Sondage d'opinion publique

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Archivée

Cette page Web a été archivée dans le Web.

Les entreprises canadiennes et les renseignements personnels

Rapport Final

Réalisé pour le compte du Commissariat à la protection de la vie privée du Canada

Phoenix SPI

Février 2012

---

Sommaire

Le Commissariat à la protection de la vie privée du Canada (CPVP) a chargé Phoenix SPI de réaliser une étude quantitative auprès des entreprises canadiennes sur la question des renseignements personnels. Cette étude devait nous donner un portrait plus exact du degré de familiarité des entreprises avec les exigences et les enjeux liés à la protection des renseignements personnels, ainsi que de leurs politiques et pratiques en la matière. Un sondage téléphonique de 16 minutes a été réalisé auprès de 1 006 entreprises de partout au Canada, stratifiées selon leur taille. Les résultats ont été pondérés en fonction de la taille, du secteur et de la région, au moyen des données de Statistique Canada, afin qu’ils reflètent la distribution réelle des entreprises au Canada. Le sondage a été réalisé du 2 au 19 décembre 2011, et sa marge d’erreur est de ±3,1 %, 19 fois sur 20. Les résultats ont été comparés à ceux obtenus lors de sondages semblables menés en 2007 et en 2010, lorsque c’était pertinent. Par rapport aux versions précédentes, la méthodologie et le questionnaire de 2011 présentaient des nouveautés et des ajouts, question de mieux répondre au contexte actuel et à son évolution; ces résultats ne peuvent donc pas toujours être comparés à ceux des années antérieures.

Les pratiques liées à la protection des renseignements personnels

Divers « types » d’entreprises ont été sondés : 35 % d’entre elles vendent directement à la population (ou à des sous-groupes de la population), presque autant (34 %) vendent directement à la fois à la population et à d’autres entreprises/organisations, près du quart (24 %) vendent seulement à d’autres entreprises/organisations, et 7 % n’appartiennent à aucune de ces catégories.

On a demandé aux entreprises quels types de renseignements elles recueillaient sur leurs clients. L’immense majorité (93 %) recueille les coordonnées, comme le nom, les numéros de téléphone et l’adresse. Plus des deux tiers (68 %) recueillent des renseignements sur l’emplacement, comme le code postal. Les renseignements financiers sont recueillis par 39 % des répondants, les opinions, évaluations et commentaires, par 24 %, les habitudes de consommation, par 17 %, et les renseignements médicaux, par 10 %. Cinq pour cent des répondants ne recueillent aucun de ces types de renseignements.

Les deux tiers (66 %) des entreprises entreposent les renseignements personnels de leurs clients sur place, en format papier. Cinquante-cinq pour cent les entreposent dans des ordinateurs de bureau, et 47 %, dans des serveurs sur place. Près du quart (23 %) utilisent des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes, tandis qu’une proportion moindre d’entreprises utilisent l’infonuagique (8 %) ou l’entreposage par un tiers (qu’il faut distinguer de l’infonuagique) (7 %). Parmi les entreprises qui entreposent les renseignements personnels de leurs clients sur des dispositifs portables, 44 % utilisent le chiffrement.

Les entreprises canadiennes utilisent diverses mesures pour protéger les renseignements personnels de leurs clients. Près des trois quarts utilisent des outils technologiques, comme des mots de passe, le chiffrement ou des pare-feux (73 %), ou des mesures matérielles, comme le verrouillage des classeurs, la restriction de l’accès ou les alarmes de sécurité (72 %). Près de la moitié (51 %) utilisent des contrôles organisationnels, comme des politiques et des procédures. Parmi les entreprises qui utilisent des outils technologiques, la quasi-totalité (96 %) utilise des mots de passe, 79 %, des pare-feux, et 43 %, le chiffrement.

La majorité des entreprises qui utilisent des mots de passe (55 %) ont pris des mesures pour veiller à ce que les employés utilisent des mots de passe difficiles à trouver. La plupart demandent aussi à leurs employés de modifier leurs mots de passe : 16 % le demandent chaque mois, 17 %, chaque trimestre, 10 %, tous les six mois, 12 %, une fois par année, et 7 %, moins fréquemment. Vingt-sept pour cent des entreprises n’exigent pas de leurs employés qu’ils changent leurs mots de passe.

Les entreprises ont en place différents mécanismes relatifs aux renseignements personnels. Les trois quarts utilisent des procédures pour répondre aux demandes de leurs clients concernant l’accès à leurs renseignements personnels. En deuxième place, mais assez loin derrière, arrive la désignation d’une personne comme responsable des questions liées à la protection des renseignements personnels (57 %). Près de la moitié des entreprises (48 %) ont en place des procédures pour gérer les plaintes des clients, tandis que 32 % donnent à leurs employés une formation sur la protection de l’information.

Politique sur la protection des renseignements personnels

En tout, 62 % des entreprises ont une politique sur la protection des renseignements personnels. Celles qui n’en ont pas donnent le plus souvent comme raison qu’elles ne croient pas que ce soit nécessaire (45 %). Les autres explications revenant assez souvent sont que l’entreprise est trop petite (17 %), qu’elle ne recueille pas les renseignements personnels de ses clients (14 %), ou qu’elle n’y a jamais pensé (10 %).

La plupart (57 %) des entreprises qui ont une politique sur la protection des renseignements personnels la mettent à jour au moins une fois par année : 4 % le font une fois par mois, 5 % tous les trois mois, 7 % tous les six mois, et 41 % une fois par année. Seize pour cent des entreprises mettent à jour leur politique moins d’une fois par année, et 20 % ne la mettent jamais à jour. Parmi les entreprises qui mettent à jour leur politique sur la protection des renseignements personnels, un quart le fait pour chacune des raisons suivantes : examen prévu (26 %), changement de la loi (25 %), et changement des pratiques opérationnelles (24 %). Une proportion notable des entreprises met à jour sa politique en cas de problème ou de violation de la vie privée (14 %), de plaintes ou préoccupations soulevées par les clients (13 %), ou de changement des technologies utilisées par l’organisation (6 %).

La plupart (63 %) des entreprises qui mettent à jour leur politique n’avertissent pas leurs clients quand ils y apportent des changements. Inversement, un peu plus du tiers de ces entreprises (35 %) avertissent leurs clients : 16 % le font toujours, et 19 %, parfois.

Les entreprises qui communiquent leur politique sur la protection des renseignements personnels le font de différentes façons, sans qu’aucune méthode ne domine. Ainsi, le plus grand nombre (26 %) la communiquent verbalement ou au téléphone, tandis que des proportions relativement similaires envoient une lettre aux clients (23 %), utilisent des documents imprimés comme des dépliants ou des brochures (20 %), placent une annonce sur leur site Web (19 %), ou envoient un courriel aux clients (18 %). Cinq pour cent des entreprises placent des affiches dans les bureaux, les magasins ou ailleurs.

Protection des renseignements personnels en tant qu’objectif organisationnel

On a demandé aux entreprises dans quelle mesure la protection des renseignements personnels est importante pour elles, sur une échelle de 1 à 7. Près de la moitié (49 %) répondent qu’elle est très importante, tandis que 28 % répondent qu’elle est au moins modérément importante. C’est donc dire que 77 % des entreprises canadiennes accordent une importance considérable à cette question. Par contre, 15 % des entreprises estiment que la protection des renseignements personnels est un objectif relativement peu important (elles choisissent une cote sur la moitié inférieure de l’échelle).

On a demandé aux entreprises leur point de vue à l’égard de la protection des renseignements personnels. Cinquante-deux pour cent considèrent qu’il ne s’agit ni d’un avantage ni d’un désavantage organisationnel, mais 39 % la considèrent comme un avantage concurrentiel important (24 %) ou modéré (15 %). Très peu d’entreprises (3 %) considèrent que la protection des renseignements personnels est un désavantage organisationnel.

Sensibilisation aux lois sur la protection des renseignements personnels et répercussions de ces lois

On a demandé aux entreprises dans quelle mesure elles sont sensibilisées à leurs responsabilités aux termes des lois sur la protection des renseignements personnels du Canada (sur une échelle de 1 à 7). Dix-neuf pour cent estiment être très sensibilisées, et 35 % assez sensibilisés (5 ou 6 sur l’échelle de 7 points). C’est donc dire qu’une légère majorité (54 %) des entreprises se considère comme relativement bien au fait de leurs responsabilités en matière de protection des renseignements personnels. Par contre, 29 % des entreprises se disent relativement peu sensibilisées, puisqu’elles choisissent une cote sur la moitié inférieure de l’échelle.

On a posé la même question sur la LPRPDE, la loi du gouvernement fédéral sur la protection des renseignements personnels dans le secteur privé. Les résultats sont dans l’ensemble similaires : 15 % des entreprises disent être très sensibilisées à cette loi, et 34 %, assez sensibilisées (cotes de 5 ou 6 sur 7). Près de la moitié des entreprises (49 %) sont donc relativement bien au fait de leurs responsabilités à l’égard de cette loi, contre 35 %, qui choisissent une cote sur la moitié inférieure de l’échelle. La sensibilisation à la LPRPDE en particulier est donc légèrement plus faible que celle à l’ensemble des lois sur la protection des renseignements personnels.

Les lois du Canada sur la protection des renseignements personnels ont diverses répercussions sur les entreprises canadiennes. Pour 59 % d’entre elles, ces lois leur font prêter davantage attention à la protection des renseignements personnels de leurs clients. Pour un peu moins (52 %), ces lois les sensibilisent davantage à leurs obligations en matière de protection des renseignements personnels, tandis que pour 47 %, elles ont accru la sécurité liée aux renseignements personnels détenus sur les clients. Enfin, 36 % des entreprises jugent que les lois ont amélioré la formation fournie aux employés sur les obligations en matière de protection des renseignements personnels, et 27 % disent avoir été confrontées à moins d’atteintes relativement aux renseignements personnels des clients.

Conformité, atteintes et évaluation des risques

On a demandé aux entreprises s’il a été complexe pour elles de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois sur la protection des renseignements personnels du Canada. Près de la moitié (49 %) donnent une réponse neutre : la conformité n’a été ni facile, ni difficile. Pour le reste, la majeure partie (34 %) juge que la conformité a été facile, contre 10 %, qui la juge difficile.

C’est la compréhension vague de la loi qui est invoquée le plus souvent (19 %) comme le plus important obstacle ou problème relativement à l’observation de la loi. D’autres obstacles sont cités par moins de 5 % des entreprises : exigences en personnel (5 %), formation/sensibilisation du personnel (4 %), coût de la conformité (non lié au personnel) (3 %), difficultés liées à la sécurisation des renseignements personnels (3 %), et défis posés par la nouvelle technologie (3 %). Seize pour cent estiment qu’il n’existe aucun obstacle à l’observation de la loi, et 38 % ne donnent pas de réponse à cette question.

On a demandé aux entreprises dans quelle mesure, sur une échelle de 1 à 7, elles sont préoccupées par une atteinte à la protection des données, qui compromettrait les renseignements personnels de leurs clients. Quarante pour cent se disent considérablement préoccupées (partie supérieure de l’échelle). Trente-et-un pour cent des entreprises comptent sur des lignes directrices en cas d’atteinte. L’immense majorité (96 %) n’a jamais été confrontée à une atteinte qui a compromis les renseignements personnels de ses clients.

Environ le quart (26 %) des entreprises comptent sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels, ce qui comprend l’évaluation des risques liés à la création ou à l’utilisation de technologies ou de produits nouveaux.

Tièrces Parties

Soixante-huit pourcent des entreprises savent que, quand une entreprise transfère les renseignements personnels de clients à un tièrce partie aux fins de traitement et d’entreposage ou pour tout autre service, notamment l’utilisation de l’infonuagique, elle demeure responsable de ses renseignements. Seulement 9 % recueillent des renseignements personnels auprès de leurs clients pour ensuite les acheminer à une autre entreprise aux fins de traitement et d’entreposage ou pour tout autre service. Parmi ces entreprises, un peu plus de la moitié (54 %) ont conclu un marché ou pris d’autres mesures pour veiller à ce que les renseignements personnels de leurs clients soient protégés adéquatement.

Coopération avec les organismes d’application de la loi et le gouvernement

Près du tiers des entreprises évaluent les données des clients afin de relever des activités suspicieuses ou illégales et de les signaler à des organismes d’application de la loi ou à des organisations de sécurité du gouvernement. Neuf pour cent le font régulièrement, 6 % parfois, et 17 % rarement. Parmi les entreprises qui procèdent à cette évaluation, 28 % affirment qu’on leur demande de le faire plus souvent aujourd’hui qu’il y a cinq ans.

Communications

C’est vers l’Internet (40 %) et Google particulièrement (5 %) que les entreprises se tournent principalement pour obtenir de plus amples renseignements sur leurs responsabilités aux termes des lois sur la protection des renseignements personnels du Canada. Arrive en deuxième place le gouvernement fédéral (30 %), suivi d’assez loin par le gouvernement provincial (11 %), les ressources internes de l’entreprise (10 %) et le conseiller juridique (6 %).

Seulement 13 % des entreprises ont déjà cherché à obtenir des clarifications sur leurs responsabilités aux termes des lois sur la protection des renseignements personnels. Parmi elles, le plus grand nombre ont obtenu ces clarifications sur Internet (28 %); arrivent ensuite comme sources les experts de l’industrie, les sociétés d’experts-conseils ou les sources du domaine de l’éducation (16 %), les ressources internes de l’entreprise (15 %), les associations de l’industrie (13 %), les avocats (12 %) et le gouvernement/le commissaire à la protection de la vie privée (12 %).

Sensibilisation et formation

On a demandé aux entreprises dans quelle mesure il serait utile de donner une formation sur ce qu’elles doivent faire pour être conformes aux lois sur la protection des renseignements personnels. En tout, 31 % jugent cette formation utile, contre 52 %, qui la jugent inutile. Celles qui la jugent au moins modérément utile croient que la façon la plus efficace de la recevoir serait la tenue de séminaires Web (64 %) et la fourniture d’outils et de matériel libre-service (56 %). Pour une forte minorité (39 %), la meilleure façon de recevoir cette formation serait le recours à des séminaires en personne dans différentes villes.

Commissariat à la protection de la vie privée du Canada

Quarante pour cent des entreprises savent que le CPVP offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels. Parmi ces entreprises, 19 % ont déjà fait appel à ces ressources. La ressource à laquelle les entreprises affirment avoir fait appel le plus souvent est de loin le site Web du CPVP (47 %); suivent les publications du CPVP (14 %), les renseignements généraux (7 %), le Centre d'information du CPVP (4 %) et une présentation ou un exposé du CPVP (3 %). Lorsqu’on leur demande dans quelle mesure ces ressources ont été utiles pour les aider à assumer leurs obligations en matière de protection des renseignements personnels, 72 % des entreprises répondent qu’elles ont été au moins modérément utiles (16 % les jugent très utiles). Relativement peu d’entreprises (8 %) jugent ces ressources inutiles.

Différences entre les sous-groupes

La taille de l’entreprise^{Note de bas de page 1} joue pour beaucoup dans l’approche adoptée en matière de protection des renseignements personnels. Les grandes entreprises sont plus nombreuses à recueillir des renseignements sur leurs clients, à utiliser diverses mesures technologiques, matérielles et organisationnelles de protection de ces renseignements, à se renseigner sur leurs responsabilités en la matière, et à souhaiter de la formation sur le sujet. Les grandes entreprises sont également plus nombreuses à savoir que le CPVP peut les aider, et à avoir utilisé ses ressources. Cela dit, les grandes entreprises sont plus nombreuses que les petites à compter sur leurs ressources internes et sur les conseillers juridiques comme sources de renseignements en matière de protection de l’information, ce qui montre que les entreprises qui ont le plus besoin des services du CPVP (vu leur petite taille et leur manque de ressources internes) sont peut-être celles qui les connaissent le moins. À noter toutefois que les petites entreprises jugent la protection des renseignements personnels moins importante que les grandes. La nature du secteur d’activité de l’entreprise et son nombre d’emplacements sont d’autres facteurs qui influent sur la collecte de renseignements personnels, la mise en place de mécanismes de protection et le désir de s’informer plus avant à ce sujet de diverses façons.

Par ailleurs, les entreprises qui jugent relativement importante la protection des renseignements personnels, qui sont relativement bien au courant de leurs obligations à ce sujet, qui jugent difficile l’observation des lois en la matière, et qui sont relativement préoccupées par une atteinte à la protection des données sont plus nombreuses à recueillir des renseignements personnels sur leurs clients, à mettre en place des politiques et procédures de protection des renseignements personnels en leur possession, et à chercher à s’informer sur leurs obligations dans ce domaine.

Introduction

Le Commissariat à la protection de la vie privée (CPVP) a chargé Phoenix Strategic Perspectives Inc. (Phoenix) de mener une recherche quantitative auprès d’entreprises canadiennes sur des enjeux liés à la protection de la vie privée.

Contexte et objectifs

À titre de défenseur des droits des Canadiens en matière de protection de la vie privée, le CPVP est autorisé à enquêter sur des plaintes et à mener des vérifications en vertu de deux lois fédérales, à publier de l’information sur les pratiques de traitement des renseignements personnels dans les secteurs public et privé, ainsi qu’à effectuer de la recherche sur les enjeux liés au respect de la vie privée. Aux termes de son mandat, le CPVP est responsable de l’application de la Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE), qui régit les activités commerciales dans les provinces de l’Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Bien que le Québec, l’Alberta et la Colombie Britannique aient chacune leur propre loi qui gouverne le secteur privé, la LPRPDE continue de s’appliquer aux entreprises du secteur privé sous réglementation fédérale ainsi qu’aux renseignements personnels utilisés dans les transactions interprovinciales et internationales.

Compte tenu de la vitesse d’innovation des technologies et de la disparition des frontières, les questions liées à la protection des renseignements personnels évoluent et gagnent en importance et en complexité. En décembre 2010, le Parlement a adopté des modifications à la LPRPDE pour mieux pouvoir réagir à cette évolution, suivies d’une nouvelle série de changements en septembre.

Dans ce contexte, le CPVP doit savoir ce qui suit au sujet des entreprises canadiennes :

• Le degré de connaissance des entreprises par rapport aux questions et aux exigences en matière de protection des renseignements personnels.
• Le type de politiques et de pratiques sur la protection des renseignements personnels mises en place par les entreprises.
• La conformité des entreprises aux lois sur la protection des renseignements personnels.
• La sensibilisation des entreprises aux nouvelles questions et pratiques en matière de protection des renseignements personnels et leur capacité d’y donner suite.

Les objectifs précédents ont été pris en compte dans le cadre de la recherche, qui servira à préciser l’approche que suivra le CPVP pour s’acquitter de son mandat à l’égard des entreprises canadiennes.

Conception de la recherche

Pour respecter les objectifs de la recherche, un sondage téléphonique a été réalisé auprès de 1 006 entreprises de partout au Canada.

Les critères de sondage suivants ont été suivis :

• Le répondant ciblé devait être un décideur de niveau supérieur ayant une connaissance des pratiques de protection des renseignements personnels et de sécurité de l’entreprise ainsi que des responsabilités à ces égards.
• Une note d’information détaillée a été préparée par Phoenix (et approuvée par le CPVP) à l’intention de l’interviewer pour le guider dans le processus de collecte de données.
• Pour les besoins du test préalable effectué par téléphone, dix entrevues ont été réalisées dans chacune des deux langues officielles. Les entrevues ont été enregistrées et passées en revue par la suite.
• Phoenix a écouté les entrevues réalisées dans le cadre du test préalable et a examiné les données ainsi obtenues. Ces données n’ont pas été incluses dans les données finales du sondage puisque des changements ont été apportés au questionnaire après le test préalable.
• Les entrevues, réalisées dans la langue officielle choisie par le répondant, ont duré en moyenne 15,8 minutes.
• Les appels ont été effectués à divers moments de la journée et de la semaine afin de maximiser les possibilités de joindre les répondants.
• Certains répondants éventuels ont été rappelés jusqu’à dix reprises avant que leur dossier ne soit retiré de l’échantillon.
• L’échantillon a fait l’objet d’un suivi rigoureux durant la période de collecte de données de manière à respecter les objectifs de l’étude et à maximiser le taux de réponse.
• Le sondage a été inscrit auprès du système national d’enregistrement des sondages de l’Association de la recherche et de l’intelligence marketing (ARIM).
• Le commanditaire du sondage (le CPVP) a été révélé.
• Les données ont été recueillies du 2 au 19 décembre 2011.

Tous les travaux effectués respectaient ou surpassaient les normes de l’industrie déterminées par l’ARIM, l’association de l’industrie chargée de la recherche, ainsi que la législation fédérale applicable (LPRPDE). Les travaux ont également été réalisés conformément aux Normes pour la recherche sur l’opinion publique effectuée par le gouvernement du Canada – Sondages téléphoniques.

Constitution des échantillons

Les données ont été recueillies selon une approche d’échantillonnage aléatoire stratifiée. La base d’échantillonnage a été achetée auprès de Dun & Bradstreet (D&B). Une base d’échantillonnage aléatoire employant une proportion d’échantillons et d’entrevues terminées de 10 sur 1 a été générée pour déterminer le contingent de chacun des trois groupes cibles (formés en fonction de la taille des entreprises). Le tableau ci-après indique le nombre de dossiers d’échantillonnage utilisés pour chaque groupe.

Taille de l’entreprise	Nbre de dossiers d’échantillonnage	Taille de l’échantillon
Petite (1 à 19 employés)	N=5 998	N=502
Moyenne (20 à 99 employés)	N=2 744	N=304
Grande (100 employés et plus)	N=1 797	N=200

De plus, la base d’échantillonnage a été générée en fonction du nombre d’entreprises par région dans chacun des trois groupes. Au total, 1 006 entrevues ont été menées. Voici la répartition des entrevues par région :

Région	Taille de l’échantillon
Canada atlantique	66
Québec	217
Manitoba et Saskatchewan	77
Alberta	140
Colombie-Britannique	155
Région du Grand Toronto	149
Reste de l’Ontario	202

Les données finales ont été pondérées pour tenir compte de la constitution des échantillons. Les données ont été pondérées en fonction de la taille de l’entreprise, de la région et de l’industrie pour refléter la représentativité des entreprises à l’échelle nationale. Les statistiques canadiennes relatives à la répartition des entreprises selon la taille, la région et l’industrie proviennent du Registre des entreprises de Statistique Canada.

Le scénario de pondération tient compte de trois variables : la taille de l’entreprise, la région et l’industrie. Les entreprises de la catégorie « indéterminée » établie par Statistique Canada ont été exclues des distributions en fonction de la taille utilisées pour pondérer les données du sondage.

Trois systèmes de pondération ont été créés pour chacun des ensembles de résultats suivants : 1) les résultats globaux, 2) les résultats régionaux, et 3) les résultats selon la taille des entreprises. Voici les détails :

• Résultats globaux : Les résultats ont d’abord été pondérés en fonction de la taille des entreprises dans chaque région. On a retenu trois distributions pour la taille des entreprises (1 à 9 employés, 20 à 99 employés, 100 employés et plus) et sept régions (Colombie-Britannique, Alberta, Saskatchewan, Manitoba, Ontario, Québec et provinces de l’Atlantique). Les résultats ont ensuite été pondérés selon l’industrie, à l’échelle nationale, à l’aide du Système de classification des industries de l’Amérique du Nord (SCIAN).
• Résultats régionaux : Les résultats ont été pondérés par région (Terre Neuve et Labrador, Nouveau-Brunswick, Nouvelle-Écosse et Île du Prince Édouard, Québec, Ontario, Manitoba, Saskatchewan, Alberta et Colombie-Britannique) puis en fonction de l’industrie (toujours à l’aide du SCIAN). Comme pour les résultats globaux, les résultats régionaux ont été pondérés en fonction de l’industrie à l’échelle nationale seulement.
• Résultats selon la taille des entreprises : Trois distributions ont été retenues (1 à 9 employés, 20 à 99 employés et 100 employés et plus). Comme pour les résultats globaux et régionaux, les résultats selon la taille des entreprises ont été pondérés en fonction de l’industrie à l’échelle nationale seulement, à l’aide du SCIAN.

Répartition finale des appels

Le tableau suivant décrit la répartition finale des appels du sondage, de même que le calcul du taux de réponse connexe (selon la formule de l’ARIM)^{Note de bas de page 2} :

Tableau de la répartition des appels
Répartition des appels	Total
Nombre total de tentatives	10 539
Non admissible – non valide	1 652
Non résolu (U)	2 551
Pas de réponse/répondeur	2 551
Admissible – non réponse (IS)	1 978
Problème de langue	42
Incapacité de répondre (maladie/décès)	52
Rappel (répondant non disponible)	1 884
Demandes totales	4 358
Refus	3 111
Le répondant raccroche	76
Admissible – réponse (R)	1 171
Entrevue réalisée	1 006
NQ – Contingent complet – taille de l’entreprise	106
NQ – Q1 (NON LUCRATIF/NSP/REF)	59
Taux de refus	73,13
Taux de réponse	13,18

Avis aux lecteurs

• Dans le présent rapport, on fait parfois référence aux conclusions tirées de sondages semblables effectués auprès d’entreprises canadiennes en 2007 et 2010. Puisque les procédures de pondération de même que la formulation des questions diffèrent parfois d’un sondage à l’autre, les comparaisons amènent à la prudence.
• À moins d’avis contraire, les résultats présentés dans le rapport sont exprimés sous forme de pourcentages.
• À certains endroits dans le rapport, les pourcentages ne totalisent pas 100 % parce que les chiffres ont été arrondis.
• Des différences sont faites dans le rapport entre les catégories démographiques et d’autres sous-groupes. Le texte qui explique ces différences est présenté dans un encadré pour en faciliter le repérage. Seules les différences entre les sous-groupes qui sont statistiquement significatives à un niveau de confiance de 95 % ou qui s’inscrivent dans un modèle ou une tendance ont été déclarées. Pour en savoir davantage sur l’analyse des sous-groupes dans le présent rapport, consulter la section ci-dessous.

Aux fins de l’analyse des sous-groupes, les caractéristiques suivantes ont été établies :

Catégories démographiques

• Industries principales^{Note de bas de page 3} :
  • Hébergement et services de restauration
  • Services administratifs, de soutien, de gestion des déchets
    et d’assainissement
  • Arts, spectacles et loisirs
  • Services d’enseignement
  • Finance et assurances*
  • Soins de santé et assistance sociale
  • Industrie de l’information et industrie culturelle
  • Services professionnels, scientifiques et techniques
  • Administration publique
  • Services immobiliers et services de location et de location à bail
  • Commerce de détail
  • Transport et entreposage
  • Services publics
• Industries secondaires :
  • Agriculture, foresterie, pêche et chasse
  • Construction
  • Gestion de sociétés et d’entreprises
  • Fabrication
  • Extraction minière et extraction de pétrole et de gaz
  • Autres services (sauf les administrations publiques)
  • Commerce de gros
  • Autre
• Région :
  • Pacifique (Colombie-Britannique, Yukon)
  • Prairies (incluant les Territoires du Nord‑Ouest)
  • Ontario (incluant le Nunavut)
  • Québec
  • Canada atlantique
• Taille de l’entreprise :
  • Travailleur autonome (1 employé)
  • 2 à 19 employés
  • 20 à 99 employés
  • 100 employés et plus
• Région :
  • Québec
  • Canada atlantique
  • Alberta
  • Colombie-Britannique
  • Région du Grand Toronto
  • Ontario (excluant la région du Grand Toronto)
  • Prairies (Saskatchewan et Manitoba)
• Modèle d’entreprise :
  • Vend directement aux clients
  • Vend directement à d’autres entreprises/organisations
  • Vend directement aux clients et à d’autres entreprises/organisations
• Revenus :
  • Moins de 100 000 $
  • 100 000 $ à 9 999 999 $
  • 10 000 000 $ à 19 999 999 $
  • 20 000 000 $ et plus
• Emplacement de l’entreprise :
  • Elle œuvre uniquement à cet emplacement
  • Il y a d’autres emplacements, mais seulement dans la province
  • Il y a d’autres emplacements dans d’autres provinces, mais seulement au Canada
  • Il y a d’autres emplacements, y compris à l’étranger

Catégories relatives à l’attitude

• Importance de la protection des renseignements personnels
  • Sans importance (1-3)
  • Ni un ni l’autre (4)
  • Important (5-7)
• Connaissance des obligations relatives à la protection des renseignements personnels
  • Non informé (1-3)
  • Ni un ni l’autre (4)
  • Informé (5-7)
• Difficulté de conformité perçue :
  • Faible (1-3)
  • Ni un ni l’autre (4)
  • Grande (5-7)
• Préoccupation quant à une atteinte à la protection des données
  • Non préoccupé (1-3)
  • Ni un ni l’autre (4)
  • Préoccupé (5-7)

Des copies anglaise et française du questionnaire sont annexées au rapport.

Pratiques liées à la protection des renseignements personnels

La présente section expose les pratiques employées par les entreprises pour protéger les renseignements personnels de leurs clients. On y aborde notamment les types de clients avec qui les entreprises font affaire et les types de renseignements qu’elles recueillent, l’utilisation qui en est faite, ainsi que les procédures et les politiques de protection qu’elles ont mises en vigueur.

Le type d’entreprise, selon les clients servis, varie

Les dirigeants d’entreprise qui ont participé à la présente étude travaillent pour des entreprises ayant divers clients cibles : 35 % d’entre elles vendent directement aux clients (c. à d. à la population ou à des sous-groupes de la population), presque autant (34 %) vendent directement à la fois à la population et à d’autres entreprises/organisations, un quart (25 %) vend seulement à d’autres entreprises/organisations, et 7 % n’appartiennent à aucune de ces catégories.

Les coordonnées — les renseignements personnels les plus souvent réunis

La grande majorité des entreprises (93 %) recueillent les coordonnées, comme le nom, les numéros de téléphone et l’adresse. Plus des deux tiers (68 %) recueillent des renseignements sur l’emplacement, comme le code postal. Parmi les autres renseignements souvent demandés, il y a les renseignements financiers (39 %), comme les factures, les cartes de crédit et les dossiers bancaires, les opinions, évaluations et commentaires (24 %), les habitudes de consommation (17 %) et les renseignements médicaux (10 %). Cinq pour cent des répondants conservent des dossiers personnels et d’entreprises.

Les renseignements relevant de la catégorie « autre » comprennent le numéro d’assurance sociale, l’information relative à l’impôt, la date de naissance, la vérification de crédit et des renseignements sur l’identité. Cinq pour cent des entreprises ne recueillent aucun de ces types de renseignements^{Note de bas de page 4}.

La plupart des entreprises recueillent deux ou trois types de renseignements

En ce qui concerne la diversité de l’information amassée, la plupart des entreprises (53 %) recueillent des renseignements relevant de deux (29 %) ou trois (24 %) des catégories susmentionnées. Elles sont 25 % à en recueillir plus, et 22 % en à recueillir moins.

Les dossiers papier conservés dans les locaux de l’entreprise — la méthode d’entreposage des renseignements personnels la plus répandue

Les deux tiers (66 %) des entreprises canadiennes entreposent les renseignements personnels de leurs clients sur place, en format papier. Cinquante-cinq pour cent les entreposent dans des ordinateurs de bureau, et 47 %, dans des serveurs sur place. Près du quart (23 %) utilise des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes, tandis qu’une proportion moindre utilise l’infonuagique (8 %) ou l’entreposage par un tiers (qu’il faut distinguer de l’infonuagique) (7 %).^{Note de bas de page 5}

La plupart des entreprises utilisent plusieurs méthodes d’entreposage des renseignements

Un peu plus des deux tiers (67 %) des entreprises canadiennes utilisent plus d’une méthode pour entreposer les renseignements personnels qu’ils ont recueillis au sujet de leurs clients. La plupart (36 %) ont recours à deux méthodes, tandis que 29 % en utilisent une seule, et 5 % n’en utilisent aucune.

Une forte minorité utilise des méthodes de chiffrement sur les dispositifs portables

On a demandé aux dirigeants des entreprises qui utilisent des dispositifs portables, comme des ordinateurs portables, des clés USB et des tablettes, pour conserver les renseignements personnels de leurs clients si leur entreprise avait recours à des méthodes de chiffrement pour protéger l’information. Parmi les répondants, 44 % ont répondu par l’affirmative et 48 % par la négative, tandis que 7 % ne le savaient pas.

La plupart des entreprises utilisent diverses mesures pour protéger les renseignements

Les entreprises canadiennes utilisent diverses mesures pour protéger les renseignements personnels de leurs clients. Près des trois quarts utilisent des outils technologiques, comme des mots de passe, le chiffrement ou des pare-feu (73 %), ou des mesures matérielles, comme le verrouillage des classeurs, la restriction de l’accès ou les alarmes de sécurité (72 %). À peine plus de la moitié (51 %) utilise des contrôles organisationnels, comme des politiques et des procédures.

Un petit nombre utilise d’autres mesures, comme le déchiquetage ou la destruction de l’information, ou l’entreposage des renseignements à la maison. Huit pour cent ne prennent aucune disposition.

Vu sous un autre angle, 66 % des entreprises canadiennes utilisent plus d’une mesure pour protéger les renseignements personnels de leurs clients. À l’opposé, 33 % n’en utilisent qu’une seule.

Les mots de passe — les outils technologiques de protection les plus courants

La vaste majorité (96 %) des entreprises qui utilisent des outils technologiques pour protéger les renseignements de leurs clients ont recours aux mots de passe. De plus, 79 % utilisent des pare-feu, et 43 % le chiffrement.

Parmi les entreprises qui utilisent des mots de passe, 55 % ont pris des dispositions pour que leurs employés utilisent des mots de passe difficiles à deviner. La plupart oblige également leurs employés à modifier leurs mots de passe : chaque mois (16 %), chaque trimestre (17 %), tous les six mois (10 %), une fois par année (12 %) ou moins fréquemment (7 %). Un peu plus du quart (27 %) n’impose pas de changement aux employés.

Diversité des expériences concernant les pratiques de protection des renseignements personnels

On a demandé aux dirigeants d’entreprise s’ils avaient instauré des mécanismes relatifs à la protection des renseignements personnels, notamment les suivants :

• la désignation d’un employé responsable des questions liées à la protection de la vie privée et des renseignements personnels que détient l’entreprise;
• la prestation de formation sur les pratiques et les responsabilités appropriées en matière d’information, conformément aux lois en la matière au Canada;
• la mise en place de procédures pour répondre aux demandes de leurs clients concernant l’accès à leurs renseignements personnels;
• la mise en place de procédures pour gérer les plaintes des clients qui remettent en question le traitement de leurs renseignements personnels.

Le mécanisme le plus répandu, utilisé par les trois quarts des entreprises, est l’emploi de procédures visant à répondre aux demandes des clients concernant l’accès à leurs renseignements personnels. En deuxième place, mais assez loin derrière, arrive la désignation d’une personne comme responsable des questions liées à la protection des renseignements personnels (57 %). Près de la moitié des entreprises (48 %) ont en place des procédures pour gérer les plaintes des clients, tandis que 32 % donnent à leurs employés une formation sur la protection de l’information.

Les pratiques de protection des renseignements personnels ne varient pas significativement

La plupart des entreprises (55 %) n’utilisent aucun des mécanismes précités (26 %) ou un seul d’entre eux (29 %). À l’inverse, 44 % des entreprises utilisent plus d’un de ces mécanismes.

Depuis 2007, on assiste à une augmentation, toutefois inconstante, de la proportion des entreprises canadiennes qui ont des procédures en place pour répondre aux demandes de leurs clients concernant l’accès à leurs renseignements personnels. En 2007, 68 % des entreprises disposaient de telles procédures. En 2010, ce pourcentage avait chuté à 61 %, mais il s’est accru de nouveau pour atteindre 75 % en 2011. À l’inverse, en 2011, on a enregistré une baisse modeste du pourcentage des entreprises ayant des procédures pour traiter les plaintes des clients (48 % contre 54 % en 2010; 58 % en 2007) et qui ont offert de la formation sur la protection des renseignements personnels à leurs employés (32 % contre 37 % en 2010 et 33 % en 2007).^{Note de bas de page 6}

Politique sur la protection des renseignements personnels

La présente section aborde les politiques sur la protection des renseignements personnels, y compris les raisons pour lesquelles une entreprise implantera ou non une telle politique, la fréquence des mises à jour et la communication de cette politique aux clients.

La plupart des entreprises canadiennes ont des politiques sur la protection des renseignements personnels

Un peu plus de trois dirigeants sur cinq ont déclaré que leur entreprise avait une politique sur la protection des renseignements personnels. À l’inverse, 35 % ont déclaré ne pas en avoir, et 3 % étaient incertains.

L’absence de besoin — la principale raison pour ne pas instaurer de politique sur la protection des renseignements personnels

On a demandé aux dirigeants qui ont dit ne pas avoir de politique sur la protection des renseignements personnels d’en expliquer la raison. L’absence de besoin est la raison la plus répandue (45 %). Les autres explications qui revenaient assez souvent sont que l’entreprise est trop petite (17 %), qu’elle ne recueille pas les renseignements personnels de ses clients (14 %), ou qu’elle n’y a jamais pensé (10 %).

Les réponses moins communes sont que l’entreprise n’a pas le temps d’élaborer une telle politique (4 %) et que les politiques relèvent d’un autre bureau (3 %). Dans la catégorie « autre », certains dirigeants ont indiqué qu’une politique était en cours de rédaction, tandis que d’autres ont dit ne pas savoir comment s’y prendre pour en concevoir une.

La plupart des entreprises actualisent leur politique sur la protection des renseignements personnels une fois par année

La majorité des entreprises mettent leur politique à jour une fois par année (57 %). Quatre pour cent le font chaque mois, 5 % chaque trimestre, 7 % aux six mois et 41 % chaque année. Seize pour cent attendent plus d’une année pour le faire, et 20 % n’ont jamais fait de mise à jour.

Les entreprises ont une variété de raisons pour mettre à jour leur politique sur la protection des renseignements personnels

On a demandé aux dirigeants qui ont déclaré que leur entreprise actualisait sa politique sur la protection des renseignements personnels d’expliquer la raison de cette mise à jour. Environ le quart a donné l’une des raisons suivantes : examens prévus (26 %), changement à la législation sur la protection des renseignements personnels (25 %) et changements aux pratiques opérationnelles (24 %). Un bon nombre a également mentionné un problème ou une atteinte à la protection des renseignements personnels (14 %), ainsi qu’une plainte ou une préoccupation formulée par un client (13 %). Six pour cent ont parlé des changements technologiques au sein de l’entreprise.

La majorité des entreprises n’avisent pas les clients des changements apportés à la politique sur la protection des renseignements personnels

La plupart des entreprises qui actualisent leur politique sur la protection des renseignements personnels (63 %) n’avisent pas leurs clients des changements. À l’inverse, un peu plus du tiers (35 %) informent leurs clients des changements apportés; 16 % procèdent toujours ainsi, tandis que 19 % le font parfois.

Les entreprises utilisent divers moyens pour communiquer leur politique sur la protection des renseignements à leurs clients

Les entreprises qui communiquent leur politique sur la protection des renseignements personnels le font de différentes façons, sans qu’aucune méthode ne domine. Ainsi, le plus grand nombre (26 %) la communiquent verbalement ou au téléphone, tandis que des proportions relativement similaires envoient une lettre aux clients (23 %), utilisent des documents imprimés comme des dépliants ou des brochures (20 %), placent une annonce sur leur site Web (19 %), ou envoient un courriel aux clients (18 %). Cinq pour cent des entreprises placent des affiches dans leurs bureaux, leurs magasins ou ailleurs. Parmi les autres moyens employés, certaines entreprises ont déclaré communiquer avec leurs clients de la manière choisie par ces derniers ou voir à fournir de l’information à jour à tous leurs clients.

La protection des renseignements personnels en tant qu’objectif organisationnel

La présente section aborde l’importance accordée par les entreprises à la protection des renseignements personnels et examine si elles y voient un avantage organisationnel.

La plupart des entreprises considèrent la protection des renseignements personnels comme étant très importante

Les dirigeants devaient attribuer une cote à l’importance que revêt la protection des renseignements personnels pour l’entreprise (sur une échelle de sept points où 1 signifie « pas du tout important » et 7 signifie « extrêmement important). Près de la moitié (49 %) ont répondu qu’elle était très importante, tandis que 28 % ont dit qu’elle était au moins modérément importante (cote de 5 ou 6). C’est donc dire que 77 % des entreprises canadiennes accordent une importance considérable à cette question.

À l’inverse, 15 % des entreprises estiment que la protection des renseignements personnels est un objectif relativement peu important (optant pour une cote dans la moitié inférieure de l’échelle).

Beaucoup d’entreprises voient la protection des renseignements personnels comme un avantage compétitif

On a demandé aux entreprises leur point de vue à l’égard de la protection des renseignements personnels. Près de la moitié d’entre elles (52 %) considèrent qu’il ne s’agit ni d’un avantage ni d’un désavantage organisationnel. Parmi les 39 % qui la considèrent comme un avantage concurrentiel, 24 % trouvent qu’il s’agit d’un avantage important, et 15 % qu’il est modéré. Peu d’entreprises (3 %) considèrent la protection des renseignements personnels comme un désavantage organisationnel.

Sensibilisation aux lois sur la protection des renseignements personnels et répercussions de ces lois

La présente section porte sur la sensibilisation des dirigeants aux lois sur la protection des renseignements personnels au Canada ainsi que sur la façon dont leurs entreprises ont réagi à la mise en place de ces lois. Les questions posées durant l’entrevue étaient précédées de la description suivante relative aux lois du Canada sur la protection des renseignements personnels :

La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie Britannique et au Québec, le secteur privé est régi par des lois provinciales, lesquelles sont considérées comme semblables à la loi fédérale.

Connaissance modérée des entreprises par rapport à leurs responsabilités aux termes des lois en matière de protection des renseignements personnels au Canada

On a demandé aux entreprises d’évaluer, sur une échelle de sept points, la mesure dans laquelle elles sont sensibilisées à leurs responsabilités aux termes des lois sur la protection des renseignements personnels du Canada (1 signifie « pas du tout sensibilisée » et 7 signifie « très sensibilisée »). Près d’une entreprise sur cinq (19 %) estime être très sensibilisée, et 35 % assez sensibilisées (cote de 5 ou 6). C’est donc dire qu’une légère majorité (54 %) se considère comme relativement bien au fait de ses responsabilités en matière de protection des renseignements personnels, puisqu’elle a opté pour une cote dans la partie supérieure de l’échelle.

Par contre, 29 % des entreprises se disent relativement peu sensibilisées, puisqu’elles ont choisi une cote dans la moitié inférieure de l’échelle.

Au fil des ans, le niveau de sensibilisation des entreprises à leurs responsabilités aux termes des lois sur la protection des renseignements personnels au Canada a connu une baisse modeste. En 2011, les dirigeants étaient moins portés à dire que leur entreprise était très sensibilisée à cet égard (6 ou 7), mais davantage à dire qu’elle l’était modérément (3 à 5) ou faiblement (1 ou 2).^{Note de bas de page 7}

Connaissance modérée de la LPRPDE

Les dirigeants devaient également évaluer leur degré de sensibilisation à la LPRPDE, la loi du gouvernement fédéral sur la protection des renseignements personnels, à l’aide de la même échelle sur sept points. Les résultats étaient plutôt semblables : 15 % des entreprises disent être extrêmement sensibilisées à cette loi, et 34 % ont choisi une cote de 5 ou 6. Près de la moitié des entreprises (49 %) ont choisi une cote dans la partie supérieure de l’échelle et sont donc relativement bien au fait de leurs responsabilités, contre 35 %, qui ont choisi une cote dans la moitié inférieure de l’échelle, laissant entendre qu’elles sont relativement peu sensibilisées à ces questions.

La sensibilisation à la LPRPDE en particulier est donc légèrement plus faible que pour l’ensemble des lois sur la protection des renseignements personnels.

Les lois sur la protection des renseignements personnels occasionnent diverses répercussions pour les entreprises

On a demandé aux dirigeants d’expliquer les répercussions qu’ont les lois sur la protection des renseignements personnels sur les entreprises canadiennes. Dans la plus grande proportion (59 %), les entreprises se disent tenues d’accorder davantage d’attention à la protection des renseignements personnels de leurs clients. Dans une proportion moins grande (52 %), les entreprises sont davantage sensibilisées à leurs obligations en matière de protection des renseignements personnels.

Quarante-sept pour cent ont déclaré que les lois sur la protection des renseignements personnels au Canada les ont amenés à accroître la sécurité pour mieux protéger les renseignements personnels de leurs clients. De plus, 36 % ont amélioré la formation fournie aux employés sur les obligations en matière de protection des renseignements personnels, et 27 % disent avoir constaté moins d’atteintes relativement aux renseignements personnels des clients.

Les dirigeants d’entreprise ont été moins nombreux en 2011 qu’en 2010 à dire que leur entreprise avait ressenti chacune des répercussions présentées dans le graphique précédent.^{Note de bas de page 8} Les écarts en pourcentage entre 2010 et 2011, pour chacune des répercussions, atteignaient entre 5 et 10 %.

Un peu plus de la moitié (53 %) des dirigeants ont déclaré que leur entreprise avait subi deux des répercussions présentées dans le graphique précédent ou plus. De ce fait, un peu moins de la moitié ont dit avoir ressenti une de ces répercussions (25 %) ou aucune (22 %).

Conformité, atteintes et évaluation des risques

La présente section examine les impressions des entreprises quant au degré d’effort exigé pour respecter les lois sur la protection des renseignements personnels au Canada, les obstacles à la conformité, les enjeux liés aux atteintes à la protection des données et les approches de l’évaluation des risques pour la protection des renseignements personnels.

La moitié des entreprises estiment qu’il n’est ni facile ni difficile de respecter les lois

On a demandé aux dirigeants s’il a été difficile pour leur entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois sur la protection des renseignements personnels du Canada (sur une échelle de sept points où 1 signifie « extrêmement aisé » et 7 signifie « extrêmement difficile »). Près de la moitié (49 %) des entreprises ont donné une réponse neutre, c’est-à-dire qu’il n’a été ni facile ni difficile d’atteindre la conformité. La plupart des autres (34 %) ont indiqué que cette tâche s’est avérée facile à réaliser, contre 10 % qui l’ont trouvée difficile.

Les entreprises trouvent qu’il est devenu légèrement plus difficile que par le passé de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois sur la protection des renseignements personnels du Canada; elles sont moins nombreuses qu’auparavant à trouver cela très simple.

L’incompréhension de la loi — le principal obstacle à la conformité

C’est la compréhension vague de la loi qui est invoquée le plus souvent (19 %) comme le plus important obstacle ou problème relativement à l’observation des lois canadiennes. D’autres obstacles sont cités par 5 % ou moins des entreprises : exigences en personnel (5 %), formation/sensibilisation du personnel (4 %), coût de la conformité (non lié au personnel) (3 %), difficultés liées à la sécurisation des renseignements personnels (3 %), et défis posés par la nouvelle technologie (3 %). Les réponses relevant de la catégorie « autre », invoquées par 2 % ou moins des répondants, comprennent : l’évolution des lois; la paperasserie/bureaucratie; les obstacles à l’accès à l’information; les difficultés posées par la mise en œuvre suivie de la politique; le degré de sensibilisation des clients; et le volume d’information à protéger. Seize pour cent ont indiqué qu’il n’existait aucun obstacle à l’observation de la loi, et 38 % n’ont pas répondu à cette question.

Degrés de préoccupation par rapport aux atteintes à la protection des données situés aux extrémités de l’échelle

On a demandé aux entreprises dans quelle mesure, sur une échelle de 1 à 7 (où 1 signifie « pas du tout préoccupée » et 7 signifie « très préoccupée »), elles s’inquiètent d’une atteinte à la protection des données qui compromettrait les renseignements personnels de leurs clients.

La plus grande proportion, soit le tiers, n’est pas préoccupée par une atteinte à la protection des données, suivie d’une proportion de 23 %, qui est très préoccupée. Au total, 40 % ont choisi une cote dans la moitié supérieure de l’échelle, indiquant une préoccupation importante par rapport à une atteinte potentielle.

Avant de leur poser la question, on donnait l’information suivante aux dirigeants :

Parfois, les renseignements personnels de nature délicate qu’une entreprise détient sur ses clients sont compromis. Cela peut survenir pour maintes raisons, notamment des activités criminelles, une faille du système de sécurité de l’entreprise ou une erreur d’un employé, comme la perte d’un ordinateur portable ou d’un autre dispositif.

Au fil du temps, un écart s’est créé entre les entreprises canadiennes en ce qui concerne leur degré de préoccupation par rapport à une atteinte à la protection des données. Une augmentation de la proportion des entreprises qui sont très préoccupées par une atteinte a été constatée en 2011 (40 % contre 35 % en 2010), ainsi que de la proportion des entreprises qui sont le moins préoccupées ou ne le sont pas du tout (49 % contre 42 % en 2010). À l’inverse, on a assisté à une baisse du nombre d’entreprises qui sont modérément préoccupées par une atteinte (9 % contre 21 %).

Moins du tiers des entreprises ont des lignes directrices pour réagir en cas d’atteinte

Trente et un pour cent des entreprises sondées ont des lignes directrices pour donner suite à une atteinte aux renseignements personnels de leurs clients. À l’inverse, 63 % n’en ont pas, et 6 % n’étaient pas certaines.

Relativement peu d’entreprises ont été confrontées à une atteinte à la protection des données

L’immense majorité (96 %) des entreprises n’ont jamais été confrontées à une atteinte à la protection des renseignements personnels de leurs clients. Seuls 3 % l’ont été (1 % étaient incertains).

Depuis 2010, la proportion des entreprises qui ont des lignes directrices pour donner suite à une atteinte à la protection des données et la proportion des entreprises qui n’ont jamais été confrontées à une telle atteinte sont demeurées relativement constantes.

On a demandé aux dirigeants dont l’entreprise avait déjà été confrontée à une atteinte d’expliquer ce qui a été fait pour régler la situation. La réponse la plus souvent donnée était d’avertir les personnes concernées (n=16). Parmi les autres réponses, il y avait : régler le problème avec les personnes directement concernées (n=6), aviser les organismes d’application de la loi (n=5), suivre des procédures adéquates (n=4), revoir la politique ou les procédures de l’entreprise relativement à la protection des renseignements personnels (n=4), instaurer un système de sécurité ou améliorer le système existant (n=4), avertir les organismes gouvernementaux (n=4), retenir les services d’un conseiller juridique ou entamer des poursuites (n=3), assurer la formation ou le perfectionnement des employés (n=2), aviser les ressources internes de l’entreprise (n=1) et obtenir de l’information auprès du gouvernement (n=1).

Un quart des entreprises ont des procédures pour évaluer les risques liés à la protection des renseignements personnels

Environ le quart (26 %) des entreprises canadiennes compte sur des politiques ou des procédures pour évaluer leurs risques, ce qui comprend l’évaluation des risques liés à la création ou à l’utilisation de technologies ou de nouveaux produits.

À l’inverse, 67 % des entreprises n’ont ni politique ni procédure de la sorte.

Tiers

La présente section porte sur le recours aux tiers par les entreprises pour traiter et entreposer les renseignements personnels de leurs clients ou fournir d’autres services connexes.

Les deux tiers des entreprises savent qu’elles demeurent responsables de l’information transférée à des tiers

Environ les deux tiers (68 %) des entreprises savent que, quand une entreprise transfère les renseignements personnels de ses clients à un tiers aux fins du traitement et de l’entreposage ou pour tout autre service, notamment l’utilisation de l’infonuagique, elle demeure responsable de ces renseignements. À l’inverse, 31 % n’étaient pas au courant.

Peu d’entreprises font appel à des tiers, et la moitié qui le fait a des moyens pour protéger l’information

Une entreprise canadienne sur dix environ (9 %) recueille des renseignements personnels auprès de ses clients et les achemine à une autre entreprise aux fins du traitement et de l’entreposage et pour d’autres services.

Parmi les entreprises qui ont recours à des tiers, à peine plus de la moitié (54 %) a conclu un contrat ou dispose d’un autre moyen pour bien protéger les renseignements personnels des clients.

En 2011, une plus petite proportion de dirigeants qu’en 2010 a déclaré faire appel à des tiers pour traiter les renseignements personnels des clients (9 % contre 18 %).^{Note de bas de page 9} Une proportion légèrement plus grande (54 % contre 50 %) a conclu un contrat pour protéger l’information transférée à un tiers.

Coopération avec les organismes d’application de la loi et le gouvernement

La présente section porte sur la coopération des entreprises avec les organismes d’application de la loi et le gouvernement à l’égard des lois sur la protection des renseignements personnels.

Un tiers des organismes évaluent les données des clients afin de déclarer les activités suspectes ou illégales

Près du tiers des entreprises évaluent les données des clients afin de déclarer les activités suspectes ou illégales aux organismes d’application de la loi et aux agences de sécurité gouvernementales, à tout le moins dans une certaine mesure. Neuf pour cent le font régulièrement, 6 % parfois, et 17 % rarement. À l’inverse, 64 % ont dit ne jamais procéder ainsi.

Parmi les entreprises qui procèdent à cette évaluation, 28 % affirment qu’on leur demande de le faire plus souvent aujourd’hui qu’il y a cinq ans.

Communications

La présente section contient les commentaires des participants sur les sources et les moyens utilisés par leur entreprise pour réunir de l’information sur la protection des renseignements personnels.

Internet, la principale source d’information en ce qui concerne les lois sur la protection des renseignements personnels

C’est vers Internet (40 %), et Google particulièrement (5 %), que les entreprises se tournent principalement pour obtenir des renseignements sur leurs responsabilités aux termes des lois sur la protection des renseignements personnels au Canada. Arrive en deuxième place le gouvernement fédéral (30 %), suivi d’assez loin par les gouvernements provinciaux (11 %), les ressources internes de l’entreprise (10 %) et le conseiller juridique (6 %).

Sont compris dans la catégorie « autre » les associations de l’industrie, les ressources gouvernementales génériques, le téléphone, la police/GRC ainsi que les administrations locales/municipales.^{Note de bas de page 10}

Les entreprises manifestent peu d’intérêt pour l’information sur la protection des renseignements personnels dans d’autres langues

Seulement 3 % des dirigeants aimeraient obtenir de l’information sur les responsabilités de leur entreprise aux termes des lois sur la protection des renseignements personnels au Canada dans des langues autres que l’anglais et le français.

Ces dirigeants (n=38) souhaiteraient obtenir ces renseignements dans les langues suivantes, toutes mentionnées un faible nombre de fois : chinois/mandarin, hollandais, italien, tagal, pendjabi, portugais et espagnol.^{Note de bas de page 11}

Internet — la principale source où obtenir des précisions sur les responsabilités en matière de protection des renseignements personnels

Seulement 13 % des entreprises sondées ont déjà cherché à obtenir des clarifications sur leurs responsabilités aux termes des lois sur la protection des renseignements personnels au Canada. À l’inverse, 83 % d’entre elles n’ont jamais fait de telles recherches.

Celles qui ont cherché des précisions se sont tournées en grande partie vers Internet (28 %); arrivent ensuite les sources comme les experts de l’industrie, les sociétés d’experts-conseils ou les sources du domaine de l’éducation (16 %), les ressources internes de l’entreprise (15 %), les associations de l’industrie (13 %), les avocats (12 %) et le gouvernement/le commissaire à la protection de la vie privée (12 %).

En 2011, un moins grand nombre de dirigeants ont déclaré avoir tenté d’obtenir des précisions quant à leurs responsabilités aux termes des lois sur la protection des renseignements personnels au Canada qu’ils ne l’étaient en 2007 ou en 2010 (13 % contre 22 %).

En 2011, les dirigeants étaient moins portés à mentionner les avocats (12 % contre 36 %) et le gouvernement/commissaire à la protection de la vie privée (34 % contre 12 %) comme sources pouvant les aider à obtenir des précisions. Ils étaient plus enclins toutefois à indiquer Internet (28 % contre 18 %), les experts de l’industrie, les sociétés d’experts-conseils ou les sources du domaine de l’éducation (16 % contre 2 %), les ressources internes (15 % contre 6 %) et les associations de l’industrie (13 % contre 4 %).

Sensibilisation et formation

La présente section porte sur la façon dont les entreprises voient la sensibilisation et la formation liée à la protection des renseignements personnels ainsi que les modes de formation préférés.

Opinions divergentes quant à l’utilité de la formation sur la protection des renseignements personnels

On a demandé aux dirigeants d’évaluer la mesure dans laquelle il serait utile pour leur entreprise de recevoir de la formation sur les mesures à prendre pour se conformer aux lois sur la protection des renseignements personnels au Canada (sur une échelle de sept points où 1 signifie « pas du tout utile » et 7 signifie « très utile »). Près du tiers des entreprises (31 %) ont opté pour une cote dans la partie supérieure de l’échelle, jugeant cette formation utile, contre la plus grande proportion (32 %), qui ont choisi la cote la plus faible et la juge de toute évidence inutile pour leur entreprise. Un autre 20 % ont choisi une cote dans la partie inférieure de l’échelle, suggérant un manque d’intérêt flagrant pour ce type de formation.

Trente et un pour cent des entreprises voient l’utilité d’une telle formation (5 à 7), comparativement à 52 % qui la jugent inutile (1 à 3).

Avec le temps, les dirigeants ont commencé à avoir des opinions opposées sur l’utilité de la formation sur la protection des renseignements personnels. Depuis 2007, on constate une augmentation de la proportion des entreprises qui considèrent la formation comme étant relativement importante (5 à 7) (31 % contre 26 % en 2007; 23 % en 2010), ainsi que relativement sans importance (1 à 3) (52 % contre 39 % en 2007; 42 % en 2010), tandis que moins d’entreprises choisissent une cote médiane (4) (14 % contre 34 % en 2007; 33 % en 2010).

Séminaires sur le Web — le mode de formation préféré en ce qui concerne la protection des renseignements personnels

On a demandé aux dirigeants qui ont coté la formation sur la protection des renseignements personnels comme étant à tout le moins modérément utile (4 à 7) quel serait le meilleur mode de formation. Près des deux tiers (64 %) préféreraient les séminaires sur le Web, suivis du matériel et des outils autodidactiques comme les trousses d’information en ligne (56 %). Une forte minorité (39 %) opterait pour des séminaires en personne organisés dans différentes villes.

Au fil du temps, la demande à l’égard de la formation en personne dans différentes villes a augmenté (39 % en 2011 contre 22 % en 2007 et 14 % en 2010) et celle pour les outils autodidactiques en ligne a diminué (56 % en 2011 contre 73 % en 2007 et 79 % en 2010). Dans les éditions précédentes du sondage, on ne mentionnait pas directement les séminaires sur le Web.

Commissariat à la protection de la vie privée

La présente section examine le niveau de sensibilisation aux ressources offertes par le Commissariat à la protection de la vie privée et l’utilisation qui en est faite, en plus d’en faire l’évaluation.

Une forte minorité est au fait des ressources du CPVP, mais la plupart des entreprises n’y ont jamais eu recours

Quarante pour cent des dirigeants interrogés savent que le CPVP offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels. À l’inverse, 50 % l’ignorent.

Parmi les entreprises qui connaissent les ressources du CPVP, près d’une sur 5 (19 %) y a déjà fait appel, tandis que 75 % ne l’ont pas fait.

En 2011, les entreprises canadiennes semblaient moins au fait des ressources offertes par le CPVP qu’en 2010 (40 % contre 55 %). Elles étaient également moins susceptibles de les avoir déjà utilisées (19 % contre 36 %). ^{Note de bas de page 12}

Le site Web de la CPVP — la ressource la plus utilisée

On a demandé aux entreprises qui ont fait appel aux ressources du CPVP lesquelles de ces ressources elles ont utilisées. La ressource à laquelle les entreprises ont eu recours le plus souvent est de loin le site Web du CPVP (47 %); suivent les publications du CPVP (14 %), les renseignements généraux (7 %), le Centre d'information du CPVP (4 %) et une présentation ou un exposé du CPVP (3 %).

Les ressources du CPVP qualifiées d’utiles

On a demandé aux dirigeants des entreprises qui ont utilisé les ressources du CPVP d’évaluer dans quelle mesure elles ont aidé leur entreprise à assumer ses obligations en matière de protection des renseignements personnels (sur une échelle de 1 à 7 où 1 signifie « pas du tout utiles » et 7 signifie « très utiles »). Au total, 72 % ont choisi une cote dans la partie supérieure de l’échelle, indiquant qu’ils considéraient les ressources comme étant à tout le moins modérément utiles (16 % les ont qualifiées de très utiles). Un nombre relativement peu élevé d’entreprises (8 %) ont coté les outils comme n’étant pas du tout utiles (1 à 3).

En 2011, les entreprises étaient proportionnellement plus nombreuses à trouver les ressources du CPVP utiles (5 à 7) qu’en 2010 (72 % contre 55 %).

On a demandé aux dirigeants qui ont trouvé les ressources du CPVP très peu utiles (1 à 3; n=7) de préciser pourquoi. Certains ont dit qu’elles étaient trop difficiles à comprendre, que le personnel du CPVP n’avait pas su les aider, qu’ils n’avaient pas confiance en cette information ou qu’ils avaient eu de la difficulté à la trouver.

Caractéristiques des répondants au sondage

Le tableau suivant présente les caractéristiques des répondants au sondage (données non pondérées).

Caractéristiques des répondants au sondage

Emplacement de l'entreprise	Total
Base (N)	1006
Elle œuvre uniquement à cet emplacement	61%
Il y a d’autres emplacements, mais seulement dans la province	17%
Il y a d’autres emplacements dans d’autres provinces, mais seulement au Canada	10%
Il y a d’autres emplacements, y compris à l’étranger	11%
Ne sait pas/N’a pas répondu	1%
Région	Total
Base (N)	1006
Atlantique	7%
Québec	22%
Région du Grand Toronto	15%
Reste de l’Ontario (excluant la région du Grand Toronto)	20%
Prairies	8%
Alberta	14%
Colombie-Britannique	15%
Nombre d'employés	Total
Base (N)	1006
1 à 19	50%
20 à 99	30%
100 et plus	20%
Revenus de l'entreprise en 2010	Total
Base (N)	1006
Moins de 100 000 $	10%
100 000 à 249 999 $	10%
250 000 $ à 499 999 $	8%
500 000 $ à 999 999 $	9%
1 000 000 $ à 4 999 999 $	19%
5 000 000 $ à 9 999 999 $	7%
10 000 000 $ à 19 999 999 $	6%
20 000 000 $ et plus	11%
Ne sait pas/N’a pas répondu	21%
Industrie	Total
Base (N)	1006
Commerce de détail	13%
Services professionnels, scientifiques et techniques	8%
Soins de santé et assistance sociale	3%
Hébergement et restauration	9%
Finance et assurances	7%
Transport et entreposage	6%
Industrie de l’information et industrie culturelle	2%
Arts, spectacles et loisirs	3%
Services immobiliers et services de location et de location à bail	3%
Services d’enseignement	1%
Administrations publiques	1%
Services publics	1%
Services administratifs, de soutien, de gestion des déchets et d’assainissement	<1%
Autres services (sauf les administrations publiques)	16%
Construction	8%
Fabrication	10%
Commerce de gros	3%
Agriculture, foresterie, pêche et chasse	4%
Extraction minière et extraction de pétrole et de gaz	3%
Distribution	1%
Gestion de sociétés et d’entreprises	1%
Poste au sein de l'entreprise	Total
Base (N)	1006
Propriétaire, président ou PDG	35%
Directeur général ou autre gestionnaire	25%
Administration	7%
Vice-président	3%
RH/Opérations	10%
Analyste, agent ou coordonnateur en matière de protection des renseignements personnels	2%
Comptabilité	3%
Autre	15%

---

Annexe

Questionnaire

Commissariat à la protection de la vie privée Sondage auprès des entreprises 2011

Version finale : 2 décembre 2011

Bonjour, je m’appelle ________. Je vous appelle au nom de Phoenix, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du commissaire à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.

Pourrais-je parler à la personne qui est le plus au courant du genre de renseignements personnels que vous recueillez sur vos clients et la façon dont ces renseignements sont conservés et utilisés? Il pourrait s’agir de la personne de votre entreprise qui est responsable de la protection de la vie privée, si ce poste existe.

• SI LA PERSONNE EST DISPONIBLE, POURSUIVRE. RÉPÉTER L’INTRODUCTION, AU BESOIN.
• SI ELLE N’EST PAS DISPONIBLE, PRÉVOIR UN NOUVEL APPEL.

Le sondage dure environ 15 minutes, n’est pas obligatoire et est entièrement confidentiel. Vos réponses demeureront anonymes. Puis-je continuer?

[ ] Oui, maintenant (POURSUIVRE)
[ ] Non, rappelez plus tard. Établir la date et l’heure : Date :    Heure :
[ ] Refus (REMERCIER LA PERSONNE ET METTRE FIN À L’APPEL)

---

Interviewer Notes:

REMARQUES AU RESPONSABLE DE L’ENTREVUE

SI LE RÉPONDANT DEMANDE LA DURÉE DU SONDAGE, LUI DIRE QUE CELA DEVRAIT PRENDRE ENVIRON 15 MINUTES.

SI LE RÉPONDANT QUESTIONNE LA VALIDITÉ DU SONDAGE, LUI DEMANDER D’APPELER HEATHER ORMEROD DU COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE AU 613 947 8416 (OU DEMANDER À HEATHER D’APPELER LE RÉPONDANT) OU DE TÉLÉPHONER AU SYSTÈME NATIONAL D’ENREGISTREMENT DES SONDAGES (VOIR CI-DESSOUS).

SI LE RÉPONDANT LE DEMANDE, LE SONDAGE EST ENREGISTRÉ DANS LE SYSTÈME NATIONAL D’ENREGISTREMENT DES SONDAGES :
Le système d’enregistrement a été créé par le secteur de la recherche par sondage afin de permettre au public de vérifier la légitimité d’un sondage, de se renseigner sur le secteur ou de déposer une plainte. Le numéro de téléphone sans frais du système d’enregistrement est le 1 888 602 6742, poste 8728.

CERTAINES QUESTIONS SONT DES QUESTIONS DE SUIVI UTILISÉES DANS DES SONDAGES ANTÉRIEURS. LES QUESTIONS DE SUIVI SONT MARQUÉES DE LA FAÇON SUIVANTE : S2010 = SUIVI (S) DU SONDAGE AUPRÈS DES ENTREPRISES 2010.

LES TITRES EN BLEU NE DOIVENT PAS ÊTRE LUS AUX RÉPONDANTS.

LE CHOIX « NE SAIT PAS/AUCUNE RÉPONSE » DOIT ÊTRE FOURNI POUR TOUTES LES QUESTIONS.

---

1. Lequel des énoncés suivants décrit le mieux votre entreprise? (LIRE LA LISTE, ACCEPTER UNE RÉPONSE) S2010
   1. Elle vend directement aux clients
   2. Elle vend directement à d’autres entreprises/organisations
   3. Elle vend directement aux clients et à d’autres entreprises/organisations
   • Autre, veuillez préciser : _____________________

   (NE PAS LIRE : ENTREPRISE SANS BUT LUCRATIF, REMERCIER LA PERSONNE ET METTRE FIN À L’APPEL; NSP/AR, REMERCIER LA PERSONNE ET METTRE FIN À L’APPEL)

2. Environ combien d’employés travaillent pour votre entreprise au Canada? Veuillez considérer les employés à temps partiel comme des équivalents temps plein. (NE PAS LIRE LA LISTE)
   1. Un (c. à. d. travailleur indépendant)
   2. 2 à 4
   3. 5 à 9
   4. 10 à 19
   5. 20 à 49
   6. 50 à 99
   7. 100 à 149
   8. 150 à 199
   9. 200 à 249
   10. 250 à 299
   11. 300 à 499
   12. 500 à 999
   13. 1,000 à 4,999
   14. Plus de 5 000

Section 1: Pratiques liées à la protection des renseignements personnels

J’aimerais commencer par vous demander quels types de renseignements personnels vous conservez sur vos clients dans votre entreprise. Par renseignements personnels, j’entends, par exemple, le nom, l’âge, l’adresse, le revenu ou l’adresse courriel d’un client. Il peut également s’agir d’autres renseignements, comme les opinions, les achats, les dossiers de crédit ou de prêt et les dossiers d’un différend entre un client et un marchand. S2010 MODIFIÉ

3. Parmi les choix suivants, quels types de renseignements recueillez-vous sur vos clients dans votre entreprise? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES) S2010 MODIFIÉ
   1. Coordonnées, comme le nom, les numéros de téléphone et l’adresse
   2. Opinions, évaluations et commentaires
   3. Habitudes de consommation
   4. Renseignements financiers tels que factures, cartes de crédits, ou dossiers bancaires
   5. Renseignements médicaux
   6. Renseignements sur l’emplacement, comme le code postal
   • Autres renseignements. Le cas échéant, veuillez préciser : ________
   7. Aucune de ces réponses (NE PAS LIRE)
4. Parmi les choix suivants, de quelles manières entreposez-vous les renseignements personnels de vos clients dans votre entreprise? Les renseignements sont-ils…? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES) S2010 MODIFIÉ
   1. entreposés sur place en format papier
   2. entreposés sur place dans des serveurs
   3. entreposés dans des ordinateurs de bureau
   4. entreposés dans des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes
   5. entreposés par voie électronique grâce à l’infonuagique*
   6. entreposés par un tiers, à l’exception de l’infonuagique**
   7. entreposés d’une autre manière : le cas échéant, veuillez préciser _____

**REMARQUE AU RESPONSABLE DE L’ENTREVUE : SI LE RÉPONDANT NE SAIT PAS CE QU’EST L’INFONUAGIQUE, LUI DIRE QU’IL S’AGIT DE LA FOURNITURE DE RESSOURCES INFORMATIQUES PAR INTERNET. PLUTÔT QUE DE CONSERVER DES DONNÉES SUR VOTRE DISQUE DUR OU DE METTRE À JOUR DES APPLICATIONS POUR VOS PROPRES BESOINS, VOUS FAITES APPEL AU SERVICE D’UN TIERS PAR INTERNET, LEQUEL ŒUVRE À UN AUTRE ENDROIT ET VOUS PERMET D’ENTREPOSER VOS RENSEIGNEMENTS OU D’UTILISER SES APPLICATIONS.
****REMARQUE AU RESPONSABLE DE L’ENTREVUE : POUR CETTE QUESTION, IL FAUT DISTINGUER L’INFONUAGIQUE DE L’ENTREPOSAGE PAR UN TIERS.

SI LES RENSEIGNEMENTS SONT « ENTREPOSÉS DANS DES DISPOSITIFS PORTABLES », POSER LA QUESTION SUIVANTE :

5. Dans votre entreprise, utilisez-vous le chiffrement pour protéger les renseignements personnels que vous entreposez dans des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes?
   1. Oui
   2. Non

POSER LA QUESTION SUIVANTE À TOUS LES RÉPONDANTS :

6. Quelles mesures prenez-vous pour protéger les renseignements personnels de vos clients? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES) S2010 MODIFIÉ
   1. Mesures matérielles, comme le verrouillage des classeurs, la restriction de l’accès ou les alarmes de sécurité.
   2. Outils technologiques, comme des mots de passe, le chiffrement ou des pare-feux.
   3. Contrôles organisationnels, comme des politiques et des procédures.
   4. Autre mesure. Le cas échéant, veuillez préciser : ______________
   5. Aucune mesure prise

SI DES « OUTILS TECHNOLOGIQUES » SONT UTILISÉS, POSER LA QUESTION SUIVANTE :

7. Parmi les choix suivants, quels outils technologiques utilisez-vous? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES)
   1. Mots de passe
   2. Chiffrement
   3. Pare-feux

SI DES « MOTS DE PASSE » SONT UTILISÉS, POSER LES DEUX QUESTIONS SUIVANTES :

8. À quelle fréquence demandez-vous à vos employés de modifier leurs mots de passe? (NE PAS LIRE LA LISTE. ACCEPTER UNE RÉPONSE)
   1. Chaque mois
   2. Chaque trimestre
   3. Tous les six mois
   4. Une fois par année
   5. Moins fréquemment
   6. LIBRE : Les employés ne sont pas tenus de modifier leurs mots de passe
9. Avez-vous pris des mesures pour veiller à ce que les employés utilisent des mots de passe difficiles à deviner?
   1. Oui
   2. Non

POSER LES QUESTIONS SUIVANTES À TOUS LES RÉPONDANTS :

10. Dans votre entreprise, est-ce qu’une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient? S2010 MODIFIÉ
    1. Oui
    2. Non
11. Comptez-vous des employés ayant reçu une formation sur les pratiques adéquates en matière d’information et les responsabilités connexes aux termes des lois sur la protection des renseignements personnels du Canada? S2010
    1. Oui
    2. Non              PASSER LA QUESTION QUI SUIT
12. Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels? S2010 MODIFIÉ
    1. Oui
    2. Non
13. Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements ont été traités de façon inadéquate? S2010 MODIFIÉ
    1. Oui
    2. Non

Section 2 : Politique sur la protection des renseignements personnels

14. Est-ce que votre entreprise a une politique sur la protection des renseignements personnels?
    1. Oui              PASSER LA QUESTION QUI SUIT
    2. Non

POSER LA QUESTION SUIVANTE SI L’ENTREPRISE N’A PAS DE POLITIQUE SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS :

15. Quelle est la raison principale pour laquelle votre entreprise n’a pas de politique sur la protection des renseignements personnels? (NE PAS LIRE LA LISTE. ACCEPTER UNE RÉPONSE)
    1. Nous ne croyons pas que cela est nécessaire
    2. Nous n’y avons jamais pensé
    3. Les renseignements personnels des clients de l’entreprise ne sont pas recueillis
    4. Nous sommes en train d’élaborer une politique sur la protection des renseignements personnels
    5. Nous ne savons pas comment élaborer une politique sur la protection des renseignements personnels
    • Autre (préciser) : ________________

POUR LES RÉPONDANTS DONT L’ENTREPRISE N’A PAS DE POLITIQUE SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS, PASSER À LA SECTION QUI SUIT.

16. À quelle fréquence mettez-vous à jour votre politique sur la protection des renseignements personnels? (LIRE LA LISTE)
    1. Une fois par mois ou plus fréquemment
    2. Une fois tous les trois mois
    3. Une fois tous les six mois
    4. Une fois par année
    5. Moins d’une fois par année
    6. Jamais              PASSER À LA SECTION SUIVANTE
17. Dans quelles situations mettez-vous à jour votre politique sur la protection des renseignements personnels? J’entends par « situations » les conditions ou les événements qui vous mènent à mettre à jour la politique de votre entreprise. (NE PAS LIRE LA LISTE; ACCEPTER PLUSIEURS RÉPONSES)
    1. Changement de la loi
    2. Nouvelle campagne de marketing
    3. Changement des pratiques opérationnelles
    4. Changement des technologies utilisées par l’organisation
    5. Pendant les examens prévus (p. ex. une fois par année)
    • Autre. Préciser : ____________________
18. Est-ce que vous avertissez vos clients quand vous apportez des changements à votre politique sur la protection des renseignements personnels? Les avertissez vous…?
    1. Toujours
    2. Parfois
    3. Jamais

SI LE RÉPONDANT A DÉCLARÉ « TOUJOURS » OU « PARFOIS », POSER LA QUESTION SUIVANTE :

19. De quelle façon communiquez-vous votre politique sur la protection des renseignements personnels à vos clients? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES)
    1. Courriel
    2. Avis sur le site Web
    3. Lettre aux clients
    4. Affiches dans les bureaux, les magasins ou ailleurs
    • Autre (préciser) : ________________

Section 3 : La protection des renseignements personnels en tant qu’objectif organisationnel

20. Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise? Veuillez utiliser une échelle de 1 à 7, où 1 signifie que cela n’est pas un objectif organisationnel important et 7 signifie qu’il s’agit d’un objectif très important.
21. Dans votre entreprise, quel est le point de vue à l’égard de la protection des renseignements personnels? Considérez-vous qu’il s’agit d’un avantage concurrentiel important, d’un avantage concurrentiel modéré, d’un désavantage organisationnel modéré, d’un désavantage organisationnel important, ou qu’il ne s’agit ni d’un avantage ni d’un désavantage organisationnel?

Section 4 : Sensibilisation aux lois sur la protection des renseignements personnels et répercussions de ces lois

La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie Britannique et au Québec, le secteur privé est régi par des lois provinciales, lesquelles sont considérées comme semblables à la loi fédérale. S2010 MODIFIÉ

22. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout sensibilisée et 7 signifie très sensibilisée. S2010 MODIFIÉ
23. En raison des lois sur la protection des renseignements personnels du Canada, considérez-vous que votre entreprise…? (LIRE LA LISTE EN DÉSORDRE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES) S2010 MODIFIÉ
    1. est davantage sensibilisée à ses obligations en matière de protection des renseignements personnels
    2. a amélioré la formation fournie aux employés sur les obligations en matière de protection des renseignements personnels
    3. prête davantage attention à la protection des renseignements personnels de ses clients
    4. a accru la sécurité liée aux renseignements personnels qu’elle détient sur ses clients
    5. a été confrontée à moins d’atteintes* relativement aux renseignements personnels des clients

    *REMARQUE AU RESPONSABLE DE L’ENTREVUE : SI LE RÉPONDANT NE SAIT PAS CE QU’EST UNE ATTEINTE, LUI INDIQUER QU’UNE ATTEINTE À LA SÉCURITÉ EST UNE SITUATION OÙ LA CONFIDENTIALITÉ DES RENSEIGNEMENTS PERSONNELS A ÉTÉ COMPROMISE D’UNE FAÇON OU D’UNE AUTRE (P. EX. ERREUR D’UN EMPLOYÉ, ACCÈS NON AUTORISÉ, PIRATES).

24. En ce qui concerne la LPRPDE, la loi du gouvernement fédéral sur la protection des renseignements personnels, dans quelle mesure considérez-vous que votre entreprise y est sensibilisée? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout sensibilisée et 7 signifie très sensibilisée.

Section 5 : Conformité, atteintes et évaluation des risques

25. Dans quelle mesure a-t-il été difficile dans votre entreprise de rendre vos pratiques de traitement des renseignements personnels conformes aux lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie extrêmement aisé, 7, extrêmement difficile et 4, ni aisé ni difficile. S2010 MODIFIÉ
26. Selon vous, quel est le plus important obstacle ou défi en ce qui concerne se conformer aux lois sur la protection des renseignements personnels du Canada? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES)
    1. Compréhension vague de la loi
    2. Le personnel doit y allouer du temps
    3. Coût de la conformité (coûts non liés au personnel)
    • Autre : Préciser _______________

    Parfois, les renseignements personnels de nature délicate qu’une entreprise détient sur ses clients sont compromis. Cela peut survenir pour maintes raisons, notamment des activités criminelles, une faille du système de sécurité de l’entreprise ou une erreur d’un employé, comme la perte d’un ordinateur portable ou d’un autre dispositif. S2010 MODIFIÉ

27. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout préoccupé et 7, très préoccupé. S2010 MODIFIÉ
28. Est-ce que votre entreprise a des lignes directrices en cas d’atteinte qui compromettrait les renseignements personnels de vos clients? S2010
    1. Oui
    2. Non
29. Votre entreprise a-t-elle déjà été confrontée à une atteinte qui a compromis les renseignements personnels de vos clients? S2010 MODIFIÉ
    1. Oui
    2. Non              SAUTER LA QUESTION QUI SUIT

POSER LA QUESTION SUIVANTE AUX RÉPONDANTS AYANT INDIQUÉ QUE LEUR ENTREPRISE AVAIT ÉTÉ CONFRONTÉE À UNE ATTEINTE À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS :

30. Qu’avez-vous fait pour régler cette situation? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES) S2010
    1. Avertissement des personnes concernées
    2. Avertissement des organismes gouvernementaux qui surveillent les lois sur la protection des renseignements personnels du Canada
    3. Avertissement des organismes d’application de la loi
    4. Suivi la procédure adéquate (générale)
    5. Avertissement du siège social, des RH ou du service responsable de la protection des renseignements personnels de l’entreprise
    6. Recours à un conseiller juridique ou poursuite en justice
    7. Règlement du problème avec les personnes responsables de l’atteinte (p. ex. congédiement ou réprimande de l’employé)
    8. Obtention de renseignements du gouvernement (sites Web, numéros 1-800)
    9. Formation ou formation d’appoint du personnel
    10. Examen des politiques ou des pratiques en matière de protection des renseignements personnels
    11. Mise en place d’un système de sécurité ou accroissement de la sécurité
    • Autre (préciser) : ________________

POSER LA QUESTION SUIVANTE À TOUS LES RÉPONDANTS :

31. Votre entreprise compte-t-elle sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels? Cela comprend l’évaluation des risques liés à la création ou à l’utilisation de technologies, de produits ou de services nouveaux.
    1. Oui
    2. Non

Section 6: Tiers

32. Dans votre entreprise, recueillez-vous des renseignements personnels auprès des clients pour ensuite les acheminer à une autre entreprise aux fins de traitement et d’entreposage ou pour tout autre service? S2010 MODIFIÉ
    1. Oui
    2. Non
33. Saviez-vous que, quand une entreprise transfère les renseignements personnels de ses clients à un tiers aux fins de traitement et d’entreposage ou pour tout autre service, notamment l’utilisation de l’infonuagique, elle demeure responsable de ces renseignements?
    1. Oui
    2. Non

POSER LA QUESTION SUIVANTE SEULEMENT AUX RÉPONDANTS DONT L’ENTREPRISE FAIT APPEL À UN TIERS (Q38) OU UTILISE L’INFONUAGIQUE (Q4) :

34. Avez-vous conclu un marché ou pris d’autres mesures pour veiller à ce que les renseignements personnels de vos clients qui sont traités ou entreposés par une autre entreprise, y compris par l’entremise de l’infonuagique*, soient protégés adéquatement? S2010 MODIFIÉ
    1. Oui
    2. Non

    *NE LIRE L’ÉNONCÉ « Y COMPRIS PAR L’ENTREMISE DE L’INFONUAGIQUE » QUE POUR LES RÉPONDANTS QUI UTILISENT ACTUELLEMENT CE PROCESSUS.

Section 7 : Coopération avec les organismes d’application de la loi et le gouvernement

35. Certaines entreprises doivent évaluer les données des clients afin de relever des activités suspicieuses ou illégales et de les signaler à des organismes d’application de la loi ou à des organisations de sécurité du gouvernement. Dans votre entreprise, considérez-vous que vous faites cela…? (LIRE LA LISTE. ACCEPTER UNE RÉPONSE)
    1. Régulièrement
    2. Parfois
    3. Rarement
    4. Jamais

SI LE RÉPONDANT A DÉCLARÉ « RÉGULIÈREMENT », « PARFOIS » OU « RAREMENT », POSER LA QUESTION SUIVANTE :

36. Est-ce que votre entreprise doit signaler à des organismes d’application de la loi ou à des organisations de sécurité du gouvernement des activités suspicieuses et illégales plus souvent aujourd’hui qu’il y a, disons, cinq ans?
    1. Oui
    2. Non
    3. Une seule demande en ce sens (DE FAÇON VOLONTAIRE)

Section 8 : Communications

37. Si vous souhaitiez obtenir de plus amples renseignements sur les responsabilités de votre entreprise aux termes des lois sur la protection des renseignements personnels du Canada, vers qui vous tourneriez-vous? (NE PAS LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES) S2010 MODIFIÉ
    1. Gouvernement fédéral
    2. Gouvernement provincial
    3. Ressources internes de l’entreprise
    4. Conseiller juridique
    5. Association de l’industrie
    • Autre, Veuillez préciser : ________________
38. Aimeriez-vous recevoir des renseignements sur les responsabilités de votre entreprise aux termes des lois sur la protection des renseignements personnels du Canada en d’autres langues que le français ou l’anglais?
    1. Oui
    2. Non

SI LA RÉPONSE EST « OUI », POSER LA QUESTION SUIVANTE :

39. Dans quelle langue aimeriez-vous recevoir ces renseignements?
    • ajouter une liste des principales langues potentielles et le choix « autre/préciser »
40. Dans votre entreprise, avez-vous déjà cherché à obtenir des clarifications sur vos responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? S2010
    1. Oui
    2. Non              SAUTER LA QUESTION QUI SUIT

SI LA RÉPONSE EST « OUI », POSER LA QUESTION SUIVANTE :

41. Où avez-vous obtenu ces clarifications? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES) S2010
    1. Internet (général)
    2. Gouvernement/commissaire à la protection de la vie privée
    3. Avocat
    4. Expert de l’entreprise ou du siège social ou ressource interne de l’entreprise
    5. Experts de l’industrie, sociétés d’experts-conseils ou sources du domaine de l’éducation
    6. Association de l’industrie
    • Autre, Veuillez préciser : ________________

Section 9 : Sensibilisation et formation

42. Dans votre entreprise, dans quelle mesure serait-il utile de donner une formation sur ce que les entreprises doivent faire pour être conformes aux lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout utile et 7, très utile. S2010 MODIFIÉ

SI LA RÉPONSE EST DE 4 À 7, POSER LA QUESTION SUIVANTE :

43. Selon vous, quelle serait la façon la plus efficace de recevoir cette formation? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES) S2010 MODIFIÉ
    1. Séminaires en personne dans différentes villes
    2. Séminaires Web
    3. Fourniture de matériel et d’outils libre-service, comme des trousses d’information en ligne
    4. Autre, Veuillez préciser : ________________

Section 10 : Commissariat à la protection de la vie privée

44. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels? S2010 MODIFIÉ
    1. Oui
    2. Non              PASSER À LA SECTION QUI SUIT

SI LA RÉPONSE EST « OUI », POSER LA QUESTION SUIVANTE :

45. Avez-vous déjà fait appel à ces ressources dans votre entreprise? S2010 MODIFIÉ
    1. Oui
    2. Non              PASSER À LA SECTION QUI SUIT

SI LA RÉPONSE EST « OUI », POSER LA QUESTION SUIVANTE :

46. À quelles ressources du Commissariat à la protection de la vie privée du Canada avez-vous fait appel dans votre entreprise? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES)
    1. Site Web du CPVP
    2. Publications du CPVP
    3. Présentation ou exposé du CPVP
    4. Appel au Centre d’information du CPVP (pour des demandes de renseignements)
    • Autre, Veuillez préciser : ________________
47. Dans quelle mesure les ressources ou les renseignements reçus du Commissariat à la protection de la vie privée du Canada ont-ils été utiles pour aider votre entreprise à assumer ses obligations en matière de protection des renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout utiles et 7, très utiles. S2010 MODIFIÉ

SI LA RÉPONSE EST DE 1 À 3, POSER LA QUESTION SUIVANTE :

48. Pourquoi les ressources ou les renseignements n’ont-ils pas été très utiles? (NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES)
    1. Pas assez détaillés
    2. Trop difficiles à comprendre
    3. Rien de nouveau; renseignements déjà connus
    4. Présentation dans une forme non privilégiée
    5. Non adéquats pour la taille de l’entreprise
    6. Non adéquats pour le secteur opérationnel
    • Autre, Veuillez préciser : ________________

Section 11 : Profil organisationnel

Ces dernières questions n’ont qu’une visée statistique, et toutes les réponses sont confidentielles.

49. Dans quelle industrie ou dans quel secteur œuvrez-vous? Si votre entreprise œuvre dans plusieurs secteurs, veuillez indiquer le secteur principal. (NE PAS LIRE LA LISTE. ACCEPTER UNE RÉPONSE)
    1. Hébergement et services de restauration
    2. Services administratifs, de soutien, de gestion des déchets et d’assainissement
    3. Agriculture, foresterie, pêche et chasse
    4. Arts, spectacles et loisirs
    5. Construction
    6. Services d’enseignement
    7. Finance et assurances
    8. Soins de santé et assistance sociale
    9. Industrie de l’information et industrie culturelle
    10. Gestion de sociétés et d’entreprises
    11. Fabrication
    12. Extraction minière et extraction de pétrole et de gaz
    13. Autres services (sauf les administrations publiques)
    14. Services professionnels, scientifiques et techniques
    15. Administrations publiques
    16. Services immobiliers et services de location et de location à bail
    17. Commerce de détail
    18. Transport et entreposage
    19. Services publics
    20. Commerce de gros
    • Autre, Veuillez préciser : ________________
50. Quel est votre poste au sein de l’organisation? (NE PAS LIRE LA LISTE. ACCEPTER UNE RÉPONSE) S2010 MODIFIÉ
    1. Propriétaire, président ou PDG
    2. Directeur général ou autre gestionnaire
    3. Gestionnaire des TI
    4. Administration
    5. Vice-président
    6. Analyste, agent ou coordonnateur en matière de protection des renseignements personnels
    7. Conseiller juridique/avocat
    8. RH/Opérations
    9. Autre, Veuillez préciser : ________________
51. Quelle catégorie correspond aux revenus de votre entreprise en 2010? (LIRE LA LISTE. ACCEPTER UNE RÉPONSE) S2010 MODIFIÉ
    1. Moins de 100 000 $
    2. De 100 000 $ à juste au-dessous de 250 000 $
    3. De 250 000 $ à juste au-dessous de 500 000 $
    4. De 500 000 $ à juste au-dessous de 1 000 000 $
    5. De 1 000 000 $ à juste au-dessous de 5 000 000 $
    6. 5 000 000 $ à juste au-dessous de 10 000 000 $
    7. De 10 000 000 $ à juste au-dessous de 20 000 000 $
    8. Plus de 20 millions de dollars
52. Lequel des énoncés suivants décrit le mieux votre entreprise? (LIRE LA LISTE. ACCEPTER UNE RÉPONSE) S2010 MODIFIÉ
    1. Elle œuvre uniquement à cet emplacement
    2. Il y a d’autres emplacements, mais seulement dans la province
    3. Il y a d’autres emplacements dans d’autres provinces, mais seulement au Canada
    4. Il y a d’autres emplacements, y compris à l’étranger

Cela met fin au sondage.
Merci de votre temps et de vos commentaires; cela est très apprécié.