• 48-49 – Transport et entreposage
• 51 – Industrie de l’information et industrie culturelle
• 52 – Finances et assurances
• 53 – Services immobiliers et services de location et de location à bail
• 54 – Services professionnels, scientifiques et techniques
• 61 – Services d’éducation
• 62 – Soins de santé et assistance sociale
• 71 – Arts, divertissements et loisirs
• 72 – Services d’hébergement et de restauration
• 81 – Autres services (à l’exception de l’administration publique)

Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage : petite (de 1 à 19 employés); moyenne (de 20 à 99 employés) et grande (100 employés et plus). L’échantillon provient de la société Dun & Bradstreet (D&B Canada). Le sondage a été mis à l’essai entre le 6 et le 9 janvier 2026 au moyen de la méthode d’interview téléphonique assistée par ordinateur. Le sondage a ensuite été modifié en fonction des résultats de la mise à l’essai; un petit nombre de questions ont été supprimées et on a ajouté des échantillons fractionnés. Le travail sur le terrain a repris le 19 janvier et s’est terminé le 25 février 2026.

Le tableau ci-dessous présente des renseignements sur la répartition finale des appels pour le sondage, ainsi que les taux de réponse connexes. La formule utilisée pour calculer le taux de réponse [TR] est la suivante : [TR=UR/(NR+UNR+UR)]. Ainsi, le taux de réponse correspond au nombre d’unités répondantes [UR], divisé par le nombre de cas non résolus [NR] plus le nombre de répondants potentiels qui n’ont pas répondu [UNR] – ménages et répondants combinés – plus le nombre d’unités répondantes [UR].

Les résultats du sondage ont été pondérés selon la base de sondage, en fonction de la taille de l’entreprise, de la région et du secteur pour veiller à ce qu’ils reflètent la distribution des entreprises au Canada dans les secteurs ciblés. Les résultats obtenus au moyen d’un échantillon de 800 entreprises comportent une marge d’erreur de ± 3,5 %, 19 fois sur 20.

Notes aux lecteurs

• Les résultats sont comparés à ceux de sondages semblables menés en 2011-2012, 2013-2014, 2015-2016, 2017-2018, 2019-2020, 2021-2022, et 2023-2024. Lorsqu’elles sont disponibles, les données historiques sont fournies aux fins de mesure. Au moment de comparer les résultats au fil du temps, il est important de tenir compte du changement d’auditoire cible de cette année, qui peut expliquer les différences observées par rapport aux années précédentes.
• Sauf indication contraire, tous les résultats sont exprimés en pourcentages. Il est possible que la somme des pourcentages ne corresponde pas toujours à 100 % en raison de l’arrondissement des nombres et des questions pour lesquelles de multiples réponses étaient permises.
• Parfois, le nombre de répondants change dans le rapport, car des questions ont été posées à des sous-échantillons de la population visée par le sondage. Les lecteurs devraient en être conscients et faire preuve de prudence lorsqu’ils interprètent des résultats obtenus auprès d’un plus petit nombre de répondants.
• Les tailles des bases indiquées dans les graphiques correspondent au nombre réel de répondants à qui la question a été posée, le cas échéant.
• Les différences entre les sous-groupes sont décrites dans le rapport.
  • Lorsqu’on ne fait pas mention de variations entre les sous-groupes, il est présumé qu’aucune variation importante n’est à noter.
  • Si une catégorie ou plus d’un sous-groupe n’est pas mentionné dans l’explication des variations entre les sous-groupes (par exemple, si seulement deux régions parmi quatre sont comparées), on peut conclure que seules les catégories en question présentaient des variations considérables.
  • On ne fait mention que des variations entre les sous-groupes qui sont statistiquement significatives à un niveau de confiance de 95 % et qui se rapportent à un échantillon de sous-groupes d’une taille supérieure à n = 30 ou qui s’inscrivent dans un modèle ou une tendance.
• Le questionnaire du sondage est fourni en annexe au présent rapport.

Conclusions détaillées

1. Renseignements personnels des clients

La présente section porte sur les résultats relatifs à la manière dont les entreprises canadiennes utilisent, conservent et traitent les renseignements personnels qu’elles recueillent auprès de leurs clients.

La plupart des entreprises canadiennes utilisent les renseignements sur leurs clients principalement pour fournir des services.

La plupart des représentants d’entreprises sondés (86 %) ont indiqué que leur entreprise utilise les renseignements personnels des clients pour leur offrir des services. Les résultats n’ont pratiquement pas changé par rapport à 2023, mais ils reflètent une augmentation soutenue depuis 2019 (63 %), avec des niveaux qui ont grimpé à 84 % en 2023 et qui se sont maintenus à 86 % cette année.

Environ un tiers des répondants (34 %) ont déclaré que leur entreprise utilise les renseignements sur les clients pour personnaliser ses services ou ses produits; ce résultat représente une hausse par rapport à 23 % en 2023 et à 22 % en 2021, et il est légèrement supérieur à celui de 2019 (30 %). Un plus petit nombre d’entreprises ont indiqué utiliser les renseignements des clients pour analyser des données (18 %) et pour établir des profils de clients à des fins de marketing (17 %). L’utilisation commerciale des profils de clients connaît une hausse graduelle depuis 2019.

Très peu de représentants (2 %) ont déclaré que leur entreprise utilisait les renseignements des clients pour entraîner un système d’IA.

À l’échelle régionale, les entreprises du Québec sont plus susceptibles d’utiliser les renseignements personnels recueillis au sujet de leurs clients pour leur fournir des services (92 %, comparativement à 78 % des entreprises des provinces de l’Atlantique et à 83 % de celles de l’Ontario). Des taux plus élevés sont également observés parmi les entreprises qui recueillent des renseignements auprès de mineurs (92 %) et celles qui utilisent l’IA pour leurs activités commerciales (93 %).

Le stockage électronique et le stockage infonuagique sont les principales méthodes utilisées par les entreprises.

Près des deux tiers des représentants (63 %) ont affirmé que leur entreprise stocke les renseignements sur les clients sur place en format électronique; cette proportion représente un léger déclin par rapport à 2023 (68 %), mais elle est conforme au niveau de 2021 (62 %).

La moitié des entreprises sondées (50 %) stockent les renseignements de leurs clients hors site auprès d’un tiers, comme un service en nuage; ce résultat confirme la tendance à la hausse observée au fil des années (21 % en 2019, 27 % en 2021 et 41 % en 2023). En revanche, plus d’un tiers (37 %) des entreprises stockent les renseignements de leurs clients sur place en format papier; ce résultat confirme la tendance à la baisse observée (49 % en 2019, 41 % en 2021 et 38 % en 2023).

Très peu de représentants (2 %) ont déclaré que leur entreprise ne conserve pas de renseignements personnels sur ses clients.

Les entreprises du Québec sont plus susceptibles de stocker des renseignements personnels hors site auprès d’un tiers (57 %, comparativement à 39 % des entreprises du Canada atlantique et à 44 % de celles de l’Ouest canadien) ou de les stocker sur place en format électronique (69 %, comparativement à 58 % des entreprises en Ontario).

On observe également des différences selon la taille de l’entreprise. Les petites entreprises (1-19 employés) sont plus susceptibles que les moyennes entreprises (20-99 employés) et les grandes entreprises (100 employés ou plus) de conserver des renseignements personnels sur place en format papier (42 %, comparativement à 31 % et 32 %, respectivement). C’est particulièrement vrai dans les entreprises qui comptent moins de cinq employés, qui indiquent stocker les renseignements sur place en format papier dans une proportion de 53 %.

Un très faible nombre d’entreprises envoient des renseignements sur leurs clients en dehors du Canada.

Très peu de représentants ont déclaré que leur entreprise envoie des renseignements personnels concernant ses clients à des entreprises situées en dehors du Canada à des fins de traitement, de stockage ou autres. Ce résultat n’a pratiquement pas changé depuis 2023.

La plupart des entreprises^{Note de bas de page 1} qui envoient des renseignements personnels sur leurs clients en dehors du Canada informent leurs clients que leurs renseignements personnels pourraient être envoyés à l’extérieur du pays.

2. Utilisation de l’IA pour les activités commerciales

Cette section porte sur l’utilisation de l’IA par les entreprises sondées.

Utilisation croissante de l’IA par les entreprises canadiennes.

La proportion de représentants qui ont déclaré que leur entreprise utilise l’IA pour ses activités commerciales est passée de 6 % en 2023 à 16 % en 2025, bien que les niveaux globaux d’utilisation demeurent faibles.

L’utilisation de l’IA pour les activités commerciales est plus fréquente en Ontario (17 %) et dans l’Ouest canadien (21 %) qu’ailleurs au pays. Elle est aussi plus élevée parmi les entreprises qui comptent 100 employés ou plus (29 %).

La recherche et la rédaction de documents sont les utilisations les plus courantes de l’IA dans les entreprises.

Parmi les entreprises canadiennes qui utilisent l’IA dans leurs activités (n = 113), près de la moitié (45 %) ont indiqué s’en servir pour la recherche et la rédaction de documents.

Environ un quart des entreprises (24 %) utilisent l’IA pour le marketing, tandis qu’un plus petit nombre l’utilisent pour l’analyse de texte ou de données (18 %) ou encore pour le service à la clientèle et les robots conversationnels (15 %).

Moins d’entreprises ont déclaré utiliser l’IA pour d’autres types d’activités commerciales. Parmi elles, 7 % l’utilisent pour prévoir les tendances ou le comportement des clients, 5 % pour les applications liées aux ressources humaines, 4 % pour l’analyse vidéo ou d’images, 3 % pour le recrutement d’employés ou le contrôle de la qualité, 2 % pour l’optimisation de la chaîne d’approvisionnement et 1 % pour la détection de fraudes.

Enfin, 8 % des entreprises ont mentionné d’autres utilisations de l’IA, tandis que 7 % des représentants ne savaient pas de quelle façon l’IA était utilisée dans leurs activités commerciales.

Près de la moitié des entreprises utilisent l’IA pour accroître leur efficacité et prendre des décisions.

Parmi les entreprises canadiennes qui utilisent l’IA dans leurs activités (n = 113), près de la moitié (49 %) ont déclaré l’utiliser principalement pour accroître leur efficacité, contre 39 % en 2023. Cette différence n’est pas statistiquement significative et est basée sur un petit nombre de répondants (n = 39).

En outre, environ un tiers des répondants (34 %) ont indiqué que leur entreprise utilise l’IA tant pour accroître son efficacité que pour soutenir la prise de décision, tandis que presque aucune des entreprises sondées (1 %) ne l’utilise exclusivement pour la prise de décision.

De plus, 14 % des entreprises canadiennes qui utilisent l’IA ne le font ni pour accroître leur efficacité opérationnelle ni pour prendre des décisions.

La quasi-totalité des décisions prises avec l’aide de l’IA sont surveillées par un humain.

Presque toutes les entreprises sondées (97 %) qui utilisent l’IA tant pour accroître leur efficacité que pour prendre des décisions (n = 42) ont déclaré qu’un employé humain passe en revue les décisions prises avec l’aide de l’IA avant que des mesures soient prises par l’entreprise. Le reste des représentants d’entreprises (3 %) ne savaient pas si une telle intervention humaine avait lieu.

3. Lois canadiennes sur la protection des renseignements personnels et conformité

La présente section porte sur la connaissance qu’ont les entreprises de leurs responsabilités quant aux lois sur la protection des renseignements personnels et sur leur conformité à ces lois. Avant de leur poser les questions sur ce sujet, on a lu aux répondants la description suivante des lois canadiennes régissant la protection des renseignements personnels.

La loi sur la protection de la vie privée du gouvernement fédéral, soit la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, établit des règles qui régissent la manière dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie-Britannique et au Québec, le secteur privé est régi par des lois provinciales, qui sont considérées comme similaires à la loi fédérale.

La plupart des entreprises sont très conscientes des responsabilités qui leur incombent en vertu des lois canadiennes régissant la protection des renseignements personnels.

Sept représentants d’entreprises sur dix (72 %) ont indiqué que leur entreprise connaît très bien ses responsabilités quant aux lois sur la protection des renseignements personnels du Canada (notes de 6 ou 7 sur une échelle de 7). Des représentants interrogés, 21 % ont dit que leur entreprise connaît moyennement bien ses responsabilités (notes de 3 à 5). Au total, la grande majorité (93 %) des entreprises interrogées sont au moins moyennement au courant de leurs responsabilités en matière de protection des renseignements personnels. Peu d’entre elles (4 %) ont estimé que leur entreprise ne connaît pas bien ses responsabilités à cet égard (note de 1 ou 2).

Cette année, un plus grand nombre d’entreprises ont déclaré connaître leurs responsabilités quant aux lois sur la protection des renseignements personnels du Canada. Cette hausse est peut-être attribuable, en tout ou en partie, au changement dans l’auditoire cible plutôt qu’à une réelle augmentation au fil du temps.

Le degré de connaissance varie selon la taille de l’entreprise et le secteur. Il est plus élevé chez les grandes entreprises (100 employés ou plus) que chez les petites entreprises (1-19 employés) (79 % contre 67 %), et plus élevé chez les entreprises du secteur des soins de santé et de l’assistance sociale (85 %) que chez celles du secteur des services d’hébergement et de restauration (63 %), des autres services (67 %) et du commerce de détail (70 %).

Neuf entreprises sur dix ont pris des mesures pour respecter les lois canadiennes régissant la protection des renseignements personnels.

Neuf entreprises canadiennes sur dix (91 %) ont affirmé que leur entreprise a pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels. Le respect des lois a augmenté comparativement aux récentes vagues (76 % en 2023 et 74 % en 2021) et demeure bien au-dessus de la valeur de référence de 66 % en 2017. Cette hausse est peut-être attribuable, en tout ou en partie, au changement dans l’auditoire cible plutôt qu’à une réelle augmentation au fil du temps.

La probabilité qu’une entreprise ait pris des mesures pour s’assurer qu’elle respecte les lois canadiennes sur la protection des renseignements personnels augmente avec sa taille et avec l’ampleur de son engagement envers des pratiques en matière de protection de la vie privée. Les grandes entreprises (94 %) sont plus susceptibles que les petites entreprises (88 %) de déclarer avoir pris de telles mesures. On observe également des taux plus élevés parmi les entreprises qui ont une politique de confidentialité (94 %) et celles qui ont utilisé les renseignements et les outils sur la conformité du Commissariat (100 %).

La grande majorité des entreprises ont estimé qu’il était au moins assez facile de se conformer aux lois.

Parmi les entreprises qui ont pris des mesures pour s’assurer de respecter les lois canadiennes sur la protection des renseignements personnels (n = 714), 89 % signalent que la mise en œuvre de ces mesures a été au moins moyennement facile. Plus de la moitié (58 %) ont déclaré qu’il avait été très facile (notes de 1 et 2 sur une échelle de 7), tandis que 31 % ont dit qu’il avait été moyennement facile (notes de 5 à 7) de rendre leurs pratiques conformes aux lois canadiennes sur la protection des renseignements personnels. Seuls 5 % des répondants ont indiqué qu’il avait été très difficile pour leur entreprise de rendre leurs pratiques conformes aux lois.

La proportion d’entreprises qui ont trouvé très facile de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois canadiennes sur la protection des renseignements personnels est stable, à 58 %, après avoir connu une hausse importante entre 2021 (35 %) et 2023 et (56 %). Les comparaisons avec les années précédentes devraient tenir compte du changement dans l’auditoire cible en 2025.

Un plus petit nombre d’entreprises québécoises déclarent qu’il est très facile de se conformer aux lois canadiennes sur la protection des renseignements personnels (43 %).

Les coûts liés à la conformité aux lois canadiennes sur la protection des renseignements personnels varient grandement d’une entreprise à l’autre.

Les entreprises canadiennes ont déclaré avoir engagé divers coûts pour se conformer aux lois canadiennes sur la protection des renseignements personnels au cours des 12 derniers mois. Dans la plupart des cas, ces coûts étaient inférieurs à 1 000 $ (16 %) ou se situaient entre 1 000 $ et 5 000 $ (13 %). Au total, quatre entreprises sur dix ont déclaré avoir engagé des coûts inférieurs à 5 000 $ (29 %) ou n’avoir engagé aucun coût (11 %). Par contre, deux entreprises sur dix ont déclaré des coûts de 5 000 $ ou plus, dont 8 % des coûts se situant entre 5 000 $ et un peu moins de 10 000 $ et 11 %, des coûts supérieurs à 10 000 $.

Fait à noter, 9 % des entreprises ont indiqué qu’elles n’avaient pas pris de mesures pour se conformer aux lois canadiennes sur la protection des renseignements personnels et près d’un tiers des entreprises (32 %) n’étaient pas en mesure d’estimer les coûts engagés pour se conformer aux lois.

On a demandé aux répondants d’inclure dans leur estimation toutes les catégories de coûts, telles que le temps consacré par le personnel, la formation, les services de technologie de l’information et les services juridiques. Les coûts engagés allaient de moins de 1 000 $ à 200 000 $ ou plus au cours des 12 derniers mois.

Les petites entreprises (1-19 employés) sont plus susceptibles que les moyennes et grandes entreprises de ne déclarer aucun coût (14 %, par rapport à 9 % et 6 %, respectivement) ou des coûts inférieurs à 1 000 $ (19 %, par rapport à 16 % et 11 %).

4. Connaissance et utilisation des ressources du Commissariat

Cette section présente les résultats sur la connaissance et l’utilisation par les entreprises des renseignements et des outils du Commissariat conçus pour les aider à respecter leurs obligations en matière de protection des renseignements personnels.

La moitié des entreprises déclarent connaître les ressources du Commissariat relatives au respect des obligations en matière de protection des renseignements personnels.

Les entreprises connaissent davantage les ressources du Commissariat qu’avant. En 2025, la moitié des représentants d’entreprises (51 %) ont déclaré être au courant que le Commissariat offre des renseignements et des outils aux entreprises pour les aider à respecter leurs obligations en matière de protection des renseignements personnels.

Cela représente une augmentation par rapport à 2023 (41 %) et 2021 (33 %), et un sommet depuis que l’on a commencé à faire le suivi de cette donnée. Cette hausse est peut-être attribuable, en tout ou en partie, au changement dans l’auditoire cible plutôt qu’à une réelle augmentation de la connaissance des ressources du Commissariat au fil du temps.

La sensibilisation aux outils et aux renseignements offerts par le Commissariat est plus importante au sein des grandes entreprises (100 employés ou plus) et des moyennes entreprises (20-99 employés) (57 % et 56 %, respectivement) qu’au sein des petites entreprises (1-19 employés) (45 %). En outre, les entreprises qui ont pris des mesures pour se conformer aux lois canadiennes sur la protection des renseignements personnels (54 %) et celles qui ont une politique de confidentialité (55 %) sont plus susceptibles de connaître les ressources du Commissariat.

Au total, quatre entreprises sur dix qui connaissent les ressources du Commissariat déclarent les utiliser.

L’utilisation des renseignements et des outils du Commissariat a augmenté au fil du temps parmi les entreprises qui les connaissent (n = 396). En 2025, quatre entreprises sur dix (40 %, une hausse par rapport à 26 % en 2023) ont déclaré avoir utilisé les ressources du Commissariat. Cette hausse est peut-être attribuable, en tout ou en partie, au changement dans l’auditoire cible plutôt qu’à une réelle augmentation de l’utilisation des ressources du Commissariat au fil du temps.

Les entreprises canadiennes désignent le plus souvent les outils pratiques sur la conformité comme ressource la plus utile.

On a présenté aux répondants des paires de ressources potentielles et on leur a demandé de choisir celle qui leur serait la plus utile. Les résultats reflètent le nombre de fois où chaque élément a été sélectionné lorsqu’il était présenté. On a présenté à chaque répondant deux paires de ressources potentielles.

La plupart du temps, les entreprises ont choisi les outils pratiques sur la conformité. Les guides étape par étape sur la conformité (65 %), les modules de formation en ligne pour le personnel (64 %) et les gabarits (63 %) sont les ressources qui ont été le plus souvent mentionnées comme utiles, ayant été sélectionnés près des deux tiers des fois où ils ont été présentés aux répondants.

De nombreux représentants d’entreprises ont également sélectionné les listes de vérification propres au secteur (58 %) et l’accès à des conseils (57 %), tandis que près de la moitié ont choisi les webinaires ou les ateliers virtuels (49 %), les orientations sur les pratiques exemplaires relatives à la cybersécurité (48 %) et les résumés de cas ou les exemples concrets (47 %). Les outils d’autoévaluation (42 %), les orientations sur le signalement des atteintes à la vie privée (34 %) et les orientations sur l’utilisation de l’IA et des technologies émergentes (25 %) ont été choisis moins fréquemment que les autres outils.

5. Pratiques de l’entreprise en matière de protection de la vie privée

Cette section présente les résultats relatifs aux procédures et aux politiques adoptées par les entreprises pour protéger les renseignements personnels qu’elles recueillent auprès de leurs clients.

La majorité des entreprises ont désigné un responsable de la protection de la vie privée.

Au total, sept entreprises canadiennes sur dix (72 %, une hausse par rapport à 56 % en 2023) ont déclaré avoir désigné au sein de leur entreprise une personne responsable des questions liées à la protection de la vie privée et des renseignements personnels détenus par leur entreprise. Cette hausse est peut-être attribuable, en tout ou en partie, au changement dans l’auditoire cible plutôt qu’à une réelle augmentation de la désignation de responsables de la protection de la vie privée au fil du temps.

La probabilité qu’une personne responsable de la protection de la vie privée ait été désignée est plus élevée parmi les entreprises qui ont utilisé les outils et les renseignements du Commissariat (88 %, contre 74 % des entreprises qui n’ont pas utilisé ces ressources).

La plupart des entreprises canadiennes ont documenté des politiques sur la protection des renseignements personnels.

Près des trois quarts (74 %, une hausse par rapport à 50 % en 2023) des représentants ont déclaré que leur entreprise avait élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que leur impose la loi en ce qui a trait à la protection des renseignements personnels. Au moment de comparer les résultats au fil du temps, il faut tenir compte du changement d’auditoire cible en 2025, qui peut jouer sur les différences observées par rapport aux années précédentes.

La probabilité d’élaborer et de documenter des politiques internes à l’intention du personnel qui expliquent les obligations en matière de protection des renseignements personnels augmente avec la taille de l’entreprise, passant de 64 % dans les petites entreprises (1-19 employés) à 87 % dans les grandes entreprises (100 employés ou plus).

À l’échelle régionale, les entreprises du Québec (66 %) sont moins susceptibles que celles de l’Ontario et de l’Ouest canadien (77 % dans les deux cas) de mettre en place de telles politiques. Enfin, l’adoption est plus élevée parmi les entreprises qui ont utilisé les outils du Commissariat (93 %).

Six entreprises canadiennes sur dix donnent régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels.

Six représentants sur dix (62 %) ont indiqué que leur entreprise donnait régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels. Dans les vagues de sondage précédentes, cette proportion était beaucoup plus faible et relativement stable. La hausse est peut-être attribuable, en tout ou en partie, au changement dans l’auditoire cible plutôt qu’à une réelle transformation au fil du temps.

La probabilité de donner régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels augmente avec la taille de l’entreprise, passant de 55 % pour les petites entreprises à 76 % pour les grandes entreprises. À l’échelle régionale, les entreprises du Québec (48 %) sont moins susceptibles que celles de l’Ontario (70 %) et de l’Ouest canadien (62 %) de donner de la formation et de l’information. La pratique est également plus courante parmi les entreprises qui ont utilisé les outils du Commissariat (84 %).

La plupart des entreprises ont des procédures en place pour répondre aux demandes d’accès aux renseignements personnels.

Les trois quarts des représentants (75 %, contre 50 % en 2023) ont déclaré que leur entreprise avait mis en place des procédures pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels. Les différences au fil du temps peuvent être attribuables au changement dans l’auditoire cible cette année plutôt qu’à une réelle transformation au fil du temps.

Les entreprises du Québec (63 %) sont moins susceptibles que celles de l’Ontario et de l’Ouest canadien (79 % dans les deux cas) d’avoir mis en place des procédures pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels. En outre, ces procédures sont plus courantes dans les grandes entreprises (100 employés ou plus) que dans les petites entreprises (1-19 employés) (81 % contre 72 %).

Près de huit entreprises sur dix déclarent avoir des procédures en place pour gérer les plaintes concernant la protection de la vie privée.

Un peu moins de huit entreprises sur dix (77 %) ont des procédures en place pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels n’ont pas été traités adéquatement. Dans les vagues de sondage précédentes, environ la moitié des représentants interrogés avaient déclaré que de telles procédures étaient en place dans leur entreprise. Les différences au fil du temps peuvent être attribuables au changement dans l’auditoire cible cette année plutôt qu’à une réelle transformation au fil du temps.

Les entreprises du Québec (67 %) sont moins susceptibles que celles de l’Ontario et de l’Ouest canadien (80 % dans les deux cas) d’avoir des procédures en place pour gérer les plaintes concernant la protection de la vie privée. En outre, ces procédures sont plus courantes dans les grandes entreprises (83 % dans les entreprises de 20 à 99 employés et 85 % dans les entreprises de 100 employés ou plus) que dans les petites entreprises de 1 à 19 employés (68 %). On trouve aussi plus fréquemment de telles procédures au sein des entreprises qui ont utilisé les outils du Commissariat (96 %).

L’utilisation de mesures de sécurité de base est répandue, mais l’adoption de mesures de protection plus avancées varie.

Les représentants d’entreprises ont indiqué que leur entreprise prenait un éventail de mesures pour protéger les renseignements personnels des clients. Parmi les mesures les plus courantes, mentionnons l’utilisation d’outils de protection pour appareils (90 %), l’utilisation de mots de passe pour accéder aux comptes (87 %) et le contrôle de l’accès des employés aux fichiers électroniques (86 %).

De nombreuses entreprises ont également déclaré utiliser l’authentification multifactorielle (65 %), tandis qu’un peu plus de la moitié utilise le chiffrement (55 %) et les systèmes de détection d’intrusions (52 %). Une très petite proportion des entreprises utilisent l’authentification par empreintes vocales (5 %).

L’utilisation de plusieurs mesures a augmenté depuis 2023. Un plus grand nombre d’entreprises exigent des mots de passe pour accéder aux comptes (87 %, contre 83 % en 2023), contrôlent l’accès des employés aux fichiers électroniques (86 %, contre 79 %) et utilisent l’authentification multifactorielle (65 %, contre 53 %). Les comparaisons avec les résultats de 2023 devraient tenir compte du changement dans l’auditoire cible en 2025.

À l’échelle régionale, les entreprises de l’Ontario et de l’Ouest canadien sont plus susceptibles d’utiliser le chiffrement (64 % et 63 %, respectivement) et l’authentification multifactorielle (76 % et 72 %, respectivement) pour protéger les renseignements personnels des clients.

6. Collecte de renseignements personnels auprès de clients mineurs

Cette section présente les résultats relatifs aux procédures et aux politiques adoptées par les entreprises pour protéger les renseignements personnels qu’elles recueillent auprès de leurs clients âgés de moins de 18 ans.

Trois entreprises sur dix recueillent des renseignements personnels auprès de clients mineurs.

Parmi les représentants sondés, trois sur dix (29 %) ont déclaré que leur entreprise recueillait des renseignements personnels auprès de clients mineurs (âgés de moins de 18 ans). Cette proportion était moindre en 2023, alors que 12 % des entreprises avaient déclaré recueillir les renseignements personnels de clients âgés de moins de 18 ans. Cette différence peut être attribuable au changement dans l’auditoire cible cette année plutôt qu’à une réelle transformation au fil du temps.

Les entreprises du Québec (35 %) et de l’Ontario (30 %) sont plus susceptibles de recueillir des renseignements auprès de mineurs que les entreprises de l’Ouest canadien (22 %).

La plupart des entreprises vérifient l’âge et obtiennent le consentement des parents, mais elles sont moins nombreuses à mettre en œuvre des mesures de protection plus rigoureuses pour les jeunes.

Parmi les entreprises qui recueillent des renseignements personnels auprès des jeunes (n = 214), la plupart vérifient l’âge (85 %) et obtiennent le consentement des parents si l’enfant a moins de 13 ans (84 %). De plus, environ les deux tiers des entreprises (68 %) expliquent leurs politiques et pratiques en matière de protection de la vie privée dans un langage simple et adapté à l’âge des personnes concernées. Un moins grand nombre d’entreprises utilisent par défaut des paramètres de confidentialité stricts, par exemple la désactivation automatique de la géolocalisation (36 %) ou le fait de permettre aux jeunes de supprimer facilement leur compte ou des renseignements qu’ils ont publiés (34 %).

Comparativement à 2023, beaucoup plus d’entreprises obtiennent le consentement des parents lorsqu’elles recueillent des renseignements auprès des jeunes (84 % en 2025 comparativement à 69 % en 2023). Cette hausse peut être attribuable, du moins en partie, au changement dans l’auditoire cible cette année. Les autres différences ne sont pas statistiquement significatives compte tenu de la petite taille de l’échantillon.

Les entreprises du Québec (94 %) sont plus susceptibles de vérifier l’âge que les entreprises de l’Ontario (82 %) et de l’Ouest canadien (79 %).

7. Politiques de confidentialité

Cette section présente les résultats relatifs aux politiques de confidentialité et à la façon dont les entreprises communiquent leurs pratiques en matière de protection de la vie privée.

Une forte majorité des entreprises canadiennes ont une politique de confidentialité.

Huit représentants d’entreprises sur dix (84 %) indiquent que leur entreprise dispose d’une politique de confidentialité. Cela représente une hausse par rapport aux vagues de sondage précédentes. Les différences au fil du temps peuvent être attribuables au changement dans l’auditoire cible cette année plutôt qu’à une réelle transformation au fil du temps.

Les entreprises du Québec (88 %) et de l’Ontario (86 %) sont plus susceptibles d’avoir une politique de confidentialité que les entreprises de l’Ouest canadien (78 %). La probabilité d’avoir une politique de confidentialité augmente avec la taille de l’entreprise : 78 % des petites entreprises (1-19 employés) ont une politique de confidentialité, alors que cette proportion grimpe à 92 % pour les grandes entreprises (100 employés ou plus). Les politiques de confidentialité sont également plus courantes parmi les entreprises qui ont utilisé les outils du Commissariat (97 %).

La plupart des politiques de confidentialité expliquent en langage clair les principales pratiques en matière de traitement des renseignements personnels.

La plupart des représentants dont l’entreprise a une politique de confidentialité (n = 665) ont indiqué qu’elle explique en langage clair les éléments clés de leurs pratiques de traitement des renseignements personnels. Près de neuf représentants d’entreprises sur dix (87 %) ont déclaré que la politique de leur entreprise décrit les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués. De même, une grande majorité des représentants ont indiqué que la politique de leur entreprise explique la façon dont les renseignements personnels sont recueillis, utilisés et communiqués (85 %) ainsi que la nature des renseignements personnels qui sont recueillis (84 %).

Environ trois quarts des représentants ont affirmé que la politique de confidentialité de leur entreprise explique à qui les renseignements personnels peuvent être transmis (76 %), pendant combien de temps ils sont conservés (75 %) et comment ils sont détruits (73 %). Sept représentants sur dix (70 %) ont dit que la politique de leur entreprise explique aussi les risques de préjudice en cas d’atteinte à la sécurité des données.

Comparativement aux vagues précédentes, les résultats indiquent des gains modestes pour plusieurs mesures. La proportion de politiques qui expliquent la durée de conservation des renseignements personnels est passée de 67 % en 2023 à 75 % en 2025, tandis que le pourcentage de politiques qui décrivent les pratiques de destruction des données a augmenté de 62 % à 73 %. Les communications relatives au risque de préjudice en cas d’atteinte à la sécurité des données se sont aussi améliorées, passant de 55 % en 2023 à 70 % en 2025. Les différences au fil du temps peuvent être attribuables au changement dans l’auditoire cible cette année plutôt qu’à une réelle transformation au fil du temps.

La communication aux clients d’information sur la protection de la vie privée est assez répandue, bien que certaines pratiques soient moins courantes.

Parmi les entreprises qui ont une politique de confidentialité (n = 665), nombreuses sont celles qui communiquent aux clients leurs pratiques clés en matière de protection de la vie privée. Les trois quarts (75 %) des représentants ont dit que leur entreprise explique comment les clients peuvent soulever une préoccupation ou poser une question sur la protection de la vie privée. De plus, sept entreprises sur dix indiquent clairement si la collecte, l’utilisation ou la communication des renseignements personnels est une condition de service (71 %), font en sorte que leurs clients aient facilement accès à l’information sur la protection des renseignements personnels (71 %) et expliquent comment les clients peuvent demander l’accès à leurs renseignements personnels (69 %). Deux tiers (65 %) des entreprises expliquent comment les clients peuvent déposer une plainte officielle concernant la protection de la vie privée.

Environ la moitié des entreprises ont déclaré appliquer des pratiques de communication supplémentaires, notamment l’obtention du consentement des clients quand elles modifient leurs pratiques en matière de protection de la vie privée (56 %), la promotion active de leurs pratiques en matière de protection de la vie privée (55 %) et la transmission d’un avis aux clients quand elles modifient leur politique de confidentialité (53 %).

La proportion d’entreprises qui communiquent des éléments de leurs pratiques en matière de protection de la vie privée a augmenté depuis 2023. Au moment de comparer les résultats d’une année à l’autre, il faut tenir compte du changement d’auditoire cible cette année, car les différences peuvent être attribuables, du moins en partie, à ce changement, plutôt qu’à une réelle transformation au fil du temps.

Les entreprises du Québec (56 %) sont moins susceptibles que celles de l’Ontario (78 %) et de l’Ouest canadien (73 %) d’indiquer clairement si la collecte, l’utilisation ou la communication des renseignements personnels est une condition de service.

8. Atteintes à la sécurité des données

Cette section présente les résultats relatifs à l’état de préparation des entreprises canadiennes en cas d’atteintes à la sécurité des données et à leur expérience en la matière.

Près des deux tiers des entreprises sont très bien préparées à réagir à une atteinte à la sécurité des données.

D’une part, près des deux tiers des représentants (64 %) ont affirmé que leur entreprise est très bien préparée à réagir à une atteinte à la sécurité des données touchant les renseignements personnels (notes de 6 ou 7 sur une échelle de 7), dont 46 % qui considèrent que leur entreprise est tout à fait prête à réagir. D’autre part, un quart (26 %) des répondants ont indiqué que leur entreprise était moyennement prête à réagir (notes de 3 à 5). Au total, la grande majorité (90 %) des entreprises sondées sont au moins moyennement prêtes à réagir à une atteinte à la sécurité des données, tandis que quelques-unes (5 %) ont déclaré être peu prêtes (notes de 1 ou 2).

Comparativement à 2023, la perception à l’égard de l’état de préparation s’est améliorée : la proportion de représentants qui ont classé leur entreprise comme étant très bien préparée (notes de 6 ou 7) est passée de 46 % à 64 % en 2025. Au moment de comparer les résultats d’une année à l’autre, il faut tenir compte du changement d’auditoire cible cette année, car les différences peuvent être attribuables, du moins en partie, à ce changement, plutôt qu’à une réelle transformation au fil du temps.

La perception d’être très bien préparée augmente avec la taille de l’entreprise : 57 % des petites entreprises (1-19 employés) croient qu’elles sont très bien préparées, contre 77 % pour les grandes entreprises (100 employés ou plus). En outre, cette perception est plus élevée chez les entreprises qui ont utilisé les outils du Commissariat (78 %).

Le nombre d’entreprises ayant subi une atteinte à la sécurité des données a augmenté.

Un représentant sur dix (10 %) a déclaré que son entreprise avait subi une atteinte qui a compromis les renseignements personnels de ses clients, une hausse par rapport à 6 % en 2023. Les différences au fil du temps peuvent être attribuables au changement dans l’auditoire cible cette année plutôt qu’à une réelle transformation au fil du temps.

Huit entreprises sur dix déclarent conserver un registre des atteintes à la sécurité des données.

Une grande majorité des représentants ont déclaré que leur entreprise conserve un registre des atteintes à la sécurité des données touchant les renseignements personnels de ses clients. Cette année, 81 % des répondants ont indiqué que leur entreprise tient un tel registre, comparativement à 94 % en 2023. Cette baisse peut être attribuable, en tout ou en partie, au changement dans l’auditoire cible cette année plutôt qu’à une réelle diminution du nombre d’entreprises qui conservent un registre.

Annexes

Profil des entreprises qui ont répondu au sondage

Les tableaux suivants présentent les caractéristiques des entreprises canadiennes composant l’échantillon du sondage (au moyen des données pondérées) ainsi que celles des représentants des entreprises.

Questionnaire du sondage

Introduction

POINT DE CONTACT PRINCIPAL/CONTRÔLEUR :

Bonjour, je m’appelle [nom de l’intervieweur]. Préférez-vous que je continue en français ou en anglais? / Would you prefer that I continue in English or French? Le Commissariat à la protection de la vie privée du Canada mène actuellement un sondage. Pourrais-je parler à la personne au sein de votre entreprise qui connaît le mieux les types de renseignements personnels que vous recueillez au sujet de vos clients ainsi que la façon dont ces renseignements sont conservés et utilisés? Il pourrait s’agir du chef de la protection des renseignements personnels de votre entreprise, si ce poste existe.

SI LE CONTRÔLEUR LE DEMANDE :

Je vous appelle au nom de Phoenix SPI, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du Commissariat à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.

RÉPONDANT :

Bonjour, je m’appelle [nom de l’intervieweur]. Je vous appelle au nom de Phoenix SPI, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du Commissariat à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.

Ce sondage dure environ 15 minutes et est facultatif. Vos réponses resteront confidentielles et anonymes, et les renseignements que vous fournirez seront gérés conformément aux exigences de la Loi sur la protection des renseignements personnels, de la Loi sur l’accès à l’information et de toute autre mesure législative pertinente. Le sondage est enregistré auprès du système de validation des sondages du Conseil de recherche et d’intelligence marketing canadien.

Puis-je poursuivre?

Filtrage et renseignements généraux

1. Votre entreprise vend-elle ou offre-t-elle des services ou des produits directement aux consommateurs?

2. Votre entreprise recueille-t-elle des renseignements personnels concernant ses clients?

3. Environ combien d’employés travaillent pour votre entreprise au Canada? Veuillez tenir compte des employés à temps partiel comme des équivalents temps plein. [NE PAS LIRE LA LISTE]

Section 1. Renseignements personnels des clients

J’aimerais commencer par vous demander quels types de renseignements personnels votre entreprise recueille sur ses clients.

4. Que fait votre entreprise des renseignements personnels qu’elle recueille concernant ses clients? Les utilise-t-elle… [LIRE LA LISTE. ALTERNER L’ORDRE DES ÉLÉMENTS. ACCEPTER TOUTES LES RÉPONSES APPLICABLES]

5. Comment votre entreprise conserve-t-elle les renseignements personnels de ses clients? Les renseignements sont-ils… [LIRE LA LISTE. ALTERNER L’ORDRE DES ÉLÉMENTS. ACCEPTER TOUTES LES RÉPONSES APPLICABLES]

6. Votre entreprise envoie-t-elle des renseignements personnels concernant ses clients à des entreprises situées en dehors du Canada à des fins de traitement, de stockage ou autres? [LIRE LA LISTE]

7. [SI Q6=01] Informez-vous vos clients que leurs renseignements personnels pourraient être envoyés en dehors du Canada? [LIRE LA LISTE]

Section 2 : Technologie

8. Votre entreprise utilise-t-elle l’IA pour ses activités commerciales? [LIRE LA LISTE]

9. [SI Q8=01] De quelle manière votre entreprise utilise-t-elle l’IA dans ses activités commerciales? [NE PAS LIRE LA LISTE; ACCEPTER LES RÉPONSES MULTIPLES]

10. [SI Q8=01] Votre entreprise utilise-t-elle l’IA pour accroître son efficacité, pour prendre des décisions ou pour ces deux raisons?

11. [SI Q10=02, 03] Lorsque votre entreprise utilise l’IA pour prendre des décisions, est-ce qu’un employé humain passe en revue cette décision avant que des mesures soient prises par votre entreprise? [LIRE LA LISTE]

Section 3 : Lois canadiennes sur la protection des renseignements personnels et conformité

La loi sur la protection de la vie privée du gouvernement fédéral, soit la Loi sur la protection des renseignements personnels et des documents électroniques, ou LPRPDE, établit des règles qui régissent la manière dont les entreprises doivent protéger les renseignements personnels. Au Québec, en Colombie-Britannique et en Alberta, le secteur privé est régi par des lois provinciales qui sont semblables à la loi fédérale.

12. Dans quelle mesure votre entreprise connaît-elle ses responsabilités quant aux lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « ne connaît pas du tout ses responsabilités » et 7 signifie « connaît très bien ses responsabilités ».

13. Votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels? [LIRE LA LISTE]

14. [SI Q13=01] À quel point a-t-il été difficile pour votre entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes sur la protection des renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « extrêmement facile » et 7 signifie « extrêmement difficile ».

15. Au cours des 12 derniers mois, laquelle des propositions suivantes représente le mieux les coûts approximatifs engagés par votre entreprise pour se conformer aux lois canadiennes sur la protection des renseignements personnels? Veuillez inclure toutes les catégories de coûts, telles que le temps consacré par le personnel, la formation, les services de technologie de l’information et les services juridiques. [LIRE LA LISTE; ARRÊTER LORSQUE LE RÉPONDANT CHOISIT UNE RÉPONSE] [NOUVEAU]

16. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à respecter leurs obligations en matière de protection des renseignements personnels? [LIRE LA LISTE]

17. [SI Q16=01] Votre entreprise a-t-elle déjà utilisé l’une de ces ressources? [LIRE LA LISTE]

18. [SI Q16=02, 03 ou 99, AJOUTER : Le Commissariat met des ressources à la disposition des entreprises pour les aider à respecter leurs obligations en matière de protection des renseignements personnels.] Comme vous êtes la personne au sein de votre entreprise qui est la plus familière avec le traitement des renseignements personnels des clients, lequel des types d’information et d’outils suivants vous serait le plus utile? Le premier est [ÉLÉMENT 1] OU [ÉLÉMENT 2]. RÉPÉTER. [SÉLECTIONNER DE MANIÈRE ALÉATOIRE 4 RÉPONSES PAR RÉPONDANT EN VEILLANT À CE QUE CHAQUE ÉLÉMENT SOIT NOMMÉ DE MANIÈRE ÉQUIVALENTE. NE PAS RÉPÉTER LA QUESTION, SAUF SI NÉCESSAIRE.] [NOUVEAU]

Section 4 : Pratiques de l’entreprise en matière de protection de la vie privée

Maintenant, j’aimerais vous poser des questions sur les pratiques de votre entreprise en matière de protection de la vie privée.

19. Avez-vous désigné au sein de votre entreprise une personne responsable des questions liées à la protection de la vie privée et des renseignements personnels détenus par votre entreprise?

20. Votre entreprise a-t-elle élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels?

21. Votre entreprise donne-t-elle régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels?

22. Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels?

23. Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels n’ont pas été traités adéquatement?

24. Votre entreprise prend-elle l’une des mesures suivantes pour protéger les renseignements personnels de ses clients? Veuillez répondre par Oui ou Non. [MODIFIÉ DEPUIS 2024 : EMPLOYÉS SUPPRIMÉS] [LIRE LES ÉLÉMENTS DE LA QUESTION EN ROTATION]

1. Exige des mots de passe pour accéder aux comptes
2. [50 % DE L’ÉCHANTILLON] Utilise l’authentification multifactorielle
3. [50 % DE L’ÉCHANTILLON] Utilise l’authentification par empreintes vocales
4. [50 % DE L’ÉCHANTILLON] Utilise le chiffrement
5. [50 % DE L’ÉCHANTILLON] Contrôle l’accès des employés aux fichiers électroniques
6. [50 % DE L’ÉCHANTILLON] Utilise des systèmes de détection d’intrusions [NOUVEAU]
7. [50 % DE L’ÉCHANTILLON] Utilise des outils de protection pour appareils, tels que des antimaliciels ou des logiciels antivirus [NOUVEAU]

25. Votre entreprise recueille-t-elle des renseignements personnels auprès de clients mineurs, c’est-à-dire âgés de moins de 18 ans? [LIRE LA LISTE]

26. [SI Q25=01] Lors de la collecte de renseignements concernant des jeunes, votre entreprise prend-elle l’une ou l’autre des mesures suivantes? Veuillez répondre par Oui ou Non. [LIRE LES ÉLÉMENTS DE LA QUESTION EN ROTATION]

1. Vérifier l’âge
2. [50 % DE L’ÉCHANTILLON] Obtenir le consentement des parents si l’enfant a moins de 13 ans
3. [50 % DE L’ÉCHANTILLON] Expliquer les politiques et pratiques en matière de protection de la vie privée dans un langage simple et adapté à l’âge des personnes concernées
4. [50 % DE L’ÉCHANTILLON] Utiliser par défaut des paramètres de confidentialité stricts, par exemple en désactivant automatiquement la géolocalisation
5. [50 % DE L’ÉCHANTILLON] Permettre aux jeunes de supprimer facilement leur compte ou des renseignements qu’ils ont publiés

Section 5 : Politiques de confidentialité

27. Votre entreprise a-t-elle une politique de confidentialité? [LIRE LA LISTE]

28. [SI Q27=01] Votre politique de confidentialité explique-t-elle en langage clair… [LIRE LES ÉLÉMENTS DE LA QUESTION EN ROTATION; ÉCHANTILLON FRACTION]

1. [50 % DE L’ÉCHANTILLON] la façon dont votre entreprise recueille, utilise et communique les renseignements personnels de ses clients?
2. [50 % DE L’ÉCHANTILLON] quels sont les renseignements personnels que votre entreprise recueille auprès de ses clients?
3. [50 % DE L’ÉCHANTILLON] les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés ou communiqués?
4. [50 % DE L’ÉCHANTILLON] avec quelles parties les renseignements personnels des clients seront partagés?
5. [50 % DE L’ÉCHANTILLON] la durée de conservation des renseignements personnels que l’entreprise détient sur ses clients?
6. [50 % DE L’ÉCHANTILLON] le risque de préjudice à la personne, le cas échéant, en cas d’atteinte à la sécurité des données?
7. [TOUS] la façon dont votre entreprise détruit les renseignements personnels de ses clients lorsqu’elle n’en a plus besoin?

Toujours à propos de la collecte et de l’utilisation que fait votre entreprise des renseignements personnels de ses clients…

29. [SI Q27=01] Votre entreprise prend-elle l’une ou l’autre des mesures suivantes? [LIRE LES ÉLÉMENTS DE LA QUESTION EN ROTATION; ÉCHANTILLON FRACTIONNÉ]

1. [50 % DE L’ÉCHANTILLON] Aviser les clients quand elle modifie sa politique de confidentialité?
2. [50 % DE L’ÉCHANTILLON] Obtenir le consentement des clients quand elle modifie ses pratiques en matière de protection de la vie privée?
3. [50 % DE L’ÉCHANTILLON] Indiquer clairement si la collecte, l’utilisation ou la communication des renseignements est une condition de service?
4. [50 % DE L’ÉCHANTILLON] Faire en sorte que les clients aient facilement accès à l’information sur la protection des renseignements personnels?
5. [50 % DE L’ÉCHANTILLON] Expliquer comment les clients peuvent soulever leurs préoccupations concernant la protection de la vie privée ou poser des questions à ce sujet?
6. [50 % DE L’ÉCHANTILLON] Expliquer comment les clients peuvent demander l’accès à leurs renseignements personnels?
7. [50 % DE L’ÉCHANTILLON] Expliquer comment les clients peuvent déposer une plainte officielle concernant la protection de la vie privée?
8. [50 % DE L’ÉCHANTILLON] Faire activement la promotion des pratiques de l’entreprise en matière de protection de la vie privée?

Section 6 : Évaluation du risque et atteintes

Les atteintes à la sécurité des données sont causées par une activité criminelle, un vol, du piratage ou l’erreur d’un employé, comme le fait de perdre un ordinateur portable ou un autre appareil portatif.

30. Dans quelle mesure votre entreprise est-elle prête à réagir à une atteinte à la sécurité des données touchant les renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « n’est pas du tout prête à réagir » à une atteinte à la sécurité des données et 7 signifie « tout à fait prête à réagir ».

31. Votre entreprise a-t-elle déjà subi une atteinte qui a compromis les renseignements personnels de ses clients? [LIRE LA LISTE]

32. [SI Q31=01] Votre entreprise s’assure-t-elle de conserver un registre de toutes les atteintes à la sécurité des données touchant les renseignements personnels de ses clients?

Section 7 : Profil organisationnel

Ces dernières questions n’ont qu’une visée statistique, et toutes les réponses sont confidentielles.

33. Dans quelle industrie ou dans quel secteur exercez-vous des activités? Si votre entreprise exerce des activités dans plusieurs secteurs, veuillez indiquer le secteur principal. [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]

34. Quel est votre poste dans l’entreprise? [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]

Ceci conclut le sondage.

Merci de votre temps et de vos commentaires, nous vous sommes reconnaissants de votre participation.