Préparé pour le Commissariat à la protection de la vie privée du Canada par Phoenix Strategic Perspectives Inc.
Janvier 2018
Numéro de ROP = 029-17
Numéro de contrat : 2R008-170120-001-CY
Date de l’attribution du contrat : 25/09/2017
Date de présentation : 19/01/2018
Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a retenu les services de Phoenix Strategic Perspectives (Phoenix SPI) afin de réaliser un sondage téléphonique de 13 minutes auprès de 1 014 entreprises canadiennes. Compte tenu de la taille de l’échantillon, les résultats sont fiables à plus ou moins 3,1 %, 19 fois sur 20. Le travail sur le terrain a été réalisé entre le 27 octobre et le 30 novembre 2017, et les résultats ont été pondérés pour refléter la distribution réelle des entreprises au Canada.
La recherche visait à donner un portrait plus exact du degré de familiarité des entreprises avec les exigences et les enjeux liés à la protection des renseignements personnels, à en savoir plus sur les types de politiques et pratiques en la matière mis en place par ces entreprises et à déterminer leurs besoins en renseignements sur la protection des renseignements personnels. Les résultats seront utilisés par le Commissariat : 1) pour fournir des directives aux particuliers et aux organisations à propos de la protection des renseignements personnels, et 2) pour améliorer ses efforts de diffusion auprès des petites entreprises.
Les entreprises canadiennes continuent de recueillir une grande variété de renseignements personnels sur leurs clients. Comme l’indiquent les sondages des années précédentes, les coordonnées sont en tête de liste, avec une large majorité des entreprises (94 %) qui recueillent les noms, les numéros de téléphone et les adresses postales ou électroniques de leurs clients. Les autres types de renseignements mentionnés assez fréquemment comprennent les opinions, les évaluations et les commentaires (29 %), les renseignements financiers, comme les factures, les cartes de crédit et les dossiers bancaires (25 %) ainsi que les documents d’identité, tels que les numéros d’assurance sociale (21 %).
Près des trois quarts des répondants (73 %) déclarent que leur entreprise stocke les renseignements recueillis sur les clients sur place, par voie électronique. Ceci constitue un changement important par rapport aux années précédentes, où le stockage de renseignements en format papier était la principale méthode utilisée par les entreprises. À 56 % (en baisse par rapport aux 62 % de 2015), le stockage sur place en format papier est la deuxième méthode la plus fréquemment mentionnée. Parmi les autres méthodes de stockage des renseignements sur les clients, citons l’utilisation de dispositifs portables, tels que les ordinateurs portables, les clés USB ou les tablettes (26 %) et le stockage hors site chez un tiers (18 %).
Concernant la protection des données, 94 % des entreprises interrogées utilisent au moins une méthode de sécurité pour protéger les renseignements personnels de leurs clients. La fréquence du recours à des méthodes de sécurité n’a pas évolué depuis 2015, où 93 % des entreprises utilisaient au moins une mesure. Comme en 2015, les mesures les plus courantes utilisées sont les mots de passe (78 %) et les mesures matérielles (77 %). Une plus petite proportion de répondants indiquent que leur entreprise utilise des contrôles organisationnels (60 %), des mesures technologiques (59 %) ainsi que des tests de révision du système et des mises à jour de sécurité (55 %).
Comme en 2015, environ deux tiers des cadres d’entreprise interrogés (68 %) indiquent que leur entreprise accorde beaucoup d’importance à la protection des renseignements personnels de ses clients. Mettant en lumière cette importance, près ou plus de la moitié des entreprises sondées ont un responsable de la protection des renseignements personnels (59 %), des politiques internes pour le personnel précisant les obligations en matière de protection des renseignements personnels (50 %) et des procédures pour traiter les plaintes des consommateurs (51 %) ou les demandes des consommateurs pour accéder à leurs renseignements personnels (47 %). Ces résultats sont restés pratiquement inchangés depuis 2015. Par ailleurs, 37 % (en hausse par rapport aux 32 % de 2015) donnent régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels.
Concernant les politiques sur la protection des renseignements personnels, moins de la moitié des répondants (44 %) indiquent que leur entreprise dispose d’une telle politique qui explique aux clients comment l’entreprise recueillera et utilisera leurs renseignements personnels. Parmi les entreprises disposant d’une politique sur la protection des renseignements personnels (n = 486), plus de 9 sur 10 ont une politique qui explique en langage simple quels renseignements personnels sont recueillis (92 %) et à quelles fins (95 %). Par ailleurs, trois quarts de ces entreprises ont une politique sur la protection des renseignements personnels qui explique clairement à quelles entités les renseignements personnels recueillis seront communiqués. Parmi les entreprises disposant d’une politique sur la protection des renseignements personnels, la moitié (52 %) y explique le risque de préjudice en cas d’atteinte.
Les cadres étaient quelque peu divisés quant à leur niveau de préoccupation à l’égard d’une atteinte à la protection des données. Près du quart des répondants (23 %) ont choisi la cote la plus élevée (extrêmement préoccupé), tandis que 36 % ont indiqué ne pas être préoccupés du tout. Globalement, près de la moitié (48 %) des répondants ont exprimé un niveau de préoccupation au moins modéré (notes de trois ou plus sur l’échelle de sept points), et exactement la moitié (50 %) des répondants se sont dits peu ou pas préoccupés. La proportion des cadres non préoccupés par une atteinte à la protection des données est passée de 44 % en 2015 à 50 % en 2017.
Quatre entreprises sondées sur 10 (40 %) ont des politiques ou des procédures établies dans l’éventualité d’une atteinte compromettant les renseignements personnels des clients. Presque autant de répondants (38 %) indiquent que leur entreprise dispose de politiques ou de procédures établies pour évaluer les risques d’atteinte à la protection des renseignements personnels liés à leur entreprise. La proportion d’entreprises disposant de politiques ou de procédures pour gérer les atteintes à la protection des données et pour évaluer les risques d’atteinte à la sécurité des renseignements personnels est restée pratiquement la même depuis 2015.
La sensibilisation des entreprises aux responsabilités en vertu des lois sur la protection des renseignements personnels du Canada n’a pas changé depuis 2015. Lorsqu’on leur demande d’évaluer la sensibilisation de leur entreprise à ses responsabilités en vertu des lois sur la protection des renseignements personnels du Canada, une forte minorité (44 %) de cadres d’entreprise indiquent que leur entreprise y est très sensibilisée, tandis qu’une part légèrement inférieure (38 %) indique que leur entreprise présente un niveau de sensibilisation modéré. Comme en 2015, globalement, 82 % des entreprises sont au moins quelque peu au courant de leurs responsabilités en vertu des lois sur la protection des renseignements personnels du Canada.
Deux tiers des entreprises interrogées (66 %) indiquent que leur entreprise a pris des mesures pour respecter les lois sur la protection des renseignements personnels du Canada. Cela représente une augmentation de sept points de pourcentage depuis 2015, où 59 % des entreprises avaient pris de telles mesures. Parmi celles qui ont pris des mesures pour les respecter (n = 719), environ 9 sur 10 (89 %) déclarent que leur entreprise n’a pas trouvé cela difficile. Par ailleurs, la plupart des entreprises ayant pris des mesures pour respecter les lois sur la protection des renseignements personnels du Canada (66 %) n’ont rencontré aucune difficulté. Parmi les entreprises qui n’ont pris aucune mesure pour les respecter (n = 237), près de 6 sur 10 (57 %) ne prévoient pas de difficulté ou d’obstacle.
Les cadres d’entreprise ont été interrogés sur l’utilité d’outils ou de ressources potentiels pour aider leur entreprise à respecter les lois sur la protection des renseignements personnels du Canada. Un peu plus de la moitié (53 %) a indiqué que les renseignements sur la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et les responsabilités connexes seraient une ressource utile. Moins de la moitié a jugé les autres outils ou ressources utiles : 44 % ont indiqué que les outils d’apprentissage en ligne expliquant la LPRPDE seraient utiles; 43 % ont dit la même chose à propos des outils de formation à l’attention du personnel; et 35 % ont déclaré que les outils interactifs d’évaluation des pratiques en matière de protection des renseignements personnels seraient utiles (près du quart ignorait si les outils interactifs seraient utiles ou non).
À peine plus d’un quart (27 %) des cadres d’entreprise interrogés ont déclaré que leur entreprise avait recherché des renseignements ou communiqué avec quelqu’un pour obtenir ses conseils à propos des responsabilités de l’entreprise en vertu des lois sur la protection des renseignements personnels du Canada. Interrogés sur les organisations ou ressources que leur entreprise utilise (ou utiliserait) pour mieux comprendre ses responsabilités en matière de protection des renseignements personnels, 27 % des cadres d’entreprise ont répondu l’Internet (en général) ainsi que Google (14 %) ou des sites Web précis (5 %). Après l’Internet, 19 % consultaient (ou consulteraient) le gouvernement fédéral, 15 % un gouvernement provincial, et 14 % un avocat. Plus de 4 répondants sur 10 (44 %, en hausse par rapport aux 41 % de 2015) savaient que le Commissariat dispose d’information et d’outils pour aider les entreprises à se conformer à leurs obligations en matière de protection des renseignements personnels.
Comme pour les années précédentes, c’est la taille de l’entreprise qui a la plus forte incidence sur les pratiques en matière de protection des renseignements personnels d’une entreprise. Les entreprises qui comptent 100 employés et plus ont tendance à recueillir plus de types de renseignements personnels auprès de leurs clients, et sont plus susceptibles de stocker ces renseignements sur place, par voie électronique. Par ailleurs, les grandes entreprises sont plus susceptibles d’avoir pris des mesures pour protéger les renseignements personnels de leurs clients, d’avoir mis en place une série de pratiques en matière de protection des renseignements personnels et de disposer d’une politique sur la protection des renseignements personnels qui explique comment elles recueillent et utilisent les renseignements des clients. Les grandes entreprises sont également plus susceptibles d’avoir mis en place des protocoles en cas d’atteinte à la protection des données, ainsi que des politiques pour évaluer les risques d’atteinte à la sécurité des renseignements personnels en lien avec leur entreprise. Enfin, la connaissance de leurs responsabilités en vertu des lois sur la protection des renseignements personnels du Canada était supérieure parmi les grandes entreprises, et ces dernières étaient plus susceptibles d’avoir pris des mesures pour s’assurer de respecter les lois sur la protection des renseignements personnels.
Valeur du contrat :
La valeur du contrat était de 58 737,40 $ (taxes applicables comprises).
Énoncé de neutralité politique :
Je déclare par la présente, à titre de cadre supérieure de Phoenix Strategic Perspectives, que les produis livrables respectent toutes les exigences de neutralité politique du gouvernement du Canada décrites dans la Politique de communication du gouvernement Canada et la Procédure de planification et d’attribution de marchés de services de recherche sur l’opinion publique. Plus particulièrement, les produits finaux ne comprennent pas de renseignements sur les intentions de vote aux élections, les préférences de partis politiques, les positions vis-à-vis de l’électorat ou l’évaluation de la performance d’un parti politique ou de son dirigeant.
(La version originale a été signée par)
Alethea Woods
Présidente
Phoenix Strategic Perspectives Inc.
Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a chargé Phoenix Strategic Perspectives (Phoenix SPI) de mener une recherche sur l’opinion publique (ROP) auprès d’entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels.
À titre de défenseur des droits des Canadiens en matière de protection de la vie privée, le Commissariat est autorisé à enquêter sur les plaintes, à mener des vérifications en vertu de deux lois fédérales, à publier de l’information sur les pratiques de traitement des renseignements personnels dans les secteurs public et privé et à mener des recherches sur les enjeux liés à la protection des renseignements personnels. Mandaté par le Parlement pour agir à titre d’ombudsman et de gardien de la vie privée au Canada, le commissaire est chargé de faire respecter la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui s’applique aux activités commerciales dans les provinces de l’Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Le Québec, l’Alberta et la Colombie-Britannique possèdent leur propre loi sur la protection des renseignements personnels applicable au secteur privé. Toutefois, même dans ces provinces, la LPRPDE vise les entreprises du secteur privé sous réglementation fédérale ainsi que les renseignements personnels obtenus dans le cadre d’opérations interprovinciales et internationales.
Compte tenu de son mandat, le Commissariat a besoin de comprendre le degré de familiarité des entreprises avec les enjeux liés à la protection des renseignements personnels, et de connaître le type de politiques et de pratiques mises en place en la matière. Le Commissariat doit également évaluer la conformité à la loi. Pour ce faire, il est également important que le Commissariat comprenne la sensibilisation et les démarches des entreprises en matière de protection des renseignements personnels. Par conséquent, le Commissariat commande régulièrement des sondages auprès d’entreprises pour éclairer et guider ses efforts de diffusion auprès des entreprises.
Par ailleurs, le Commissariat a déterminé les priorités et approches stratégiques en vue de contribuer à l’atteinte de la vision du Commissariat, qui consiste à accroître le contrôle des Canadiens sur leurs renseignements personnels. Dans le rapport sommaire sur les priorités, intitulé Tracer un chemin vers une meilleure protection, le Commissariat note que les petites et moyennes entreprises (PME) ont besoin d’être davantage sensibilisées pour mieux comprendre leurs obligations en matière de protection des renseignements personnels en vertu de la LPRPDE. Par conséquent, le Commissariat cherche à approfondir sa compréhension des petites entreprises afin de pouvoir mettre au point de la documentation et des approches appropriées pour mieux les sensibiliser.
Le sondage de cette année aidera le Commissariat à mieux comprendre le degré de familiarité des entreprises avec les enjeux et les exigences liés à la protection des renseignements personnels. Il l’aidera également à en savoir plus sur les types de politiques et de pratiques sur la protection des renseignements personnels mises en place par les entreprises, ainsi que sur les renseignements dont elles ont besoin en la matière. Les résultats seront utilisés par le Commissariat : 1) pour fournir des directives aux particuliers et aux organisations à propos de la protection des renseignements personnels; et 2) pour améliorer ses efforts de diffusion auprès des petites entreprises.
Un sondage téléphonique de treize minutes a été réalisé auprès de 1 014 entreprises d’un bout à l’autre du Canada. Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage. Une base d’échantillonnage aléatoire a été générée pour déterminer le contingent de chacun des trois groupes cibles (formés en fonction de la taille des entreprises) : petite (1 à 19 employés); moyenne (20 à 99 employés) et grande (100 employés et plus). Les répondants ciblés étaient des décideurs de haut niveau ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes. Les résultats ont été pondérés selon la taille, le secteur et la région au moyen des données de Statistique Canada afin de veiller à ce qu’elles reflètent la distribution réelle des entreprises au Canada. Compte tenu de la taille de l’échantillon, les résultats sont fiables à plus ou moins 3,1 %, 19 fois sur 20.
Les caractéristiques techniques de sondage sont présentées ci¬après.
Le tableau qui suit décrit la répartition finale des appels pour ce sondage, de même que le taux de réponse connexe (selon la formule établie de l’ARIM)Note de bas de page 1 :
| Nombre total de tentatives d’appels | 7 322 |
| Exclus de la portée – Non valides | 1 084 |
| Non résolus (NR) | 1 780 |
| Pas de réponse/répondeur | 1 780 |
| Unités admissibles non répondantes (UA) | 3 423 |
| Barrière linguistique | 32 |
| Impossibilités de réaliser l’entretien téléphonique (maladie/décès) | 58 |
| Rappel (répondant non disponible) | 2 512 |
| Refus | 694 |
| Terminaison | 127 |
| Répondants potentiels – Unités répondantes (UR) | 1 035 |
| Entrevues effectuées | 1 014 |
| Quota atteint | 1 |
| Téléphone cellulaire – conversation non sécuritaire | 20 |
La présente section aborde les types de renseignements personnels sur les clients recueillis par les entreprises, les méthodes d’entreposage des données et les mesures prises par les entreprises pour empêcher leur divulgation.
En ce qui concerne le type de renseignements recueillis au sujet des clients, la vaste majorité des entreprises sondées (94 %) recueillent les coordonnées, comme les noms, les numéros de téléphone et les adresses postales ou électroniques. Les autres types de renseignements mentionnés assez fréquemment comprennent les opinions, les évaluations et les commentaires (29 %), les renseignements financiers, comme les factures, les cartes de crédit et les dossiers bancaires (25 %) ainsi que les documents d’identification, tels que les numéros d’assurance sociale (NAS) (21 %).
| Base : n = 1 014; tous les répondants | |
| Type | % des répondants |
|---|---|
| Coordonnées | 94 % |
| Opinions, évaluations et commentaires | 29 % |
| Renseignements financiers | 25 % |
| Documents d’identification (p. ex. NAS) | 21 % |
| Habitudes d'achat | 15 % |
| Identificateurs biométriques | 1 % |
| Autre | 1 % |
| Aucune de ces réponses | 4 % |
Au total, 4 % des répondants ont indiqué que leur entreprise ne recueillait aucun de ces types de renseignements sur ses clients.
Depuis le début du suivi en 2011, le type de renseignements recueilli sur les clients par les entreprises a peu évolué. Les coordonnées, les renseignements financiers et les commentaires restent les renseignements sur les clients qui sont le plus souvent recueillis.
La probabilité de recueillir des renseignements sur les clients augmente généralement avec la taille de l’entreprise. Les grandes entreprises (qui comptent 100 employés et plus) sont plus susceptibles de recueillir les opinions, évaluations et commentaires (45 %), les renseignements financiers (45 %), les documents d’identité (32 %) et les habitudes de consommation (28 %) de leurs clients.
Les entreprises ont déclaré utiliser diverses méthodes pour stocker les renseignements personnels de leurs clients. En tête de liste, on retrouve le stockage sur place en format électronique, avec près des trois quarts (73 %) des répondants indiquant que leur entreprise entrepose ainsi les renseignements de ses clients. Ensuite, 56 % des répondants ont indiqué que leur entreprise stocke les renseignements sur les clients sur place en format papier. Ceci constitue un changement intéressant par rapport aux années précédentes, où le stockage sur place en format papier était la principale méthode utilisée par les entreprises.
Par ailleurs, environ un quart des entreprises (26 %) stockent les renseignements sur leurs clients sur des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes. Dix-huit pour cent ont répondu que leur entreprise entreposait les renseignements sur les clients hors site en format électronique chez un tiers.
| Base : n = 1 014; tous les répondants; Ne sait pas/Refus = 6 % | |
| Méthodes | % des répondants |
|---|---|
| Sur place en format électronique | 73 % |
| Sur place en format papier | 56 % |
| Dispositifs portables | 26 % |
| Hors site chez un tiers | 18 % |
| Enregistrements audio et vidéo | 3 % |
| Entreposés d’une autre manière | 1 % |
Les entreprises individuelles sont les plus susceptibles d’entreposer les renseignements personnels des clients sur des dispositifs portables (45 %). La probabilité de stocker ces renseignements sur place en format électronique augmente en général avec la taille de l’entreprise : de 53 % des entreprises à propriétaire unique à 84 % des entreprises comptant 100 employés et plus.
La vaste majorité des entreprises sondées (94 %) utilisent au moins une méthode de sécurité pour protéger les renseignements personnels de leurs clients. Les mots de passe restent la méthode de sécurité la plus couramment utilisée, avec près de quatre entreprises sur cinq (78 %) qui les utilisent pour protéger les renseignements personnels de leurs clients. Le recours à des méthodes matérielles, telles que les alarmes de sécurité, suit de près (77 %). De plus petites proportions de répondants utilisent des contrôles organisationnels, tels que des politiques et des procédures (60 %), des mesures technologiques comme le chiffrement (59 %) ainsi que des tests de révision du système et des mises à jour de sécurité (55 %).
| Base : n = 1 014; tous les répondants; Ne sait pas/Refus = 1 % | |
| Mesures | % des répondants |
|---|---|
| Mots de passe | 78 % |
| Mesures matérielles (p. ex. alarmes de sécurité) | 77 % |
| Contrôles organisationnels (p. ex. politiques et procédures) | 60 % |
| Mesures technologiques (p. ex. chiffrement) | 59 % |
| Tests de révision du système et mises à jour de sécurité | 55 % |
| Aucune mesure prise | 6 % |
La probabilité de prendre des mesures pour protéger les renseignements personnels des clients augmente avec la taille de l’entreprise. Les grandes entreprises sont plus susceptibles d’utiliser des mots de passe (94 %), des contrôles organisationnels (89 %), des tests de révision du système et des mises à jour de sécurité (85 %) et des mesures technologiques comme le chiffrement (84 %) pour protéger les renseignements de leurs clients.
Les entreprises installées au Québec ont tendance à utiliser moins de méthodes de protection pour les renseignements de leurs clients que celles des autres régions. Par ailleurs, les entreprises installées dans les Prairies (75 %) sont bien plus susceptibles d’utiliser des mesures technologiques que celles du Québec (42 %), du Canada atlantique (49 %) et de l’Ontario (61 %).
La présente section expose les procédures et les politiques que les entreprises ont établies pour protéger les renseignements personnels qu’elles recueillent sur leurs clients.
La plupart des entreprises accordent de l’importance à la protection des renseignements personnels de leurs clients. Près de trois répondants sur cinq (58 %) ont choisi la plus haute note (sur une échelle de sept points), estimant que la protection des renseignements personnels de leurs clients est un objectif extrêmement important pour leur entreprise. Plus de deux tiers des répondants ont indiqué accorder une importance élevée à la protection des renseignements personnels des clients (notes de six ou sept). Les autres (19 %) accordaient une importance moyenne à cette question (notes de trois à cinq). Seulement 9 % des répondants ont indiqué que la protection des renseignements personnels des clients ne constitue pas un objectif important de leur entreprise.
| Base : n = 1 014; tous les répondants; Ne sait pas/Refus = 3 % | |
| Importance | 2017 (n=1 014) |
|---|---|
| Objectif organisationnel pas important (1) | 7 % |
| 2 | 2 % |
| 3 | 3 % |
| 4 | 5 % |
| 5 | 11 % |
| 6 | 10 % |
| Objectif organisationnel très important (7) | 58 % |
La probabilité d’accorder une grande importance (notes de six à sept) est plus élevée parmi les entreprises installées en Ontario (74 %), et plus précisément dans la région du Grand Toronto (76 %), comparativement à l’Alberta (61 %). Les entreprises comptant de deux à quatre employés (59 %) étaient moins susceptibles que les entreprises à propriétaire unique (73 %) et les grandes entreprises d’accorder une importance élevée à la protection des renseignements personnels de leurs clients. Parmi les grandes entreprises, 68 % de celles qui comptent de 5 à 9 employés, 76 % de celles qui comptent de 10 à 19 employés, 71 % de celles qui comptent de 20 à 99 employés et 79 % de celles qui comptent 100 employés et plus accordaient une importance élevée à la protection des renseignements personnels des clients.
Comparativement à 2015, l’importance accordée à la protection des renseignements personnels des clients est restée pratiquement la même. Depuis 2013, l’importance n’a évolué que de trois points de pourcentage au plus et, à 67 %, demeure supérieure à la base de référence de 62 % enregistrée en 2011.
| Importance | 2011 (n=1 006) |
2013 (n=1 006) |
2015 (n=1 016) |
2017 (n=1 014) |
|---|---|---|---|---|
| Importance élevée (6-7) | 62 % | 70 % | 67 % | 68 % |
| Importance moyenne (3-5) | 26 % | 20 % | 21 % | 19 % |
| Importance faible (1-2) | 12 % | 9 % | 11 % | 9 % |
On a demandé aux représentants d’entreprise si leur entreprise avait mis en place une série de pratiques de protection des renseignements personnels. Les voici :
Trois de ces pratiques ont été mises en place par au moins la moitié des entreprises sondées. Il s’agit de la désignation d’un responsable de la protection des renseignements personnels (59 %), des procédures pour traiter les plaintes des consommateurs (51 %) et des politiques pour le personnel précisant les obligations en matière de protection des renseignements personnels (50 %). Près de la moitié (47 %) des répondants ont indiqué que leur entreprise avait mis en place des procédures pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels. Les répondants étaient moins susceptibles d’affirmer que leur entreprise fournissait régulièrement au personnel de la formation et de l’information sur la protection des renseignements personnels (37 %).
| Q6 à Q10. Base : n = 1 014; tous les répondants [Ne sait pas/Refus = 5 % ou moins] |
|
| Pratiques | 2017 (n=1 014) |
|---|---|
| Dans votre entreprise, est-ce qu’une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient? | 59 % |
| Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent leurs renseignements ont été que traités de façon inadéquate? | 51 % |
| Votre entreprise a-t-elle élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels? | 50 % |
| Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels? | 47 % |
| Votre organisation donne-t-elle régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels? | 37 % |
Les entreprises comptant 100 employés et plus et celles dont les revenus sont supérieurs à 20 millions de dollars étaient plus susceptibles d’avoir mis en place chacune de ces pratiques visant la protection des renseignements personnels. De manière générale, la probabilité de ne pas avoir mis en place de telles pratiques était plus élevée parmi les entreprises installées au Québec.
Parmi les pratiques qui ont fait l’objet d’un suivi, la proportion d’entreprises les ayant mises en œuvre a très peu changé depuis 2015. La seule augmentation notable depuis 2015, c’est la proportion d’entreprises qui fournissent régulièrement à leur personnel de la formation et de l’information sur la protection des renseignements personnels (37 % en 2017 contre 32 % en 2015).
Quand on leur a demandé si leur entreprise disposait d’une politique sur la protection des renseignements personnels qui explique aux employés comment recueillir et utiliser les renseignements personnels des clients, moins de la moitié (44 %) des répondants ont indiqué que leur entreprise en avait une. Réciproquement, 52 % ont répondu que leur entreprise n’avait pas de politique sur la protection des renseignements personnels.
Parmi les entreprises disposant d’une politique sur la protection des renseignements personnels (n = 486), plus de 9 sur 10 ont une politique qui explique en langage simple quels renseignements personnels sont recueillis (92 %) et à quelles fins (95 %). Par ailleurs, trois quarts de ces entreprises ont une politique sur la protection des renseignements personnels qui explique clairement à quelles entités les renseignements personnels recueillis seront communiqués. Parmi les entreprises disposant d’une politique sur la protection des renseignements personnels, seules 52 % expliquent le risque de préjudice en cas d’atteinte à la politique.
| Base : n = 1 014; tous les répondants | |
| Réponses | % des répondants |
|---|---|
| Ont une politique sur la protection des renseignements personnels | 44 % |
| N’ont pas de politique sur la protection des renseignements personnels | 52 % |
| Ne sait pas | 4 % |
| Base : n = 486; entreprises dotées d’une politique sur la protection des renseignements personnels | ||||
| Questions | Oui | Non | Ne s'applique pas |
|
|---|---|---|---|---|
| Quels renseignements personnels sont recueillis? | 92 % | 7 % | 1 % | |
| À quelles fins ils sont recueillis? | 95 % | 4 % | 1 % | |
| À quelles parties ils seront communiqués? | 75 % | 14 % | 10 % | |
| Risque de préjudice en cas d’atteinte à la protection des données? | 52 % | 39 % | 9 % | |
Les entreprises comptant 100 employés et plus et celles dont les revenus sont supérieurs à 20 millions de dollars étaient plus susceptibles de disposer d’une politique sur la protection des renseignements personnels qui explique comment elles recueillent et utilisent les renseignements personnels des clients (66 % et 74 %, respectivement). À l’échelle régionale, les entreprises situées en Ontario (50 %), et plus précisément dans la région du Grand Toronto (58 %), ainsi que dans les Prairies (52 %) étaient plus susceptibles que les entreprises du Québec (38 %) de disposer d’une politique sur la protection des renseignements personnels.
La présente section examine le niveau de préoccupation des répondants en ce qui concerne le traitement des atteintes à la protection des données et les plans en la matière.
Les cadres sondés étaient partagés sur la question de leur niveau de préoccupation à l’égard d’une éventuelle atteinte à la protection des données. Près du quart des répondants (23 %) ont choisi la cote la plus élevée (extrêmement préoccupé), tandis que 36 % ont indiqué ne pas être préoccupés du tout. Globalement, près de la moitié (48 %) des répondants ont exprimé un niveau de préoccupation au moins modéré (notes de trois ou plus sur une échelle de sept points), et la moitié (50 %) des répondants se sont dits peu ou pas préoccupés du tout.
Avant que cette question ne leur soit posée, les répondants ont obtenu l’information suivante :
Les atteintes à la protection des données sont causées par une activité criminelle, un vol, du piratage ou l’erreur d’un employé, comme le fait d’égarer un ordinateur portable ou un autre appareil portatif.
| Base : n = 1 014; tous les répondants [Ne sait pas/Refus = 2 %] | |
| Préoccupation | 2017 (n=1 014) |
|---|---|
| Pas du tout préoccupé (1) | 36 % |
| 2 | 14 % |
| 3 | 8 % |
| 4 | 6 % |
| 5 | 6 % |
| 6 | 5 % |
| Très préoccupé (7) | 23 % |
Les entreprises installées au Québec étaient bien plus susceptibles de répondre qu’elles sont extrêmement préoccupées (notes de six à sept) par une atteinte à la protection des données (48 % comparativement à seulement 15 % des entreprises en Alberta et à un maximum de 29 % des entreprises en Colombie-Britannique et dans la région du Grand Toronto).
Le niveau de préoccupation à l’égard d’une atteinte à la protection des données a baissé par rapport à 2015; la proportion de cadres extrêmement préoccupés (six à sept sur sept) à propos d’une telle atteinte a baissé de quatre points de pourcentage. Par ailleurs, la proportion des cadres non préoccupés par une atteinte à la protection des données a augmenté de six points de pourcentage, passant de 44 % en 2015 à 50 % en 2017.
| Préoccupation | 2011 (n=1 006) |
2013 (n=1 006) |
2015 (n=1 016) |
2017 (n=1 014) |
|---|---|---|---|---|
| Très préoccupé (6-7) | 32 % | 24 % | 32 % | 28 % |
| Quelque peu préoccupé (3-5) | 23 % | 23 % | 23 % | 20 % |
| Pas du tout préoccupé (1-2) | 43 % | 50 % | 44 % | 50 % |
Une forte minorité (40 %) des entreprises indiquent qu’elles ont des politiques ou des procédures établies à suivre dans l’éventualité d’une atteinte compromettant les renseignements personnels des clients. Inversement, 52 % des cadres ont indiqué que leur entreprise n’avait mis en place aucun protocole ou aucune procédure (8 % ne savaient pas avec certitude si leur entreprise avait des protocoles en place ou non).
| Base : n = 1 014; tous les répondants | |
| Protocoles en place | % des répondants |
|---|---|
| Ont une politique sur la protection des renseignements personnels | 40 % |
| Aucune procédure en place | 52 % |
| Ne sait pas | 8 % |
Les entreprises comptant 100 employés et plus (61 %) et celles dont les revenus sont supérieurs à 20 millions de dollars (79 %) étaient plus susceptibles d’avoir mis en place des procédures en cas d’atteinte à la protection des données. En fait, la probabilité que l’entreprise ait mis en place des procédures augmentait avec la taille de l’entreprise et ses revenus. À l’échelle régionale, les entreprises installées en Ontario (46 %), et plus précisément dans la région du Grand Toronto (54 %), étaient plus susceptibles que celles du Québec et du Canada atlantique (31 % chacune) de disposer de ces types de procédures.
La proportion d’entreprises disposant de politiques ou de procédures pour gérer les atteintes à la protection des données est restée pratiquement la même depuis 2015.
Près de 4 répondants sur 10 (38 %) ont indiqué que leur entreprise disposait de politiques ou de procédures établies pour évaluer les risques liés à la protection des renseignements personnels de leur entreprise. À l’inverse, un peu plus de la moitié (55 %) des répondants ont indiqué que leur entreprise ne disposait d’aucune politique d’évaluation établie (7 % n’étaient pas sûrs d’avoir des politiques d’évaluation des risques).
| Base : n = 1 014; tous les répondants | |
| Politiques en place | % des répondants |
|---|---|
| Politiques d’évaluation des risques en place | 38 % |
| Aucune politique d’évaluation des risques | 55 % |
| Ne sait pas | 7 % |
Dans une proportion de 66 %, les entreprises comptant plus de 100 employés sont les plus susceptibles de disposer de politiques ou de procédures établies pour évaluer les risques liés à la protection des renseignements personnels de leur entreprise. Par ailleurs, les entreprises dont les revenus sont inférieurs à 10 millions de dollars étaient plus susceptibles de ne pas avoir mis en place de politiques d’évaluation des risques (62 % pour les entreprises de moins de 1 million de dollars et 58 % pour les entreprises entre 1 et 10 millions de dollars).
La proportion d’entreprises canadiennes ayant des politiques ou procédures établies pour évaluer les risques liés à la protection des renseignements personnels n’a pas évolué depuis 2015, où 37 % des répondants indiquaient que leur entreprise avait mis en place ces mesures.
La présente section examine les constatations en ce qui a trait à la sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels. Les questions figurant dans cette section ont été précédées de la description suivante des lois canadiennes en matière de protection des renseignements personnels.
La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie¬Britannique et au Québec, le secteur privé est régi par des lois provinciales, lesquelles sont considérées comme semblables à la loi fédérale.
Lorsqu’on leur demande d’évaluer la sensibilisation de leur entreprise à ses responsabilités en vertu des lois sur la protection des renseignements personnels du Canada, une forte minorité (44 %) de répondants pensent que leur entreprise y est très sensibilisée (notes de six ou sept sur l’échelle). Parmi ces répondants, 29 % indiquent que leur entreprise est extrêmement sensibilisée. Une proportion un peu plus faible (38 %) de cadres a indiqué que leur entreprise était quelque peu sensibilisée à ses responsabilités en la matière (notes de trois à cinq). Quatorze pour cent ont indiqué que le niveau de sensibilisation de leur entreprise était faible (notes de un ou de deux).
| Base : n = 1 014; tous les répondants [Ne sait pas/Refus = 4 %] | |
| Sensibilisation | 2017 (n=1 014) |
|---|---|
| Pas du tout sensibilisée (1) | 8 % |
| 2 | 6 % |
| 3 | 9 % |
| 4 | 11 % |
| 5 | 18 % |
| 6 | 15 % |
| Très sensibilisée (7) | 29 % |
La probabilité de dire que leur entreprise est sensibilisée à ses responsabilités en vertu des lois sur la protection des renseignements personnels du Canada est plus élevée parmi les répondants des entreprises installées dans la région du Grand Toronto (51 %), comparativement à celles installées au Canada atlantique (26 %) et en Colombie-Britannique (36 %). Les entreprises comptant 100 employés et plus (64 %) et celles dont les revenus sont supérieurs à 20 millions de dollars (54 %) étaient plus susceptibles de se considérer comme très sensibilisées (notes de six à sept) à leurs responsabilités en vertu des lois sur la protection des renseignements personnels du Canada.
Comparativement à 2015, on constate une légère baisse dans la proportion des cadres qui ont évalué que le niveau de sensibilisation de leur entreprise était faible (de 17 % en 2015 à 14 % en 2017). Néanmoins, la proportion de répondants ayant déclaré que leur entreprise avait un haut niveau de sensibilisation à ses responsabilités est demeurée quasiment identique depuis 2015.
| Sensibilisation | 2011 (n=1 006) |
2013 (n=1 006) |
2015 (n=1 016) |
2017 (n=1 014) |
|---|---|---|---|---|
| Très sensibilisée (6-7) | 31 % | 45 % | 43 % | 44 % |
| Quelque peu sensibilisée (3-5) | 47 % | 42 % | 39 % | 38 % |
| Pas sensibilisée (1-2) | 19 % | 12 % | 17 % | 14 % |
Deux tiers des cadres interrogés (66 %) indiquent que leur entreprise a pris des mesures pour s’assurer de respecter les lois sur la protection des renseignements personnels du Canada. Parmi les entreprises ayant pris des mesures pour respecter les lois (n = 719), environ 9 sur 10 (89 %) n’ont pas trouvé qu’il était difficile de respecter les lois.
| Base : n = 1 014; tous les répondants | |
| Conformité | % des répondants |
|---|---|
| Ont pris des mesures | 66 % |
| N’ont pas pris de mesures | 29 % |
| Ne sait pas | 5 % |
| Base : n = 719; entreprises ayant pris des mesures [Ne sait pas/Refus = 3 %] | |
| Difficultés | 2017 (n=1 014) |
|---|---|
| Extrêmement facile (1) | 23 % |
| 2 | 10 % |
| 3 | 9 % |
| Neutre (4) | 36 % |
| 5 | 11 % |
| 6 | 4 % |
| Extrêmement difficile (7) | 4 % |
De manière générale, la probabilité de prendre des mesures augmente avec la taille de l’entreprise : de 58 % des entreprises comptant moins de cinq employés à 91 % des entreprises comptant 100 employés et plus. On constate la même tendance si l’on observe les revenus de l’entreprise : la probabilité de prendre des mesures augmente avec les revenus annuels de l’entreprise.
Les entreprises installées au Canada atlantique étaient moins susceptibles d’avoir pris des mesures pour respecter les lois sur la protection des renseignements personnels du Canada (49 % comparativement à 54 % des entreprises au Québec, 67 % des entreprises en Alberta, 68 % des entreprises en Colombie-Britannique, 71 % des entreprises en Ontario et 72 % des entreprises dans les Prairies).
Comparativement à 2015Note de bas de page 2, on constate une augmentation de la proportion des cadres qui ont indiqué que leur entreprise avait pris des mesures pour respecter les lois sur la protection des renseignements personnels du Canada (de 59 % en 2015 à 66 % en 2017).
Les entreprises individuelles et les entreprises comptant entre 5 et 9 employés étaient plus susceptibles que les entreprises de 100 employés et plus de considérer qu’il était facile de respecter les lois sur la protection des renseignements personnels du Canada (41 % et 38 % respectivement, contre 21 %).
Parmi les cadres ayant répondu avoir pris des mesures pour respecter les lois sur la protection des renseignements personnels du Canada, moins de deux sur cinq (38 %) ont dit qu’ils avaient rencontré des difficultés ce faisant. La majorité (66 %) n’a rencontré aucune difficulté. La figure 15 présente les proportions ayant mentionné chaque difficulté rencontrée.
| Base : n = 777; entreprises ayant pris des mesures pour être conformes [Ne sait pas/Refus = 9 %] | |
| Difficultés | % des répondants |
|---|---|
| Temps que le personnel doit y consacrer | 6 % |
| Manque de connaissances sur les façons de se conformer | 5 % |
| Comprendre comment les lois sur la protection des renseignements personnels s’appliquent aux situations | 4 % |
| Connaissance/renseignements fournis (général) | 4 % |
| Compréhension vague de la loi | 3 % |
| Se tenir au fait des obligations | 2 % |
| Stocker les renseignements (général) | 2 % |
| Connaissances/rester à jour | 2 % |
| Coût de la conformité (coûts non liés au personnel) | 2 % |
| Protéger la confidentialité des renseignements personnels | 2 % |
| Respect de la conformité par les employés | 2 % |
| Assurer la sécurité des renseignements | 1 % |
| Autre | 3 % |
| Rien / pas d'obstacles ni de difficultés | 66 % |
| Ne sait pas/Refus | 9 % |
La probabilité de dire que leur entreprise n’avait rencontré aucune difficulté ou aucun obstacle était supérieure parmi les répondants d’entreprises installées en Alberta (77 %) que chez les répondants d’entreprises installées en Colombie-Britannique (53 %). Les répondants des entreprises comptant moins de 20 employés étaient plus susceptibles que ceux des grandes entreprises de répondre que leur entreprise n’avait rencontré aucune difficulté.
Concernant les entreprises n’ayant pris aucune mesure pour respecter les lois sur la protection des renseignements personnels du Canada (n = 237), 57 % ont indiqué qu’elles n’avaient pas prévu rencontrer de difficulté ou d’obstacle pour respecter les lois sur la protection des renseignements personnels du Canada. Pour les autres, le manque de connaissances (13 %) à propos de la manière de respecter les lois est la difficulté la plus couramment citée. Elle est suivie par l’absence de connaissance claire des lois ou des exigences (9 %) et par le temps que le personnel doit consacrer au respect des lois (8 %).
Comme le montre la figure 16, d’autres difficultés ont été citées par 5 % des cadres d’entreprise au maximum.
| Base : n = 237; entreprises n’ayant pas pris de mesures pour être conformes [Ne sait pas/Refus = 14 %] | |
| Difficultés | % des répondants |
|---|---|
| Manque de connaissances sur les façons de se conformer | 13 % |
| Compréhension vague de la loi ou des exigences | 9 % |
| Temps que le personnel doit y consacrer | 8 % |
| Coût de la conformité (coûts non liés au personnel) | 5 % |
| Connaissance/renseignements fournis (général) | 4 % |
| Comprendre comment les lois sur la protection des renseignements personnels s’appliquent aux situations | 2 % |
| Protéger la confidentialité des renseignements personnels | 2 % |
| Se tenir au fait des obligations | 2 % |
| Connaissances/rester à jour | 1 % |
| Respect de la conformité par les employés | 1 % |
| Stocker les renseignements (général) | 0 % |
| Autre | 2 % |
| Rien / pas d'obstacles ni de difficultés | 57 % |
La présente section décrit les commentaires des cadres sur les questions liées aux communications et à la sensibilisation.
Interrogés sur l’utilité de certains outils ou ressources pour aider leur entreprise à respecter les lois sur la protection des renseignements personnels du Canada, les cadres ont jugé les renseignements sur la LPRPDE et les responsabilités connexes comme les plus utiles. À peine plus de la moitié (53 %) a indiqué que les renseignements sur la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et ses responsabilités connexes seraient une ressource utile. Moins de la moitié a jugé les autres outils ou ressources utiles : 44 % ont indiqué que les outils d’apprentissage en ligne expliquant la LPRPDE seraient utiles; 43 % ont dit la même chose à propos des outils de formation à l’attention du personnel; et 35 % ont déclaré que les outils interactifs d’évaluation des pratiques en matière de protection des renseignements personnels seraient utiles (près du quart ignorait si les outils interactifs seraient utiles ou non).
| Base : n = 1 014; tous les répondants | ||||||
| Outils/ressources | Ne sait pas | 1 - pas du tout utiles |
2 | 3 | 4 | 5 - énormément utiles |
|---|---|---|---|---|---|---|
| Renseignements sur la LPRPDE et les responsabilités connexes | 12 % | 13 % | 6 % | 16 % | 19 % | 34 % |
| Outils d’apprentissage en ligne expliquant la LPRPDE | 16 % | 17 % | 7 % | 16 % | 17 % | 27 % |
| Outils de formation pour sensibiliser le personnel | 18 % | 18 % | 7 % | 14 % | 17 % | 26 % |
| Outils interactifs pour évaluer les pratiques de protection des renseignements personnels | 24 % | 19 % | 5 % | 17 % | 15 % | 20 % |
La probabilité de considérer les outils et ressources comme étant utiles (notes de quatre à cinq sur une échelle de cinq) augmentait avec la taille de l’entreprise. Inversement, les représentants des entreprises à propriétaire unique étaient plus susceptibles de considérer les outils et ressources comme n’étant pas utiles (notes de un ou de deux) comparativement aux répondants des entreprises comptant plus d’un employé. À l’échelle régionale, les répondants des entreprises installées au Québec et en Alberta étaient généralement moins susceptibles de considérer ces outils et ressources comme étant utiles pour que leur entreprise respecte les lois sur la protection des renseignements personnels du Canada.
Quand on leur a demandé si leur entreprise avait déjà cherché des renseignements ou communiqué avec quelqu’un pour obtenir ses conseils à propos de ses responsabilités en vertu des lois sur la protection des renseignements personnels du Canada, à peine plus du quart (27 %) des répondants ont répondu par l’affirmative. À l’inverse, près des trois quarts (73 %) ont répondu que leur entreprise n’avait pas cherché de tels renseignements.
| Base : n = 1 014; tous les répondants | |
| Recherche | % des répondants |
|---|---|
| N’ont pas cherché de renseignements | 73 % |
| Ont cherché des renseignements | 27 % |
La probabilité de chercher des renseignements ou de communiquer avec quelqu’un pour obtenir ses conseils à propos des responsabilités de son entreprise en vertu des lois sur la protection des renseignements personnels du Canada augmentait avec la taille de l’entreprise, de 14 % des entreprises individuelles à 58 % des entreprises comptant 100 employés et plus.
Interrogés sur les organisations ou ressources que les entreprises utilisent pour mieux comprendre leurs responsabilités en vertu des lois sur la protection des renseignements personnels du Canada, 27 % des cadres d’entreprise ont répondu l’Internet (en général) ainsi que Google (14 %) ou des sites Web précis (5 %). Après l’Internet, 19 % consultaient (ou consulteraient) le gouvernement fédéral, 15 % un gouvernement provincial, et 14 % un avocat. D’autres sources ont été citées en de plus petites proportions, comme l’illustre la figure 19.
| Base : n = 1 014; tous les répondants [Ne sait pas/Refus = 12 %] | |
| Sources | % des répondants |
|---|---|
| Internet (général) | 27 % |
| Gouvernement (FÉDÉRAL) | 19 % |
| Gouvernement (PROVINCIAL) | 15 % |
| 14 % | |
| Avocat | 14 % |
| Experts de l’industrie, sociétés d’experts-conseils ou sources du domaine de l’éducation | 9 % |
| Expert de l’entreprise ou du siège social ou ressource interne | 9 % |
| Association industrielle | 8 % |
| Comptable | 8 % |
| Pair/collègue/associé | 6 % |
| Commissaire à la protection de la vie privée (FÉDÉRAL) | 6 % |
| Commissaire à la protection de la vie privée (PROVINCIAL) | 5 % |
| Internet (précis) | 5 % |
| Recherche personnelle (y compris lecture de la Loi) | 4 % |
| 2 % | |
| Youtube | 1 % |
| Médias sociaux | 1 % |
| 0 % | |
| 0 % | |
| Autre | 3 % |
| Aucune/ne les utilise pas | 13 % |
Les représentants des entreprises de 100 employés et plus étaient plus susceptibles de répondre que leur entreprise a recours à un avocat pour l’aider à mieux comprendre ses responsabilités en vertu des lois sur la protection des renseignements personnels (25 % contre 9 % des entreprises individuelles et 21 % des entreprises comptant entre 20 et 99 employés). De manière générale, la probabilité de ne consulter aucune ressource augmentait à mesure que la taille de l’entreprise diminuait : de 8 % des entreprises de 100 employés et plus à 28 % des entreprises individuelles.
Près de la moitié (44 %, en hausse par rapport aux 41 % de 2015) des cadres d’entreprise sondés savaient que le Commissariat dispose d’information et d’outils pour aider les entreprises à se conformer à leurs obligations en matière de protection des renseignements personnels. Inversement, 54 % ont indiqué qu’ils ne connaissaient pas les ressources du Commissariat.
| Base : n = 1 014; tous les répondants | |
| Connaissance | % des répondants |
|---|---|
| Connaissance de l’information et des outils | 44 % |
| Ignorance de l’information et des outils | 54 % |
| Ne sait pas | 2 % |
Avec une proportion de 24 %, le fait de savoir que le Commissariat dispose d’information et d’outils pour aider les entreprises à assumer leurs obligations en matière de protection des renseignements personnels était le plus faible au Québec.
Les tableaux suivants présentent les caractéristiques des répondants au sondage (en utilisant des données pondérées).
| Type de client | Pourcentage |
|---|---|
| Vend directement aux clients | 37 % |
| Vend directement à d’autres entreprises/organisations | 25 % |
| Vend directement aux clients et à d’autres entreprises/organisations | 37 % |
| Est une organisation gouvernementale | <1 % |
| Autre | 1 % |
| Région | Pourcentage |
|---|---|
| Canada atlantique | 6 % |
| Québec | 20 % |
| Manitoba et Saskatchewan | 7 % |
| Alberta | 15 % |
| Colombie-Britannique | 15 % |
| Ontario (à l’exception de la région du Grand Toronto) | 20 % |
| Région du Grand Toronto | 18 % |
| Taille de l’entreprise | Pourcentage |
|---|---|
| Travailleur autonome (1 employé) | 13 % |
| Petite entreprise (2 à 19 employés) | 73 % |
| Moyenne entreprise (20 à 99 employés) | 10 % |
| Grande entreprise (100 employés et plus) 2 % | 2 % |
| Ne sait pas/pas de réponse | 2 % |
| Langue de l’entrevue | Pourcentage |
|---|---|
| Anglais | 82 % |
| Français | 18 % |
| Revenus en 2016 | Pourcentage* |
|---|---|
| Moins de 100 000 $ | 16 % |
| 100 000 $ à moins de 250 000 $ | 15 % |
| 250 000 $ à moins de 500 000 $ | 11 % |
| 500 000 $ à moins de 1 000 000 $ | 11 % |
| 1 000 000 $ à moins de 5 000 000 $ | 17 % |
| 5 000 000 $ à moins de 10 000 000 $ | 3 % |
| 10 000 000 $ à moins de 20 000 000 $ | 1 % |
| Plus de 20 millions de dollars | 2 % |
| Ne sait pas/pas de réponse | 23 % |
* Les nombres ayant été arrondis, les sommes des pourcentages ne correspondent pas à 100 %.
Bonjour, je m’appelle [nom de l’enquêteur]. Je vous appelle au nom de Phoenix, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du commissaire à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.
Préférez-vous continuer en anglais ou en français? / Would you prefer to continue in English or French?
Pourrais-je parler à la personne au sein de votre entreprise qui connaît le mieux les types de renseignements personnels que vous recueillez au sujet de vos clients ainsi que la façon dont ces renseignements sont conservés et utilisés? Il pourrait s’agir de l’agent de la protection de la vie privée de votre entreprise, si ce poste existe.
Le sondage dure environ 10 minutes. Je tiens à signaler que vos réponses demeureront absolument confidentielles et anonymes, et que ce sondage est enregistré auprès de l'Association de la recherche et de l'intelligence marketing (ARIM).
Est-ce que je peux continuer?
SI LE RÉPONDANT DEMANDE LA DURÉE DU SONDAGE, LUI DIRE QUE CELA
SI LE RÉPONDANT DOUTE DE LA LÉGITIMITÉ DU SONDAGE, LUI OFFRIR DE LUI ENVOYER PAR TÉLÉCOPIEUR OU PAR COURRIEL LA LETTRE DU COMMISSARIAT CONFIRMANT LA LÉGITIMITÉ DU SONDAGE. SI LE RÉPONDANT DOUTE TOUJOURS, LUI DEMANDER DE COMMUNIQUER PAR TÉLÉPHONE AVEC HEATHER ORMEROD, DU COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, AU 819-994-5682 (OU DEMANDER À HEATHER DE COMMUNIQUER PAR TÉLÉPHONE AVEC LE RÉPONDANT).
SI LE RÉPONDANT LE DEMANDE, LE SONDAGE EST ENREGISTRÉ DANS LE SYSTÈME NATIONAL D’ENREGISTREMENT DES SONDAGES :
Le système d’enregistrement a été créé par l’industrie de la recherche par sondages afin de permettre au public de vérifier qu’un sondage est authentique, d’obtenir des renseignements à propos de l’industrie des sondages ou de formuler une plainte. Le numéro de téléphone sans frais du système d’enregistrement est le 1-888-602-6742, poste 8728.
CERTAINES QUESTIONS SONT DES QUESTIONS DE SUIVI UTILISÉES DANS DES SONDAGES ANTÉRIEURS. CES QUESTIONS SONT IDENTIFIÉES DE LA FAÇON SUIVANTE : T2015 = SUIVI DU SONDAGE AUPRÈS DES ENTREPRISES DE 2015.
IL NE FAUT PAS LIRE LES TITRES DE SECTION AUX RÉPONDANTS.
FLE CHOIX « NE SAIT PAS/AUCUNE RÉPONSE » DOIT ÊTRE FOURNI POUR TOUTES LES QUESTIONS.
1. Lequel des énoncés suivants décrit le mieux votre entreprise? [LIRE LA LISTE; ACCEPTER UNE SEULE RÉPONSE.] T2015
NE PAS LIRE : S’IL S’AGIT D’UN ORGANISME SANS BUT LUCRATIF OU QUE LA RÉPONSE EST NE SAIT PAS/PAS DE RÉPONSE, REMERCIER ET METTRE FIN À L’APPEL.]
*REMARQUE À L’INTENTION DE LA PERSONNE QUI PROCÈDE À L’ENTREVUE : SI L’INTERLOCUTEUR S’INTERROGE SUR L’OPTION (1) « CONSOMMATEURS », DIRE : Ce mot renvoie à une personne, pas à une entreprise ou à un organisme.
2. Environ combien d’employés travaillent pour votre entreprise au Canada? Veuillez tenir compte des employés à temps partiel en équivalents temps plein. [NE PAS LIRE LA LISTE.]
J’aimerais commencer par vous demander quels types de renseignements personnels vous conservez sur vos clients dans votre entreprise. T2015
3. Parmi les choix suivants, quels types de renseignements personnels recueillez-vous sur vos clients dans votre entreprise? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.] T2015
4. Parmi les choix suivants, de quelles manières entreposez-vous les renseignements personnels de vos clients dans votre entreprise? Les renseignements sont-ils…? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.] T2015
5. Quelles mesures prenez-vous pour protéger les renseignements personnels de vos clients? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.] T2015 : MODIFIÉ
6. Dans votre entreprise, est-ce qu’une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient? T2015
7. Votre entreprise a-t-elle élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels? T2015
8. Votre organisation donne-t-elle régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels? T2015
9. Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels? T2015
10. Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements ont été traités de façon inadéquate? T2015
11. Votre entreprise a-t-elle une politique sur la protection des renseignements personnels? T2015
DANS L’AFFIRMATIVE :
12. Votre politique sur la protection des renseignements personnels explique-t-elle en langage clair...? [LIRE LA LISTE.]
CHOIX DE RÉPONSES :
REMARQUE À L’INTENTION DE LA PERSONNE QUI PROCÈDE À L’ENTREVUE : Si l’interlocuteur répond « Oui » à la question 11, mais admet spontanément en réponse à la question 12 que son entreprise n’a pas de politique officielle sur la protection des renseignements personnels, modifier la réponse à la question 11 pour indiquer « Non ».
13. Dans quelle mesure la protection des renseignements personnels de vos clients est-elle importante pour votre entreprise? Veuillez utiliser une échelle de 1 à 7, où 1 signifie que cela n’est pas un objectif organisationnel important et 7 signifie qu’il s’agit d’un objectif très important. T2015
La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie-Britannique et au Québec, le secteur privé est régi par des lois provinciales, lesquelles sont considérées comme semblables à la loi fédérale. T2015
14. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout sensibilisée et 7 signifie très sensibilisée. T2015
15. Votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte la loi sur la protection des renseignements personnels du Canada? T2015 : MODIFIÉ
16. Dans quelle mesure a-t-il été difficile pour votre entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie extrêmement facile, 7, extrêmement difficile et 4, ni facile ni difficile. T2013
17. En ce qui concerne les mesures prises par votre entreprise pour se conformer aux lois canadiennes sur la protection des renseignements personnels, quelles difficultés a-t-elle rencontrées, le cas échéant? Y a-t-il autre chose? [NE PAS LIRE LA LISTE. POSER DES QUESTIONS POUR OBTENIR DES DÉTAILS. ACCEPTER PLUSIEURS RÉPONSES.] T2015 : MODIFIÉ
SI L’INTERLOCUTEUR A RÉPONDU « NON » À LA QUESTION 15 :
17A. Selon vous, quelles difficultés votre entreprise pourrait-elle rencontrer, le cas échéant, lorsqu’il s’agit de s’assurer qu’elle se conforme aux lois canadiennes sur la protection des renseignements personnels? [NE PAS LIRE LA LISTE. POSER DES QUESTIONS POUR OBTENIR DES DÉTAILS. ACCEPTER PLUSIEURS RÉPONSES.]
QUESTION À POSER À TOUS LES RÉPONDANTS :
17B. Dans quelle mesure les ressources et les outils qui suivent pourraient-ils aider votre entreprise à se conformer aux lois canadiennes sur la protection des renseignements personnels? Veuillez utiliser une échelle de 1 à 5, où 1 signifie pas du tout et 5, énormément. Si la situation ne s’applique pas à votre entreprise, veuillez l’indiquer.
* REMARQUE À L’INTENTION DE LA PERSONNE QUI PROCÈDE À L’ENTREVUE : SI LE RÉPONDANT POSE DES QUESTIONS AU SUJET DE LA LPRPDE, RÉPONDRE CE QUI SUIT : La LPRPDE est la loi fédérale qui établit les règles régissant la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. Elle s’applique dans la plupart des provinces.
Les atteintes à la protection des données sont causées par une activité criminelle, un vol, du piratage ou l’erreur d’un employé, comme le fait de laisser un ordinateur portable ou un autre appareil portatif à un endroit inapproprié. T2015 : MODIFIÉ
18. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout préoccupé et 7, très préoccupé. T2015
19. Est-ce que votre entreprise a adopté des protocoles ou des procédures à suivre en cas d’atteinte qui compromettrait les renseignements personnels de vos clients? T2015
20. Votre entreprise compte-t-elle sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels? Cela comprend l’évaluation des risques liés à la création ou à l’utilisation de nouvelles technologies ou de nouveaux produits ou services. T2015
21A. Votre entreprise a-t-elle déjà cherché de l’information ou communiqué avec une personne pour obtenir des avis ou des conseils au sujet des responsabilités qui lui incombent en vertu des lois canadiennes sur la protection des renseignements personnels?
21. SI L’INTERLOCUTEUR A RÉPONDU « OUI » À LA QUESTION 21A : À quelles organisations ou ressources votre entreprise a-t-elle fait appel pour mieux comprendre les responsabilités qui lui incombent en vertu des lois canadiennes sur la protection des renseignements personnels? [NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES.]
22. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels? T2015
REMARQUE À L’INTENTION DE LA PERSONNE QUI PROCÈDE À L’ENTREVUE : Si l’interlocuteur pose des questions sur le Commissariat ou la façon de communiquer avec l’organisation, lui donner l’adresse du site Web : priv.gc.ca.
Ces dernières questions n’ont qu’une visée statistique, et toutes les réponses sont confidentielles.
23. Dans quelle industrie ou dans quel secteur œuvrez-vous? Si votre entreprise œuvre dans plusieurs secteurs, veuillez indiquer le secteur principal. [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE.]
24. Quel est votre poste dans l’organisation? [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE.]
25. Quelle catégorie correspond aux revenus de votre entreprise en 2016? [LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE.]
Cela met fin au sondage.
Cela met fin au sondage. Merci de votre temps et de vos commentaires; votre participation est très appréciée.
Ensemble complet de données totalisées (sous pli séparé)