Sélection de la langue

Recherche

Sondage d'opinion publique

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Les entreprises canadiennes et les renseignements personnels

Rapport Final

Réalisé pour le compte du Commissariat à la protection de la vie privée du Canada

Phoenix SPI

Février 2012


Sommaire

Le Commissariat à la protection de la vie privée du Canada (CPVP) a chargé Phoenix SPI de réaliser une étude quantitative auprès des entreprises canadiennes sur la question des renseignements personnels. Cette étude devait nous donner un portrait plus exact du degré de familiarité des entreprises avec les exigences et les enjeux liés à la protection des renseignements personnels, ainsi que de leurs politiques et pratiques en la matière. Un sondage téléphonique de 16 minutes a été réalisé auprès de 1 006 entreprises de partout au Canada, stratifiées selon leur taille. Les résultats ont été pondérés en fonction de la taille, du secteur et de la région, au moyen des données de Statistique Canada, afin qu’ils reflètent la distribution réelle des entreprises au Canada. Le sondage a été réalisé du 2 au 19 décembre 2011, et sa marge d’erreur est de ±3,1 %, 19 fois sur 20. Les résultats ont été comparés à ceux obtenus lors de sondages semblables menés en 2007 et en 2010, lorsque c’était pertinent. Par rapport aux versions précédentes, la méthodologie et le questionnaire de 2011 présentaient des nouveautés et des ajouts, question de mieux répondre au contexte actuel et à son évolution; ces résultats ne peuvent donc pas toujours être comparés à ceux des années antérieures.

Les pratiques liées à la protection des renseignements personnels

Divers « types » d’entreprises ont été sondés : 35 % d’entre elles vendent directement à la population (ou à des sous-groupes de la population), presque autant (34 %) vendent directement à la fois à la population et à d’autres entreprises/organisations, près du quart (24 %) vendent seulement à d’autres entreprises/organisations, et 7 % n’appartiennent à aucune de ces catégories.

On a demandé aux entreprises quels types de renseignements elles recueillaient sur leurs clients. L’immense majorité (93 %) recueille les coordonnées, comme le nom, les numéros de téléphone et l’adresse. Plus des deux tiers (68 %) recueillent des renseignements sur l’emplacement, comme le code postal. Les renseignements financiers sont recueillis par 39 % des répondants, les opinions, évaluations et commentaires, par 24 %, les habitudes de consommation, par 17 %, et les renseignements médicaux, par 10 %. Cinq pour cent des répondants ne recueillent aucun de ces types de renseignements.

Les deux tiers (66 %) des entreprises entreposent les renseignements personnels de leurs clients sur place, en format papier. Cinquante-cinq pour cent les entreposent dans des ordinateurs de bureau, et 47 %, dans des serveurs sur place. Près du quart (23 %) utilisent des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes, tandis qu’une proportion moindre d’entreprises utilisent l’infonuagique (8 %) ou l’entreposage par un tiers (qu’il faut distinguer de l’infonuagique) (7 %). Parmi les entreprises qui entreposent les renseignements personnels de leurs clients sur des dispositifs portables, 44 % utilisent le chiffrement.

Les entreprises canadiennes utilisent diverses mesures pour protéger les renseignements personnels de leurs clients. Près des trois quarts utilisent des outils technologiques, comme des mots de passe, le chiffrement ou des pare-feux (73 %), ou des mesures matérielles, comme le verrouillage des classeurs, la restriction de l’accès ou les alarmes de sécurité (72 %). Près de la moitié (51 %) utilisent des contrôles organisationnels, comme des politiques et des procédures. Parmi les entreprises qui utilisent des outils technologiques, la quasi-totalité (96 %) utilise des mots de passe, 79 %, des pare-feux, et 43 %, le chiffrement.

La majorité des entreprises qui utilisent des mots de passe (55 %) ont pris des mesures pour veiller à ce que les employés utilisent des mots de passe difficiles à trouver. La plupart demandent aussi à leurs employés de modifier leurs mots de passe : 16 % le demandent chaque mois, 17 %, chaque trimestre, 10 %, tous les six mois, 12 %, une fois par année, et 7 %, moins fréquemment. Vingt-sept pour cent des entreprises n’exigent pas de leurs employés qu’ils changent leurs mots de passe.

Les entreprises ont en place différents mécanismes relatifs aux renseignements personnels. Les trois quarts utilisent des procédures pour répondre aux demandes de leurs clients concernant l’accès à leurs renseignements personnels. En deuxième place, mais assez loin derrière, arrive la désignation d’une personne comme responsable des questions liées à la protection des renseignements personnels (57 %). Près de la moitié des entreprises (48 %) ont en place des procédures pour gérer les plaintes des clients, tandis que 32 % donnent à leurs employés une formation sur la protection de l’information.

Politique sur la protection des renseignements personnels

En tout, 62 % des entreprises ont une politique sur la protection des renseignements personnels. Celles qui n’en ont pas donnent le plus souvent comme raison qu’elles ne croient pas que ce soit nécessaire (45 %). Les autres explications revenant assez souvent sont que l’entreprise est trop petite (17 %), qu’elle ne recueille pas les renseignements personnels de ses clients (14 %), ou qu’elle n’y a jamais pensé (10 %).

La plupart (57 %) des entreprises qui ont une politique sur la protection des renseignements personnels la mettent à jour au moins une fois par année : 4 % le font une fois par mois, 5 % tous les trois mois, 7 % tous les six mois, et 41 % une fois par année. Seize pour cent des entreprises mettent à jour leur politique moins d’une fois par année, et 20 % ne la mettent jamais à jour. Parmi les entreprises qui mettent à jour leur politique sur la protection des renseignements personnels, un quart le fait pour chacune des raisons suivantes : examen prévu (26 %), changement de la loi (25 %), et changement des pratiques opérationnelles (24 %). Une proportion notable des entreprises met à jour sa politique en cas de problème ou de violation de la vie privée (14 %), de plaintes ou préoccupations soulevées par les clients (13 %), ou de changement des technologies utilisées par l’organisation (6 %).

La plupart (63 %) des entreprises qui mettent à jour leur politique n’avertissent pas leurs clients quand ils y apportent des changements. Inversement, un peu plus du tiers de ces entreprises (35 %) avertissent leurs clients : 16 % le font toujours, et 19 %, parfois.

Les entreprises qui communiquent leur politique sur la protection des renseignements personnels le font de différentes façons, sans qu’aucune méthode ne domine. Ainsi, le plus grand nombre (26 %) la communiquent verbalement ou au téléphone, tandis que des proportions relativement similaires envoient une lettre aux clients (23 %), utilisent des documents imprimés comme des dépliants ou des brochures (20 %), placent une annonce sur leur site Web (19 %), ou envoient un courriel aux clients (18 %). Cinq pour cent des entreprises placent des affiches dans les bureaux, les magasins ou ailleurs.

Protection des renseignements personnels en tant qu’objectif organisationnel

On a demandé aux entreprises dans quelle mesure la protection des renseignements personnels est importante pour elles, sur une échelle de 1 à 7. Près de la moitié (49 %) répondent qu’elle est très importante, tandis que 28 % répondent qu’elle est au moins modérément importante. C’est donc dire que 77 % des entreprises canadiennes accordent une importance considérable à cette question. Par contre, 15 % des entreprises estiment que la protection des renseignements personnels est un objectif relativement peu important (elles choisissent une cote sur la moitié inférieure de l’échelle).

On a demandé aux entreprises leur point de vue à l’égard de la protection des renseignements personnels. Cinquante-deux pour cent considèrent qu’il ne s’agit ni d’un avantage ni d’un désavantage organisationnel, mais 39 % la considèrent comme un avantage concurrentiel important (24 %) ou modéré (15 %). Très peu d’entreprises (3 %) considèrent que la protection des renseignements personnels est un désavantage organisationnel.

Sensibilisation aux lois sur la protection des renseignements personnels et répercussions de ces lois

On a demandé aux entreprises dans quelle mesure elles sont sensibilisées à leurs responsabilités aux termes des lois sur la protection des renseignements personnels du Canada (sur une échelle de 1 à 7). Dix-neuf pour cent estiment être très sensibilisées, et 35 % assez sensibilisés (5 ou 6 sur l’échelle de 7 points). C’est donc dire qu’une légère majorité (54 %) des entreprises se considère comme relativement bien au fait de leurs responsabilités en matière de protection des renseignements personnels. Par contre, 29 % des entreprises se disent relativement peu sensibilisées, puisqu’elles choisissent une cote sur la moitié inférieure de l’échelle.

On a posé la même question sur la LPRPDE, la loi du gouvernement fédéral sur la protection des renseignements personnels dans le secteur privé. Les résultats sont dans l’ensemble similaires : 15 % des entreprises disent être très sensibilisées à cette loi, et 34 %, assez sensibilisées (cotes de 5 ou 6 sur 7). Près de la moitié des entreprises (49 %) sont donc relativement bien au fait de leurs responsabilités à l’égard de cette loi, contre 35 %, qui choisissent une cote sur la moitié inférieure de l’échelle. La sensibilisation à la LPRPDE en particulier est donc légèrement plus faible que celle à l’ensemble des lois sur la protection des renseignements personnels.

Les lois du Canada sur la protection des renseignements personnels ont diverses répercussions sur les entreprises canadiennes. Pour 59 % d’entre elles, ces lois leur font prêter davantage attention à la protection des renseignements personnels de leurs clients. Pour un peu moins (52 %), ces lois les sensibilisent davantage à leurs obligations en matière de protection des renseignements personnels, tandis que pour 47 %, elles ont accru la sécurité liée aux renseignements personnels détenus sur les clients. Enfin, 36 % des entreprises jugent que les lois ont amélioré la formation fournie aux employés sur les obligations en matière de protection des renseignements personnels, et 27 % disent avoir été confrontées à moins d’atteintes relativement aux renseignements personnels des clients.

Conformité, atteintes et évaluation des risques

On a demandé aux entreprises s’il a été complexe pour elles de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois sur la protection des renseignements personnels du Canada. Près de la moitié (49 %) donnent une réponse neutre : la conformité n’a été ni facile, ni difficile. Pour le reste, la majeure partie (34 %) juge que la conformité a été facile, contre 10 %, qui la juge difficile.

C’est la compréhension vague de la loi qui est invoquée le plus souvent (19 %) comme le plus important obstacle ou problème relativement à l’observation de la loi. D’autres obstacles sont cités par moins de 5 % des entreprises : exigences en personnel (5 %), formation/sensibilisation du personnel (4 %), coût de la conformité (non lié au personnel) (3 %), difficultés liées à la sécurisation des renseignements personnels (3 %), et défis posés par la nouvelle technologie (3 %). Seize pour cent estiment qu’il n’existe aucun obstacle à l’observation de la loi, et 38 % ne donnent pas de réponse à cette question.

On a demandé aux entreprises dans quelle mesure, sur une échelle de 1 à 7, elles sont préoccupées par une atteinte à la protection des données, qui compromettrait les renseignements personnels de leurs clients. Quarante pour cent se disent considérablement préoccupées (partie supérieure de l’échelle). Trente-et-un pour cent des entreprises comptent sur des lignes directrices en cas d’atteinte. L’immense majorité (96 %) n’a jamais été confrontée à une atteinte qui a compromis les renseignements personnels de ses clients.

Environ le quart (26 %) des entreprises comptent sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels, ce qui comprend l’évaluation des risques liés à la création ou à l’utilisation de technologies ou de produits nouveaux.

Tièrces Parties

Soixante-huit pourcent des entreprises savent que, quand une entreprise transfère les renseignements personnels de clients à un tièrce partie aux fins de traitement et d’entreposage ou pour tout autre service, notamment l’utilisation de l’infonuagique, elle demeure responsable de ses renseignements. Seulement 9 % recueillent des renseignements personnels auprès de leurs clients pour ensuite les acheminer à une autre entreprise aux fins de traitement et d’entreposage ou pour tout autre service. Parmi ces entreprises, un peu plus de la moitié (54 %) ont conclu un marché ou pris d’autres mesures pour veiller à ce que les renseignements personnels de leurs clients soient protégés adéquatement.

Coopération avec les organismes d’application de la loi et le gouvernement

Près du tiers des entreprises évaluent les données des clients afin de relever des activités suspicieuses ou illégales et de les signaler à des organismes d’application de la loi ou à des organisations de sécurité du gouvernement. Neuf pour cent le font régulièrement, 6 % parfois, et 17 % rarement. Parmi les entreprises qui procèdent à cette évaluation, 28 % affirment qu’on leur demande de le faire plus souvent aujourd’hui qu’il y a cinq ans.

Communications

C’est vers l’Internet (40 %) et Google particulièrement (5 %) que les entreprises se tournent principalement pour obtenir de plus amples renseignements sur leurs responsabilités aux termes des lois sur la protection des renseignements personnels du Canada. Arrive en deuxième place le gouvernement fédéral (30 %), suivi d’assez loin par le gouvernement provincial (11 %), les ressources internes de l’entreprise (10 %) et le conseiller juridique (6 %).

Seulement 13 % des entreprises ont déjà cherché à obtenir des clarifications sur leurs responsabilités aux termes des lois sur la protection des renseignements personnels. Parmi elles, le plus grand nombre ont obtenu ces clarifications sur Internet (28 %); arrivent ensuite comme sources les experts de l’industrie, les sociétés d’experts-conseils ou les sources du domaine de l’éducation (16 %), les ressources internes de l’entreprise (15 %), les associations de l’industrie (13 %), les avocats (12 %) et le gouvernement/le commissaire à la protection de la vie privée (12 %).

Sensibilisation et formation

On a demandé aux entreprises dans quelle mesure il serait utile de donner une formation sur ce qu’elles doivent faire pour être conformes aux lois sur la protection des renseignements personnels. En tout, 31 % jugent cette formation utile, contre 52 %, qui la jugent inutile. Celles qui la jugent au moins modérément utile croient que la façon la plus efficace de la recevoir serait la tenue de séminaires Web (64 %) et la fourniture d’outils et de matériel libre-service (56 %). Pour une forte minorité (39 %), la meilleure façon de recevoir cette formation serait le recours à des séminaires en personne dans différentes villes.

Commissariat à la protection de la vie privée du Canada

Quarante pour cent des entreprises savent que le CPVP offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels. Parmi ces entreprises, 19 % ont déjà fait appel à ces ressources. La ressource à laquelle les entreprises affirment avoir fait appel le plus souvent est de loin le site Web du CPVP (47 %); suivent les publications du CPVP (14 %), les renseignements généraux (7 %), le Centre d'information du CPVP (4 %) et une présentation ou un exposé du CPVP (3 %). Lorsqu’on leur demande dans quelle mesure ces ressources ont été utiles pour les aider à assumer leurs obligations en matière de protection des renseignements personnels, 72 % des entreprises répondent qu’elles ont été au moins modérément utiles (16 % les jugent très utiles). Relativement peu d’entreprises (8 %) jugent ces ressources inutiles.

Différences entre les sous-groupes

La taille de l’entrepriseNote de bas de page 1 joue pour beaucoup dans l’approche adoptée en matière de protection des renseignements personnels. Les grandes entreprises sont plus nombreuses à recueillir des renseignements sur leurs clients, à utiliser diverses mesures technologiques, matérielles et organisationnelles de protection de ces renseignements, à se renseigner sur leurs responsabilités en la matière, et à souhaiter de la formation sur le sujet. Les grandes entreprises sont également plus nombreuses à savoir que le CPVP peut les aider, et à avoir utilisé ses ressources. Cela dit, les grandes entreprises sont plus nombreuses que les petites à compter sur leurs ressources internes et sur les conseillers juridiques comme sources de renseignements en matière de protection de l’information, ce qui montre que les entreprises qui ont le plus besoin des services du CPVP (vu leur petite taille et leur manque de ressources internes) sont peut-être celles qui les connaissent le moins. À noter toutefois que les petites entreprises jugent la protection des renseignements personnels moins importante que les grandes. La nature du secteur d’activité de l’entreprise et son nombre d’emplacements sont d’autres facteurs qui influent sur la collecte de renseignements personnels, la mise en place de mécanismes de protection et le désir de s’informer plus avant à ce sujet de diverses façons.

Par ailleurs, les entreprises qui jugent relativement importante la protection des renseignements personnels, qui sont relativement bien au courant de leurs obligations à ce sujet, qui jugent difficile l’observation des lois en la matière, et qui sont relativement préoccupées par une atteinte à la protection des données sont plus nombreuses à recueillir des renseignements personnels sur leurs clients, à mettre en place des politiques et procédures de protection des renseignements personnels en leur possession, et à chercher à s’informer sur leurs obligations dans ce domaine.

Introduction

Le Commissariat à la protection de la vie privée (CPVP) a chargé Phoenix Strategic Perspectives Inc. (Phoenix) de mener une recherche quantitative auprès d’entreprises canadiennes sur des enjeux liés à la protection de la vie privée.

Contexte et objectifs

À titre de défenseur des droits des Canadiens en matière de protection de la vie privée, le CPVP est autorisé à enquêter sur des plaintes et à mener des vérifications en vertu de deux lois fédérales, à publier de l’information sur les pratiques de traitement des renseignements personnels dans les secteurs public et privé, ainsi qu’à effectuer de la recherche sur les enjeux liés au respect de la vie privée. Aux termes de son mandat, le CPVP est responsable de l’application de la Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE), qui régit les activités commerciales dans les provinces de l’Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Bien que le Québec, l’Alberta et la Colombie Britannique aient chacune leur propre loi qui gouverne le secteur privé, la LPRPDE continue de s’appliquer aux entreprises du secteur privé sous réglementation fédérale ainsi qu’aux renseignements personnels utilisés dans les transactions interprovinciales et internationales.

Compte tenu de la vitesse d’innovation des technologies et de la disparition des frontières, les questions liées à la protection des renseignements personnels évoluent et gagnent en importance et en complexité. En décembre 2010, le Parlement a adopté des modifications à la LPRPDE pour mieux pouvoir réagir à cette évolution, suivies d’une nouvelle série de changements en septembre.

Dans ce contexte, le CPVP doit savoir ce qui suit au sujet des entreprises canadiennes :

  • Le degré de connaissance des entreprises par rapport aux questions et aux exigences en matière de protection des renseignements personnels.
  • Le type de politiques et de pratiques sur la protection des renseignements personnels mises en place par les entreprises.
  • La conformité des entreprises aux lois sur la protection des renseignements personnels.
  • La sensibilisation des entreprises aux nouvelles questions et pratiques en matière de protection des renseignements personnels et leur capacité d’y donner suite.

Les objectifs précédents ont été pris en compte dans le cadre de la recherche, qui servira à préciser l’approche que suivra le CPVP pour s’acquitter de son mandat à l’égard des entreprises canadiennes.

Conception de la recherche

Pour respecter les objectifs de la recherche, un sondage téléphonique a été réalisé auprès de 1 006 entreprises de partout au Canada.

Les critères de sondage suivants ont été suivis :

  • Le répondant ciblé devait être un décideur de niveau supérieur ayant une connaissance des pratiques de protection des renseignements personnels et de sécurité de l’entreprise ainsi que des responsabilités à ces égards.
  • Une note d’information détaillée a été préparée par Phoenix (et approuvée par le CPVP) à l’intention de l’interviewer pour le guider dans le processus de collecte de données.
  • Pour les besoins du test préalable effectué par téléphone, dix entrevues ont été réalisées dans chacune des deux langues officielles. Les entrevues ont été enregistrées et passées en revue par la suite.
  • Phoenix a écouté les entrevues réalisées dans le cadre du test préalable et a examiné les données ainsi obtenues. Ces données n’ont pas été incluses dans les données finales du sondage puisque des changements ont été apportés au questionnaire après le test préalable.
  • Les entrevues, réalisées dans la langue officielle choisie par le répondant, ont duré en moyenne 15,8 minutes.
  • Les appels ont été effectués à divers moments de la journée et de la semaine afin de maximiser les possibilités de joindre les répondants.
  • Certains répondants éventuels ont été rappelés jusqu’à dix reprises avant que leur dossier ne soit retiré de l’échantillon.
  • L’échantillon a fait l’objet d’un suivi rigoureux durant la période de collecte de données de manière à respecter les objectifs de l’étude et à maximiser le taux de réponse.
  • Le sondage a été inscrit auprès du système national d’enregistrement des sondages de l’Association de la recherche et de l’intelligence marketing (ARIM).
  • Le commanditaire du sondage (le CPVP) a été révélé.
  • Les données ont été recueillies du 2 au 19 décembre 2011.

Tous les travaux effectués respectaient ou surpassaient les normes de l’industrie déterminées par l’ARIM, l’association de l’industrie chargée de la recherche, ainsi que la législation fédérale applicable (LPRPDE). Les travaux ont également été réalisés conformément aux Normes pour la recherche sur l’opinion publique effectuée par le gouvernement du Canada – Sondages téléphoniques.

Constitution des échantillons

Les données ont été recueillies selon une approche d’échantillonnage aléatoire stratifiée. La base d’échantillonnage a été achetée auprès de Dun & Bradstreet (D&B). Une base d’échantillonnage aléatoire employant une proportion d’échantillons et d’entrevues terminées de 10 sur 1 a été générée pour déterminer le contingent de chacun des trois groupes cibles (formés en fonction de la taille des entreprises). Le tableau ci-après indique le nombre de dossiers d’échantillonnage utilisés pour chaque groupe.

Taille de l’entreprise Nbre de dossiers d’échantillonnage Taille de l’échantillon
Petite (1 à 19 employés) N=5 998 N=502
Moyenne (20 à 99 employés) N=2 744 N=304
Grande (100 employés et plus) N=1 797 N=200

De plus, la base d’échantillonnage a été générée en fonction du nombre d’entreprises par région dans chacun des trois groupes. Au total, 1 006 entrevues ont été menées. Voici la répartition des entrevues par région :

Région Taille de l’échantillon
Canada atlantique 66
Québec 217
Manitoba et Saskatchewan 77
Alberta 140
Colombie-Britannique 155
Région du Grand Toronto 149
Reste de l’Ontario 202

Les données finales ont été pondérées pour tenir compte de la constitution des échantillons. Les données ont été pondérées en fonction de la taille de l’entreprise, de la région et de l’industrie pour refléter la représentativité des entreprises à l’échelle nationale. Les statistiques canadiennes relatives à la répartition des entreprises selon la taille, la région et l’industrie proviennent du Registre des entreprises de Statistique Canada.

Le scénario de pondération tient compte de trois variables : la taille de l’entreprise, la région et l’industrie. Les entreprises de la catégorie « indéterminée » établie par Statistique Canada ont été exclues des distributions en fonction de la taille utilisées pour pondérer les données du sondage.

Trois systèmes de pondération ont été créés pour chacun des ensembles de résultats suivants : 1) les résultats globaux, 2) les résultats régionaux, et 3) les résultats selon la taille des entreprises. Voici les détails :

  • Résultats globaux : Les résultats ont d’abord été pondérés en fonction de la taille des entreprises dans chaque région. On a retenu trois distributions pour la taille des entreprises (1 à 9 employés, 20 à 99 employés, 100 employés et plus) et sept régions (Colombie-Britannique, Alberta, Saskatchewan, Manitoba, Ontario, Québec et provinces de l’Atlantique). Les résultats ont ensuite été pondérés selon l’industrie, à l’échelle nationale, à l’aide du Système de classification des industries de l’Amérique du Nord (SCIAN).
  • Résultats régionaux : Les résultats ont été pondérés par région (Terre Neuve et Labrador, Nouveau-Brunswick, Nouvelle-Écosse et Île du Prince Édouard, Québec, Ontario, Manitoba, Saskatchewan, Alberta et Colombie-Britannique) puis en fonction de l’industrie (toujours à l’aide du SCIAN). Comme pour les résultats globaux, les résultats régionaux ont été pondérés en fonction de l’industrie à l’échelle nationale seulement.
  • Résultats selon la taille des entreprises : Trois distributions ont été retenues (1 à 9 employés, 20 à 99 employés et 100 employés et plus). Comme pour les résultats globaux et régionaux, les résultats selon la taille des entreprises ont été pondérés en fonction de l’industrie à l’échelle nationale seulement, à l’aide du SCIAN.

Répartition finale des appels

Le tableau suivant décrit la répartition finale des appels du sondage, de même que le calcul du taux de réponse connexe (selon la formule de l’ARIM)Note de bas de page 2 :

Tableau de la répartition des appels
Répartition des appels Total
Nombre total de tentatives 10 539
Non admissible – non valide 1 652
Non résolu (U) 2 551
Pas de réponse/répondeur 2 551
Admissible – non réponse (IS) 1 978
Problème de langue 42
Incapacité de répondre (maladie/décès) 52
Rappel (répondant non disponible) 1 884
Demandes totales 4 358
Refus 3 111
Le répondant raccroche 76
Admissible – réponse (R) 1 171
Entrevue réalisée 1 006
NQ – Contingent complet – taille de l’entreprise 106
NQ – Q1 (NON LUCRATIF/NSP/REF) 59
Taux de refus 73,13
Taux de réponse 13,18

Avis aux lecteurs

  • Dans le présent rapport, on fait parfois référence aux conclusions tirées de sondages semblables effectués auprès d’entreprises canadiennes en 2007 et 2010. Puisque les procédures de pondération de même que la formulation des questions diffèrent parfois d’un sondage à l’autre, les comparaisons amènent à la prudence.
  • À moins d’avis contraire, les résultats présentés dans le rapport sont exprimés sous forme de pourcentages.
  • À certains endroits dans le rapport, les pourcentages ne totalisent pas 100 % parce que les chiffres ont été arrondis.
  • Des différences sont faites dans le rapport entre les catégories démographiques et d’autres sous-groupes. Le texte qui explique ces différences est présenté dans un encadré pour en faciliter le repérage. Seules les différences entre les sous-groupes qui sont statistiquement significatives à un niveau de confiance de 95 % ou qui s’inscrivent dans un modèle ou une tendance ont été déclarées. Pour en savoir davantage sur l’analyse des sous-groupes dans le présent rapport, consulter la section ci-dessous.

Aux fins de l’analyse des sous-groupes, les caractéristiques suivantes ont été établies :

Catégories démographiques

  • Industries principalesNote de bas de page 3 :
    • Hébergement et services de restauration
    • Services administratifs, de soutien, de gestion des déchets
      et d’assainissement
    • Arts, spectacles et loisirs
    • Services d’enseignement
    • Finance et assurances*
    • Soins de santé et assistance sociale
    • Industrie de l’information et industrie culturelle
    • Services professionnels, scientifiques et techniques
    • Administration publique
    • Services immobiliers et services de location et de location à bail
    • Commerce de détail
    • Transport et entreposage
    • Services publics
  • Industries secondaires :
    • Agriculture, foresterie, pêche et chasse
    • Construction
    • Gestion de sociétés et d’entreprises
    • Fabrication
    • Extraction minière et extraction de pétrole et de gaz
    • Autres services (sauf les administrations publiques)
    • Commerce de gros
    • Autre
  • Région :
    • Pacifique (Colombie-Britannique, Yukon)
    • Prairies (incluant les Territoires du Nord‑Ouest)
    • Ontario (incluant le Nunavut)
    • Québec
    • Canada atlantique
  • Taille de l’entreprise :
    • Travailleur autonome (1 employé)
    • 2 à 19 employés
    • 20 à 99 employés
    • 100 employés et plus
  • Région :
    • Québec
    • Canada atlantique
    • Alberta
    • Colombie-Britannique
    • Région du Grand Toronto
    • Ontario (excluant la région du Grand Toronto)
    • Prairies (Saskatchewan et Manitoba)
  • Modèle d’entreprise :
    • Vend directement aux clients
    • Vend directement à d’autres entreprises/organisations
    • Vend directement aux clients et à d’autres entreprises/organisations
  • Revenus :
    • Moins de 100 000 $
    • 100 000 $ à 9 999 999 $
    • 10 000 000 $ à 19 999 999 $
    • 20 000 000 $ et plus
  • Emplacement de l’entreprise :
    • Elle œuvre uniquement à cet emplacement
    • Il y a d’autres emplacements, mais seulement dans la province
    • Il y a d’autres emplacements dans d’autres provinces, mais seulement au Canada
    • Il y a d’autres emplacements, y compris à l’étranger

Catégories relatives à l’attitude

  • Importance de la protection des renseignements personnels
    • Sans importance (1-3)
    • Ni un ni l’autre (4)
    • Important (5-7)
  • Connaissance des obligations relatives à la protection des renseignements personnels
    • Non informé (1-3)
    • Ni un ni l’autre (4)
    • Informé (5-7)
  • Difficulté de conformité perçue :
    • Faible (1-3)
    • Ni un ni l’autre (4)
    • Grande (5-7)
  • Préoccupation quant à une atteinte à la protection des données
    • Non préoccupé (1-3)
    • Ni un ni l’autre (4)
    • Préoccupé (5-7)

Des copies anglaise et française du questionnaire sont annexées au rapport.

Pratiques liées à la protection des renseignements personnels

La présente section expose les pratiques employées par les entreprises pour protéger les renseignements personnels de leurs clients. On y aborde notamment les types de clients avec qui les entreprises font affaire et les types de renseignements qu’elles recueillent, l’utilisation qui en est faite, ainsi que les procédures et les politiques de protection qu’elles ont mises en vigueur.

Le type d’entreprise, selon les clients servis, varie

Les dirigeants d’entreprise qui ont participé à la présente étude travaillent pour des entreprises ayant divers clients cibles : 35 % d’entre elles vendent directement aux clients (c. à d. à la population ou à des sous-groupes de la population), presque autant (34 %) vendent directement à la fois à la population et à d’autres entreprises/organisations, un quart (25 %) vend seulement à d’autres entreprises/organisations, et 7 % n’appartiennent à aucune de ces catégories.

Type d'enterprise

Les coordonnées — les renseignements personnels les plus souvent réunis

La grande majorité des entreprises (93 %) recueillent les coordonnées, comme le nom, les numéros de téléphone et l’adresse. Plus des deux tiers (68 %) recueillent des renseignements sur l’emplacement, comme le code postal. Parmi les autres renseignements souvent demandés, il y a les renseignements financiers (39 %), comme les factures, les cartes de crédit et les dossiers bancaires, les opinions, évaluations et commentaires (24 %), les habitudes de consommation (17 %) et les renseignements médicaux (10 %). Cinq pour cent des répondants conservent des dossiers personnels et d’entreprises.

Types de renseignements recueillis

Les renseignements relevant de la catégorie « autre » comprennent le numéro d’assurance sociale, l’information relative à l’impôt, la date de naissance, la vérification de crédit et des renseignements sur l’identité. Cinq pour cent des entreprises ne recueillent aucun de ces types de renseignementsNote de bas de page 4.

Les différences suivantes entre les sous-groupes sont manifestes :

  • Les plus petites entreprises recueillent généralement moins de renseignements personnels au sujet de leurs clients. Les travailleurs autonomes canadiens sont moins enclins à demander des renseignements sur l’emplacement (54 % contre 72 à 75 %), des renseignements financiers (18 % contre 43 à 53 %) et de l’information sur les habitudes de consommation (7 % contre 18 à 31 %). À l’inverse, les entreprises ayant 100 employés et plus sont plus susceptibles d’amasser ces types de renseignements.
  • Comparativement aux entreprises qui vendent à d’autres entreprises/organisations et à celles qui vendent à la fois aux clients et aux entreprises, les entreprises qui vendent directement aux clients ont moins tendance à amasser des coordonnées (88 % contre 94 à 97 %), des renseignements sur l’emplacement (57 % contre 74 à 78 %) et des renseignements financiers (28 % contre 42 à 47 %).
  • Les entreprises des industries secondaires sont proportionnellement plus nombreuses à réunir des coordonnées (96 % contre 90 % dans les industries principales), tandis que les membres des industries principales ont davantage tendance à recueillir des renseignements médicaux (16 % contre 2 % dans les industries secondaires).
  • La collecte de renseignements sur l’emplacement est plus fréquente chez les entreprises qui :
    • estiment que la protection des renseignements personnels est relativement importante (73 % contre 50 à 64 %);
    • se disent relativement au courant de leurs obligations en matière de protection des renseignements personnels (72 % contre 63 % chez celles qui les connaissent mal);
    • trouvent qu’il est difficile de respecter les lois en matière de protection des renseignements personnels (81 % contre 66 à 69 %);
    • sont relativement préoccupées par une atteinte à la protection des données (76 % contre 63 à 71 % chez les entreprises qui se disent moins préoccupées).
  • La collecte de renseignements médicaux est plus fréquente chez les entreprises qui sont relativement préoccupées par une atteinte à la protection des données (15 % contre 5 à 7 %).
  • Les entreprises de la Colombie-Britannique sont plus susceptibles de réunir des renseignements sur l’emplacement (80 % contre 61 à 74 % dans les autres régions), des renseignements financiers (64 % contre 21 à 47 % dans les autres régions) et des renseignements médicaux (19 % contre 4 à 12 % dans les autres régions).

La plupart des entreprises recueillent deux ou trois types de renseignements

En ce qui concerne la diversité de l’information amassée, la plupart des entreprises (53 %) recueillent des renseignements relevant de deux (29 %) ou trois (24 %) des catégories susmentionnées. Elles sont 25 % à en recueillir plus, et 22 % en à recueillir moins.

Types de renseignements recueillis : Index

Les dossiers papier conservés dans les locaux de l’entreprise — la méthode d’entreposage des renseignements personnels la plus répandue

Les deux tiers (66 %) des entreprises canadiennes entreposent les renseignements personnels de leurs clients sur place, en format papier. Cinquante-cinq pour cent les entreposent dans des ordinateurs de bureau, et 47 %, dans des serveurs sur place. Près du quart (23 %) utilise des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes, tandis qu’une proportion moindre utilise l’infonuagique (8 %) ou l’entreposage par un tiers (qu’il faut distinguer de l’infonuagique) (7 %).Note de bas de page 5

Méthodes de conservation des renseignements personnels

Les différences suivantes entre les sous-groupes sont manifestes :

  • Les entreprises qui vendent directement à d’autres entreprises sont plus susceptibles que celles qui vendent aux clients et celles qui vendent aux deux de conserver des renseignements personnels sur des dispositifs portables (32 % contre 16 à 22 %), dans des serveurs sur place (56 % contre 35 à 52 %) ou au moyen de l’infonuagique (12 % contre 5 à 7 %).
  • Les entreprises qui vendent à la fois aux clients et à d’autres entreprises sont plus enclines à conserver les renseignements sur papier, dans leurs locaux (74 % contre 55 à 65 %).
  • Les plus petites entreprises sont moins portées à conserver les renseignements dans des serveurs sur place : 23 % des travailleurs autonomes procèdent ainsi comparativement à 49 % des entreprises ayant de 2 à 19 employés, à 68 % des entreprises ayant de 20 à 99 employés et à 75 % des entreprises ayant 100 employés et plus. La tendance inverse est observées pour la conservation de renseignements sur papier, sur place : 76 % des travailleurs autonomes procèdent ainsi comparativement à 65 % des entreprises ayant de 2 à 19 employés, à 60 % des entreprises ayant de 20 à 99 employés et à 56 % des entreprises ayant 100 employés et plus
  • L’entreposage des renseignements au moyen de l’infonuagique est plus prédominant chez les entreprises qui
    • relèvent des industries principales (11 % contre 5 % dans les industries secondaires);
    • ont plusieurs emplacements (14 à 15 % contre 6 % chez les entreprises ayant un seul emplacement);
    • vendent directement à d’autres entreprises (12 % contre 5 à 7 %).
  • Les entreprises qui estiment que la protection des renseignements personnels est relativement peu importante (36 % contre 48 à 49 %), celles qui se disent relativement peu au courant de leurs obligations en matière de protection des renseignements personnels (38 % contre 49 à 55 %) et celles qui sont relativement peu préoccupées par une atteinte à la protection des données (39 % contre 50 à 56 %) sont moins portées à entreposer les renseignements personnels dans des serveurs sur place.
  • Les entreprises qui trouvent qu’il est difficile de respecter les lois en matière de protection des renseignements personnels sont plus nombreuses à conserver des renseignements sur papier, dans leurs locaux (79 % contre 64 à 65 % pour celles qui trouvent cela moins difficile).

La plupart des entreprises utilisent plusieurs méthodes d’entreposage des renseignements

Un peu plus des deux tiers (67 %) des entreprises canadiennes utilisent plus d’une méthode pour entreposer les renseignements personnels qu’ils ont recueillis au sujet de leurs clients. La plupart (36 %) ont recours à deux méthodes, tandis que 29 % en utilisent une seule, et 5 % n’en utilisent aucune.

Méthodes de conservation des renseignements personnels : Index

Une forte minorité utilise des méthodes de chiffrement sur les dispositifs portables

On a demandé aux dirigeants des entreprises qui utilisent des dispositifs portables, comme des ordinateurs portables, des clés USB et des tablettes, pour conserver les renseignements personnels de leurs clients si leur entreprise avait recours à des méthodes de chiffrement pour protéger l’information. Parmi les répondants, 44 % ont répondu par l’affirmative et 48 % par la négative, tandis que 7 % ne le savaient pas.

Utilisation du chiffrement dans des dispositifs portables

Les méthodes de chiffrement sont plus utilisées par les entreprises qui :

  • relèvent des industries principales (54 % contre 33 % dans les industries secondaires);
  • comptent plus de 100 employés (61 % contre 27 à 49 % pour les plus petites entreprises);
  • estiment que la protection des renseignements personnels est relativement importante (49 % contre 22 à 45 %);
  • se disent relativement au courant de leurs obligations en matière de protection des renseignements personnels (56 % contre 27 à 43 %).

La plupart des entreprises utilisent diverses mesures pour protéger les renseignements

Les entreprises canadiennes utilisent diverses mesures pour protéger les renseignements personnels de leurs clients. Près des trois quarts utilisent des outils technologiques, comme des mots de passe, le chiffrement ou des pare-feu (73 %), ou des mesures matérielles, comme le verrouillage des classeurs, la restriction de l’accès ou les alarmes de sécurité (72 %). À peine plus de la moitié (51 %) utilise des contrôles organisationnels, comme des politiques et des procédures.

Méthodes utilisées pour protéger les renseignements personnels des clients

Un petit nombre utilise d’autres mesures, comme le déchiquetage ou la destruction de l’information, ou l’entreposage des renseignements à la maison. Huit pour cent ne prennent aucune disposition.

Méthodes utilisées pour protéger les renseignements personnels des clients : Index

Vu sous un autre angle, 66 % des entreprises canadiennes utilisent plus d’une mesure pour protéger les renseignements personnels de leurs clients. À l’opposé, 33 % n’en utilisent qu’une seule.

Les différences suivantes entre les sous-groupes sont manifestes :

  • Les entreprises qui vendent directement aux clients sont moins susceptibles d’utiliser des outils technologiques (63 % contre 74 à 85 %), des mesures matérielles (68 % contre 71 à 77 %) et des contrôles organisationnels (42 % contre 55 à 58 %).
  • Le taux d’utilisation des outils technologiques, des mesures matérielles et des contrôles organisationnels augmente avec le nombre d’employés au sein d’une entreprise. Les travailleurs autonomes sont plus nombreux à ne prendre aucune disposition pour protéger les renseignements personnels (16 % contre 1 à 6 % pour les plus grandes entreprises).
  • Les entreprises ayant un seul emplacement sont moins nombreuses à utiliser des outils technologiques (70 % contre 75 à 86 %), des mesures matérielles (69 % contre 73 à 87 %) et des contrôles organisationnels (45 % contre 57 à 73 %). Inversement, la probabilité d’utiliser ces trois types de mesures augmente chez les entreprises ayant plus d’un emplacement au sein d’une même province.
  • Les entreprises québécoises sont proportionnellement moins nombreuses à utiliser des contrôles organisationnels (34 % contre 50 à 68 % dans les autres régions). À l’inverse, les entreprises de la Colombie-Britannique ont plus tendance à y avoir recours (68 %).
  • La probabilité qu’une entreprise utilise des outils technologiques, des mesures matérielles et des contrôles organisationnels augmente en fonction de l’importance qu’elle accorde à la protection des renseignements personnels, de sa connaissance des obligations en la matière et de sa préoccupation quant au risque d’atteinte à la protection des données. Les entreprises qui trouvent qu’il est difficile de respecter les lois en matière de protection des renseignements personnels ont plus de chance d’avoir recours à des mesures matérielles (84 % contre 72 à 74 %).

Les mots de passe — les outils technologiques de protection les plus courants

La vaste majorité (96 %) des entreprises qui utilisent des outils technologiques pour protéger les renseignements de leurs clients ont recours aux mots de passe. De plus, 79 % utilisent des pare-feu, et 43 % le chiffrement.

Outils technologiques utilisés

Les différences suivantes entre les sous-groupes sont manifestes :

  • La probabilité d’utiliser les trois types d’outils technologiques est plus faible chez :
    • les entreprises du Québec;
    • les entreprises qui vendent directement aux clients;
    • les travailleurs autonomes.
  • À l’inverse, les entreprises qui ont 100 employés et plus ont davantage tendance à utiliser ces trois types d’outils.
  • Les entreprises qui estiment que la protection des renseignements personnels est relativement peu importante sont moins portées à utiliser des mots de passe (90 % contre 97 à 100 %) et le chiffrement (27 % contre 39 à 46 %).
  • Celles qui sont relativement préoccupées par une atteinte à la protection des données sont plus portées à utiliser un pare-feu (84 % contre 73 à 75 %) et le chiffrement (48 % contre 31 à 40 %).

Parmi les entreprises qui utilisent des mots de passe, 55 % ont pris des dispositions pour que leurs employés utilisent des mots de passe difficiles à deviner. La plupart oblige également leurs employés à modifier leurs mots de passe : chaque mois (16 %), chaque trimestre (17 %), tous les six mois (10 %), une fois par année (12 %) ou moins fréquemment (7 %). Un peu plus du quart (27 %) n’impose pas de changement aux employés.

Mesures pour assurer de mots de passe difficiles à trouver

Fréquence de la modification obligatoire des mots de passe

Les différences suivantes entre les sous-groupes sont manifestes :

  • Les entreprises qui n’ont pas beaucoup d’employés sont plus susceptibles de ne jamais demander à leurs employés de changer leurs mots de passe : 33 % des travailleurs autonomes n’exigent jamais de changement de mot de passe, comparativement à 29 % des entreprises ayant de 2 à 19 employés, à 22 % des entreprises qui ont de 20 à 99 employés, et à 9 % des entreprises qui comptent 100 employés et plus. Les plus grandes entreprises obligent leurs employés à modifier leurs mots de passe plus fréquemment.
  • Il est plus probable qu’une entreprise qui accorde relativement peu d’importance à la protection des renseignements personnels (42 % contre 25 à 36 %) ou qui a un seul emplacement (31 % contre 20 à 23 %) n’oblige pas ses employés à changer leurs mots de passe.

La prise de mesures pour encourager les employés à choisir des mots de passe difficiles à deviner est plus fréquente chez les entreprises qui :

  • ont au moins 100 employés (72 % contre 48 à 56 % chez les plus petites entreprises);
  • qui relèvent des industries principales (62 % contre 46 % dans les industries secondaires);
  • ont plus d’un emplacement (65 à 74 % contre 50 % des entreprises ayant un seul emplacement).

La probabilité que de telles mesures soient prises est plus faible chez les entreprises qui :

  • estiment que la protection des renseignements personnels est relativement peu importante (30 % contre 49 à 59 %);
  • se disent relativement peu au courant de leurs obligations en matière de protection des renseignements personnels (44 % contre 51 à 61 %);
  • trouvent qu’il n’est ni facile ni difficile de respecter les lois en matière de protection des renseignements personnels au Canada (49 % contre 64 à 67 %).

Diversité des expériences concernant les pratiques de protection des renseignements personnels

On a demandé aux dirigeants d’entreprise s’ils avaient instauré des mécanismes relatifs à la protection des renseignements personnels, notamment les suivants :

  • la désignation d’un employé responsable des questions liées à la protection de la vie privée et des renseignements personnels que détient l’entreprise;
  • la prestation de formation sur les pratiques et les responsabilités appropriées en matière d’information, conformément aux lois en la matière au Canada;
  • la mise en place de procédures pour répondre aux demandes de leurs clients concernant l’accès à leurs renseignements personnels;
  • la mise en place de procédures pour gérer les plaintes des clients qui remettent en question le traitement de leurs renseignements personnels.

Le mécanisme le plus répandu, utilisé par les trois quarts des entreprises, est l’emploi de procédures visant à répondre aux demandes des clients concernant l’accès à leurs renseignements personnels. En deuxième place, mais assez loin derrière, arrive la désignation d’une personne comme responsable des questions liées à la protection des renseignements personnels (57 %). Près de la moitié des entreprises (48 %) ont en place des procédures pour gérer les plaintes des clients, tandis que 32 % donnent à leurs employés une formation sur la protection de l’information.

Pratiques visant à protéger la vie privée

Les différences suivantes entre les sous-groupes sont manifestes :

Q10:

Il existe un lien positif entre la probabilité qu’une entreprise désigne une personne responsable des questions liées à la protection des renseignements personnels et chacun des éléments suivants : la taille de l’entreprise; l’importance accordée par l’entreprise à la protection des renseignements personnels; la connaissance que l’entreprise dit avoir de ses obligations en matière de protection des renseignements personnels; l’impression pour l’entreprise qu’il est difficile de satisfaire aux lois sur la protection des renseignements personnels; et les préoccupations de l’entreprise quant à une atteinte à la protection des données. En tenant compte de ces liens, les entreprises sont plus susceptibles de désigner un responsable des questions liées à la protection des renseignements personnels si elles :

  • comptent au moins 100 employés (71 % contre 54 à 63 % chez les plus petites entreprises);
  • ont des emplacements à l’extérieur du Canada (74 % contre 56 à 63 %);
  • considèrent la protection des renseignements personnels comme étant relativement importante (62 % contre 35 % chez les entreprises y accordant plus ou moins d’importance);
  • s’estiment relativement au courant de leurs obligations en matière de protection des renseignements personnels (66 % contre 46 à 51 %);
  • trouvent qu’il est difficile de respecter les lois sur la protection des renseignements personnels (73 % contre 57 %);
  • sont relativement préoccupées par une atteinte à la protection des données (66 % contre 52 %).

Si l’on fait une comparaison régionale, les entreprises québécoises sont moins nombreuses à désigner un responsable des questions liées à la protection des renseignements personnels (39 % contre 59 à 71 % ailleurs).

Q11:

Il existe un lien positif entre la probabilité qu’une entreprise offre de la formation à ses employés et les éléments suivants : la taille de l’entreprise; l’importance accordée par l’entreprise à la protection des renseignements personnels; la connaissance que l’entreprise dit avoir de ses obligations en matière de protection des renseignements personnels; l’impression pour l’entreprise qu’il est difficile de satisfaire aux lois sur la protection des renseignements personnels; et les préoccupations de l’entreprise quant à une atteinte à la protection des données. Plus précisément, les entreprises sont plus susceptibles de donner de la formation à leurs employés si elles :

  • comptent au moins 100 employés (60 % contre 23 à 43 % chez les plus petites entreprises);
  • ont plus d’un emplacement (39 à 46 % contre 29 % chez les entreprises qui ont un seul emplacement);
  • considèrent la protection des renseignements personnels comme étant relativement importante (36 % contre 10 à 29 %);
  • s’estiment relativement au courant de leurs obligations en matière de protection des renseignements personnels (43 % contre 16 à 23 %);
  • trouvent qu’il est difficile de respecter les lois sur la protection des renseignements personnels (54 % contre 27 à 35 %);
  • sont relativement préoccupées par une atteinte à la protection des données (41 % contre 26 à 28 %);
  • vendent directement à la fois aux clients et à des entreprises (37 % contre 25 à 30 %);
  • relèvent d’une industrie principale (35 % contre 28 % dans les industries secondaires);
  • sont situées en Alberta (45 % contre 21 à 39 % dans les autres régions).
  • sont situées en Alberta (45 % contre 21 à 39 % dans les autres régions).

Q12:

Les entreprises sont plus susceptibles de mettre des procédures en place pour répondre aux demandes de leurs clients concernant l’accès à leurs renseignements personnels si elles :

  • relèvent d’une industrie principale (84 % contre 59 % dans les industries secondaires);
  • sont situées en Colombie Britannique (92 % contre 56 à 79 % dans les autres régions).

Q13:

Les entreprises sont plus susceptibles de mettre des procédures en place pour traiter les plaintes des clients si elles :

  • emploient beaucoup d’employés : 72 % des entreprises ayant 100 employés et plus ont de telles procédures en place, comparativement à 60 % chez les entreprises ayant de 20 à 99 employés, à 50 % chez les entreprises ayant de 2 à 19 employés, et à 32 % chez les travailleurs autonomes;
  • relèvent d’une industrie principale (56 % contre 38 % dans les industries secondaires);
  • ont plus d’un emplacement (56 à 65 % contre 44 % chez les entreprises qui ont un seul emplacement);
  • considèrent la protection des renseignements personnels comme étant relativement importante (54 % contre 19 à 51 %);
  • s’estiment relativement au courant de ses obligations en matière de protection des renseignements personnels (61 % contre 29 à 42 %).

Les entreprises les moins portées à instaurer de telles procédures sont celles du Québec (30 %), suivies de celles des Prairies (38 % contre 47 à 61 % ailleurs).

Les pratiques de protection des renseignements personnels ne varient pas significativement

La plupart des entreprises (55 %) n’utilisent aucun des mécanismes précités (26 %) ou un seul d’entre eux (29 %). À l’inverse, 44 % des entreprises utilisent plus d’un de ces mécanismes.

Pratiques visant à protéger la vie privée : Index

Depuis 2007, on assiste à une augmentation, toutefois inconstante, de la proportion des entreprises canadiennes qui ont des procédures en place pour répondre aux demandes de leurs clients concernant l’accès à leurs renseignements personnels. En 2007, 68 % des entreprises disposaient de telles procédures. En 2010, ce pourcentage avait chuté à 61 %, mais il s’est accru de nouveau pour atteindre 75 % en 2011. À l’inverse, en 2011, on a enregistré une baisse modeste du pourcentage des entreprises ayant des procédures pour traiter les plaintes des clients (48 % contre 54 % en 2010; 58 % en 2007) et qui ont offert de la formation sur la protection des renseignements personnels à leurs employés (32 % contre 37 % en 2010 et 33 % en 2007).Note de bas de page 6

Pratiques visant à protéger la vie privée (au fil du temps)

Politique sur la protection des renseignements personnels

La présente section aborde les politiques sur la protection des renseignements personnels, y compris les raisons pour lesquelles une entreprise implantera ou non une telle politique, la fréquence des mises à jour et la communication de cette politique aux clients.

La plupart des entreprises canadiennes ont des politiques sur la protection des renseignements personnels

Un peu plus de trois dirigeants sur cinq ont déclaré que leur entreprise avait une politique sur la protection des renseignements personnels. À l’inverse, 35 % ont déclaré ne pas en avoir, et 3 % étaient incertains.

Existence d'une politique sur la protection des renseignements peronnels

La propension à implanter une politique sur la protection des renseignements personnels est plus forte chez les entreprises qui :

  • emploient beaucoup d’employés : 88 % des entreprises ayant 100 employés et plus ont de telles procédures en place, comparativement à 73 % chez les entreprises ayant de 20 à 99 employés, à 63 % chez les entreprises ayant de 2 à 19 employés et à 53 % pour les travailleurs autonomes;
  • relèvent d’une industrie principale (68 % contre 53 % pour les entreprises des industries secondaires);
  • ont plus d’un emplacement (72 à 75 % contre 58 % chez les entreprises qui ont un seul emplacement);
  • considèrent la protection des renseignements personnels comme étant relativement importante (68 % contre 36 à 48 %);
  • s’estiment relativement au courant de leurs obligations en matière de protection des renseignements personnels (71 % contre 50 à 53 %);
  • sont relativement préoccupées par une atteinte à la protection des données (69 % contre 46 à 52 %).

Si l’on fait une comparaison régionale, les entreprises québécoises sont moins nombreuses à implanter des politiques sur la protection des renseignements personnels (47 % contre 54 à 70 % ailleurs).

L’absence de besoin — la principale raison pour ne pas instaurer de politique sur la protection des renseignements personnels

On a demandé aux dirigeants qui ont dit ne pas avoir de politique sur la protection des renseignements personnels d’en expliquer la raison. L’absence de besoin est la raison la plus répandue (45 %). Les autres explications qui revenaient assez souvent sont que l’entreprise est trop petite (17 %), qu’elle ne recueille pas les renseignements personnels de ses clients (14 %), ou qu’elle n’y a jamais pensé (10 %).

Raisons pout lesquelles l'entreprise n'a pas de politique sur la protection des renseignements personnels

Les réponses moins communes sont que l’entreprise n’a pas le temps d’élaborer une telle politique (4 %) et que les politiques relèvent d’un autre bureau (3 %). Dans la catégorie « autre », certains dirigeants ont indiqué qu’une politique était en cours de rédaction, tandis que d’autres ont dit ne pas savoir comment s’y prendre pour en concevoir une.

Les différences suivantes entre les sous-groupes sont manifestes :

  • Les travailleurs autonomes sont plus nombreux que les grandes entreprises à penser qu’ils n’ont pas besoin d’une politique sur la protection des renseignements personnels (60 % contre 40 à 41 %) ou que leur entreprise est trop petite (24 % contre 0 à 17 %).
  • Les entreprises qui vendent à d’autres entreprises sont plus susceptibles de dire que leur compagnie est trop petite pour avoir besoin d’une telle politique (26 % contre 11 à 14 %).
  • Les entreprises qui n’ont jamais pensé à implanter de politique sont surtout celles qui :
    • considèrent la protection des renseignements personnels comme n’étant ni importante, ni sans importance (41 % contre 3 à 8 %);
    • dont la connaissance des obligations en matière de protection des renseignements personnels se situe à mi-chemin entre celles qui ont une très grande connaissance et celles qui n’en connaissent rien (22 % contre 7 à 8 %).
  • Les entreprises qui ne sont ni préoccupées par une atteinte à la protection des données, ni indifférentes à ce risque, sont moins portées à dire qu’elles n’avaient pas besoin d’une politique sur la protection des renseignements personnels (25 % contre 46 à 48 %).
  • Les entreprises qui trouvent qu’il est difficile de respecter les lois en matière de protection des renseignements personnels sont moins susceptibles d’invoquer la taille de leur entreprise comme raison (6 % contre 17 à 18 %).

La plupart des entreprises actualisent leur politique sur la protection des renseignements personnels une fois par année

La majorité des entreprises mettent leur politique à jour une fois par année (57 %). Quatre pour cent le font chaque mois, 5 % chaque trimestre, 7 % aux six mois et 41 % chaque année. Seize pour cent attendent plus d’une année pour le faire, et 20 % n’ont jamais fait de mise à jour.

Fréquence de la mise à jour de la politique sur la protection des renseignements personnels

Les différences suivantes entre les sous-groupes sont manifestes :

  • Les plus petites entreprises ont plus tendance que les grandes à ne jamais actualiser leur politique sur la protection des renseignements personnels : 28 % des travailleurs autonomes ne font aucune mise à jour, comparativement à 21 % pour les entreprises ayant de 2 à 19 employés, à 9 % pour les entreprises ayant de 20 à 99 employés, et à 5 % pour les entreprises ayant 100 employés et plus.
  • Les entreprises ayant un seul emplacement ont plus tendance que les autres à ne jamais actualiser leur politique sur la protection des renseignements personnels (23 % contre 4 à 19 %).
  • Les entreprises qui ont dit ne jamais actualiser leur politique sur la protection des renseignements personnels sont surtout celles qui :
    • sont relativement peu au courant de leurs obligations en matière de protection des renseignements personnels (35 % contre 15 à 19 %);
    • estiment qu’il n’est ni facile ni difficile de respecter les lois en matière de protection des renseignements personnels (23 % contre 10 à 18 %);
    • sont relativement peu préoccupées par une atteinte à la protection des données (24 % contre 15 à 20 %).

Les entreprises ont une variété de raisons pour mettre à jour leur politique sur la protection des renseignements personnels

On a demandé aux dirigeants qui ont déclaré que leur entreprise actualisait sa politique sur la protection des renseignements personnels d’expliquer la raison de cette mise à jour. Environ le quart a donné l’une des raisons suivantes : examens prévus (26 %), changement à la législation sur la protection des renseignements personnels (25 %) et changements aux pratiques opérationnelles (24 %). Un bon nombre a également mentionné un problème ou une atteinte à la protection des renseignements personnels (14 %), ainsi qu’une plainte ou une préoccupation formulée par un client (13 %). Six pour cent ont parlé des changements technologiques au sein de l’entreprise.

Raisons pour lesquelles l'entreprise n'a pas de politique sur la protection des renseignements personnels

Les entreprises les plus susceptibles de mentionner les changements législatifs sont celles qui :

  • ont 100 employés et plus (41 % contre 24 à 27 %);
  • ont des emplacements dans plus d’une province au Canada (51 % contre 23 à 24 %);
  • sont relativement au courant de leurs obligations en matière de protection des renseignements personnels (29 % contre 12 à 19 %).

Les entreprises qui vendent à la fois aux clients et à d’autres entreprises sont moins nombreuses à invoquer un problème/une atteinte (9 % contre 16 à 21 %), mais plus susceptibles de mentionner des changements technologiques (11 % contre 3 à 4 %).

Les entreprises qui considèrent la protection des renseignements personnels comme étant relativement peu importante sont plus susceptibles de mentionner une plainte ou une préoccupation formulée par un client (28 % contre 11 à 17 %), et moins portées à faire référence à un examen planifié (3 % contre 28 à 32 %).

Celles qui accordent une importance modérée à la protection des renseignements personnels ont plus tendance à parler des problèmes/atteintes (39 % contre 6 à 13 %) et sont moins portées à noter les changements dans les pratiques opérationnelles (2 % contre 17 à 26 %).

Les entreprises qui estiment qu’il n’est ni facile ni difficile de respecter les lois sur la protection des renseignements personnels sont plus susceptibles d’invoquer une plainte/préoccupation formulée par un client (16 % contre 2 à 11 %).

La majorité des entreprises n’avisent pas les clients des changements apportés à la politique sur la protection des renseignements personnels

La plupart des entreprises qui actualisent leur politique sur la protection des renseignements personnels (63 %) n’avisent pas leurs clients des changements. À l’inverse, un peu plus du tiers (35 %) informent leurs clients des changements apportés; 16 % procèdent toujours ainsi, tandis que 19 % le font parfois.

Avis de changements apportés à la politique sur la protection des renseignements personnels

Les entreprises qui n’avisent jamais leurs clients lorsqu’elles mettent à jour leur politique sont le plus souvent celles qui :

  • ont un seul emplacement (69 % contre 42 à 58 %);
  • ont moins de 100 employés (56 à 71 % contre 40 % chez les entreprises qui ont 100 employés et plus);
  • considèrent la protection des renseignements personnels comme étant relativement peu importante (81 % contre 61 à 68 %);
  • sont relativement peu au courant de leurs obligations en matière de protection des renseignements personnels (76 % contre 58 à 67 %).

Les entreprises utilisent divers moyens pour communiquer leur politique sur la protection des renseignements à leurs clients

Les entreprises qui communiquent leur politique sur la protection des renseignements personnels le font de différentes façons, sans qu’aucune méthode ne domine. Ainsi, le plus grand nombre (26 %) la communiquent verbalement ou au téléphone, tandis que des proportions relativement similaires envoient une lettre aux clients (23 %), utilisent des documents imprimés comme des dépliants ou des brochures (20 %), placent une annonce sur leur site Web (19 %), ou envoient un courriel aux clients (18 %). Cinq pour cent des entreprises placent des affiches dans leurs bureaux, leurs magasins ou ailleurs. Parmi les autres moyens employés, certaines entreprises ont déclaré communiquer avec leurs clients de la manière choisie par ces derniers ou voir à fournir de l’information à jour à tous leurs clients.

Méthode utilisée pour communiquer aux clients la politique sur la protection des renseignements personnels

Les entreprises qui vendent directement à d’autres entreprises (41 % contre 11 à 19 %) et les entreprises qui ont plus d’un emplacement (30 % contre 4 à 16 %) sont plus susceptibles d’envoyer une lettre par la poste à leurs clients.

La probabilité de placer un avis sur le site Web de l’entreprise est plus élevée chez les entreprises des industries secondaires (34 % contre 14 % dans les industries principales) et les entreprises ayant des emplacements dans d’autres provinces au Canada (64 % contre 12 à 42 %).

La protection des renseignements personnels en tant qu’objectif organisationnel

La présente section aborde l’importance accordée par les entreprises à la protection des renseignements personnels et examine si elles y voient un avantage organisationnel.

La plupart des entreprises considèrent la protection des renseignements personnels comme étant très importante

Les dirigeants devaient attribuer une cote à l’importance que revêt la protection des renseignements personnels pour l’entreprise (sur une échelle de sept points où 1 signifie « pas du tout important » et 7 signifie « extrêmement important). Près de la moitié (49 %) ont répondu qu’elle était très importante, tandis que 28 % ont dit qu’elle était au moins modérément importante (cote de 5 ou 6). C’est donc dire que 77 % des entreprises canadiennes accordent une importance considérable à cette question.

Iimportance accordée à la protection des renseignements personnels

À l’inverse, 15 % des entreprises estiment que la protection des renseignements personnels est un objectif relativement peu important (optant pour une cote dans la moitié inférieure de l’échelle).

La probabilité d’attribuer une grande importance (6 ou 7) à la protection des renseignements personnels était plus grande chez les entreprises qui :

  • ont au moins 100 employés (77 % contre 59 à 66 % chez les plus petites entreprises);
  • relèvent des industries principales (68 % contre 53 % dans les industries secondaires);
  • sont relativement au courant de leurs obligations en matière de protection des renseignements personnels (79 % contre 38 à 45 %);
  • estiment qu’il est relativement facile de respecter les lois en matière de protection des renseignements personnels (70 % contre 57 à 66 %);
  • sont relativement préoccupées par une atteinte à la protection des données (75 % contre 52 à 60 %);
  • sont situées dans les provinces de l’Atlantique (75 % contre 54 à 69 % ailleurs).

Beaucoup d’entreprises voient la protection des renseignements personnels comme un avantage compétitif

On a demandé aux entreprises leur point de vue à l’égard de la protection des renseignements personnels. Près de la moitié d’entre elles (52 %) considèrent qu’il ne s’agit ni d’un avantage ni d’un désavantage organisationnel. Parmi les 39 % qui la considèrent comme un avantage concurrentiel, 24 % trouvent qu’il s’agit d’un avantage important, et 15 % qu’il est modéré. Peu d’entreprises (3 %) considèrent la protection des renseignements personnels comme un désavantage organisationnel.

La protection des renseignements personnels procure-t-elle un avantage concurrentiel?

Les entreprises sont portées à considérer la protection des renseignements personnels comme un avantage concurrentiel si elles :

  • emploient beaucoup d’employés : 58 % des entreprises qui ont au moins 100 employés voient les choses ainsi, comparativement à 42 % des entreprises qui ont de 20 à 99 employés, à 40 % des entreprises qui ont de 2 à 19 employés et à 35 % des travailleurs autonomes;
  • ont plus d’un emplacement (46 à 59 % contre 36 %);
  • attribuent une importance relative à la protection des renseignements personnels (47 % contre 10 à 23 %);
  • sont relativement au courant de leurs obligations en matière de protection des renseignements personnels (51 % contre 24 à 27 %);
  • estiment qu’il n’est ni facile ni difficile de respecter les lois en matière de protection des renseignements personnels (34 % contre 44 à 47 %);
  • sont relativement préoccupées par une atteinte à la protection des renseignements personnels (49 % contre 32 à 37 %).

Sensibilisation aux lois sur la protection des renseignements personnels et répercussions de ces lois

La présente section porte sur la sensibilisation des dirigeants aux lois sur la protection des renseignements personnels au Canada ainsi que sur la façon dont leurs entreprises ont réagi à la mise en place de ces lois. Les questions posées durant l’entrevue étaient précédées de la description suivante relative aux lois du Canada sur la protection des renseignements personnels :

La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie Britannique et au Québec, le secteur privé est régi par des lois provinciales, lesquelles sont considérées comme semblables à la loi fédérale.

Connaissance modérée des entreprises par rapport à leurs responsabilités aux termes des lois en matière de protection des renseignements personnels au Canada

On a demandé aux entreprises d’évaluer, sur une échelle de sept points, la mesure dans laquelle elles sont sensibilisées à leurs responsabilités aux termes des lois sur la protection des renseignements personnels du Canada (1 signifie « pas du tout sensibilisée » et 7 signifie « très sensibilisée »). Près d’une entreprise sur cinq (19 %) estime être très sensibilisée, et 35 % assez sensibilisées (cote de 5 ou 6). C’est donc dire qu’une légère majorité (54 %) se considère comme relativement bien au fait de ses responsabilités en matière de protection des renseignements personnels, puisqu’elle a opté pour une cote dans la partie supérieure de l’échelle.

Sensibilisation aux responsabilités aux termes des lois sur la protection des renseignements personnels

Par contre, 29 % des entreprises se disent relativement peu sensibilisées, puisqu’elles ont choisi une cote dans la moitié inférieure de l’échelle.

Il est plus probable que les entreprises se disent très au courant (6 ou 7) de leurs responsabilités aux termes des lois sur la protection des renseignements personnels au Canada si elles :

  • ont au moins 100 employés (55 % contre 30 à 40 % chez les plus petites entreprises);
  • relèvent des industries principales (39 % contre 20 % dans les industries secondaires);
  • attribuent une importance relative à la protection des renseignements personnels (37 % contre 9 à 10 %);
  • sont relativement préoccupées par une atteinte à la protection des renseignements personnels (39 % contre 17 à 27 %).

Cette probabilité est plus faible chez les entreprises qui estiment qu’il n’est ni facile ni difficile de respecter les lois en matière de protection des renseignements personnels (22 % contre 40 à 48 %).

Au fil des ans, le niveau de sensibilisation des entreprises à leurs responsabilités aux termes des lois sur la protection des renseignements personnels au Canada a connu une baisse modeste. En 2011, les dirigeants étaient moins portés à dire que leur entreprise était très sensibilisée à cet égard (6 ou 7), mais davantage à dire qu’elle l’était modérément (3 à 5) ou faiblement (1 ou 2).Note de bas de page 7

Connaissance des responsabilités découlant des lois sur la protection des renseignements personnels (au fil du temps)

Connaissance modérée de la LPRPDE

Les dirigeants devaient également évaluer leur degré de sensibilisation à la LPRPDE, la loi du gouvernement fédéral sur la protection des renseignements personnels, à l’aide de la même échelle sur sept points. Les résultats étaient plutôt semblables : 15 % des entreprises disent être extrêmement sensibilisées à cette loi, et 34 % ont choisi une cote de 5 ou 6. Près de la moitié des entreprises (49 %) ont choisi une cote dans la partie supérieure de l’échelle et sont donc relativement bien au fait de leurs responsabilités, contre 35 %, qui ont choisi une cote dans la moitié inférieure de l’échelle, laissant entendre qu’elles sont relativement peu sensibilisées à ces questions.

Sensibilisation à la LPRDE

La sensibilisation à la LPRPDE en particulier est donc légèrement plus faible que pour l’ensemble des lois sur la protection des renseignements personnels.

Il est plus probable que les entreprises se disent très au courant (6 ou 7) de la LPRPDE si elles :

  • relèvent des industries principales (36 % contre 17 % dans les industries secondaires);
  • ont au moins 100 employés (50 % contre 26 à 35 % chez les plus petites entreprises);
  • attribuent une importance relative à la protection des renseignements personnels (33 % contre 5 à 12 %);
  • se disent relativement au courant de leurs obligations en matière de protection des renseignements personnels (48 % contre 2 à 3 %);
  • estiment qu’il est difficile de respecter les lois en matière de protection des renseignements personnels (45 % contre 20 à 35 %);
  • sont relativement préoccupées par une atteinte à la protection des renseignements personnels (33 % contre 13 à 26 %).

Les lois sur la protection des renseignements personnels occasionnent diverses répercussions pour les entreprises

On a demandé aux dirigeants d’expliquer les répercussions qu’ont les lois sur la protection des renseignements personnels sur les entreprises canadiennes. Dans la plus grande proportion (59 %), les entreprises se disent tenues d’accorder davantage d’attention à la protection des renseignements personnels de leurs clients. Dans une proportion moins grande (52 %), les entreprises sont davantage sensibilisées à leurs obligations en matière de protection des renseignements personnels.

Quarante-sept pour cent ont déclaré que les lois sur la protection des renseignements personnels au Canada les ont amenés à accroître la sécurité pour mieux protéger les renseignements personnels de leurs clients. De plus, 36 % ont amélioré la formation fournie aux employés sur les obligations en matière de protection des renseignements personnels, et 27 % disent avoir constaté moins d’atteintes relativement aux renseignements personnels des clients.

Répercussions des lois sur la protection des renseignements personnels du Canada

Les différences suivantes entre les sous-groupes sont manifestes :

  • Il existe un lien positif entre la taille d’une entreprise et la probabilité qu’elle ressente les répercussions des lois sur la protection des renseignements personnels au Canada présentées dans le graphique précédent. Les entreprises ayant davantage d’employés sont plus susceptibles de subir toutes les répercussions.
  • Plus une entreprise ressent ces répercussions, plus elle est susceptible de considérer la protection des renseignements personnels comme étant relativement importante, d’être relativement au courant de ses obligations en matière de protection des renseignements personnels, d’être relativement préoccupée par une atteinte à la protection des données et d’estimer qu’il est difficile de respecter les lois sur la protection des renseignements personnels au Canada.
  • Les entreprises qui ont plusieurs emplacements au sein d’une même province sont plus portées à dire que leur entreprise subit l’ensemble des répercussions présentées dans le graphique précédent.
  • Les entreprises des industries principales sont proportionnellement plus nombreuses que celles des industries secondaires à se dire davantage préoccupées par la protection des renseignements personnels de leurs clients (63 % contre 55 %), à avoir rehaussé la sécurité pour protéger les renseignements personnels qu’elles détiennent (52 % contre 40 %) et à avoir amélioré la formation offerte à leurs employés sur la protection des renseignements personnels (42 % contre 38 %).
  • Les entreprises qui vendent directement à d’autres entreprises sont moins susceptibles de dire qu’elles connaissent maintenant mieux leurs obligations en matière de protection des renseignements personnels (44 % contre 54 à 58 %).
  • Les entreprises des Prairies sont moins portées à déclarer qu’elles sont davantage sensibilisées à leurs obligations en matière de protection des renseignements personnels en raison des lois en la matière au Canada (33 % contre 48 à 62 % ailleurs). Cette probabilité est la plus élevée au Québec (62 %).

Les dirigeants d’entreprise ont été moins nombreux en 2011 qu’en 2010 à dire que leur entreprise avait ressenti chacune des répercussions présentées dans le graphique précédent.Note de bas de page 8 Les écarts en pourcentage entre 2010 et 2011, pour chacune des répercussions, atteignaient entre 5 et 10 %.

Un peu plus de la moitié (53 %) des dirigeants ont déclaré que leur entreprise avait subi deux des répercussions présentées dans le graphique précédent ou plus. De ce fait, un peu moins de la moitié ont dit avoir ressenti une de ces répercussions (25 %) ou aucune (22 %).

Répercussions des lois sur la protection des renseignements personnels du Canada : Index

Conformité, atteintes et évaluation des risques

La présente section examine les impressions des entreprises quant au degré d’effort exigé pour respecter les lois sur la protection des renseignements personnels au Canada, les obstacles à la conformité, les enjeux liés aux atteintes à la protection des données et les approches de l’évaluation des risques pour la protection des renseignements personnels.

La moitié des entreprises estiment qu’il n’est ni facile ni difficile de respecter les lois

On a demandé aux dirigeants s’il a été difficile pour leur entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois sur la protection des renseignements personnels du Canada (sur une échelle de sept points où 1 signifie « extrêmement aisé » et 7 signifie « extrêmement difficile »). Près de la moitié (49 %) des entreprises ont donné une réponse neutre, c’est-à-dire qu’il n’a été ni facile ni difficile d’atteindre la conformité. La plupart des autres (34 %) ont indiqué que cette tâche s’est avérée facile à réaliser, contre 10 % qui l’ont trouvée difficile.

Complexité de la conformité

Les entreprises sont moins portées à dire qu’il est très facile (1 ou 2) de se conformer aux lois sur la protection des renseignements personnels au Canada si elles :

  • vendent à d’autres entreprises (21 % contre 28 à 32 %);
  • ont plus d’un employé (24 à 26 % contre 36 % chez les travailleurs autonomes);
  • relèvent des industries secondaires (23 % contre 31 % dans les industries principales);
  • accordent une importance modérée à la protection des renseignements personnels, à mi-chemin entre pas du tout importante et extrêmement importante (11 % contre 25 à 29 %);
  • se sentent moyennement préoccupées par une atteinte à la protection des données, à mi-chemin entre pas du tout préoccupées et extrêmement préoccupées (10 % contre 27 à 31 %).

Cette probabilité est plus forte chez les entreprises qui se disent relativement au courant de leurs obligations en matière de protection des renseignements personnels (33 % contre 20 à 22 %).

Les entreprises trouvent qu’il est devenu légèrement plus difficile que par le passé de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois sur la protection des renseignements personnels du Canada; elles sont moins nombreuses qu’auparavant à trouver cela très simple.

Difficulté perçue de la conformité

L’incompréhension de la loi — le principal obstacle à la conformité

C’est la compréhension vague de la loi qui est invoquée le plus souvent (19 %) comme le plus important obstacle ou problème relativement à l’observation des lois canadiennes. D’autres obstacles sont cités par 5 % ou moins des entreprises : exigences en personnel (5 %), formation/sensibilisation du personnel (4 %), coût de la conformité (non lié au personnel) (3 %), difficultés liées à la sécurisation des renseignements personnels (3 %), et défis posés par la nouvelle technologie (3 %). Les réponses relevant de la catégorie « autre », invoquées par 2 % ou moins des répondants, comprennent : l’évolution des lois; la paperasserie/bureaucratie; les obstacles à l’accès à l’information; les difficultés posées par la mise en œuvre suivie de la politique; le degré de sensibilisation des clients; et le volume d’information à protéger. Seize pour cent ont indiqué qu’il n’existait aucun obstacle à l’observation de la loi, et 38 % n’ont pas répondu à cette question.

Obstacles à la conformité

Les différences suivantes entre les sous-groupes sont manifestes :

  • Parmi les entreprises qui sont les plus susceptibles d’invoquer la compréhension vague de la loi, on trouve celles qui vendent directement à d’autres entreprises (26 % contre 15 à 18 %), celles qui ont des entreprises dans plus d’une province canadienne (36 % contre 17 à 29 %) et celles qui sont relativement peu au courant de leurs obligations en matière de protection des renseignements personnels (33 % contre 12 à 21 %). Cette probabilité est la plus faible chez les entreprises qui trouvent qu’il est facile de respecter les lois en matière de protection des renseignements personnels au Canada (12 % contre 22 %).
  • Les entreprises qui emploient au moins 100 employés sont moins portées que les plus petites à invoquer l’incompréhension de la loi (9 % contre 16 à 20 %), mais davantage à mentionner la formation/sensibilisation du personnel (9 % contre 1 à 5 %).
  • Parmi les entreprises qui sont les plus susceptibles de répondre qu’elles n’ont rencontré aucune difficulté liée au respect de la loi sur la protection des renseignements personnels, on note celles qui vendent directement aux clients (19 % contre 11 à 16 %) et celles qui se préoccupent relativement peu d’une atteinte à la protection des données (19 % contre 12 à 15 % chez celles qui sont davantage préoccupées).

Degrés de préoccupation par rapport aux atteintes à la protection des données situés aux extrémités de l’échelle

On a demandé aux entreprises dans quelle mesure, sur une échelle de 1 à 7 (où 1 signifie « pas du tout préoccupée » et 7 signifie « très préoccupée »), elles s’inquiètent d’une atteinte à la protection des données qui compromettrait les renseignements personnels de leurs clients.

La plus grande proportion, soit le tiers, n’est pas préoccupée par une atteinte à la protection des données, suivie d’une proportion de 23 %, qui est très préoccupée. Au total, 40 % ont choisi une cote dans la moitié supérieure de l’échelle, indiquant une préoccupation importante par rapport à une atteinte potentielle.

Préoccupation à l'égard d'une éventuelle atteinte à la protection des données

Avant de leur poser la question, on donnait l’information suivante aux dirigeants :

Parfois, les renseignements personnels de nature délicate qu’une entreprise détient sur ses clients sont compromis. Cela peut survenir pour maintes raisons, notamment des activités criminelles, une faille du système de sécurité de l’entreprise ou une erreur d’un employé, comme la perte d’un ordinateur portable ou d’un autre dispositif.

Les entreprises sont plus susceptibles de se préoccuper d’une atteinte à la protection des données (cote de 6 ou 7) si elles :

  • ont des emplacements dans plus d’une province canadienne (50 % contre 22 à 34 %);
  • accordent une importance relativement élevée à la protection des renseignements personnels (39 % contre 10 à 11 %);
  • se disent relativement au courant de leurs obligations en matière de protection des renseignements personnels (37 % contre 24 % chez celles qui se disent relativement peu au courant);
  • estiment qu’il est difficile de respecter les lois en matière de protection des renseignements personnels (60 % contre 27 à 33 %).

Au fil du temps, un écart s’est créé entre les entreprises canadiennes en ce qui concerne leur degré de préoccupation par rapport à une atteinte à la protection des données. Une augmentation de la proportion des entreprises qui sont très préoccupées par une atteinte a été constatée en 2011 (40 % contre 35 % en 2010), ainsi que de la proportion des entreprises qui sont le moins préoccupées ou ne le sont pas du tout (49 % contre 42 % en 2010). À l’inverse, on a assisté à une baisse du nombre d’entreprises qui sont modérément préoccupées par une atteinte (9 % contre 21 %).

Préoccupations relatives aux atteintes à la protection des données (au fil du temps)

Moins du tiers des entreprises ont des lignes directrices pour réagir en cas d’atteinte

Trente et un pour cent des entreprises sondées ont des lignes directrices pour donner suite à une atteinte aux renseignements personnels de leurs clients. À l’inverse, 63 % n’en ont pas, et 6 % n’étaient pas certaines.

Lignes directrices en cas d'atteinte

La probabilité d’instaurer des lignes directrices pour donner suite à une atteinte à la protection des données est plus forte chez les entreprises qui :

  • emploient beaucoup d’employés : 53 % des entreprises ayant 100 employés et plus ont de telles lignes directrices, comparativement à 37 % chez les entreprises ayant de 20 à 99 employés, à 32 % chez les entreprises ayant de 2 à 19 employés et à 24 % chez les travailleurs autonomes;
  • relèvent des industries principales (38 % contre 21 % dans les industries secondaires);
  • ont plus d’un emplacement (40 à 49 % contre 26 % des entreprises ayant un seul emplacement);
  • estiment que la protection des renseignements personnels est relativement importante (37 % contre 5 à 19 %);
  • se disent relativement au courant de leurs obligations en matière de protection des renseignements personnels (44 % contre 14 à 20 %);
  • sont relativement préoccupées par une atteinte à la protection des données (43 % contre 21 à 23 %);
  • trouvent qu’il est difficile de respecter les lois en matière de protection des renseignements personnels au Canada 52 % contre 25 à 37 %).

Cette probabilité est plus faible chez les entreprises qui trouvent qu’il n’est ni facile ni difficile de respecter les lois en matière de protection des renseignements personnels au Canada (25 % contre 37 à 52 %).

Relativement peu d’entreprises ont été confrontées à une atteinte à la protection des données

L’immense majorité (96 %) des entreprises n’ont jamais été confrontées à une atteinte à la protection des renseignements personnels de leurs clients. Seuls 3 % l’ont été (1 % étaient incertains).

Expérience d'une atteinte

Depuis 2010, la proportion des entreprises qui ont des lignes directrices pour donner suite à une atteinte à la protection des données et la proportion des entreprises qui n’ont jamais été confrontées à une telle atteinte sont demeurées relativement constantes.

Atteinte à la protection des données - Lignes directrices et expérience (au fil du temps)

On a demandé aux dirigeants dont l’entreprise avait déjà été confrontée à une atteinte d’expliquer ce qui a été fait pour régler la situation. La réponse la plus souvent donnée était d’avertir les personnes concernées (n=16). Parmi les autres réponses, il y avait : régler le problème avec les personnes directement concernées (n=6), aviser les organismes d’application de la loi (n=5), suivre des procédures adéquates (n=4), revoir la politique ou les procédures de l’entreprise relativement à la protection des renseignements personnels (n=4), instaurer un système de sécurité ou améliorer le système existant (n=4), avertir les organismes gouvernementaux (n=4), retenir les services d’un conseiller juridique ou entamer des poursuites (n=3), assurer la formation ou le perfectionnement des employés (n=2), aviser les ressources internes de l’entreprise (n=1) et obtenir de l’information auprès du gouvernement (n=1).

Un quart des entreprises ont des procédures pour évaluer les risques liés à la protection des renseignements personnels

Environ le quart (26 %) des entreprises canadiennes compte sur des politiques ou des procédures pour évaluer leurs risques, ce qui comprend l’évaluation des risques liés à la création ou à l’utilisation de technologies ou de nouveaux produits.

Procédures d'évaluation des risques d'atteinte à la protection des renseignements personnels

À l’inverse, 67 % des entreprises n’ont ni politique ni procédure de la sorte.

Les entreprises qui sont les moins susceptibles d’avoir des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels sont celles qui :

  • sont de petite taille : 17 % des travailleurs autonomes ont de telles politiques et procédures comparativement à 27 % chez les entreprises ayant de 2 à 19 employés, à 34 % chez les entreprises ayant de 20 à 99 employés et à 56 % chez les entreprises ayant 100 employés ou plus;
  • relèvent des industries secondaires (23 % contre 29 % dans les industries principales);
  • ont un seul emplacement (22 % contre 28 à 49 % chez les entreprises qui ont plusieurs emplacements);
  • considèrent la protection des renseignements personnels comme étant relativement peu importante (6 % contre 27 à 30 %);
  • se disent relativement peu au courant de leurs obligations en matière de protection des renseignements personnels (12 % contre 23 à 35 %);
  • sont relativement peu préoccupées par une atteinte à la protection des données (20 % contre 25 à 34 %).

Tiers

La présente section porte sur le recours aux tiers par les entreprises pour traiter et entreposer les renseignements personnels de leurs clients ou fournir d’autres services connexes.

Les deux tiers des entreprises savent qu’elles demeurent responsables de l’information transférée à des tiers

Environ les deux tiers (68 %) des entreprises savent que, quand une entreprise transfère les renseignements personnels de ses clients à un tiers aux fins du traitement et de l’entreposage ou pour tout autre service, notamment l’utilisation de l’infonuagique, elle demeure responsable de ces renseignements. À l’inverse, 31 % n’étaient pas au courant.

Sensibilisation aux responsabilités liées aux renseignements personnels transférés à une tierce partie

Les entreprises les plus susceptibles de savoir qu’elles conservent la responsabilité à l’égard des renseignements transférés à des tiers sont celles qui :

  • vendent directement à d’autres entreprises (75 % contre 63 à 70 %);
  • comptent plus de 20 employés (74 à 82 % contre 67 à 69 % chez les plus petites entreprises);
  • considèrent la protection des renseignements personnels comme étant relativement importante (72 % contre 49 à 65 %);
  • se disent relativement au courant de leurs obligations en matière de protection des renseignements personnels (78 % contre 52 à 65 %);
  • sont relativement préoccupées par une atteinte à la protection des données (74 % contre 63 à 71 %).

Peu d’entreprises font appel à des tiers, et la moitié qui le fait a des moyens pour protéger l’information

Une entreprise canadienne sur dix environ (9 %) recueille des renseignements personnels auprès de ses clients et les achemine à une autre entreprise aux fins du traitement et de l’entreposage et pour d’autres services.

Parmi les entreprises qui ont recours à des tiers, à peine plus de la moitié (54 %) a conclu un contrat ou dispose d’un autre moyen pour bien protéger les renseignements personnels des clients.

Recours à une tierce partie pour la gestion des renseignements personnels

Sont plus susceptibles d’avoir recours à des tiers les entreprises qui :

  • emploient beaucoup d’employés : 17 % des entreprises qui ont 100 employés ou plus font appel à des tiers, comparativement à 15 % des entreprises ayant de 20 à 99 employés, à 9 % des entreprises ayant de 2 à 19 employés et à 8 % des travailleurs autonomes;
  • relèvent des industries principales (13 % contre 4 % dans les industries secondaires);
  • se disent relativement au courant de leurs responsabilités en matière de protection des renseignements personnels (13 % contre 5 à 6 %).

La probabilité de conclure un contrat est plus grande chez les entreprises qui :

  • comptent au moins 100 employés (71 % contre 51 à 57 % chez les plus petites entreprises);
  • ont plus d’un emplacement (57 à 75 % contre 49 % chez les entreprises ayant un seul emplacement);
  • se disent relativement au courant de leurs responsabilités en matière de protection des renseignements personnels (66 % contre 34 à 37 %).

En 2011, une plus petite proportion de dirigeants qu’en 2010 a déclaré faire appel à des tiers pour traiter les renseignements personnels des clients (9 % contre 18 %).Note de bas de page 9 Une proportion légèrement plus grande (54 % contre 50 %) a conclu un contrat pour protéger l’information transférée à un tiers.

Recours à des tiers pour la gestion des renseignements personnels (au fil du temps)

Marché avec un tiers (au fil du temps)

Coopération avec les organismes d’application de la loi et le gouvernement

La présente section porte sur la coopération des entreprises avec les organismes d’application de la loi et le gouvernement à l’égard des lois sur la protection des renseignements personnels.

Un tiers des organismes évaluent les données des clients afin de déclarer les activités suspectes ou illégales

Près du tiers des entreprises évaluent les données des clients afin de déclarer les activités suspectes ou illégales aux organismes d’application de la loi et aux agences de sécurité gouvernementales, à tout le moins dans une certaine mesure. Neuf pour cent le font régulièrement, 6 % parfois, et 17 % rarement. À l’inverse, 64 % ont dit ne jamais procéder ainsi.

Parmi les entreprises qui procèdent à cette évaluation, 28 % affirment qu’on leur demande de le faire plus souvent aujourd’hui qu’il y a cinq ans.

Évaluation des données des clients pour le gouvernement ou les organismes d'application de la loi

Les entreprises les plus susceptibles de dire qu’elles n’évaluent jamais les données de leurs clients à des fins gouvernementales ou d’application de la loi sont celles qui :

  • emploient peu d’employés : 69 % des travailleurs autonomes ne le font jamais comparativement à 63 % des entreprises ayant de 2 à 19 employés, à 54 % des entreprises ayant de 20 à 99 employés et à 38 % des entreprises ayant 100 employés ou plus;
  • relèvent des industries secondaires (70 % contre 59 % dans les industries principales);
  • ont seulement un emplacement (68 % contre 50 à 59 % chez les entreprises ayant plus d’un emplacement);
  • considèrent la protection des renseignements personnels comme étant relativement peu importante (78 % contre 60 %);
  • se disent relativement peu au courant de leurs obligations en matière de protection des renseignements personnels (78 % contre 55 à 66 %);
  • sont relativement peu préoccupées par une atteinte à la protection des données (72 % contre 55 à 59 %).

Les travailleurs autonomes (77 % contre 55 à 58 % dans les plus grandes entreprises) et les entreprises ayant un seul emplacement (64 % contre 23 à 55 % des entreprises ayant plusieurs emplacements) étaient plus portés à dire qu’on leur demandait plus souvent qu’il y a cinq ans de déclarer les activités suspectes ou illégales.

Communications

La présente section contient les commentaires des participants sur les sources et les moyens utilisés par leur entreprise pour réunir de l’information sur la protection des renseignements personnels.

Internet, la principale source d’information en ce qui concerne les lois sur la protection des renseignements personnels

C’est vers Internet (40 %), et Google particulièrement (5 %), que les entreprises se tournent principalement pour obtenir des renseignements sur leurs responsabilités aux termes des lois sur la protection des renseignements personnels au Canada. Arrive en deuxième place le gouvernement fédéral (30 %), suivi d’assez loin par les gouvernements provinciaux (11 %), les ressources internes de l’entreprise (10 %) et le conseiller juridique (6 %).

Sont compris dans la catégorie « autre » les associations de l’industrie, les ressources gouvernementales génériques, le téléphone, la police/GRC ainsi que les administrations locales/municipales.Note de bas de page 10

Sources d'information possibles au sujet des lois sur la protection des renseignements personnels

Sont plus susceptibles de mentionner Internet les entreprises qui :

  • vendent directement à d’autres entreprises (46 % contre 36 à 40 %);
  • ont plus d’un employé (43 % contre 23 % chez les travailleurs autonomes);
  • sont relativement peu préoccupées par une atteinte à la protection des données (44 % contre 29 à 37 %).

Sont plus susceptibles de mentionner le gouvernement fédéral les entreprises qui :

  • relèvent des industries principales (33 % contre 25 % dans les industries secondaires);
  • se disent relativement peu au courant de leurs obligations en matière de protection des renseignements personnels (37 % contre 20 à 29 %);
  • considèrent la protection des renseignements personnels comme étant relativement peu importante (39 % contre 17 à 30 %).

Plus une entreprise compte d’employés, plus elle est susceptible de faire appel à ses ressources internes ou à un conseiller juridique.

Les entreprises manifestent peu d’intérêt pour l’information sur la protection des renseignements personnels dans d’autres langues

Seulement 3 % des dirigeants aimeraient obtenir de l’information sur les responsabilités de leur entreprise aux termes des lois sur la protection des renseignements personnels au Canada dans des langues autres que l’anglais et le français.

Obtebtuib d'information au sujet des lois sur la protection des renseignements personnels dans d'autres langues

Ces dirigeants (n=38) souhaiteraient obtenir ces renseignements dans les langues suivantes, toutes mentionnées un faible nombre de fois : chinois/mandarin, hollandais, italien, tagal, pendjabi, portugais et espagnol.Note de bas de page 11

Internet — la principale source où obtenir des précisions sur les responsabilités en matière de protection des renseignements personnels

Seulement 13 % des entreprises sondées ont déjà cherché à obtenir des clarifications sur leurs responsabilités aux termes des lois sur la protection des renseignements personnels au Canada. À l’inverse, 83 % d’entre elles n’ont jamais fait de telles recherches.

Celles qui ont cherché des précisions se sont tournées en grande partie vers Internet (28 %); arrivent ensuite les sources comme les experts de l’industrie, les sociétés d’experts-conseils ou les sources du domaine de l’éducation (16 %), les ressources internes de l’entreprise (15 %), les associations de l’industrie (13 %), les avocats (12 %) et le gouvernement/le commissaire à la protection de la vie privée (12 %).

Obtention de clarifications sur les responsabilités en matière de protection des renseignements personnels

La probabilité de chercher des clarifications quant aux responsabilités prévues par les lois sur la protection des renseignements personnels au Canada est plus forte chez les entreprises qui :

  • comptent plus de 20 employés (19 à 26 % contre 10 à 13 % chez les entreprises ayant moins de 20 employés);
  • ont des emplacements dans plusieurs provinces canadiennes (29 % contre 10 à 19 %);
  • considèrent la protection des renseignements personnels comme étant relativement importante (15 % contre 2 à 7 %);
  • se disent relativement au courant de leurs obligations en matière de protection des renseignements personnels (19 % contre 4 à 7 %);
  • trouvent qu’il est difficile de respecter les lois sur la protection des renseignements personnels au Canada (27 % contre 10 à 15 %);
  • sont relativement préoccupées par une atteinte à la protection des données (19 % contre 7 à 15 %).

Les entreprises qui vendent directement à d’autres entreprises sont plus portées à utiliser Internet (59 % contre 14 à 32 %).

En 2011, un moins grand nombre de dirigeants ont déclaré avoir tenté d’obtenir des précisions quant à leurs responsabilités aux termes des lois sur la protection des renseignements personnels au Canada qu’ils ne l’étaient en 2007 ou en 2010 (13 % contre 22 %).

Clarifications sur les responsabilités en matière de protection des renseignements personnels (au fil du temps)

En 2011, les dirigeants étaient moins portés à mentionner les avocats (12 % contre 36 %) et le gouvernement/commissaire à la protection de la vie privée (34 % contre 12 %) comme sources pouvant les aider à obtenir des précisions. Ils étaient plus enclins toutefois à indiquer Internet (28 % contre 18 %), les experts de l’industrie, les sociétés d’experts-conseils ou les sources du domaine de l’éducation (16 % contre 2 %), les ressources internes (15 % contre 6 %) et les associations de l’industrie (13 % contre 4 %).

Sensibilisation et formation

La présente section porte sur la façon dont les entreprises voient la sensibilisation et la formation liée à la protection des renseignements personnels ainsi que les modes de formation préférés.

Opinions divergentes quant à l’utilité de la formation sur la protection des renseignements personnels

On a demandé aux dirigeants d’évaluer la mesure dans laquelle il serait utile pour leur entreprise de recevoir de la formation sur les mesures à prendre pour se conformer aux lois sur la protection des renseignements personnels au Canada (sur une échelle de sept points où 1 signifie « pas du tout utile » et 7 signifie « très utile »). Près du tiers des entreprises (31 %) ont opté pour une cote dans la partie supérieure de l’échelle, jugeant cette formation utile, contre la plus grande proportion (32 %), qui ont choisi la cote la plus faible et la juge de toute évidence inutile pour leur entreprise. Un autre 20 % ont choisi une cote dans la partie inférieure de l’échelle, suggérant un manque d’intérêt flagrant pour ce type de formation.

Utilité de la formation sur la protection des renseignements personnels

Trente et un pour cent des entreprises voient l’utilité d’une telle formation (5 à 7), comparativement à 52 % qui la jugent inutile (1 à 3).

Les entreprises les plus portées à considérer la formation sur la protection des renseignements personnels comme étant utile sont celles qui :

  • vendent directement aux clients (22 % contre 13 à 17 %);
  • ont au moins 100 employés (33 % contre 15 à 19 %);
  • considèrent la protection des renseignements personnels comme étant relativement importante (20 % contre 9 à 13 %);
  • se disent relativement au courant de leurs obligations en matière de protection des renseignements personnels (22 % contre 11 à 17 %);
  • trouvent qu’il est difficile de respecter les lois sur la protection des renseignements personnels au Canada (39 % contre 14 à 19 %);
  • sont relativement préoccupées par une atteinte à la protection des données (28 % contre 10 à 11 %).

Avec le temps, les dirigeants ont commencé à avoir des opinions opposées sur l’utilité de la formation sur la protection des renseignements personnels. Depuis 2007, on constate une augmentation de la proportion des entreprises qui considèrent la formation comme étant relativement importante (5 à 7) (31 % contre 26 % en 2007; 23 % en 2010), ainsi que relativement sans importance (1 à 3) (52 % contre 39 % en 2007; 42 % en 2010), tandis que moins d’entreprises choisissent une cote médiane (4) (14 % contre 34 % en 2007; 33 % en 2010).

Utilité de la formation sur la protection des renseignements personnels (au fil du temps)

Séminaires sur le Web — le mode de formation préféré en ce qui concerne la protection des renseignements personnels

On a demandé aux dirigeants qui ont coté la formation sur la protection des renseignements personnels comme étant à tout le moins modérément utile (4 à 7) quel serait le meilleur mode de formation. Près des deux tiers (64 %) préféreraient les séminaires sur le Web, suivis du matériel et des outils autodidactiques comme les trousses d’information en ligne (56 %). Une forte minorité (39 %) opterait pour des séminaires en personne organisés dans différentes villes.

Moyens préférés de recevoir de la formation sur la protection des renseignements personnels

Les entreprises des industries principales sont plus susceptibles que celles des industries secondaires de mentionner les séminaires sur le Web (69 % contre 56 %).

Au fil du temps, la demande à l’égard de la formation en personne dans différentes villes a augmenté (39 % en 2011 contre 22 % en 2007 et 14 % en 2010) et celle pour les outils autodidactiques en ligne a diminué (56 % en 2011 contre 73 % en 2007 et 79 % en 2010). Dans les éditions précédentes du sondage, on ne mentionnait pas directement les séminaires sur le Web.

Commissariat à la protection de la vie privée

La présente section examine le niveau de sensibilisation aux ressources offertes par le Commissariat à la protection de la vie privée et l’utilisation qui en est faite, en plus d’en faire l’évaluation.

Une forte minorité est au fait des ressources du CPVP, mais la plupart des entreprises n’y ont jamais eu recours

Quarante pour cent des dirigeants interrogés savent que le CPVP offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels. À l’inverse, 50 % l’ignorent.

Parmi les entreprises qui connaissent les ressources du CPVP, près d’une sur 5 (19 %) y a déjà fait appel, tandis que 75 % ne l’ont pas fait.

En 2011, les entreprises canadiennes semblaient moins au fait des ressources offertes par le CPVP qu’en 2010 (40 % contre 55 %). Elles étaient également moins susceptibles de les avoir déjà utilisées (19 % contre 36 %). Note de bas de page 12

Connaissance et utilisation des ressources du CPVP

Les entreprises les plus susceptibles de se dire au courant des ressources offertes par le CPVP sont celles qui :

  • ont plus de 20 employés (47 à 55 % contre 38 à 40 % chez les entreprises ayant moins d’employés);
  • considèrent la protection des renseignements personnels comme étant relativement importante (43 % contre 25 à 38 %);
  • se disent relativement au courant de leurs obligations en matière de protection des renseignements personnels (50 % contre 28 %);
  • trouvent qu’il est facile de respecter les lois sur la protection des renseignements personnels au Canada (44 % contre 28 à 39 %).

Si l’on fait une comparaison par région, les entreprises du Québec (19 %), suivies de celles des provinces de l’Atlantique (35 % contre 40 à 52 % ailleurs) connaissent moins bien les ressources offertes.

Les entreprises qui sont les plus susceptibles de n’avoir jamais utilisé les ressources du CPVP sont celles qui :

  • sont de plus petite taille : 89 % des travailleurs autonomes comparativement à 75 % des entreprises ayant de 2 à 19 employés, à 57 % des entreprises ayant de 20 à 99 employés et à 49 % des entreprises ayant 100 employés ou plus;
  • ont un seul emplacement (78 % contre 45 à 70 %);
  • considèrent la protection des renseignements personnels comme étant relativement peu importante (97 % contre 72 à 74 %);
  • se disent relativement peu au courant de leurs obligations en matière de protection des renseignements personnels (85 % contre 70 % qui se disent relativement au courant);
  • ne trouvent pas qu’il est difficile de respecter les lois sur la protection des renseignements personnels au Canada (75 à 77 % contre 54 % qui trouvent cela difficile);
  • sont situées au Québec (94 % contre 70 à 78 % ailleurs).

Le site Web de la CPVP — la ressource la plus utilisée

On a demandé aux entreprises qui ont fait appel aux ressources du CPVP lesquelles de ces ressources elles ont utilisées. La ressource à laquelle les entreprises ont eu recours le plus souvent est de loin le site Web du CPVP (47 %); suivent les publications du CPVP (14 %), les renseignements généraux (7 %), le Centre d'information du CPVP (4 %) et une présentation ou un exposé du CPVP (3 %).

Ressources du CPVP utilisées

Les ressources du CPVP qualifiées d’utiles

On a demandé aux dirigeants des entreprises qui ont utilisé les ressources du CPVP d’évaluer dans quelle mesure elles ont aidé leur entreprise à assumer ses obligations en matière de protection des renseignements personnels (sur une échelle de 1 à 7 où 1 signifie « pas du tout utiles » et 7 signifie « très utiles »). Au total, 72 % ont choisi une cote dans la partie supérieure de l’échelle, indiquant qu’ils considéraient les ressources comme étant à tout le moins modérément utiles (16 % les ont qualifiées de très utiles). Un nombre relativement peu élevé d’entreprises (8 %) ont coté les outils comme n’étant pas du tout utiles (1 à 3).

Utilité des ressources du CPVP

En 2011, les entreprises étaient proportionnellement plus nombreuses à trouver les ressources du CPVP utiles (5 à 7) qu’en 2010 (72 % contre 55 %).

Utilité perçu des ressources du CPVP

On a demandé aux dirigeants qui ont trouvé les ressources du CPVP très peu utiles (1 à 3; n=7) de préciser pourquoi. Certains ont dit qu’elles étaient trop difficiles à comprendre, que le personnel du CPVP n’avait pas su les aider, qu’ils n’avaient pas confiance en cette information ou qu’ils avaient eu de la difficulté à la trouver.

Caractéristiques des répondants au sondage

Le tableau suivant présente les caractéristiques des répondants au sondage (données non pondérées).

Caractéristiques des répondants au sondage
Emplacement de l'entreprise Total
Base (N) 1006
Elle œuvre uniquement à cet emplacement 61%
Il y a d’autres emplacements, mais seulement dans la province 17%
Il y a d’autres emplacements dans d’autres provinces, mais seulement au Canada 10%
Il y a d’autres emplacements, y compris à l’étranger 11%
Ne sait pas/N’a pas répondu 1%
Région Total
Base (N) 1006
Atlantique 7%
Québec 22%
Région du Grand Toronto 15%
Reste de l’Ontario (excluant la région du Grand Toronto) 20%
Prairies 8%
Alberta 14%
Colombie-Britannique 15%
Nombre d'employés Total
Base (N) 1006
1 à 19 50%
20 à 99 30%
100 et plus 20%
Revenus de l'entreprise en 2010 Total
Base (N) 1006
Moins de 100 000 $ 10%
100 000 à 249 999 $ 10%
250 000 $ à 499 999 $ 8%
500 000 $ à 999 999 $ 9%
1 000 000 $ à 4 999 999 $ 19%
5 000 000 $ à 9 999 999 $ 7%
10 000 000 $ à 19 999 999 $ 6%
20 000 000 $ et plus 11%
Ne sait pas/N’a pas répondu 21%
Industrie Total
Base (N) 1006
Commerce de détail 13%
Services professionnels, scientifiques et techniques 8%
Soins de santé et assistance sociale 3%
Hébergement et restauration 9%
Finance et assurances 7%
Transport et entreposage 6%
Industrie de l’information et industrie culturelle 2%
Arts, spectacles et loisirs 3%
Services immobiliers et services de location et de location à bail 3%
Services d’enseignement 1%
Administrations publiques 1%
Services publics 1%
Services administratifs, de soutien, de gestion des déchets et d’assainissement <1%
Autres services (sauf les administrations publiques) 16%
Construction 8%
Fabrication 10%
Commerce de gros 3%
Agriculture, foresterie, pêche et chasse 4%
Extraction minière et extraction de pétrole et de gaz 3%
Distribution 1%
Gestion de sociétés et d’entreprises 1%
Poste au sein de l'entreprise Total
Base (N) 1006
Propriétaire, président ou PDG 35%
Directeur général ou autre gestionnaire 25%
Administration 7%
Vice-président 3%
RH/Opérations 10%
Analyste, agent ou coordonnateur en matière de protection des renseignements personnels 2%
Comptabilité 3%
Autre 15%

Annexe

Questionnaire

Commissariat à la protection de la vie privée Sondage auprès des entreprises 2011

Version finale : 2 décembre 2011

Bonjour, je m’appelle ________. Je vous appelle au nom de Phoenix, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du commissaire à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.

Pourrais-je parler à la personne qui est le plus au courant du genre de renseignements personnels que vous recueillez sur vos clients et la façon dont ces renseignements sont conservés et utilisés? Il pourrait s’agir de la personne de votre entreprise qui est responsable de la protection de la vie privée, si ce poste existe.

  • SI LA PERSONNE EST DISPONIBLE, POURSUIVRE. RÉPÉTER L’INTRODUCTION, AU BESOIN.
  • SI ELLE N’EST PAS DISPONIBLE, PRÉVOIR UN NOUVEL APPEL.

Le sondage dure environ 15 minutes, n’est pas obligatoire et est entièrement confidentiel. Vos réponses demeureront anonymes. Puis-je continuer?

[ ] Oui, maintenant (POURSUIVRE)
[ ] Non, rappelez plus tard. Établir la date et l’heure : Date :    Heure :
[ ] Refus (REMERCIER LA PERSONNE ET METTRE FIN À L’APPEL)


Interviewer Notes:

REMARQUES AU RESPONSABLE DE L’ENTREVUE

SI LE RÉPONDANT DEMANDE LA DURÉE DU SONDAGE, LUI DIRE QUE CELA DEVRAIT PRENDRE ENVIRON 15 MINUTES.

SI LE RÉPONDANT QUESTIONNE LA VALIDITÉ DU SONDAGE, LUI DEMANDER D’APPELER HEATHER ORMEROD DU COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE AU 613 947 8416 (OU DEMANDER À HEATHER D’APPELER LE RÉPONDANT) OU DE TÉLÉPHONER AU SYSTÈME NATIONAL D’ENREGISTREMENT DES SONDAGES (VOIR CI-DESSOUS).

SI LE RÉPONDANT LE DEMANDE, LE SONDAGE EST ENREGISTRÉ DANS LE SYSTÈME NATIONAL D’ENREGISTREMENT DES SONDAGES :
Le système d’enregistrement a été créé par le secteur de la recherche par sondage afin de permettre au public de vérifier la légitimité d’un sondage, de se renseigner sur le secteur ou de déposer une plainte. Le numéro de téléphone sans frais du système d’enregistrement est le 1 888 602 6742, poste 8728.

CERTAINES QUESTIONS SONT DES QUESTIONS DE SUIVI UTILISÉES DANS DES SONDAGES ANTÉRIEURS. LES QUESTIONS DE SUIVI SONT MARQUÉES DE LA FAÇON SUIVANTE : S2010 = SUIVI (S) DU SONDAGE AUPRÈS DES ENTREPRISES 2010.

LES TITRES EN BLEU NE DOIVENT PAS ÊTRE LUS AUX RÉPONDANTS.

LE CHOIX « NE SAIT PAS/AUCUNE RÉPONSE » DOIT ÊTRE FOURNI POUR TOUTES LES QUESTIONS.


  1. Lequel des énoncés suivants décrit le mieux votre entreprise? (LIRE LA LISTE, ACCEPTER UNE RÉPONSE) S2010
    1. Elle vend directement aux clients
    2. Elle vend directement à d’autres entreprises/organisations
    3. Elle vend directement aux clients et à d’autres entreprises/organisations
    • Autre, veuillez préciser : _____________________

    (NE PAS LIRE : ENTREPRISE SANS BUT LUCRATIF, REMERCIER LA PERSONNE ET METTRE FIN À L’APPEL; NSP/AR, REMERCIER LA PERSONNE ET METTRE FIN À L’APPEL)

  2. Environ combien d’employés travaillent pour votre entreprise au Canada? Veuillez considérer les employés à temps partiel comme des équivalents temps plein. (NE PAS LIRE LA LISTE)
    1. Un (c. à. d. travailleur indépendant)
    2. 2 à 4
    3. 5 à 9
    4. 10 à 19
    5. 20 à 49
    6. 50 à 99
    7. 100 à 149
    8. 150 à 199
    9. 200 à 249
    10. 250 à 299
    11. 300 à 499
    12. 500 à 999
    13. 1,000 à 4,999
    14. Plus de 5 000

Section 1: Pratiques liées à la protection des renseignements personnels

J’aimerais commencer par vous demander quels types de renseignements personnels vous conservez sur vos clients dans votre entreprise. Par renseignements personnels, j’entends, par exemple, le nom, l’âge, l’adresse, le revenu ou l’adresse courriel d’un client. Il peut également s’agir d’autres renseignements, comme les opinions, les achats, les dossiers de crédit ou de prêt et les dossiers d’un différend entre un client et un marchand. S2010 MODIFIÉ

  1. Parmi les choix suivants, quels types de renseignements recueillez-vous sur vos clients dans votre entreprise? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES) S2010 MODIFIÉ
    1. Coordonnées, comme le nom, les numéros de téléphone et l’adresse
    2. Opinions, évaluations et commentaires
    3. Habitudes de consommation
    4. Renseignements financiers tels que factures, cartes de crédits, ou dossiers bancaires
    5. Renseignements médicaux
    6. Renseignements sur l’emplacement, comme le code postal
    • Autres renseignements. Le cas échéant, veuillez préciser : ________
    1. Aucune de ces réponses (NE PAS LIRE)
  2. Parmi les choix suivants, de quelles manières entreposez-vous les renseignements personnels de vos clients dans votre entreprise? Les renseignements sont-ils…? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES) S2010 MODIFIÉ
    1. entreposés sur place en format papier
    2. entreposés sur place dans des serveurs
    3. entreposés dans des ordinateurs de bureau
    4. entreposés dans des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes
    5. entreposés par voie électronique grâce à l’infonuagique*
    6. entreposés par un tiers, à l’exception de l’infonuagique**
    7. entreposés d’une autre manière : le cas échéant, veuillez préciser _____

**REMARQUE AU RESPONSABLE DE L’ENTREVUE : SI LE RÉPONDANT NE SAIT PAS CE QU’EST L’INFONUAGIQUE, LUI DIRE QU’IL S’AGIT DE LA FOURNITURE DE RESSOURCES INFORMATIQUES PAR INTERNET. PLUTÔT QUE DE CONSERVER DES DONNÉES SUR VOTRE DISQUE DUR OU DE METTRE À JOUR DES APPLICATIONS POUR VOS PROPRES BESOINS, VOUS FAITES APPEL AU SERVICE D’UN TIERS PAR INTERNET, LEQUEL ŒUVRE À UN AUTRE ENDROIT ET VOUS PERMET D’ENTREPOSER VOS RENSEIGNEMENTS OU D’UTILISER SES APPLICATIONS.
****REMARQUE AU RESPONSABLE DE L’ENTREVUE : POUR CETTE QUESTION, IL FAUT DISTINGUER L’INFONUAGIQUE DE L’ENTREPOSAGE PAR UN TIERS.

SI LES RENSEIGNEMENTS SONT « ENTREPOSÉS DANS DES DISPOSITIFS PORTABLES », POSER LA QUESTION SUIVANTE :

  1. Dans votre entreprise, utilisez-vous le chiffrement pour protéger les renseignements personnels que vous entreposez dans des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes?
    1. Oui
    2. Non

POSER LA QUESTION SUIVANTE À TOUS LES RÉPONDANTS :

  1. Quelles mesures prenez-vous pour protéger les renseignements personnels de vos clients? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES) S2010 MODIFIÉ
    1. Mesures matérielles, comme le verrouillage des classeurs, la restriction de l’accès ou les alarmes de sécurité.
    2. Outils technologiques, comme des mots de passe, le chiffrement ou des pare-feux.
    3. Contrôles organisationnels, comme des politiques et des procédures.
    4. Autre mesure. Le cas échéant, veuillez préciser : ______________
    5. Aucune mesure prise

SI DES « OUTILS TECHNOLOGIQUES » SONT UTILISÉS, POSER LA QUESTION SUIVANTE :

  1. Parmi les choix suivants, quels outils technologiques utilisez-vous? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES)
    1. Mots de passe
    2. Chiffrement
    3. Pare-feux

SI DES « MOTS DE PASSE » SONT UTILISÉS, POSER LES DEUX QUESTIONS SUIVANTES :

  1. À quelle fréquence demandez-vous à vos employés de modifier leurs mots de passe? (NE PAS LIRE LA LISTE. ACCEPTER UNE RÉPONSE)
    1. Chaque mois
    2. Chaque trimestre
    3. Tous les six mois
    4. Une fois par année
    5. Moins fréquemment
    6. LIBRE : Les employés ne sont pas tenus de modifier leurs mots de passe
  2. Avez-vous pris des mesures pour veiller à ce que les employés utilisent des mots de passe difficiles à deviner?
    1. Oui
    2. Non

POSER LES QUESTIONS SUIVANTES À TOUS LES RÉPONDANTS :

  1. Dans votre entreprise, est-ce qu’une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient? S2010 MODIFIÉ
    1. Oui
    2. Non
  2. Comptez-vous des employés ayant reçu une formation sur les pratiques adéquates en matière d’information et les responsabilités connexes aux termes des lois sur la protection des renseignements personnels du Canada? S2010
    1. Oui
    2. Non              PASSER LA QUESTION QUI SUIT
  3. Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels? S2010 MODIFIÉ
    1. Oui
    2. Non
  4. Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements ont été traités de façon inadéquate? S2010 MODIFIÉ
    1. Oui
    2. Non

Section 2 : Politique sur la protection des renseignements personnels

  1. Est-ce que votre entreprise a une politique sur la protection des renseignements personnels?
    1. Oui              PASSER LA QUESTION QUI SUIT
    2. Non

POSER LA QUESTION SUIVANTE SI L’ENTREPRISE N’A PAS DE POLITIQUE SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS :

  1. Quelle est la raison principale pour laquelle votre entreprise n’a pas de politique sur la protection des renseignements personnels? (NE PAS LIRE LA LISTE. ACCEPTER UNE RÉPONSE)
    1. Nous ne croyons pas que cela est nécessaire
    2. Nous n’y avons jamais pensé
    3. Les renseignements personnels des clients de l’entreprise ne sont pas recueillis
    4. Nous sommes en train d’élaborer une politique sur la protection des renseignements personnels
    5. Nous ne savons pas comment élaborer une politique sur la protection des renseignements personnels
    • Autre (préciser) : ________________

POUR LES RÉPONDANTS DONT L’ENTREPRISE N’A PAS DE POLITIQUE SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS, PASSER À LA SECTION QUI SUIT.

  1. À quelle fréquence mettez-vous à jour votre politique sur la protection des renseignements personnels? (LIRE LA LISTE)
    1. Une fois par mois ou plus fréquemment
    2. Une fois tous les trois mois
    3. Une fois tous les six mois
    4. Une fois par année
    5. Moins d’une fois par année
    6. Jamais              PASSER À LA SECTION SUIVANTE
  2. Dans quelles situations mettez-vous à jour votre politique sur la protection des renseignements personnels? J’entends par « situations » les conditions ou les événements qui vous mènent à mettre à jour la politique de votre entreprise. (NE PAS LIRE LA LISTE; ACCEPTER PLUSIEURS RÉPONSES)
    1. Changement de la loi
    2. Nouvelle campagne de marketing
    3. Changement des pratiques opérationnelles
    4. Changement des technologies utilisées par l’organisation
    5. Pendant les examens prévus (p. ex. une fois par année)
    • Autre. Préciser : ____________________
  3. Est-ce que vous avertissez vos clients quand vous apportez des changements à votre politique sur la protection des renseignements personnels? Les avertissez vous…?
    1. Toujours
    2. Parfois
    3. Jamais

SI LE RÉPONDANT A DÉCLARÉ « TOUJOURS » OU « PARFOIS », POSER LA QUESTION SUIVANTE :

  1. De quelle façon communiquez-vous votre politique sur la protection des renseignements personnels à vos clients? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES)
    1. Courriel
    2. Avis sur le site Web
    3. Lettre aux clients
    4. Affiches dans les bureaux, les magasins ou ailleurs
    • Autre (préciser) : ________________

Section 3 : La protection des renseignements personnels en tant qu’objectif organisationnel

  1. Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise? Veuillez utiliser une échelle de 1 à 7, où 1 signifie que cela n’est pas un objectif organisationnel important et 7 signifie qu’il s’agit d’un objectif très important.
  2. Dans votre entreprise, quel est le point de vue à l’égard de la protection des renseignements personnels? Considérez-vous qu’il s’agit d’un avantage concurrentiel important, d’un avantage concurrentiel modéré, d’un désavantage organisationnel modéré, d’un désavantage organisationnel important, ou qu’il ne s’agit ni d’un avantage ni d’un désavantage organisationnel?

Section 4 : Sensibilisation aux lois sur la protection des renseignements personnels et répercussions de ces lois

La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie Britannique et au Québec, le secteur privé est régi par des lois provinciales, lesquelles sont considérées comme semblables à la loi fédérale. S2010 MODIFIÉ

  1. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout sensibilisée et 7 signifie très sensibilisée. S2010 MODIFIÉ
  2. En raison des lois sur la protection des renseignements personnels du Canada, considérez-vous que votre entreprise…? (LIRE LA LISTE EN DÉSORDRE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES) S2010 MODIFIÉ
    1. est davantage sensibilisée à ses obligations en matière de protection des renseignements personnels
    2. a amélioré la formation fournie aux employés sur les obligations en matière de protection des renseignements personnels
    3. prête davantage attention à la protection des renseignements personnels de ses clients
    4. a accru la sécurité liée aux renseignements personnels qu’elle détient sur ses clients
    5. a été confrontée à moins d’atteintes* relativement aux renseignements personnels des clients

    *REMARQUE AU RESPONSABLE DE L’ENTREVUE : SI LE RÉPONDANT NE SAIT PAS CE QU’EST UNE ATTEINTE, LUI INDIQUER QU’UNE ATTEINTE À LA SÉCURITÉ EST UNE SITUATION OÙ LA CONFIDENTIALITÉ DES RENSEIGNEMENTS PERSONNELS A ÉTÉ COMPROMISE D’UNE FAÇON OU D’UNE AUTRE (P. EX. ERREUR D’UN EMPLOYÉ, ACCÈS NON AUTORISÉ, PIRATES).

  3. En ce qui concerne la LPRPDE, la loi du gouvernement fédéral sur la protection des renseignements personnels, dans quelle mesure considérez-vous que votre entreprise y est sensibilisée? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout sensibilisée et 7 signifie très sensibilisée.

Section 5 : Conformité, atteintes et évaluation des risques

  1. Dans quelle mesure a-t-il été difficile dans votre entreprise de rendre vos pratiques de traitement des renseignements personnels conformes aux lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie extrêmement aisé, 7, extrêmement difficile et 4, ni aisé ni difficile. S2010 MODIFIÉ
  2. Selon vous, quel est le plus important obstacle ou défi en ce qui concerne se conformer aux lois sur la protection des renseignements personnels du Canada? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES)
    1. Compréhension vague de la loi
    2. Le personnel doit y allouer du temps
    3. Coût de la conformité (coûts non liés au personnel)
    • Autre : Préciser _______________

    Parfois, les renseignements personnels de nature délicate qu’une entreprise détient sur ses clients sont compromis. Cela peut survenir pour maintes raisons, notamment des activités criminelles, une faille du système de sécurité de l’entreprise ou une erreur d’un employé, comme la perte d’un ordinateur portable ou d’un autre dispositif. S2010 MODIFIÉ

  3. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout préoccupé et 7, très préoccupé. S2010 MODIFIÉ
  4. Est-ce que votre entreprise a des lignes directrices en cas d’atteinte qui compromettrait les renseignements personnels de vos clients? S2010
    1. Oui
    2. Non
  5. Votre entreprise a-t-elle déjà été confrontée à une atteinte qui a compromis les renseignements personnels de vos clients? S2010 MODIFIÉ
    1. Oui
    2. Non              SAUTER LA QUESTION QUI SUIT

POSER LA QUESTION SUIVANTE AUX RÉPONDANTS AYANT INDIQUÉ QUE LEUR ENTREPRISE AVAIT ÉTÉ CONFRONTÉE À UNE ATTEINTE À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS :

  1. Qu’avez-vous fait pour régler cette situation? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES) S2010
    1. Avertissement des personnes concernées
    2. Avertissement des organismes gouvernementaux qui surveillent les lois sur la protection des renseignements personnels du Canada
    3. Avertissement des organismes d’application de la loi
    4. Suivi la procédure adéquate (générale)
    5. Avertissement du siège social, des RH ou du service responsable de la protection des renseignements personnels de l’entreprise
    6. Recours à un conseiller juridique ou poursuite en justice
    7. Règlement du problème avec les personnes responsables de l’atteinte (p. ex. congédiement ou réprimande de l’employé)
    8. Obtention de renseignements du gouvernement (sites Web, numéros 1-800)
    9. Formation ou formation d’appoint du personnel
    10. Examen des politiques ou des pratiques en matière de protection des renseignements personnels
    11. Mise en place d’un système de sécurité ou accroissement de la sécurité
    • Autre (préciser) : ________________

POSER LA QUESTION SUIVANTE À TOUS LES RÉPONDANTS :

  1. Votre entreprise compte-t-elle sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels? Cela comprend l’évaluation des risques liés à la création ou à l’utilisation de technologies, de produits ou de services nouveaux.
    1. Oui
    2. Non

Section 6: Tiers

  1. Dans votre entreprise, recueillez-vous des renseignements personnels auprès des clients pour ensuite les acheminer à une autre entreprise aux fins de traitement et d’entreposage ou pour tout autre service? S2010 MODIFIÉ
    1. Oui
    2. Non
  2. Saviez-vous que, quand une entreprise transfère les renseignements personnels de ses clients à un tiers aux fins de traitement et d’entreposage ou pour tout autre service, notamment l’utilisation de l’infonuagique, elle demeure responsable de ces renseignements?
    1. Oui
    2. Non

POSER LA QUESTION SUIVANTE SEULEMENT AUX RÉPONDANTS DONT L’ENTREPRISE FAIT APPEL À UN TIERS (Q38) OU UTILISE L’INFONUAGIQUE (Q4) :

  1. Avez-vous conclu un marché ou pris d’autres mesures pour veiller à ce que les renseignements personnels de vos clients qui sont traités ou entreposés par une autre entreprise, y compris par l’entremise de l’infonuagique*, soient protégés adéquatement? S2010 MODIFIÉ
    1. Oui
    2. Non

    *NE LIRE L’ÉNONCÉ « Y COMPRIS PAR L’ENTREMISE DE L’INFONUAGIQUE » QUE POUR LES RÉPONDANTS QUI UTILISENT ACTUELLEMENT CE PROCESSUS.

Section 7 : Coopération avec les organismes d’application de la loi et le gouvernement

  1. Certaines entreprises doivent évaluer les données des clients afin de relever des activités suspicieuses ou illégales et de les signaler à des organismes d’application de la loi ou à des organisations de sécurité du gouvernement. Dans votre entreprise, considérez-vous que vous faites cela…? (LIRE LA LISTE. ACCEPTER UNE RÉPONSE)
    1. Régulièrement
    2. Parfois
    3. Rarement
    4. Jamais

SI LE RÉPONDANT A DÉCLARÉ « RÉGULIÈREMENT », « PARFOIS » OU « RAREMENT », POSER LA QUESTION SUIVANTE :

  1. Est-ce que votre entreprise doit signaler à des organismes d’application de la loi ou à des organisations de sécurité du gouvernement des activités suspicieuses et illégales plus souvent aujourd’hui qu’il y a, disons, cinq ans?
    1. Oui
    2. Non
    3. Une seule demande en ce sens (DE FAÇON VOLONTAIRE)

Section 8 : Communications

  1. Si vous souhaitiez obtenir de plus amples renseignements sur les responsabilités de votre entreprise aux termes des lois sur la protection des renseignements personnels du Canada, vers qui vous tourneriez-vous? (NE PAS LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES) S2010 MODIFIÉ
    1. Gouvernement fédéral
    2. Gouvernement provincial
    3. Ressources internes de l’entreprise
    4. Conseiller juridique
    5. Association de l’industrie
    • Autre, Veuillez préciser : ________________
  2. Aimeriez-vous recevoir des renseignements sur les responsabilités de votre entreprise aux termes des lois sur la protection des renseignements personnels du Canada en d’autres langues que le français ou l’anglais?
    1. Oui
    2. Non

SI LA RÉPONSE EST « OUI », POSER LA QUESTION SUIVANTE :

  1. Dans quelle langue aimeriez-vous recevoir ces renseignements?
    • ajouter une liste des principales langues potentielles et le choix « autre/préciser »
  2. Dans votre entreprise, avez-vous déjà cherché à obtenir des clarifications sur vos responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? S2010
    1. Oui
    2. Non              SAUTER LA QUESTION QUI SUIT

SI LA RÉPONSE EST « OUI », POSER LA QUESTION SUIVANTE :

  1. Où avez-vous obtenu ces clarifications? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES) S2010
    1. Internet (général)
    2. Gouvernement/commissaire à la protection de la vie privée
    3. Avocat
    4. Expert de l’entreprise ou du siège social ou ressource interne de l’entreprise
    5. Experts de l’industrie, sociétés d’experts-conseils ou sources du domaine de l’éducation
    6. Association de l’industrie
    • Autre, Veuillez préciser : ________________

Section 9 : Sensibilisation et formation

  1. Dans votre entreprise, dans quelle mesure serait-il utile de donner une formation sur ce que les entreprises doivent faire pour être conformes aux lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout utile et 7, très utile. S2010 MODIFIÉ

SI LA RÉPONSE EST DE 4 À 7, POSER LA QUESTION SUIVANTE :

  1. Selon vous, quelle serait la façon la plus efficace de recevoir cette formation? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES) S2010 MODIFIÉ
    1. Séminaires en personne dans différentes villes
    2. Séminaires Web
    3. Fourniture de matériel et d’outils libre-service, comme des trousses d’information en ligne
    4. Autre, Veuillez préciser : ________________

Section 10 : Commissariat à la protection de la vie privée

  1. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels? S2010 MODIFIÉ
    1. Oui
    2. Non              PASSER À LA SECTION QUI SUIT

SI LA RÉPONSE EST « OUI », POSER LA QUESTION SUIVANTE :

  1. Avez-vous déjà fait appel à ces ressources dans votre entreprise? S2010 MODIFIÉ
    1. Oui
    2. Non              PASSER À LA SECTION QUI SUIT

SI LA RÉPONSE EST « OUI », POSER LA QUESTION SUIVANTE :

  1. À quelles ressources du Commissariat à la protection de la vie privée du Canada avez-vous fait appel dans votre entreprise? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES)
    1. Site Web du CPVP
    2. Publications du CPVP
    3. Présentation ou exposé du CPVP
    4. Appel au Centre d’information du CPVP (pour des demandes de renseignements)
    • Autre, Veuillez préciser : ________________
  2. Dans quelle mesure les ressources ou les renseignements reçus du Commissariat à la protection de la vie privée du Canada ont-ils été utiles pour aider votre entreprise à assumer ses obligations en matière de protection des renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout utiles et 7, très utiles. S2010 MODIFIÉ

SI LA RÉPONSE EST DE 1 À 3, POSER LA QUESTION SUIVANTE :

  1. Pourquoi les ressources ou les renseignements n’ont-ils pas été très utiles? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES)
    1. Pas assez détaillés
    2. Trop difficiles à comprendre
    3. Rien de nouveau; renseignements déjà connus
    4. Présentation dans une forme non privilégiée
    5. Non adéquats pour la taille de l’entreprise
    6. Non adéquats pour le secteur opérationnel
    • Autre, Veuillez préciser : ________________

Section 11 : Profil organisationnel

Ces dernières questions n’ont qu’une visée statistique, et toutes les réponses sont confidentielles.

  1. Dans quelle industrie ou dans quel secteur œuvrez-vous? Si votre entreprise œuvre dans plusieurs secteurs, veuillez indiquer le secteur principal. (NE PAS LIRE LA LISTE. ACCEPTER UNE RÉPONSE)
    1. Hébergement et services de restauration
    2. Services administratifs, de soutien, de gestion des déchets et d’assainissement
    3. Agriculture, foresterie, pêche et chasse
    4. Arts, spectacles et loisirs
    5. Construction
    6. Services d’enseignement
    7. Finance et assurances
    8. Soins de santé et assistance sociale
    9. Industrie de l’information et industrie culturelle
    10. Gestion de sociétés et d’entreprises
    11. Fabrication
    12. Extraction minière et extraction de pétrole et de gaz
    13. Autres services (sauf les administrations publiques)
    14. Services professionnels, scientifiques et techniques
    15. Administrations publiques
    16. Services immobiliers et services de location et de location à bail
    17. Commerce de détail
    18. Transport et entreposage
    19. Services publics
    20. Commerce de gros
    • Autre, Veuillez préciser : ________________
  2. Quel est votre poste au sein de l’organisation? (NE PAS LIRE LA LISTE. ACCEPTER UNE RÉPONSE) S2010 MODIFIÉ
    1. Propriétaire, président ou PDG
    2. Directeur général ou autre gestionnaire
    3. Gestionnaire des TI
    4. Administration
    5. Vice-président
    6. Analyste, agent ou coordonnateur en matière de protection des renseignements personnels
    7. Conseiller juridique/avocat
    8. RH/Opérations
    9. Autre, Veuillez préciser : ________________
  3. Quelle catégorie correspond aux revenus de votre entreprise en 2010? (LIRE LA LISTE. ACCEPTER UNE RÉPONSE) S2010 MODIFIÉ
    1. Moins de 100 000 $
    2. De 100 000 $ à juste au-dessous de 250 000 $
    3. De 250 000 $ à juste au-dessous de 500 000 $
    4. De 500 000 $ à juste au-dessous de 1 000 000 $
    5. De 1 000 000 $ à juste au-dessous de 5 000 000 $
    6. 5 000 000 $ à juste au-dessous de 10 000 000 $
    7. De 10 000 000 $ à juste au-dessous de 20 000 000 $
    8. Plus de 20 millions de dollars
  4. Lequel des énoncés suivants décrit le mieux votre entreprise? (LIRE LA LISTE. ACCEPTER UNE RÉPONSE) S2010 MODIFIÉ
    1. Elle œuvre uniquement à cet emplacement
    2. Il y a d’autres emplacements, mais seulement dans la province
    3. Il y a d’autres emplacements dans d’autres provinces, mais seulement au Canada
    4. Il y a d’autres emplacements, y compris à l’étranger

Cela met fin au sondage.
Merci de votre temps et de vos commentaires; cela est très apprécié.

Date de modification :