Préparé pour le Commissariat à la protection de la vie privée du Canada
Nom du fournisseur : Phoenix SPI
Numéro de contrat : 2R008-190099-001_CY
Valeur du contrat : 74 242,36 $ (TVH comprise)
Date d’attribution : 30 juillet 2019
Date de livraison : 31 janvier 2020
Numéro d’enregistrement : POR 037-19
Préparé pour le Commissariat à la protection de la vie privée du Canada
Janvier 2020
Le présent rapport de recherche sur l’opinion publique présente les résultats d’un sondage téléphonique mené par Phoenix SPI pour le compte du Commissariat à la protection de la vie privée du Canada. Le sondage a été mené auprès de 1 003 entreprises canadiennes, du 29 novembre au 19 décembre 2019.
La présente publication peut être reproduite à des fins non commerciales seulement. Il faut avoir obtenu au préalable l’autorisation écrite du Commissariat à la protection de la vie privée du Canada. Pour obtenir des renseignements supplémentaires sur le présent rapport, veuillez communiquer avec le Commissariat à la protection de la vie privée du Canada par courriel à l’adresse suivante : publications@priv.gc.ca, ou par la poste à l’adresse suivante :
Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec)
K1A 1H3
But et objectifs de la recherche
1. Utilisation et stockage des renseignements sur les clients
2. Pratiques de l’entreprise en matière de protection des renseignements personnels
3. Gestion des risques liés à la protection des renseignements personnels
2. Énoncé de neutralité politique
Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a retenu les services de Phoenix Strategic Perspectives (Phoenix SPI) afin de réaliser une étude quantitative auprès des entreprises canadiennes sur les enjeux liés à la protection des renseignements personnels.
Pour répondre à ses besoins en matière de renseignements, le Commissariat réalise tous les deux ans des sondages auprès des entreprises afin d’éclairer et d’orienter les efforts de sensibilisation. La présente recherche visait à recueillir des données sur le type de politiques et de pratiques de protection des renseignements personnels mises en œuvre par les entreprises, sur le respect de la loi par les entreprises, ainsi que sur la sensibilisation et les approches des entreprises en matière de protection des renseignements personnels. On utilisera les conclusions pour aider le Commissariat à fournir des conseils aux personnes et aux organisations sur les enjeux liés à la protection des renseignements personnels, et à renforcer ses efforts de sensibilisation auprès des petites entreprises, ce qui peut être un moyen efficace d’apporter des changements positifs en matière de protection des renseignements personnels.
Un sondage téléphonique de 13 minutes a été réalisé auprès de 1 003 entreprises d’un bout à l’autre du Canada, du 29 novembre au 19 décembre 2019. Les répondants ciblés étaient des décideurs de haut niveau ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes. Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage : petite (de 1 à 19 employés); moyenne (de 20 à 99 employés) et grande (100 employés et plus). Les résultats ont été pondérés selon la taille, le secteur et la région au moyen des données de Statistique Canada afin de veiller à ce qu’elles reflètent la distribution réelle des entreprises au Canada. Compte tenu de la taille de l’échantillon, les résultats sont fiables à plus ou moins 3,1 %, 19 fois sur 20.
Le Commissariat à la protection de la vie privée du Canada a chargé Phoenix Strategic Perspectives (Phoenix SPI) de mener une recherche sur l’opinion publique auprès d’entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels.
À titre de défenseur des droits des Canadiens en matière de protection de la vie privée, le commissaire à la protection de la vie privée est autorisé à enquêter sur les plaintes, à mener des vérifications en vertu de deux lois fédérales, à publier de l’information sur les pratiques de traitement des renseignements personnels dans le secteur public et privé et à mener des recherches sur les enjeux liés à la protection des renseignements personnels. Mandaté par le Parlement pour agir à titre d’ombudsman et de gardien de la vie privée au Canada, le Commissariat est chargé de faire respecter la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui s’applique aux activités commerciales dans les provinces de l’Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Le Québec, l’Alberta et la Colombie-Britannique possèdent leur propre loi sur la protection des renseignements personnels applicable au secteur privé. Toutefois, même dans ces provinces, la LPRPDE vise les entreprises du secteur privé sous réglementation fédérale ainsi que les renseignements personnels obtenus dans le cadre d’activités interprovinciales et internationales.
Un sondage téléphonique a été réalisé auprès de 1 003 entreprises d’un bout à l’autre du Canada. Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage. Elemental Data Collection Inc. (EDCI) s’est chargé de la réalisation des entrevues pour le compte de Phoenix SPI, au moyen de la technologie d’entrevues téléphoniques assistées par ordinateur (ETAO). Les résultats ont été pondérés selon la taille, le secteur et la région au moyen des données de Statistique Canada afin de veiller à ce qu’elles reflètent la distribution réelle des entreprises au Canada. Compte tenu de la taille de l’échantillon, les résultats sont fiables à plus ou moins 3,1 %, 19 fois sur 20.
Les caractéristiques techniques du sondage sont présentées ciaprès.
Le tableau ci-après présente des renseignements au sujet de la répartition finale des appels dans le cadre de la réalisation du sondage, ainsi que les taux de réponse connexes.Note de bas de page 1
Total | |
---|---|
Nombre total de tentatives d’appel | 10 047 |
Répondants non admissibles – non valides | 1 288 |
Non résolu (NR) | 3 974 |
Aucune réponse/répondeur | 3 974 |
Répondants potentiels – unités non répondantes (UNR) | 3 756 |
Barrière linguistique | 47 |
Incapable de répondre au questionnaire (maladie/décès) | 138 |
Rappel (répondant non disponible) | 1 717 |
Refus | 1 744 |
Terminaison | 110 |
Répondants potentiels – unités répondantes (UR) | 1 029 |
Entrevues effectuées | 1 003 |
Non admissible (à but non lucratif) | 26 |
Taux de réponse | 11,8 % |
La présente section traite de la manière dont les entreprises canadiennes utilisent et entreposent les renseignements personnels qu’elles recueillent auprès de leurs clients.
Près des deux tiers des entreprises (63 %) utilisent les renseignements qu’elles recueillent sur leurs clients pour fournir des services. Un peu moins d’un tiers (30 %) des entreprises utilisent ces renseignements pour établir des profils afin de personnaliser les services offerts à leurs clients. Dix pour cent des entreprises ou moins utilisent ces renseignements à d’autres fins : marketing (10 %), comptabilité et facturation (7 %) et communication avec les clients (3 %).
Réponses | 2019 | 2013 |
---|---|---|
Fournir des services | 63 % | 68 % |
Établir le profil des clients | 30 % | 31 % |
Marketing | 10 % | 17 % |
À des fins de comptabilité ou de facturation | 7 % | 14 % |
À des fins de communication | 3 % | 3 % |
Autres motifs | 2 % | 5 % |
Ne sait pas | 11 % | 8 % |
Base en 2019 : n = 1 003, tous les répondants. |
Cette question a déjà été posée aux entreprises canadiennes en 2013. Comme en 2013, la prestation de services et l’établissement du profil des clients ont été les utilisations des renseignements personnels sur les clients les plus fréquemment mentionnées.
Plus de 4 représentants d’entreprises sur 10 (45 %) affirment que leur entreprise indique clairement aux clients si la collecte, l’utilisation ou la communication des renseignements constituent une condition de service. En revanche, 40 % disent que leur entreprise ne le fait pas, tandis que les autres estiment que cela ne s’applique pas à leur entreprise (9 %) ou ne savent pas si leur entreprise dispose d’une pratique de cette nature (7 %).
Réponses | % des répondants |
---|---|
Oui, on indique clairement s'il s'agit d'une condition de service | 45 % |
Non, on n'indique pas clairement s'il s'agit d'une condition de service | 40 % |
Ne sait pas/refus | 16 % |
Base : n = 1 003, tous les répondants [NSP/PR : 7 %] |
Les entreprises de l’Ontario (51 %) sont plus susceptibles que celles des Prairies (27 %) d’indiquer clairement aux clients si la collecte, l’utilisation ou la communication des renseignements est une condition de service. En outre, les travailleurs indépendants (33 %) sont moins susceptibles que les moyennes (53 %) et grandes (48 %) entreprises d’expliciter ce fait aux clients.
Quoique les entreprises canadiennes utilisent diverses méthodes d’enreposage des renseignements personnels de leurs clients, l’entreposage des renseignements sur place, par voie électronique, est de loin la méthode la plus courante. La grande majorité des représentants d’entreprises (72 %) indiquent que leur entreprise conserve sur place, par voie électronique, des renseignements sur leurs clients. Ensuite, environ la moitié (49 %) des personnes interrogées indiquent que leur entreprise conserve sur place, en format papier, les renseignements personnels de ses clients, et une sur quatre (25 %) conserve des renseignements chez un tiers par voie électronique.
Réponses | 2019 | 2017 |
---|---|---|
Entreposés sur place en format électronique | 72 % | 73 % |
Entreposés sur place en format papier | 49 % | 56 % |
Entreposés chez un tiers en format électronique | 21 % | 18 % |
Base en 2019 : n = 1 003, tous les répondants. [NSP/PR = 1 %] |
Les entreprises situées au Québec (78 %) sont plus susceptibles d’entreposer les renseignements personnels des clients sur place, en format électronique, que les entreprises situées en Ontario, y compris celles qui sont précisément situées dans la région du Grand Toronto (RGT) [67 % et 65 % respectivement, qui disent entreposer les renseignements sur les clients sur place, par voie électronique]. La probabilité d’entreposer les renseignements sur les clients sur place, par voie électronique, augmente en général avec la taille de l’entreprise : de 64 % des travailleurs autonomes à 81 % des grandes entreprises (c.-à-d. entreprises comptant 100 employés et plus).
Par rapport à 2017, les entreprises sont moins nombreuses à entreposer sur place, en format papier, les renseignements sur les clients. En 2017, 56 % des entreprises interrogées entreposaient des renseignements sur place, en format papier; en 2019, 49 % des entreprises conservent des renseignements de cette manière. Le recours à la conservation électronique, que ce soit sur place ou auprès d’un tiers, n’a pas changé de façon marquée.
La présente section expose les procédures et les politiques que les entreprises ont établies pour protéger les renseignements personnels qu’elles recueillent sur leurs clients.
Avant d’examiner les pratiques des entreprises en matière de protection des renseignements personnels, on a demandé aux représentants d’entreprises quelle importance leur entreprise accorde à la protection des renseignements personnels de ses clients. La plupart des entreprises canadiennes accordent une grande importance à la protection des renseignements personnels de leurs clients. Quatre représentants d’entreprises sur cinq déclarent que leur entreprise accorde une importance élevée à la protection des renseignements personnels des clients (notes de 6 et 7), 69 % d’entre eux affirmant qu’il s’agit d’un objectif organisationnel extrêmement important. À l’autre extrémité du spectre, très peu d’entreprises (5 %) ont indiqué clairement que la protection des renseignements personnels des clients n’est pas un objectif organisationnel important.
Importance | 2019 (n=1 003) |
---|---|
Objectif organisationnel très important (7) | 69 % |
6 | 12 % |
5 | 7 % |
4 | 4 % |
3 | 1 % |
2 | 1 % |
N'est pas un objectif important (1) | 5 % |
Base : n = 1 003, tous les répondants. [NSP/PR = 1 %]. |
Les entreprises qui ne vendent qu’aux consommateurs (77 %) sont nettement plus susceptibles d’accorder une importance extrêmement élevée à la protection des renseignements personnels de leurs clients que les entreprises qui vendent à d’autres entreprises (63 %) ou à la fois aux entreprises et aux consommateurs (66 %). La probabilité d’accorder une importance extrêmement élevée à cet objectif organisationnel était la plus élevée parmi les grandes entreprises (83 % par rapport à 62 % à 74 % pour les petites et moyennes entreprises).
Au fil du temps, l’importance que les entreprises accordent à la protection des renseignements personnels de leurs clients a considérablement augmenté, passant de 62 % en 2011 à 81 % en 2019.
Degré d’importance | 2011 (n=1 006) |
2013 (n=1 006) |
2015 (n=1 016) |
2017 (n=1 014) |
2019 (n=1 003) |
---|---|---|---|---|---|
Haute importance (6 et 7) | 62 % | 70 % | 67 % | 68 % | 81 % |
Importance modérée (3 à 5) | 26 % | 20 % | 21 % | 19 % | 12 % |
Faible importance (1 et 2) | 12 % | 9 % | 11 % | 9 % | 6 % |
Environ deux tiers des représentants d’entreprises (65 %) indiquent que leur entreprise dispose d’une politique sur la protection des renseignements personnels. À l’inverse, 32 % des entreprises canadiennes ne disposent pas d’une politique sur la protection des renseignements personnels (les autres – 3 % – ne savent pas si leur entreprise dispose d’une politique de cette nature).
Réponses | % des répondants |
---|---|
Oui, mon entreprise a une politique | 65 % |
Non, mon entreprise n'a pas de politique | 32 % |
Ne sait pas/refus | 3 % |
Base : n = 1 003, tous les répondants. |
Les répondants se déclarant travailleurs autonomes (44 %) sont les moins susceptibles de disposer d’une politique sur la protection des renseignements personnels, et les entreprises employant 100 personnes ou plus (83 %) sont les plus susceptibles de disposer d’une politique de cette nature. En outre, les entreprises situées au Québec (48 %) sont moins susceptibles que celles situées en Ontario (75 %; 73 % dans la région du Grand Toronto), en Colombie-Britannique (71 %) et en Alberta (64 %) de disposer d’une politique de cette nature.
Parmi les entreprises qui disposent d’une politique sur la protection des renseignements personnels (n = 717), beaucoup d’entre elles disposent d’une politique qui explique en langage clair la manière dont leur entreprise collecte, utilise et communique les renseignements sur les clients (84 %), l’objectif de la collecte des renseignements personnels des clients (82 %), et la nature des renseignements personnels recueillis (80 %). Par ailleurs, 7 de ces entreprises sur 10 disposent d’une politique sur la protection des renseignements personnels qui explique clairement à quelles parties les renseignements personnels recueillis seront communiqués (70 %). Parmi les entreprises disposant d’une politique sur la protection des renseignements personnels, seuls 52 % indiquent que leur entreprise explique le risque de préjudice en cas d’atteinte à la protection des renseignements personnels.
Questions | 2019 | 2017 |
---|---|---|
la façon dont votre entreprise recueille, utilise et communique les renseignements personnels de ses clients? | 84 % | N/D |
les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés ou communiqués? | 82 % | 95 % |
les renseignements personnels que votre entreprise recueille auprès de ses clients? | 80 % | 92 % |
les parties avec lesquelles les renseignements personnels des clients seront partagés? | 70 % | 75 % |
le risque de préjudice en cas d'atteinte? | 52 % | 52 % |
Base : n = 717, entreprises disposant d’une politique sur la protection de la vie privée. |
Par rapport à 2017, moins d’entreprises déclarent que leur politique sur la protection des renseignements personnels explique en langage clair les fins de la collecte, de l’utilisation et de la communication de leurs renseignements personnels (82 % par rapport à 95 % en 2017), la nature des renseignements personnels recueillis (80 % par rapport à 92 %) et à quelles parties leurs renseignements seront communiqués (70 % par rapport à 75 %).
Environ un tiers (36 %) des entreprises qui ont une politique sur la protection des renseignements personnels informent leurs clients lorsqu’elles apportent des modifications à cette politique. Exactement la moitié (50 %) ne le font pas. Les autres – 14 % – ne savent pas si leur entreprise informe leurs clients à ce sujet ou estiment que cela ne s’applique pas à leur entreprise.
Réponses | % des répondants |
---|---|
Oui, mon entreprise avise ses clients quand elle modifie sa politique | 36 % |
Non, mon entreprise n'avise pas ses clients quand elle modifie sa politique | 50 % |
Ne sait pas/refus | 14 % |
Base : n = 717, entreprises disposant d’une politique sur la protection des renseignements personnels. [NSP/PR : 7 %] |
Environ la moitié (51 %) des entreprises interrogées font en sorte que les clients ont facilement accès à l’information sur la protection des renseignements personnels et environ un tiers (34 %) déclarent obtenir le consentement des clients lorsqu’elles modifient les pratiques de leur entreprise en matière de protection des renseignements personnels.
Questions | Oui | Non | Ne s’applique pas / pas de réponse |
---|---|---|---|
Obtenir le consentement des clients quand elle modifie sa politique de protection de la vie privée | 34 % | 52 % | 14 % |
Faire en sorte que vos clients aient facilement accès à l'information sur la protection des renseignements personnels | 51 % | 38 % | 11 % |
Base: n=1,003; all respondents. [DK/NR: 4%] |
Les répondants qui se déclarent travailleurs autonomes (entreprises comptant un employé) sont beaucoup plus susceptibles que les grandes entreprises de dire qu’elles n’obtiennent pas le consentement des clients lorsqu’elles apportent des modifications aux pratiques en matière de protection des renseignements personnels de la entreprise et qu’elles ne font pas en sorte que les clients ont facilement accès à l’information sur la protection des renseignements personnels.
On a demandé aux représentants si leur entreprise avait mis en place une série de pratiques de protection des renseignements personnels. Notamment :
Au moins la moitié des entreprises canadiennes interrogées ont mis en œuvre les pratiques de conformité suivantes en matière de protection des renseignements personnels : désigner un responsable de la protection des renseignements personnels (62 %); disposer de procédures pour répondre aux demandes d’accès des clients à leurs renseignements personnels (60 %); disposer de procédures pour traiter les plaintes des clients concernant le traitement de leurs renseignements personnels (58 %); et disposer de politiques internes à l’intention du personnel sur les obligations en matière de protection des renseignements personnels (55 %). Environ quatre répondants sur dix (39 %) indiquent que leur entreprise offre à son personnel une formation périodique sur la protection des renseignements personnels.
Questions | % des répondants |
---|---|
Dans votre entreprise, est-ce qu'une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient? | 62 % |
Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l'accès à leurs renseignements personnels? | 60 % |
Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate? | 58 % |
Votre entreprise a-t-elle élaboré et documenté des politiques internes à l'intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels? | 55 % |
Votre organisation donne-t-elle régulièrement au personnel une formation et de l'information sur la protection des renseignements personnels? | 39 % |
Base : n = 1 003, tous les répondants [NSP/PR = 3 % à 6 %] |
Les entreprises situées au Québec sont généralement moins susceptibles d’avoir mis en œuvre ces pratiques de conformité en matière de protection des renseignements personnels. En outre, la probabilité d’avoir mis en œuvre ces pratiques augmentait en fonction de la taille de l’entreprise et était la plus élevée parmi les grandes entreprises.
Pour l’ensemble des mesures, la conformité a connu une amélioration au fil du temps.
Questions | 2019 | 2017 | 2015 | 2013 | 2011 |
---|---|---|---|---|---|
Dans votre entreprise, est-ce qu'une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient? | 62 % | 59 % | 57 % | 58 % | 57 % |
Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l'accès à leurs renseignements personnels? | 60 % | 47 % | N/D | N/D | N/D |
Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate? | 58 % | 51 % | 50 % | 51 % | 48 % |
Votre entreprise a-t-elle élaboré et documenté des politiques internes à l'intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels? | 55 % | 50 % | 50 % | 51 % | N/D |
Votre organisation donne-t-elle régulièrement au personnel une formation et de l'information sur la protection des renseignements personnels? | 39 % | 37 % | 32 % | 34 % | N/D |
Base : n = 1 003, tous les répondants [NSP/PR = 3 % à 6 %] |
La présente section examine la manière dont les entreprises canadiennes gèrent les risques d’atteinte à la vie privée, y compris les atteintes à la sécurité des renseignements personnels.
Un peu moins de deux répondants sur cinq (38 %) indiquent que leur entreprise dispose de politiques ou de procédures établies pour évaluer les risques liés à la protection des renseignements personnels pour leur entreprise. Environ la moitié (51 %) ne disposent pas de politiques ni de procédures de cette nature. Les autres (11 %) ne savent pas si leur entreprise dispose de politiques ou de procédures pour évaluer les risques liés à la protection des renseignements personnels.
Réponses | % des répondants |
---|---|
Oui, mon entreprise a une politique d'évaluation des risques | 38 % |
Non, mon entreprise n'a pas de politique d'évaluation des risques | 51 % |
Ne sait pas/refus | 11 % |
Base : n = 1 003, tous les répondants. |
La probabilité de disposer de politiques ou de procédures pour évaluer les risques liés à la protection des renseignements personnels augmente en fonction de la taille de l’entreprise et est la plus élevée dans les grandes entreprises.
Depuis 2013, date à laquelle le suivi de cette mesure a commencé, le nombre d’entreprises qui ont mis en œuvre des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels a augmenté de 10 points de pourcentage. Alors que 28 % des entreprises interrogées en 2013 avaient mis en place des politiques et des procédures pour évaluer les risques liés à la protection des renseignements personnels, cette proportion est passée à 37 % en 2017, et demeure pratiquement inchangée, à 38 %, en 2019.
La plupart des représentants d’entreprises (95 %) indiquent que leur entreprise n’a pas connu d’atteinte ayant compromis les renseignements personnels de leurs clients. Conformément aux données précédentes, très peu (4 %) disent que leur entreprise a connu une atteinte à la vie privéeNote de bas de page 2.
Réponses | % des répondants |
---|---|
Oui, mon entreprise a connu une atteinte ayant compromis les renseignements personnels | 4 % |
Non, mon entreprise n'a pas connu d'atteinte ayant compromis les renseignements personnels | 95 % |
Base : n = 1 003, tous les répondants. [NSP/PR = 1 %] |
Plus la taille de l’entreprise est petite, plus il est probable que l’entreprise n’ait pas connu d’atteinte à la vie privée.
Parmi les entreprises qui ont connu une atteinte à la vie privée (n = 38), près de la moitié ont informé les personnes concernées par cette atteinte. Ensuite, les entreprises déclarent avoir réagi à l’atteinte en suivant les procédures appropriées ou en mettant en place un système de sécurité ou en améliorant les systèmes de sécurité existants.
On a invité les représentants d’entreprises à évaluer leur degré de préoccupation relative aux atteintes à la protection des données, lorsque les renseignements personnels de leurs clients sont compromis. Trois représentants d’entreprises sur 10 (30 %) se disent extrêmement préoccupés par l’atteinte à la protection des données, alors qu’exactement un tiers (33 %) ne sont pas du tout préoccupés par l’atteinte à la protection des données.
Avant de poser cette question aux répondants, on leur a fourni les renseignements suivants :
Les atteintes à la protection des données peuvent être causées par des activités criminelles, un vol, le piratage ou une erreur d’un employé, comme la perte d’un ordinateur portable ou d’un autre dispositif.
Degré de préoccupation | % des répondants |
---|---|
Extrêmement préoccupé (7) | 30 % |
6 | 7 % |
5 | 7 % |
4 | 7 % |
3 | 5 % |
2 | 10 % |
Pas du tout préoccupé (1) | 33 % |
Base : n = 1 003; tous les répondants; [NSP/PR = 1 %]. |
Comme 45 % des représentants d’entreprises situées au Québec ont choisi la note la plus élevée de 7 sur l’échelle, les entreprises situées au Québec sont les plus susceptibles d’être extrêmement préoccupées par les atteintes à la protection des données.
Les inquiétudes marquées concernant les atteintes à la sécurité des renseignements personnels ont fluctué au fil du temps, passant d’un minimum de 24 % en 2013 à un maximum de 37 %, cette année.
Degré de préoccupation | 2011 (n=1 006) |
2013 (n=1 006) |
2015 (n=1 016) |
2017 (n=1 014) |
2019 (n=1 003) |
---|---|---|---|---|---|
Extrêmement préoccupé (6 et 7) | 32 % | 24 % | 32 % | 28 % | 37 % |
Un peu préoccupé (3 à 5) | 23 % | 23 % | 23 % | 20 % | 19 % |
Pas du tout préoccupé (1 et 2) | 43 % | 50 % | 44 % | 50 % | 43 % |
Base : n = 1 003; tous les répondants; [NSP/PR = 1 %]. |
La présente section examine les constatations de l’étude en ce qui a trait à la sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels. Les questions figurant dans cette section ont été précédées de la description suivante des lois canadiennes régissant la protection des renseignements personnels.
La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques ou LPRPDE, établit les règles qui régissent la façon dont les entreprises exerçant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en ColombieBritannique et au Québec, le secteur privé est régi par des lois provinciales, lesquelles sont considérées comme semblables à la loi fédérale.
Plus de la moitié des représentants d’entreprises pensent que leur entreprise est très consciente des responsabilités qui lui incombent en vertu des lois canadiennes régissant la protection des renseignements personnels (notes de 6 ou 7), dont 40 % qui disent que leur entreprise est extrêmement consciente de ces responsabilités. Un tiers (33 %) d’entre eux disent que leur entreprise est quelque peu sensibilisée à ses responsabilités en matière protection des renseignements personnels (notes de 3 à 5). Peu d’entre eux (9 %) disent que la sensibilisation de leur entreprise à cet égard est faible (notes de 1 ou 2).
Degré de sensibilisation | % des répondants |
---|---|
Très sensibilisée (7) | 40 % |
6 | 17 % |
5 | 19 % |
4 | 9 % |
3 | 5 % |
2 | 2 % |
Pas du tout sensibilisée (1) | 7 % |
Base : n = 1 003; tous les répondants; [NSP/PR = 1 %]. |
Les entreprises situées au Québec (50 %) et en Ontario (43 %) sont plus susceptibles que les entreprises des Prairies (23 %) et de la Colombie-Britannique (30 %) d’être extrêmement conscientes de leurs responsabilités en vertu des lois canadiennes régissant la protection des renseignements personnels.
La proportion de représentants d’entreprises qui déclarent que leur entreprise est très consciente de ses responsabilités en vertu des lois canadiennes régissant la protection des renseignements personnels a considérablement augmenté cette année, passant de 44 % en 2017 à 57 % en 2019.
Degré de sensibilisation | 2011 (n=1 006) |
2013 (n=1 016) |
2015 (n=1 016) |
2017 (n=1 014) |
2019 (n=1 003) |
---|---|---|---|---|---|
Très sensibilisée (6 et 7) | 31 % | 45 % | 43 % | 44 % | 57 % |
Modérément sensibilisée (3 à 5) | 47 % | 42 % | 39 % | 38 % | 33 % |
Pas du tout sensibilisée (1 et 2) | 19 % | 12 % | 17 % | 14 % | 9 % |
Base : n = 1 003; tous les répondants; [NSP/PR = 1 %]. |
Plus des trois quarts des représentants d’entreprises (77 %) indiquent que leur entreprise a pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels. Cela représente une augmentation marquée depuis 2017, date à laquelle 66 % des entreprises avaient pris des mesures pour veiller à la conformité.
Réponses | % des répondants |
---|---|
Oui, mon entreprise a pris des mesures pour assurer la conformité | 77 % |
Non, mon entreprise n'a pas pris des mesures pour assurer la conformité | 16 % |
Ne sait pas/refus | 7 % |
Base : n = 1 003; tous les répondants. |
Les entreprises de l’Alberta (86 %) et de l’Ontario (84 %) étaient plus susceptibles que celles des Prairies (64 %) et du Québec (68 %) d’avoir pris des mesures pour veiller à la conformité. En outre, les répondants qui se déclarent travailleurs autonomes sont plus susceptibles de ne pas avoir pris de mesures pour veiller à ce que leur entreprise respecte les lois canadiennes régissant la protection des renseignements personnels.
Environ 9 entreprises sur 10 (92 %) ayant pris des mesures pour se conformer aux lois canadiennes régissant la protection des renseignements personnels (n = 797) n’ont pas eu de mal à rendre conformes leurs pratiques de traitement des renseignements personnels.
Degré de difficulté | % des répondants |
---|---|
Extrêmement difficile (7) | 3 % |
6 | 3 % |
5 | 10 % |
4 | 38 % |
3 | 7 % |
2 | 10 % |
Extrêmement facile (1) | 27 % |
Base : n = 797; entreprises ayant pris des mesures pour veiller à la conformité. [NSP/PR = 3 %]. |
La proportion d’entreprises qui trouvent très facile de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels n’a cessé de croitre au fil du temps, passant de 28 % en 2011 à 37 % cette année.
Degré de difficulté | 2011 (n=1 006) |
2013 (n=1 006) |
2017 (n=719) |
2019 (n=719) |
---|---|---|---|---|
Extrêmement facile (1 et 2) | 28 % | 31 % | 33 % | 37 % |
Modérément facile (3 à 5) | 61 % | 56 % | 56 % | 55 % |
Extrêmement difficile (6 et 7) | 4 % | 6 % | 8 % | 6 % |
En 2015, la question n’était pas la même. Les données de 2015 sont exclues de ces graphiques. Base : n = 797; entreprises ayant pris des mesures pour veiller à la conformité. [NSP/PR = 3 %]. |
Un peu plus d’un tiers (36 %) des entreprises savent que le Commissariat dispose de renseignements et d’outils pour les aider à respecter leurs obligations en matière de protection des renseignements personnels. À l’inverse, près des deux tiers (63 %) disent ne pas connaître les ressources que le Commissariat fournit aux entreprises. La connaissance des ressources que le Commissariat fournit aux entreprises a diminué cette année par rapport au sommet de 44 % enregistré en 2017.
Réponses | % des répondants |
---|---|
Oui, je connais les renseignements et les outils du Commissariat | 36 % |
Non, je ne connais pas les renseignements et les outils du Commissariat | 63 % |
Base : n = 1 003; tous les répondants. [NSP/PR : 1 %]. |
Les entreprises situées au Québec (25 %) sont moins susceptibles que celles du Canada atlantique (50 %) ou de l’Ontario (43 %) de savoir que le Commissariat à la protection de la vie privée du Canada met à la disposition des entreprises des renseignements et des outils pour les aider à respecter leurs obligations en matière de protection des renseignements personnels. La probabilité de connaître ces ressources était plus élevée dans les moyennes (48 %) et grandes (49 %) entreprises que dans les petites.
Les tableaux suivants présentent les caractéristiques des entreprises canadiennes figurant dans l’échantillon du sondage (au moyen des données pondérées).
Type de client | Pourcentage |
---|---|
Vend directement aux clients | 32 % |
Vend directement à d’autres entreprises/organisations | 26 % |
Vend directement aux clients et à d’autres entreprises/organisations | 41 % |
Autre | <1 % |
Région | Pourcentage |
---|---|
Canada atlantique | 6 % |
Québec | 21 % |
Manitoba et Saskatchewan | 7 % |
Alberta | 16 % |
Colombie-Britannique | 14 % |
Ontario (à l’exception de la région du Grand Toronto) | 16 % |
Région du Grand Toronto | 21 % |
Taille de l’entreprise | Pourcentage |
---|---|
1 employé (travailleur autonome) | 15 % |
De 2 à 4 employés | 24 % |
De 5 à 9 employés | 22 % |
De 10 à 19 employés | 25 % |
De 20 à 99 employés | 10 % |
100 employés et plus | 4 % |
Ne sait pas/Refus | 2 % |
Revenus | Pourcentage |
---|---|
Moins de 100 000 $ | 15 % |
100 000 $ à moins de 250 000 $ | 9 % |
250 000 $ à moins de 500 000 $ | 10 % |
500 000 $ à moins de 1 000 000 $ | 10 % |
1 000 000 $ à moins de 5 000 000 $ | 18 % |
5 000 000 $ à moins de 10 000 000 $ | 4 % |
10 000 000 $ à moins de 20 000 000 $ | 2 % |
Plus de 20 millions de dollars | 1 % |
Ne sait pas/Refus | 31 % |
Bonjour, je m’appelle [nom de l’intervieweur]. Préférez-vous continuer en anglais ou en français? / Would you prefer to continue in English or French?
Je vous appelle au nom de Phoenix SPI, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du commissaire à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.
Pourrais-je parler à la personne au sein de votre entreprise qui connaît le mieux les types de renseignements personnels que vous recueillez au sujet de vos clients ainsi que la façon dont ces renseignements sont conservés et utilisés? Il pourrait s’agir du chef de la protection des renseignements personnels de votre entreprise, si ce poste existe.
Le sondage ne devrait pas durer plus de 15 minutes. Votre participation est volontaire et vos réponses demeureront absolument confidentielles et anonymes.
Est-ce que je peux continuer?
1. Lequel des énoncés suivants décrit le mieux votre entreprise? [LIRE LA LISTE; ACCEPTER UNE SEULE RÉPONSE]
* REMARQUE À L’INTENTION DE L’INTERVIEWEUR : SI L’INTERLOCUTEUR S’INTERROGE SUR L’OPTION (1) « CONSOMMATEURS », DIRE : Cela fait référence à une personne, pas à une entreprise ou à un organisme.
2. Environ combien d’employés travaillent pour votre entreprise au Canada? Veuillez tenir compte des employés à temps partiel comme des équivalents temps plein. [NE PAS LIRE LA LISTE]
J’aimerais commencer par vous demander quels types de renseignements personnels vous conservez sur vos clients dans votre entreprise.
REMARQUE À L’INTENTION DE L’INTERVIEWEUR : Si on demande de définir « renseignements personnels », dire : « Par renseignements personnels, on entend le nom, l’adresse de courriel, les opinions et l’historique d’achats d’un client, ou ses renseignements financiers comme un numéro de carte de crédit. »
3. Que fait votre entreprise des renseignements personnels qu’elle recueille concernant ses clients? Les utilisez-vous pour…? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES] S2013
* SI ON DEMANDE DE DÉFINIR CE QU’ON ENTEND PAR « UTILISER DES RENSEIGNEMENTS PERSONNELS POU FOURNIR DES SERVICES », DIRE : Par exemple, recueillir le numéro de carte de crédit d’un client pour effectuer un achat, ou recueillir une adresse de courriel pour envoyer une facture.
4. Parmi les choix suivants, de quelle manière entreposez-vous les renseignements personnels de vos clients dans votre entreprise? Les renseignements sont-ils…? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES] S2017 MODIFIÉ
[DÉCLARATION SPONTANÉE] L’entreprise de recueille pas de renseignements personnels concernant ses clients.
[REMERCIER ET METTRE FIN À L’ENTRETIEN SI L’ENTREPRISE NE RECUEILLE PAS DE RENSEIGNEMENTS PERSONNELS]
5. Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise? Veuillez utiliser une échelle de 1 à 7, où 1 signifie que cela n’est pas un objectif organisationnel important et 7 signifie qu’il s’agit d’un objectif très important. S2017
La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie-Britannique et au Québec, le secteur privé est régi par des lois provinciales, lesquelles sont considérées comme semblables à la loi fédérale. S2017
6. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout sensibilisée et 7 signifie très sensibilisée. S2017
7. Votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte la loi sur la protection des renseignements personnels du Canada? S2017
[SI Q7 = « OUI »]
8. Dans quelle mesure a-t-il été difficile pour votre entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie extrêmement facile, 7, extrêmement difficile. S2017 MODIFIÉ
[TOUS]
9. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels? S2017 MODIFIÉ
REMARQUE À L’INTENTION DE L’INTERVIEWEUR : Si l’interlocuteur pose des questions sur le Commissariat ou la façon de communiquer avec l’organisation, lui donner l’adresse du site Web suivant : priv.gc.ca.
Maintenant, j’aimerais vous poser des questions sur les pratiques de votre entreprise en matière de protection de la vie privée.
10. Dans votre entreprise, est-ce qu’une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient? S2017
11. Votre entreprise a-t-elle élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels? S2017
12. Votre organisation donne-t-elle régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels? T2017
13. Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels? S2017
14. Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements ont été traités de façon inadéquate? S2017
15. Votre entreprise a-t-elle une politique sur la protection des renseignements personnels?
16. Votre politique sur la protection des renseignements personnels explique-t-elle en langage clair...? [LIRE LA LISTE] S2017
CHOIX DE RÉPONSES :
[TOUS]
Toujours à propos de la collecte et de l’utilisation que fait votre entreprise des renseignements personnels…
17. Votre entreprise fait-elle ce qui suit? [LIRE LA LISTE] NOUVEAU-2019
CHOIX DE RÉPONSES :
18. Votre entreprise compte-t-elle sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels? Cela comprend l’évaluation des risques liés à la création ou à l’utilisation de nouvelles technologies ou de nouveaux produits ou services. S2017
Les atteintes à la protection des données sont causées par une activité criminelle, un vol, du piratage ou l’erreur d’un employé, comme le fait de laisser un ordinateur portable ou un autre appareil portatif à un endroit inapproprié. S2017
19. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout préoccupé et 7, très préoccupé. S2017
20. Votre entreprise s’assure-t-elle de conserver un registre de toutes les atteintes à la protection des données touchant les renseignements personnels de vos clients? NOUVEAU-2019
[SI Q20 ≠ « NE S’APPLIQUE PAS »]
21. Votre entreprise a-t-elle déjà été confrontée à une atteinte qui a compromis les renseignements personnels de vos clients? S2011
22. Qu’a fait votre entreprise pour régler cette situation? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES) S2011
Ces dernières questions n’ont qu’une visée statistique, et toutes les réponses sont confidentielles.
23. Dans quelle industrie ou dans quel secteur exercez-vous vous des activités? Si votre entreprise exerce des activités dans plusieurs secteurs, veuillez indiquer le secteur principal. [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]
24. Quel est votre poste dans l’organisation? [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]
25. Quelle catégorie correspond aux revenus de votre entreprise en 2018? [LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]
Cela met fin au sondage.
Cela met fin au sondage. Merci de votre temps et de vos commentaires; nous vous sommes reconnaissants de votre participation.
Je déclare par la présente, à titre de cadre supérieure de Phoenix Strategic Perspectives, que les produits livrables respectent toutes les exigences de neutralité politique du gouvernement du Canada décrites dans la Politique sur les communications et l’image de marque du gouvernement du Canada et la Procédure de planification et d’attribution des marchés de services de recherche sur l’opinion publique. Plus particulièrement, les produits finaux ne comprennent pas de renseignements sur les intentions de vote aux élections, les préférences de partis politiques, les positions vis-à-vis de l’électorat ou l’évaluation de la performance d’un parti politique ou de son dirigeant.
(Document original signé par)
Alethea Woods, présidente
Phoenix Strategic Perspectives