Sondage de 2021-2022 auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels

Résumé

Préparé pour le Commissariat à la protection de la vie privée du Canada

Nom du fournisseur : Phoenix Strategic Perspectives Inc. (SPI)
Numéro du marché : 2R008-210080-001-CY
Date d’attribution : 2021-11-05
Montant du marché : 75 575,74 $ (taxes applicables comprises)
Date de livraison : 2022-03-10

Numéro d’enregistrement : POR 035-21

Pour obtenir de plus amples renseignements, veuillez communiquer avec publications@priv.gc.ca.

This report is also available in English.

Sondage de 2021-2022 auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels
Résumé

Préparé pour le Commissariat à la protection de la vie privée du Canada
Nom du fournisseur : Phoenix Strategic Perspectives Inc.
Mars 2022

Le présent rapport de recherche sur l’opinion publique présente les résultats d’un sondage téléphonique mené par Phoenix SPI pour le compte du Commissariat à la protection de la vie privée du Canada. Le sondage a été mené auprès de 751 représentants d’entreprises canadiennes, entre le 12 janvier et le 18 février 2022.

La présente publication peut être reproduite à des fins non commerciales seulement. Il faut avoir obtenu au préalable l’autorisation écrite du Commissariat à la protection de la vie privée du Canada. Pour obtenir des renseignements supplémentaires sur le présent rapport, veuillez communiquer avec le Commissariat à la protection de la vie privée du Canada par courriel à l’adresse suivante : publications@priv.gc.ca, ou par la poste à l’adresse suivante :

Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec)
K1A 1H3

Numéro de catalogue :
IP54-96/2022F-PDF

Numéro international normalisé du livre (ISBN) :
978-0-660-43175-8

Publications connexes (numéro d’enregistrement : POR 037-21) :
Numéro de catalogue (rapport final, version anglaise) IP54-96/2022F-PDF
ISBN: 978-0-660-43175-8

Also available in English under the title 2021-22 Survey of Canadian businesses on privacy-related issues.

Résumé

Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a retenu les services de Phoenix Strategic Perspectives (Phoenix SPI) afin de réaliser une étude quantitative auprès des entreprises canadiennes sur les enjeux liés à la protection des renseignements personnels.

But, objectifs et utilisation des résultats

Pour répondre à ses besoins en matière de renseignements, le Commissariat réalise tous les deux ans des sondages auprès des entreprises afin d’éclairer et d’orienter les efforts de sensibilisation. La présente recherche visait à recueillir des données sur le type de politiques et de pratiques de protection des renseignements personnels mises en œuvre par les entreprises, sur le respect de la loi par les entreprises; ainsi que sur la sensibilisation et les approches des entreprises en matière de protection des renseignements personnels. Les résultats du sondage permettront au Commissariat de fournir une orientation aux individus et aux organisations sur les enjeux liés à la protection des renseignements personnels, et à renforcer ses efforts de sensibilisation auprès des petites entreprises, ce qui peut être un moyen efficace d’apporter des changements positifs en matière de protection des renseignements personnels.

Méthodologie

Un sondage téléphonique de 15 minutes a été réalisé auprès de 751 entreprises d’un bout à l’autre du Canada, du 12 janvier au 18 février 2022. Les répondants ciblés étaient des décideurs de haut niveau ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes. Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage : petite (1 à 19 employés); moyenne (20 à 99 employés); et grande (100 employés et plus). Les résultats ont été pondérés selon la taille, le secteur et la région au moyen des données de Statistique Canada afin de veiller à ce qu’elles reflètent la distribution réelle des entreprises au Canada. Compte tenu de la taille de l’échantillon, les résultats sont fiables à plus ou moins 3,6 %, 19 fois sur 20.

Information contextuelle

Le Commissariat a réalisé ce sondage auprès des entreprises canadiennes tous les deux ans depuis le sondage de référence de 2011. Pour bon nombre des enjeux qui ont fait l’objet du sondage, il existe des données de suivi recueillies sur 10 ans permettant de surveiller les pratiques des entreprises en matière de protection de la vie privée. Le précédent sondage a été réalisé en 2019, avant la pandémie mondiale de COVID-19. Cette pandémie a eu des répercussions bien documentées sur les entreprises au Canada^{Note de bas de page 1}. Les mesures adoptées par les entreprises pour prévenir la propagation de la COVID-19 ayant entraîné, entre autres, des baisses de revenus, des mises à pied, un roulement de personnel, l’adoption du travail à distance et une réduction des heures de travail. Cette année, le sondage a été mené au plus fort de la cinquième vague (le variant Omicron) après près de deux ans de restrictions liées à la pandémie. Afin de gérer le variant Omicron, les restrictions imposées aux entreprises par les gouvernements ont à nouveau été durcies en janvier 2022, certaines administrations sont revenues au confinement comme mesure de protection.

Les restrictions liées au variant Omicron et la pandémie en général ont eu une incidence sur le présent sondage, notamment sur la conception de la recherche, en particulier sur le nombre de réponses reçues et, fort probablement, sur les opinions formulées par les représentants des entreprises qui ont participé au sondage. Alors que les entreprises sont préoccupées par les répercussions de la pandémie sur leurs activités quotidiennes, il est raisonnable de supposer que les responsabilités en matière de protection des renseignements personnels ne sont pas au premier plan. Par exemple, le manque de conformité aux pratiques de protection des renseignements personnels pourrait être davantage le signe que le répondant ne se souvient pas vraiment de ces mesures ou ne les connaît pas suffisamment, ou que ces enjeux sont devenus moins prioritaires en raison des changements opérationnels importants.

Principales constatations

Bon nombre d’entreprises disposent d’une politique sur la protection des renseignements personnels, mais elles sont moins nombreuses à déclarer en avoir une en 2022 qu’en 2019.

• Environ six représentants d’entreprises sur dix (59 %) indiquent que leur entreprise dispose d’une politique sur la protection des renseignements personnels. Cela représente une légère baisse depuis 2019, année où 65 % des entreprises ont déclaré avoir mis en place une telle politique. La probabilité d’avoir mis en place une politique sur la protection des renseignements personnels est plus élevée chez les grandes entreprises. Parmi les grandes entreprises ayant participé au sondage, 79 % d’entre elles ont déclaré disposer d’une telle politique, comparativement à 66 % des moyennes entreprises et à 58 % des petites entreprises.
• Parmi les entreprises qui disposent d’une politique sur la protection des renseignements personnels, la majorité ont déclaré avoir une politique qui explique en langage clair les éléments suivants : les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés et communiqués (84 %); la façon dont leur entreprise recueille, utilise et communique les renseignements personnels (83 %); et les renseignements personnels que leur entreprise recueille auprès de ses clients (78 %). De plus, 72 % des répondants ont déclaré que leur entreprise dispose d’une politique sur la protection des renseignements personnels qui explique en langage clair les parties avec lesquelles les renseignements personnels recueillis seront partagés. En outre, 66 % des entreprises ont une politique qui explique la façon dont les renseignements personnels des clients sont détruits; 57 % d’entre elles dispose d’une politique qui explique la durée pendant laquelle l’entreprise conserve les renseignements personnels des clients et 51 % d’entre elles ont une politique qui explique en langage clair les risques de préjudice en cas d’atteinte à la protection des données.
• Une proportion de 70 % des répondants (comparativement à 51 % en 2019) qui travaillent pour une entreprise disposant d’une politique sur la protection des renseignements personnels ont déclaré que leur entreprise fait en sorte que ses clients aient facilement accès à l’information sur la protection des renseignements personnels. Les entreprises comptant un seul employé (c’est-à-dire les travailleurs autonomes) (78 %) ainsi que les entreprises comptant de cinq à neuf employés (82 %) sont plus susceptibles que les grandes entreprises de rendre leurs renseignements personnels facilement accessibles aux clients. De plus, 43 % des entreprises qui disposent d’une politique sur la protection des renseignements personnels avisent leurs clients lorsqu’elles modifient leur politique (comparativement à 36 % en 2019). La même proportion d’entreprises, soit 43 %, obtient le consentement des clients lorsqu’elles modifient leurs pratiques de protection de la vie privée (comparativement à 34 % en 2019).

Au moins la moitié des entreprises canadiennes ont mis en œuvre la plupart des pratiques de conformité en matière de protection des renseignements mesurées au moyen du sondage.

• Parmi toutes les mesures, la conformité aux pratiques en matière de protection des renseignements personnels est celle qui a diminué depuis 2019. Près de six répondants sur dix (57 %) ont déclaré que leur entreprise avait désigné un chef de la protection des renseignements personnels (comparativement à 62 % en 2019). Ensuite, 51 % des répondants ont déclaré que leur entreprise avait élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations en ce qui a trait à la protection des renseignements personnels (comparativement à 55 % en 2019). La même proportion de répondants (51 %) a déclaré que leur entreprise avait mis en place des procédures pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels (comparativement à 60 % en 2019). De plus, 51 % des représentants ont affirmé que leur entreprise avait mis en place des procédures pour gérer les plaintes des clients concernant le traitement de leurs renseignements personnels (comparativement à 58 % en 2019). La probabilité d’avoir mis en œuvre ces pratiques augmentait en fonction de la taille de l’entreprise et était la plus élevée parmi les grandes entreprises pour presque toutes les mesures.
• Peu de répondants (34 %) ont déclaré que leur entreprise donne régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels (comparativement à 39 % en 2019).

Plus de neuf entreprises sur dix n’ont pas connu d’atteinte à la vie privée.

• Au total, 94 % des entreprises n’auraient pas connu d’atteinte à la vie privée (ce pourcentage est le même qu’en 2019).
• Il n’y a pas de consensus clair lorsqu’il s’agit de savoir dans quelle mesure les entreprises sont préoccupées par d’éventuelles atteintes à la protection des données. Un peu plus d’une entreprise sur quatre (28 %) se dit préoccupée par une atteinte à la protection des données (notes de 6 et 7), alors que 23 % des entreprises sont très préoccupées par une atteinte éventuelle. Toutefois, 41 % des entreprises ne sont pas préoccupées par une atteinte éventuelle (notes de 1 et 2), et 30 % d’entre elles ne sont pas du tout préoccupées par ce problème.
• Les préoccupations marquées (notes de 6 et 7) concernant une atteinte à la protection des données ont fluctué au fil du temps, passant d’un minimum de 24 % en 2013 à un maximum de 37 % en 2019. À 28 %, les préoccupations marquées ont considérablement diminué cette année par rapport à 2019.

De nombreuses entreprises sont bien sensibilisées à leurs responsabilités aux termes des lois sur la protection des renseignements personnels.

• Au total, 86 % des représentants d’entreprise ont déclaré que leur entreprise est au moins modérément sensibilisée à ses responsabilités en matière de protection des renseignements personnels, et 40 % d’entre elles sont très sensibilisées à ces responsabilités.
• Une proportion de 74 % des représentants d’entreprise ont déclaré que leur entreprise a pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels. La probabilité de prendre des mesures pour assurer le respect des lois augmente avec la taille de l’entreprise. En tout, 85 % des grandes entreprises et 82 % des moyennes entreprises ont pris des mesures pour assurer le respect des lois, alors que seulement 73 % des petites entreprises l’ont fait.
• Un tiers des représentants d’entreprises ayant participé au sondage ont affirmé que leur entreprise sait que le Commissariat offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels. La probabilité d’être au fait de ces ressources était plus élevée dans les moyennes (41 %) et grandes (56 %) entreprises que dans les petites (32 %).

Valeur du contrat

La valeur du contrat était de 75 575,74 $ (taxes applicables comprises).

Attestation de neutralité politique

À titre de cadre supérieure de Phoenix Strategic Perspectives, j’atteste que le rapport livré est entièrement conforme aux exigences en matière de neutralité politique du gouvernement du Canada énoncées dans la Politique de communication du gouvernement du Canada et à la Procédure de planification et d’attribution de marchés de services de recherche sur l’opinion publique. Plus précisément, ce rapport ne renferme pas d’information sur les intentions de vote, les préférences quant aux partis politiques, les positions des partis ou l’évaluation de la performance d’un parti politique ou de son chef.