Sondage d'opinion publique
Recherche sur l’opinion publique menée en 2015 auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels (sondage téléphonique)
Rapport Final
Sondage réalisé pour le Commissariat à la protection de la vie privée du Canada par la société Phoenix SPI
Janvier 2016
Liste des figures
- Figure 1 : Type de renseignements recueillis sur les clients
- Figure 2 : Méthodes d’entreposage des renseignements personnels
- Figure 3 : Mesures prises pour protéger les renseignements des clients
- Figure 4 : Importance accordée à la protection des renseignements personnels des clients
- Figure 5 : Importance accordée à la protection des renseignements personnels des clients
- Figure 6 : Pratiques visant à assurer la conformité des entreprises en matière de protection des renseignements personnels
- Figure 7 : Pratiques visant à assurer la conformité des entreprises en matière de protection des renseignements personnels
- Figure 8 : Politiques en place pour évaluer les risques liés à la protection des renseignements personnels
- Figure 9 : Recours à des tiers pour gérer les renseignements personnels
- Figure 10 : Utilisation d’appareils électroniques personnels pour les besoins du travail
- Figure 11 : Préoccupation des répondants à l’égard des atteintes à la sécurité des données
- Figure 12 : Préoccupation des répondants à l’égard des atteintes à la sécurité des données
- Figure 13 : Protocoles en place pour faire face aux atteintes à la sécurité des données
- Figure 14 : Sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels
- Figure 15 : Sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels
- Figure 16 : Sensibilisation des entreprises à la LPRPDE
- Figure 17 : Sensibilisation des entreprises à la LPRPDE
- Figure 18 : Conformité à la LPRPDE
- Figure 19 : Sources utilisées pour faciliter la conformité aux lois en matière de protection des renseignements personnels
- Figure 20 : Connaissance des ressources du Commissariat à la protection de la vie privée
Sommaire
Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a retenu les services de Phoenix Strategic Perspectives Inc. (Phoenix) afin de réaliser, auprès des entreprises canadiennes, une recherche quantitative et qualitative sur l’opinion publique portant sur les enjeux liés à la protection des renseignements personnels. Cette étude vise à nous permettre de mieux comprendre 1) la mesure dans laquelle les entreprises connaissent les exigences et les enjeux liés à la protection des renseignements personnels et 2) les types de politiques et de pratiques qu’elles ont adoptées en la matière. Le présent rapport fait état des résultats du sondage téléphonique de 12 minutes réalisé auprès de 1 016 entreprises à l’échelle du Canada. Les données ont été recueillies du 1er au 18 décembre 2015. Compte tenu de la taille de l’échantillon, les résultats sont fiables à plus ou moins 3,1 %, 19 fois sur 20.
Collecte, entreposage et protection des renseignements sur les clients
Les entreprises canadiennes recueillent divers renseignements personnels sur leurs clients. La vaste majorité des entreprises sondées (93 %) recueillent des coordonnées, comme les noms, les numéros de téléphone et les adresses postales ou électroniques. Parmi les autres types de renseignements sur les clients assez souvent mentionnés, citons les opinions, les évaluations et les commentaires (27 %) ainsi que les renseignements financiers, comme ceux se rapportant aux factures, aux cartes de crédit ou aux dossiers bancaires (25 %). Les types de renseignements recueillis par les entreprises sur les clients ont peu changé depuis qu’ils ont commencé à faire l’objet d’un suivi en 2011. Les coordonnées, les renseignements financiers et les commentaires demeurent les renseignements sur les clients recueillis le plus fréquemment.
Pour ce qui est des méthodes d’entreposage, 62 % des répondants ont indiqué que leur entreprise entrepose en format papier les renseignements sur les clients. Comme en 2011 et en 2013, le format papier est la principale méthode d’entreposage. Par ailleurs, des proportions semblables de répondants entreposent les renseignements sur des ordinateurs de bureau (54 %) et des serveurs sur place (53 %). Près du quart des répondants (24 %) ont indiqué que leur entreprise entrepose ce type d’information sur des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes. Dix-sept pour cent des entreprises sondées (17 %) entreposent l’information par voie électronique grâce à l’infonuagique, et 11 %, au moyen d’un service tiers autre que l’infonuagique (comme un entrepôt de documentation). Depuis 2013, l’utilisation de serveurs sur place pour l’entreposage des données a chuté de 58 % à 53 %, tandis que le pourcentage d’entreprises entreposant des données grâce à l’infonuagique est passé de 7 % à 17 %.
Quatre-vingt-treize pour cent des entreprises sondées (93 %) utilisent au moins une mesure de sécurité pour protéger les renseignements personnels de leurs clients et exactement la moitié en utilisent quatre ou cinq. Les mots de passe (79 %) sont la méthode la plus courante, suivie des mesures matérielles (74 %), comme le verrouillage des classeurs, la restriction de l’accès et les alarmes de sécurité. Une plus faible proportion de répondants utilisent des pare-feu (65 %) et des contrôles organisationnels (63 %), comme des politiques et des procédures de sécurité. Un répondant sur trois (32 %) a indiqué que son entreprise se sert du chiffrement pour protéger les renseignements personnels des clients. L’utilisation d’outils technologiques (mots de passe, pare-feu ou chiffrement) est passée de 78 % en 2013 à 83 % en 2015, tandis que l’utilisation de mesures matérielles chutait de 78 % à 74 %.
Pratiques de l’entreprise en matière de protection des renseignements personnels
Deux tiers des cadres sondés (67 % en 2015, en baisse par rapport à 70 % en 2013) ont indiqué que leur entreprise accorde une grande importance à la protection des renseignements personnels de leurs clients. Seulement 11 % ont déclaré que la protection des renseignements personnels de leurs clients n’est pas un objectif important de leur entreprise.
On a demandé aux répondants si leur entreprise a mis en œuvre des pratiques de protection des renseignements personnels. Plus de la moitié des entreprises sondées ont nommé une personne responsable des questions liées à la protection de la vie privée (57 %), élaboré des politiques internes à l’intention du personnel qui expliquent les obligations en matière de protection des renseignements personnels (50 %) et mis en place des procédures pour gérer les plaintes des consommateurs (50 %), ce qui fait ressortir l’importance que les entreprises accordent à la protection des renseignements personnels des clients. Quarante-quatre pour cent des entreprises (44 %) ont une politique sur la protection des renseignements personnels qui explique aux clients comment elles recueilleront et utiliseront leurs renseignements personnels. Les entreprises sont peu nombreuses à donner régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels (32 %). En moyenne, les entreprises mettent en œuvre trois (2,78) de ces pratiques de traitement des renseignements personnels. En ce qui a trait aux pratiques faisant l’objet d’un suivi, la proportion d’entreprises qui les mettent en œuvre a très peu changé.
Gestion des risques liés à la protection des renseignements personnels
Bien que la majorité des entreprises considèrent la protection des renseignements personnels comme un objectif très important, seulement 37 % des cadres ont indiqué que leur entreprise dispose de politiques ou de procédures pour évaluer les risques liés à la protection des renseignements personnels touchant l’entreprise (en hausse comparativement au pourcentage de 28 % obtenu en 2013). Il s’agit notamment d’évaluer les risques liés à la protection des renseignements personnels qui découlent de la création ou de l’utilisation de nouvelles technologies et de nouveaux produits ou services.
Le sondage s’est également penché sur la proportion d’entreprises qui mettent en œuvre des pratiques susceptibles d’accroître le risque d’atteinte à la sécurité des renseignements personnels, y compris le recours à des tiers pour gérer les données ainsi que l’utilisation d’appareils électroniques personnels par les employés pour les besoins de leur travail. Les répondants ont aussi été sondés sur leur niveau de préoccupation à l’égard des atteintes à la sécurité des données et les moyens d’y faire face.
Moins d’une entreprise sur cinq (17 %) achemine les renseignements de clients à des tiers à des fins de traitement ou d’entreposage, ce qui peut comprendre le recours à l’infonuagiqueNote de bas de page 1. Il s’agit d’une augmentation modeste, soit cinq points de pourcentage, comparativement à 2013, année où 13 % des entreprises avaient acheminé de l’information à des tiers.
Les représentants des entreprises ont également été sondés à propos de la politique de leur entreprise quant à l’utilisation d’appareils électroniques personnels, comme les téléphones intelligents, les tablettes ou les ordinateurs portables, par les employés pour les besoins de leur travail. Près d’une entreprise sur quatre (23 %) autorise cette pratique.
Les cadres étaient divisés quant à leur niveau de préoccupation à l’égard des atteintes à la sécurité des données qui compromettrait les renseignements personnels de leurs clients. Près du quart des répondants (26 %) ont choisi la cote la plus élevée (très préoccupé), tandis qu’une proportion légèrement supérieure (30 %) ont indiqué ne pas être préoccupés du tout. Globalement, 32 % des répondants ont fait état d’un niveau de préoccupation élevée, 23 %, d’un niveau modéré et 44 %, d’un niveau faible ou nul. Au fil du temps, la proportion des cadres peu préoccupés par les atteintes à la sécurité des données est passée de 41 % en 2013 à 48 % en 2015.
Une forte minorité (41 %) des entreprises sondées ont adopté des politiques ou des procédures à suivre en cas d’atteinte qui compromettrait les renseignements personnels des clients. Il s’agit d’une faible augmentation par rapport à 2013, année où 37 % des répondants indiquaient avoir des lignes directrices pour faire face à cette situation. En revanche, un peu plus de la moitié (55 %) des cadres sondés ont indiqué que leur entreprise n’a pas adopté de procédures (5 % ne savent pas avec certitude si leur entreprise a adopté ou non des protocoles).
Sensibilisation aux lois fédérales sur la protection des renseignements personnels et répercussions de ces lois
On a demandé aux cadres d’évaluer le niveau de sensibilisation de leur entreprise à ses responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels. Une forte minorité (43 %) de répondants estiment que leur entreprise est très sensibilisée à ses responsabilités. Une proportion légèrement plus faible (39 %) de répondants ont fait état d’une sensibilisation modérée aux responsabilités en matière de protection des renseignements personnels. Au total, 82 % des entreprises sont sensibilisées dans une certaine mesure à leurs responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels. La proportion de répondants ayant indiqué que leur entreprise est très sensibilisée à ses responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels est pratiquement inchangée depuis 2013, mais elle reste plus faible qu’au moment du premier sondage, qui a été mené en 2007. Près de la moitié (49 %) des cadres sondés avaient alors indiqué que leur entreprise était très sensibilisée à ses obligations en matière de protection des renseignements personnels.
On a demandé aux cadres d’évaluer leur sensibilisation à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale canadienne assurant la protection des renseignements personnels dans le secteur privé. Au total, 37 % ont indiqué que leur entreprise est très sensibilisée à cette loi, tandis que 40 % ont fait état d’une sensibilisation modérée. Au total, 77 % des entreprises sont quelque peu sensibilisées à la LPRPDE. Dans l’ensemble, la sensibilisation à cette loi a augmenté légèrement de 2013 à 2015, ce qui montre une tendance positive en ce qui a trait à la proportion d’entreprises très sensibilisées à la LPRPDE, qui est passée de 27 % en 2011 à 37 % en 2015.
D’après une faible majorité de cadres (59 %), leur entreprise a pris de mesures pour s’assurer de respecter la LPRPDE. Près de neuf entreprises sur dix (89 %) ayant pris des mesures pour respecter les lois fédérales canadiennes en matière de protection des renseignements personnels (n = 657) n’ont pas eu de difficulté à s’y conformer. Les quelques cadres ayant indiqué que leur entreprise a eu de la difficulté à ce chapitre (n = 56) ont invoqué des raisons variées, principalement une compréhension vague de la loi (17 %), un manque d’information à jour (14 %) et le coût de la conformité (13 %).
Communications et sensibilisation
On a demandé aux cadres quelles organisations ou ressources leur entreprise utilise pour mieux comprendre ses responsabilités en vertu des lois canadiennes en matière de protection des renseignements personnels. Près de la moitié des cadres sondés (45 %) ont indiqué que leur entreprise ne consulte aucune ressource pour obtenir de l’aide dans le domaine de la conformité. Parmi les entreprises ayant sollicité de l’aide (n = 628), la principale ressource citée était Internet (42 %), suivie des gouvernements fédéral et provincial (25 %), y compris le Commissariat à la protection de la vie privée du Canada (8 %).
Une forte minorité (41 %) des cadres sondés savait que le Commissariat offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels. Le niveau de sensibilisation est pratiquement inchangé depuis 2011, année où il avait chuté à 40 % après un sommet de 55 % en 2010.
Variations entre les sous-groupes
La taille de l’entreprise est la variable prédictive la meilleure et la plus constante en ce qui a trait aux pratiques de protection des renseignements personnels d’une entreprise. De façon générale, les grandes entreprises (100 employés ou plus) utilisent davantage de méthodes pour protéger les renseignements sur les clients et sont plus nombreuses à disposer de politiques et de procédures pour évaluer les risques. Les grandes entreprises sont également plus nombreuses à accorder une grande importance à la protection des renseignements personnels, à être très sensibilisées à la LPRPDE et à avoir pris des mesures pour s’assurer de respecter les lois fédérales en matière de protection des renseignements personnels.Pour obtenir de plus amples renseignements :
Nom du fournisseur : Phoenix Strategic Perspectives Inc.
Numéro de contrat de TPSGC : 2R008-150157/001/CY
Date d’octroi : 2015-11-10
Montant total du contrat : 103 998,42 $ Note de bas de page 2
Pour en savoir plus sur le sondage, veuillez envoyer un courriel à publications@priv.gc.ca.
Introduction
Le Commissariat à la protection de la vie privée (le Commissariat) du Canada a retenu les services de Phoenix Strategic Perspectives Inc. (Phoenix) afin de réaliser une recherche quantitative et qualitative sur l’opinion publique auprès des entreprises canadiennes sur les enjeux liés à la protection des renseignements personnels. Phoenix est heureuse de faire état des résultats de l’étude quantitative dans le présent rapport.
Contexte et objectifs
À titre de défenseur des droits des Canadiens à la vie privée, le Commissariat est habilité à faire enquête sur les plaintes, à mener des vérifications et à publier de l’information sur les pratiques de traitement des renseignements personnels mises en œuvre par les organisations des secteurs public et privé. De plus, il effectue de la recherche et renseigne le public sur les enjeux liés à la protection des renseignements personnels. Conformément à son mandat, le Commissariat est chargé d’appliquer la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui vise les activités commerciales exercées dans les provinces de l’Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Le Québec, l’Alberta et la Colombie-Britannique possèdent leur propre loi sur la protection des renseignements personnels s’appliquant au secteur privé. Toutefois, même dans ces provinces, la LPRPDE s’applique aux entreprises du secteur privé sous réglementation fédérale ainsi qu’aux renseignements personnels se rattachant aux transactions interprovinciales et internationales.
Comme le Commissariat a pour mandat de protéger et de promouvoir le droit à la vie privée et, à terme, de fournir des lignes directrices aux individus et aux organisations en ce qui concerne les enjeux liés à la protection des renseignements personnels, il doit connaître certains éléments quant à la façon dont les entreprises canadiennes traitent ces enjeux :
- la mesure dans laquelle les entreprises connaissent les enjeux liés à la protection des renseignements personnels et les exigences connexes;
- le type de politiques et de pratiques en matière de protection des renseignements personnels mises en place par les entreprises;
- la conformité des entreprises aux lois en matière de protection des renseignements personnels;
- la sensibilisation des entreprises aux questions et pratiques nouvelles en matière de protection des renseignements personnels.
Le Commissariat mène tous les deux ans un sondage quantitatif auprès des entreprises. Cette recherche inspire et guide ses efforts de sensibilisation des entreprises.
Le Commissariat a récemment établi de nouvelles priorités et approches stratégiques en vue de l’aider à atteindre l’objectif d’accroître le contrôle exercé par les Canadiens sur leurs renseignements personnels. Dans le rapport sommaire présentant ces nouvelles priorités, intitulé Tracer un chemin vers une meilleure protection, le Commissariat signale que tout au long des consultations menées auprès des intervenants, il a entendu que les petites et moyennes entreprises (PME) avaient besoin d’être davantage sensibilisées pour mieux comprendre leurs obligations en matière de protection des renseignements personnels en vertu de la LPRPDE. C’est pourquoi il cherche à approfondir sa compréhension des petites entreprises afin de pouvoir mettre au point de la documentation et des approches appropriées pour mieux les sensibiliser.
Conception de la recherche
Pour respecter les objectifs, une recherche quantitative et qualitative a été menée auprès d’entreprises canadiennes. Le présent rapport porte sur le volet quantitatif. Un sondage téléphonique de 12 minutes a été réalisé à la grandeur du Canada auprès d’un échantillon de 1 016 entreprises stratifié en fonction de leur taille. Phoenix a pondéré les résultats selon la taille, le secteur et la région au moyen des données de Statistique Canada afin qu’elles reflètent la distribution réelle des entreprises au pays. Compte tenu de la taille de l’échantillon, les résultats sont fiables à plus ou moins 3,1 %, 19 fois sur 20.
Les caractéristiques techniques de sondage sont les suivantes :
- Les répondants ciblés étaient des décideurs de haut niveau qui connaissaient les pratiques de leur entreprise en matière de sécurité et de protection des renseignements personnels et avaient une responsabilité dans le domaine.
- Une méthode d’échantillonnage aléatoire stratifié a été utilisée pour la collecte de données. La base d’échantillonnage a été achetée auprès de Dun & Bradstreet (D&B). Une base d’échantillonnage aléatoire a été générée afin de déterminer le quota dans chacun des trois groupes cibles (formés en fonction de la taille des entreprises) : petite (de 1 à 19 employés); moyenne (de 20 à 99 employés) et grande (100 employés ou plus).
- Pour les besoins du prétest effectué par téléphone, dix entrevues ont été réalisées dans chacune des deux langues officielles. Les entrevues ont été enregistrées numériquement et passées en revue par la suite.
- Les entrevues ont été réalisées dans la langue officielle choisie par le répondant.
- Le sondage a été enregistré dans le système national d’enregistrement des sondages de l’Association de la recherche et de l’intelligence marketing (ARIM).
- Les répondants ont été informés que le sondage avait été commandé par le Commissariat.
- Les données ont été recueillies du 1er au 18 décembre 2015.
Le tableau qui suit décrit la répartition finale des appels pour ce sondage de même que le taux de réponse correspondant (selon la formule établie de l’ARIM)Note de bas de page 3 :
| Nombre total de numéros de téléphone utilisés | 9 213 |
|---|---|
| Numéros non valides | 1 045 |
| Cas non résolus (U) | 3 075 |
| Pas de réponse ou répondeur | 3 075 |
| Unités admissibles non répondantes (IS) | 4 055 |
| Problème de langue | 22 |
| Maladie ou incapacité | 4 |
| Le répondant choisi n’est pas disponible | 3 053 |
| Refus du répondant | 912 |
| Le répondant raccroche avant la fin de l’entrevue | 64 |
| Unités admissibles répondantes (R) | 1 038 |
| Entrevues terminées | 1 016 |
| Hors quota – Quota atteint – Taille de l’entreprise | 22 |
| Taux de réponse | 12,7 % |
Avis aux lecteurs
- Le présent rapport renvoie aux résultats de sondages similaires effectués pour le compte du Commissariat auprès d’entreprises canadiennes en 2007, 2010, 2011 et 2013. Comme les procédures de pondération et, dans certains cas, la formulation des questions varient d’un sondage à l’autre, les comparaisons au fil du temps devraient être interprétées avec prudence.
- À moins d’avis contraire, les résultats présentés dans le rapport sont exprimés en pourcentage.
- Le total des pourcentages indiqués dans le rapport ne correspondent pas toujours 100 % parce que les chiffres ont été arrondis.
- Seules les variations entre les sous-groupes qui sont statistiquement significatives au niveau de confiance de 95 % ou qui s’inscrivent dans un modèle ou une tendance ont été mentionnées. Le tableau présenté à la page suivante expose en détail le regroupement des caractéristiques aux fins de l’analyse.
- Le questionnaire du sondage est fourni en annexe du présent rapport.
Collecte, entreposage et protection des renseignements sur les clients
La présente section fait état des types de renseignements personnels recueillis par les entreprises sur les clients, les méthodes d’entreposage des données et les mesures prises par les entreprises pour empêcher leur communication.
Coordonnées – Renseignements sur les clients le plus largement recueillis
En ce qui concerne les types de renseignements recueillis sur les clients, la vaste majorité des entreprises sondées (93 %) recueillent les coordonnées, comme les noms, les numéros de téléphone et les adresses postales ou électroniques. Parmi les autres types de renseignements assez souvent mentionnés, citons les opinions, les évaluations et les commentaires (27 %) ainsi que les renseignements financiers, comme ceux se rapportant aux factures, aux cartes de crédit et aux dossiers bancaires (25 %).
Comme l’illustre le graphique suivant, une plus faible proportion d’entreprises recueillent d’autres types de renseignements sur les clients.
Figure 1 : Type de renseignements recueillis sur les clients
Version textuelle de la figure 1
Figure 1. Type de renseignements recueillis sur les clients
Question : Parmi les choix suivants, quels types de renseignements personnels recueillez-vous sur vos clients dans votre entreprise?
Plusieurs réponses acceptées
| Type | % Répondants |
|---|---|
| Coordonnées* | 93 % |
| Opinions, évaluations et commentaires | 27 % |
| Renseignements financiers, p. ex. sur le crédit | 25 % |
| Numéros de permis de conduire | 15 % |
| Numéros d'assurance sociale | 14 % |
| Habitudes de consommation | 13 % |
| Renseignements médicaux | 10 % |
| Autres renseignements | 2 % |
| Aucune de ces réponses | 5 % |
Base : n = 1 016; tous les répondants
*Comprend les noms, les numéros de téléphone et les adresses postales et électroniques.
Au total, 5 % des répondants ont indiqué que leur entreprise ne recueille aucun de ces types de renseignements sur les clients.
Les types de renseignements recueillis par les entreprises sur les clients ont peu changé depuis qu’ils ont commencé à faire l’objet d’un suivi en 2011. Les coordonnées, les renseignements financiers et les commentaires demeurent les renseignements recueillis le plus souvent sur les clients.
Constatations concernant les sous-groupes
Les grandes entreprises recueillent davantage de renseignements sur leurs clients. Les entreprises comptant 100 employés ou plus recueillent en moyenne 2,8 types de renseignements (comparativement à un nombre allant de 2,0 à 2,2 pour les entreprises ayant moins d’employés).
Les entreprises du secteur financier recueillent beaucoup plus de renseignements personnels auprès de leurs clients : en moyenne, 3,4 types de renseignements comparativement à deux types ou moins pour celles des autres secteurs. Plus précisément, les entreprises du secteur financier sont plus nombreuses à recueillir auprès de leurs clients des renseignements financiers (61 % comparativement à une proportion allant de 12 % à 28 % dans le cas des autres secteurs), les numéros de permis de conduire (52 % comparativement à une proportion allant de 1 % à 20 %) et les numéros d’assurance sociale (58 % comparativement à une proportion allant de 3 % à 13 %).
Variété de méthodes utilisées pour entreposer les renseignements personnels – principalement sur place
Les entreprises utilisent diverses méthodes pour entreposer les renseignements personnels des clients, très majoritairement sur place. Un peu moins des deux tiers (62 %) des répondants ont indiqué que leur entreprise entrepose en format papier les renseignements sur les clients. Comme en 2011 et en 2013, l’entreposage sur place en format papier arrive au premier rang. Vient ensuite, dans des proportions similaires, l’entreposage sur des ordinateurs de bureau (54 %) et des serveurs sur place (53 %).
Près du quart des répondants (24 %) ont indiqué que leur entreprise entrepose ce type de renseignements sur des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes. Dix-sept pour cent des entreprises (17 %) les entreposent par voie électronique grâce à l’infonuagique et 11 %, en ayant recours à un tiers.
Figure 2 : Méthodes d’entreposage des renseignements personnels
Version textuelle de la figure 2
Figure 2. Méthodes d’entreposage des renseignements personnels
Question : Parmi les choix suivants, de quelles manières entreposez-vous les renseignements personnels de vos clients dans votre entreprise?
Plusieurs réponses acceptées
| Méthodes | % Répondants |
|---|---|
| Format papier | 62 % |
| Ordinateurs de bureau | 54 % |
| Serveurs sur place | 53 % |
| Dispositifs portables (p. ex. ordinateurs portables, clés USB ou tablettes) | 24 % |
| Voie électronique grâce à l'infonuagique | 17 % |
| Par un tiers (à l'exception de l'infonuagique) | 11 % |
| Enregistrements vidéo et audio | 2 % |
Base : n=1 016; tous les répondants
NSP/AR = 5 %
Depuis 2013, l’utilisation de serveurs sur place pour l’entreposage des données a chuté de 58 % à 53 %, tandis que la proportion d’entreprises entreposant les données grâce à l’infonuagique est passée de 7 % à 17 %.
Constatation concernant les sous-groupes
Les grandes entreprises sont plus nombreuses à entreposer les renseignements sur des serveurs sur place et moins nombreuses à les entreposer directement sur des ordinateurs de bureau.
Mesures électroniques et matérielles prises pour protéger les renseignements personnels
La vaste majorité des entreprises canadiennes (93 %) utilisent au moins une méthode de sécurité pour protéger les renseignements personnels de leurs clients. En outre, les entreprises utilisent généralement plus d’une mesure; d’ailleurs, exactement la moitié des répondants indiquent que leur entreprise en utilise quatre ou cinq.
Les mots de passe sont la mesure de sécurité la plus utilisée, mais seulement par une faible marge, soit cinq points de pourcentage. Environ quatre entreprises sur cinq (79 %) utilisent des mots de passe. Les mesures matérielles, comme le verrouillage des classeurs, la restriction de l’accès et les alarmes de sécurité, suivent de près à 74 %, après quoi viennent les pare-feu (65 %) et les contrôles organisationnels (63 %), comme des politiques et des procédures de sécurité.
Seulement un répondant sur trois (32 %) a indiqué que son entreprise se sert du chiffrement pour protéger les renseignements personnels des clients.
Figure 3 : Mesures prises pour protéger les renseignements des clients
Version textuelle de la figure 3
Figure 3. Mesures prises pour protéger les renseignements des clients
Question : Quelles mesures prenez-vous pour protéger les renseignements personnels de vos clients?
Plusieurs réponses acceptées
| Mesures | % Répondants |
|---|---|
| Mots de passe | 79 % |
| Mesures matérielles (verrouillage des classeurs et alarmes de sécurité) | 74 % |
| Pare-feu | 65 % |
| Contrôles organisationnels | 63 % |
| Chiffrement | 32 % |
| Autre | 1 % |
| Aucune | 7 % |
Base : n=1 016; tous les répondants
NSP/AR = 1 %
Au fil du temps, l’utilisation d’outils technologiques (mots de passe, pare-feu ou chiffrement) pour protéger les renseignements des clients a augmenté de cinq points de pourcentage, passant de 78 % en 2013 à 83 % en 2015. En revanche, l’utilisation de mesures matérielles a reculé de quatre points de pourcentage depuis 2013, chutant de 78 % à 74 %.
Constatations concernant les sous-groupes
Les entreprises ont tendance à utiliser davantage de moyens pour protéger les renseignements des clients à mesure que leur taille augmente : en moyenne, les travailleurs autonomes utilisent deux (2,3) méthodes de protection, les entreprises comptant de 2 à 19 employés, trois (3,2), celles ayant de 20 à 99 employés, plus de trois (3,6) et les grandes entreprises, plus de quatre (4,3). Ainsi, 19 % des entreprises individuelles n’ont pris aucune mesure pour protéger les renseignements de leurs clients, comparativement à une proportion allant de 1 % à 6 % dans le cas des grandes entreprises.
Les entreprises des provinces de l’Atlantique et du Québec utilisent généralement moins de méthodes de protection des renseignements des clients que celles des autres régions. En outre, les entreprises des provinces de l’Atlantique sont plus nombreuses que celles des autres régions à n’utiliser aucune mesure pour protéger les renseignements personnels de leurs clients.
De façon générale, les entreprises utilisent un plus grand nombre de méthodes pour protéger l’informationdans les secteurs des finances (4,0 en moyenne), de la fabrication (3,8) ou de la santé (3,4).
Pratiques des entreprises en matière de protection des renseignements personnels
La présente section fait état des procédures et des politiques adoptées par les entreprises pour protéger les renseignements personnels qu’elles recueillent sur leurs clients.
La plupart des entreprises accordent une grande importance à la protection des renseignements personnels de leurs clients
La plupart des cadres ont indiqué que leur entreprise accorde une grande importance à la protection des renseignements personnels. Une faible majorité (58 %) des répondants ont choisi la cote la plus élevée (cote de sept sur une échelle de sept points), estimant que la protection des renseignements personnels des clients constitue un objectif organisationnel très important. Au total, deux tiers des répondants ont indiqué que leur entreprise accorde une grande importance à la protection des renseignements personnels des clients (cote de six ou sept). Vingt et un pour cent (21 %) y accordent une importance modérée (cote de trois à cinq).
Seulement 11 % des cadres ont indiqué que la protection des renseignements personnels des clients ne constitue pas un objectif important de leur entreprise.
Figure 4 : Importance accordée à la protection des renseignements personnels des clients
Version textuelle de la figure 4
Figure 4. Importance accordée à la protection des renseignements personnels des clients
Question : Dans quelle mesure la protection des renseignements personnels de vos clients est-elle importante pour votre entreprise?
| Très important (7) | 6 | 5 | 4 | 3 | 2 | Pas du tout important (1) |
|---|---|---|---|---|---|---|
| 58 % | 9 % | 12 % | 5 % | 4 % | 2 % | 9 % |
Base : n=1 016; tous les répondants
NSP/AR = 1 %
Comparativement à 2013, la proportion des entreprises accordant une grande importance (cote de six ou sept sur une échelle de sept points) à la protection des renseignements personnels des clients a baissé de trois points de pourcentage, chutant de 70 % à 67 %.
Figure 5 : Importance accordée à la protection des renseignements personnels des clients
Version textuelle de la figure 5
Figure 5. Importance accordée à la protection des renseignements personnels des clients
Question : Dans quelle mesure la protection des renseignements personnels de vos clients est-elle importante pour votre entreprise?
| Importance | 2011 | 2013 | 2015 |
|---|---|---|---|
| Importance élevée (6-7) | 62 % | 70 % | 67 % |
| Importance moyenne (3-5) | 26 % | 20 % | 21 % |
| Importance faible (1-2) | 12 % | 9 % | 11 % |
Base : Tous les répondants;
2011 : n = 1 006
2013 : n = 1 006
2015 : n = 1 016
NSP/AR = 1 %-6 %
Constatations concernant les sous-groupes
Les entreprises qui vendent aux clients et celles qui comptent un nombre élevé d’employés sont plus nombreuses à accorder une grande importance à la protection des renseignements personnels de leurs clients (67 % des entreprises qui vendent à la fois aux clients et aux entreprises, comparativement à 56 % de celles qui vendent uniquement aux entreprises; 83 % des entreprises comptant 100 employés ou plus comparativement à 59 % des entreprises individuelles et à 72 % des entreprises ayant de cinq à neuf employés).
L’importance qu’une entreprise accorde à la protection des renseignements personnels des clients augmente également en fonction du type de renseignements qu’elle recueille à leur sujet. Par exemple, les entreprises sont plus susceptibles d’accorder une grande importance à la protection des renseignements personnels de leurs clients si elles recueillent des renseignements médicaux (85 %), les numéros d’assurance sociale (86 %) ou des renseignements financiers (81 %). En revanche, celles qui recueillent d’autres types de renseignements, comme les noms et numéros de téléphone des clients ou de l’information sur leurs habitudes d’achat, sont moins nombreuses à y accorder une grande importance (68 % et 70 % respectivement).
Les entreprises du secteur des finances sont plus nombreuses à accorder une grande importance à la protection des renseignements personnels de leurs clients que celles des autres secteurs économiques (85 % comparativement à une proportion allant de 50 % à 76 %).
Mise en œuvre peu uniforme de pratiques visant à assurer la conformité en matière de protection des renseignements personnels
On a demandé aux représentants des entreprises s’ils avaient mis en œuvre une série de pratiques de protection des renseignements personnels, notamment :
- nommer une personne responsable des questions liées à la protection de la vie privée et des renseignements personnels que détient l’entreprise;
- adopter des politiques internes à l’intention du personnel qui expliquent les obligations que leur impose la loi en ce qui a trait à la protection des renseignements personnels;
- donner régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels;
- mettre en place des procédures pour répondre aux demandes de leurs clients concernant l’accès à leurs renseignements personnels;
- mettre en place des procédures pour gérer les plaintes des clients qui estiment que leurs renseignements personnels ont été traités de façon inadéquate;
- mettre en place une politique sur la protection des renseignements personnels qui explique aux clients comment l’entreprise recueillera et utilisera leurs renseignements personnels.
Plus de la moitié des entreprises sondées ont mis en œuvre trois de ces pratiques. Elles ont notamment nommé une personne responsable des questions liées à la protection de la vie privée (57 %), mis en place des politiques internes à l’intention du personnel qui expliquent les obligations en matière de protection des renseignements personnels (50 %) et mis en place des procédures pour gérer les plaintes des clients (50 %). Environ un tiers (32 %) des répondants, soit la plus faible proportion en ce qui a trait aux pratiques en question, ont indiqué que leur entreprise donne une formation et de l’information aux employés.
En moyenne, les entreprises ont mis en œuvre trois (2,78) pratiques de traitement de l’information. En tête de peloton, 28 % des entreprises ont mis en œuvre cinq pratiques ou les six pratiques; à l’autre extrémité du spectre, seulement une entreprise sondée sur cinq n’a mis en œuvre aucune de ces pratiques de protection des renseignements personnels.
Figure 6 : Pratiques visant à assurer la conformité des entreprises en matière de protection des renseignements personnels
Version textuelle de la figure 6
Figure 6. Pratiques visant à assurer la conformité des entreprises en matière de protection des renseignements personnels
| Pratiques | % des répondants ayant fait état de pratiques à cet égard |
|---|---|
| Une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient. | 57 % |
| L’entreprise a élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels. | 50 % |
| Des procédures sont en place pour gérer les plaintes des clients qui considèrent que leurs renseignements ont été traités de façon inadéquate. | 50 % |
| Des procédures sont en place pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels. | 46 % |
| Une politique sur la protection des renseignements personnels explique aux clients comment l’entreprise recueillera et utilisera leurs renseignements personnels. | 44 % |
| L’organisation donne régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels. | 32 % |
Base : n = 1 016; tous les répondants
NSP/AR = 1 %-6 %
La proportion d’entreprises qui ont mis en œuvre les pratiques ayant fait l’objet d’un suivi a très peu changé.
Figure 7 : Pratiques visant à assurer la conformité des entreprises en matière de protection des renseignements personnels
Version textuelle de la figure 7
Figure 7. Pratiques visant à assurer la conformité des entreprises en matière de protection des renseignements personnels
| Pratiques | % ayant répondu oui | ||
|---|---|---|---|
| 2015 | 2013 | 2011 | |
| Une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient. | 57 % | 58 % | 57 % |
| L’entreprise a élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels.* | 50 % | 51 % | |
| Des procédures sont en place pour gérer les plaintes des clients qui considèrent que leurs renseignements ont été traités de façon inadéquate. | 50 % | 51 % | 48 % |
| Une politique sur la protection des renseignements personnels explique aux clients comment l’entreprise recueillera et utilisera leurs renseignements personnels.* | 44 % | 45 % | |
| L’organisation donne régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels.* | 32 % | 34 % | |
* Impossibilité d’inclure les données de 2011 en raison d’un changement dans la formulation de la question
Base : Tous les répondants; 2011 : n = 1 006
2013 : n = 1 006, 2015 : n = 1 016
Constatations concernant les sous-groupes
De manière générale, le nombre de types de renseignements que recueille une entreprise auprès de ses clients constitue la meilleure variable prédictive du nombre de pratiques de protection des renseignements personnels mises en œuvre. Par exemple, les entreprises qui recueillent seulement un type de renseignements personnels ont mis en œuvre en moyenne deux (2,0) de ces pratiques. En revanche, les entreprises ayant déclaré recueillir cinq types de renseignements personnels auprès de leurs clients ont mis en œuvre en moyenne quatre (4,4) de ces pratiques.
Les entreprises du secteur de la santé ou des finances sont plus nombreuses à avoir mis en œuvre davantage de ces pratiques de protection des renseignements personnels. Par exemple, 73 % des entreprises du secteur de la santé et 71 % de celles du secteur des finances ont nommé une personne responsable des questions liées à la protection de la vie privée. Les entreprises des autres secteurs sont beaucoup moins nombreuses à l’avoir fait (proportion allant de 45 % à 58 %).
Les entreprises dont les revenus sont supérieurs à 20 millions de dollars, celles qui vendent uniquement aux clients plutôt que seulement aux entreprises et celles établies à l’extérieur du Québec sont plus nombreuses à avoir adopté des politiques en la matière.
Gestion des risques liés à la protection des renseignements personnels
La présente section fait état de la proportion d’entreprises qui ont mis en place un processus pour évaluer les risques liés à la protection des renseignements personnels, y compris le recours à des tiers pour gérer les données ainsi que l’utilisation d’appareils électroniques personnels par les employés pour les besoins de leur travail. Elle examine également le niveau de préoccupation des intervenants à l’égard des atteintes à la sécurité des données et les mesures prévues en pareil cas.
Plus d’un tiers disposent de politiques pour évaluer les risques liés à la protection des renseignements personnels
Plus d’un tiers (37 %) des cadres ont indiqué que leur entreprise dispose de politiques ou de procédures pour évaluer les risques liés à la protection des renseignements personnels touchant leur entreprise. Elles ont notamment évalué les risques liés à la création ou à l’utilisation de nouvelles technologies et de nouveaux produits et services. Il s’agit d’une augmentation de neuf points de pourcentage par rapport à 2013, année où 28 % des entreprises avaient déclaré disposer de ce type de politiques ou de procédures.
Figure 8 : Politiques en place pour évaluer les risques liés à la protection des renseignements personnels
Version textuelle de la figure 8
Figure 8. Politiques en place pour évaluer les risques liés à la protection des renseignements personnels
Question : Votre entreprise dispose-t-elle de politiques ou de procédures pour évaluer les risques liés à la protection des renseignements personnels? Cela comprend l’évaluation des risques liés à la création ou à l’utilisation de nouvelles technologies ou de nouveaux produits ou services.
| Politiques en place | % Répondants |
|---|---|
| Aucune politique en place pour évaluer les risques | 60 % |
| Politiques en place pour évaluer les risques | 37 % |
| Ne sais pas/aucune réponse | 4 % |
Base : n = 1 016; tous les répondants
Constatations concernant les sous-groupes
Les entreprises qui recueillent davantage de types de renseignements personnels sur leurs clients sont plus nombreuses à disposer de politiques ou de procédures pour évaluer les risques les touchant. Par exemple, 69 % des entreprises qui recueillent cinq types de renseignements ou plus (p. ex. coordonnées, renseignements financiers, renseignements médicaux et NAS) disposent de politiques ou de procédures pour évaluer les risques, comparativement à 34 % dans le cas des entreprises qui recueillent d’un à trois types de renseignements.
Les entreprises comptant 100 employés ou plus sont plus nombreuses à disposer de politiques ou de procédures pour évaluer les risques (66 % comparativement à une proportion allant de 31 % à 41 % dans le cas des petites entreprises).
Peu d’entreprises ont recours à des tiers pour gérer les renseignements personnels de leurs clients
Moins d’un répondant sur cinq (17 %) achemine les renseignements sur les clients à des tiers à des fins de traitement ou d’entreposage, ce qui peut comprendre le recours à l’infonuagiqueNote de bas de page 4. Il s’agit d’une augmentation modeste, soit cinq points de pourcentage, comparativement à 2013, année où 13 % des entreprises avaient déclaré avoir acheminé de l’information à un tiers.
Figure 9 : Recours à des tiers pour gérer les renseignements personnels
Version textuelle de la figure 9
Figure 9. Recours à des tiers pour gérer les renseignements personnels
Question : Dans votre entreprise, recueillez-vous des renseignements personnels auprès des clients pour ensuite les acheminer à une autre entreprise à des fins de traitement, d’entreposage ou pour tout autre service, y compris tout processus lié à l’infonuagique?
| Recours à des tiers | % Répondants |
|---|---|
|
AUCUN recours à des tiers |
74 % |
| Recours à des tiers | 17 % |
| Ne sais pas/ aucune réponse | 8 % |
Base : n=1 016; tous les répondants
Constatations concernant les sous-groupes
Les entreprises qui vendent uniquement à d’autres entreprises étaient les plus susceptibles d’avoir recours à des tiers (24 % comparativement à une proportion de 14 % à 15 % dans le cas de celles qui vendent aux clients ou à la fois aux clients et aux entreprises).
Une minorité d’entreprises permettent a employés d’utiliser des appareils électroniques personnels pour les besoins de leur travail
On a demandé aux représentants des entreprises si la politique de leur entreprise autorisait les employés à utiliser leurs appareils électroniques personnels (p. ex. téléphones intelligents, tablettes ou ordinateurs portables) pour les besoins de leur travail. Environ une entreprise sur quatre (23 %) le permetNote de bas de page 5. En revanche, la majorité des entreprises sondées (76 %) n’autorisent pas cette pratique.
Figure 10 : Utilisation d’appareils électroniques personnels pour les besoins du travail
Version textuelle de la figure 10
Figure 10. Utilisation d’appareils électroniques personnels pour les besoins du travail
Question : Votre entreprise autorise-t-elle les employés à utiliser des appareils électroniques personnels, par exemple un téléphone intelligent, une tablette ou un ordinateur personnel, pour les besoins de leur travail, comme pour accéder aux réseaux ou aux données de l’entreprise?
| Utilisation non autorisée | Utilisation autorisée |
|---|---|
| 76 % | 23 % |
Base : n = 1 016; tous les répondants
NSP/AR = <1 %
Constatations concernant les sous-groupes
Les entreprises comptant 100 employés ou plus ou celles de la région du Grand Toronto sont plus nombreuses à autoriser leurs employés à utiliser leurs appareils électroniques personnels pour les besoins de leur travail (46 % comparativement à une proportion allant de 19 % à 28 % dans le cas des entreprises ayant moins d’employés; 33 % comparativement à une proportion allant de 13 % à 20 % dans le cas des entreprises des autres régions).
Répartition des entreprises en ce qui concerne la préoccupation à l’égard des atteintes à la sécurité des données
Les cadres sondés étaient divisés quant à leur niveau de préoccupation à l’égard des atteintes à la sécurité des données qui compromettraient les renseignements personnels de leurs clients. Environ un quart des cadres (26 %) se sont dits très préoccupés (cote de sept sur une échelle de sept points), tandis qu’une proportion légèrement plus élevée (30 %) ont déclaré n’être pas du tout préoccupés. Dans l’ensemble, 32 % des répondants sont très préoccupés (cote de six ou sept), 23 % quelque peu préoccupés (cote de trois à cinq), et 44 % peu ou pas du tout préoccupés (cote d’un ou deux).
Avant de poser cette question aux cadres, nous leur avons communiqué l’information suivante :
Parfois, les renseignements personnels sensibles qu’une entreprise détient sur ses clients sont compromis. Cette situation peut être attribuable à un large éventail de raisons, notamment des activités criminelles, un vol, le piratage ou une erreur d’un employé, comme la perte d’un ordinateur portable ou d’un autre dispositif.
Figure 11 : Préoccupation des répondants à l’égard des atteintes à la sécurité des données
Version textuelle de la figure 11
Figure 11. Préoccupation des répondants à l’égard des atteintes à la sécurité des données
Question : Dans quelle mesure êtes-vous préoccupé par une atteinte à la sécurité des données, qui compromettrait les renseignements personnels de vos clients?
| Très préoccupés (7) | 6 | 5 | 4 | 3 | 2 | Pas du tout préoccupés (1) |
|---|---|---|---|---|---|---|
| 26 % | 6 % | 9 % | 7 % | 7 % | 14 % | 30 % |
Base : n = 1 016; tous les répondants
NSP/AR = 1 %
Le niveau de préoccupation à l’égard des atteintes à la sécurité des données a augmenté par rapport à 2013; la proportion de cadres préoccupés (cote de cinq à sept sur une échelle de sept points) à ce propos a augmenté de huit points de pourcentage, tandis que la proportion de cadres se disant non préoccupés a diminué.
Figure 12 : Préoccupation des répondants à l’égard des atteintes à la sécurité des données
Version textuelle de la figure 12
Figure 12. Préoccupation des répondants à l’égard des atteintes à la sécurité des données
Question : Dans quelle mesure êtes-vous préoccupé par une atteinte à la sécurité des données, qui compromettrait les renseignements personnels de vos clients?
| Préoccupation | 2010 | 2011 | 2013 | 2015 |
|---|---|---|---|---|
| Préoccupés (5-7) | 35 % | 40 % | 33 % | 41 % |
| Quelque peu préoccupés (4) | 21 % | 9 % | 8 % | 7 % |
| Peu ou pas du tout préoccupés (1-3) | 42 % | 49 % | 59 % | 51 % |
Base : Tous les répondants; 2011 : n = 1 006
2013 : n = 1 006, 2015 : n = 1 016
Une forte minorité a adopté des protocoles à suivre en cas d’atteinte à la sécurité des données
Une forte minorité (41 %) des entreprises sondées ont adopté des politiques ou des procédures à suivre en cas d’atteinte qui compromettrait les renseignements personnels des clients. En revanche, un peu plus de la moitié (55 %) des cadres ont indiqué que leur entreprise n’avait adopté aucune procédure (5 % ne savaient pas avec certitude si leur entreprise a adopté ou non des protocoles).
Figure 13 : Protocoles en place pour faire face aux atteintes à la sécurité des données
Version textuelle de la figure 13
Figure 13. Protocoles en place pour faire face aux atteintes à la sécurité des données
Question : Est-ce que votre entreprise a adopté des protocoles ou des procédures à suivre en cas d’atteinte qui compromettrait les renseignements personnels de vos clients?
| Protocoles en place | % Répondants |
|---|---|
| Aucune procédure en place | 55 % |
| Procédures en place | 41 % |
| Ne sais pas/Aucune réponse | 5 % |
Base : n = 1 016; tous les répondants
Il s’agit d’une légère augmentation par rapport à 2013, année où 37 % des entreprises avaient déclaré disposer de lignes directrices pour faire face à une atteinte à la sécurité des données et d’une forte hausse par rapport à 2011, année où 31 % des entreprises sondées avaient adopté des protocolesNote de bas de page 6.
Constatations concernant les sous-groupes
Les entreprises qui recueillent plus de types de renseignements personnels sur leurs clients ont exprimé un plus haut niveau de préoccupation à l’égard des atteintes à la sécurité des données. Plus de la moitié (57 %) des représentants des entreprises qui recueillent entre cinq et sept types de renseignements ont exprimé une préoccupation élevée à l’égard des atteintes à la sécurité des données comparativement à trois sur dix des cadres sondés dont les entreprises recueillent trois éléments de renseignements personnels ou moins auprès de leurs clients.
Les représentants des entreprises établies au Québec ont été beaucoup plus nombreux à exprimer un niveau de préoccupation élevé à l’égard des atteintes à la sécurité des données; 50 % d’entre eux ont utilisé une cote de six ou sept sur une échelle de sept points, comparativement à une proportion allant de 27 % à 33 % dans le cas des cadres des entreprises des autres régions.
En ce qui a trait au niveau de préparation pour faire face aux atteintes à la sécurité des données, la proportion de répondants qui ont fait état de protocoles en la matière est plus faible parmi les entreprises établies dans les provinces de l’Atlantique (26 %), au Québec (29 %) ou dans les Prairies (36 %), par rapport aux entreprises du reste du pays, et parmi les entreprises comptant moins de 100 employés (32 % des travailleurs autonomes et 49 % des entreprises comptant de cinq à neuf employés comparativement à 63 % dans le cas des entreprises de 100 employés ou plus).
Sensibilisation aux lois fédérales sur la protection des renseignements personnels et répercussions de ces lois
La présente section fait état des constatations en ce qui a trait à la sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels. Les questions figurant dans cette section étaient précédées de la description suivante des lois canadiennes en matière de protection des renseignements personnels.
La loi fédérale sur la protection des renseignements personnels, c’est-à-dire la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises exerçant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie-Britannique et au Québec, le secteur privé est assujetti à des lois provinciales considérées comme similaires à la loi fédérale.
Faible niveau de sensibilisation aux responsabilités en vertu des lois sur la protection des renseignements personnels
On a demandé aux cadres d’indiquer le niveau de sensibilisation de leur entreprise à ses responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels. Une forte minorité (43 %) estiment que leur entreprise est très sensibilisée à ses responsabilités (cote de six ou sept sur une échelle de sept points), 28 % d’entre eux ayant choisi la cote la plus élevée. Une proportion légèrement plus faible de cadres a indiqué que leur entreprise est modérément sensibilisée à ses responsabilités en la matière. Moins d’un cadre sur cinq (17 %) a fait état d’un faible niveau de sensibilisation à cet égard (cote d’un ou deux).
Figure 14 : Sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels
Version textuelle de la figure 14
Figure 14. Sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels
Question : Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada?
| Très sensibilisées (7) | 6 | 5 | 4 | 3 | 2 | Pas du tout sensibilisées (1) |
|---|---|---|---|---|---|---|
| 28 % | 15 % | 21 % | 10 % | 8 % | 6 % | 11 % |
Base : n = 1 016; tous les répondants
NSP/AR = 3 %
Comparativement à 2013, il y a eu une augmentation faible, mais digne de mention, de la proportion des cadres ayant fait état d’un faible niveau de sensibilisation de leur entreprise (de 12 % en 2013 à 17 % en 2015). La proportion de répondants ayant indiqué que leur entreprise est très sensibilisée à ses responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels est pratiquement inchangée depuis 2013, mais elle reste plus faible qu’au moment du premier sondage, qui a été mené en 2007. Près de la moitié (49 %) des cadres sondés avaient alors indiqué que leur entreprise était très sensibilisée à ses obligations en matière de protection des renseignements personnels.
Figure 15 : Sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels
Version textuelle de la figure 15
Figure 15. Sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels
Question : Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada?
| Sensibilisation | 2007 | 2010 | 2011 | 2013 | 2015 |
|---|---|---|---|---|---|
| Très sensibilisées (6-7) | 49 % | 47 % | 31 % | 45 % | 43 % |
| Quelque peu sensibilisées (3-5) | 42 % | 42 % | 47 % | 42 % | 39 % |
| Peu ou pas du tout sensibilisées (1-2) | 8 % | 10 % | 19 % | 12 % | 17 % |
Base : Tous les répondants; 2011 : n = 1 006
2013 : n = 1 006, 2015 : n = 1 016
NSP/AR = 1-?%
Les cadres font état d’un niveau de sensibilisation plus faible à la LPRPDE
On a également demandé aux cadres d’évaluer le niveau de sensibilisation de leur entreprise à la LPRPDE. Au total, 37 % ont indiqué qu’elle est très sensibilisée à la loi (cote de six ou sept sur une échelle de sept points). Quatre répondants sur dix estiment que leur entreprise est modérément sensibilisée à la LPRPDE (cote de trois à cinq), tandis que près d’un répondant sur cinq (22 %) considère qu’elle y est peu sensibilisée, voire pas du tout (cote d’un ou deux).
Figure 16 : Sensibilisation des entreprises à la LPRPDE
Version textuelle de la figure 16
Figure 16. Sensibilisation des entreprises à la LPRPDE
Question : En ce qui concerne la LPRPDE, la loi du gouvernement fédéral sur la protection des renseignements personnels, dans quelle mesure considérez-vous que votre entreprise y est sensibilisée?
| Très sensibilisées (7) | 6 | 5 | 4 | 3 | 2 | Peu du tout sensibilisées (1) |
|---|---|---|---|---|---|---|
| 24 % | 13 % | 18 % | 12 % | 10 % | 6 % | 16 % |
Base : n = 1 016; tous les répondants
NSP/AR = 2 %
La sensibilisation à la LPRPDE en particulier est donc légèrement plus faible que la sensibilisation aux responsabilités en vertu des lois canadiennes en matière de protection des renseignements personnels dans l’ensemble.
La proportion d’entreprises très sensibilisées à la LPRPDE est passée de 27 % en 2011 à 37 % en 2015.
Figure 17 : Sensibilisation des entreprises à la LPRPDE
Version textuelle de la figure 17
Figure 17. Sensibilisation des entreprises à la LPRPDE
Question : En ce qui concerne la LPRPDE, la loi du gouvernement fédéral sur la protection des renseignements personnels, dans quelle mesure considérez-vous que votre entreprise y est sensibilisée?
| Sensibilisation | 2011 | 2013 | 2015 |
|---|---|---|---|
| Très sensibilisées (6-7) | 27 % | 35 % | 37 % |
| Quelque peu sensibilisées (3-5) | 46 % | 44 % | 40 % |
| Peu ou pas du tout sensibilisées (1-2) | 24 % | 19 % | 22 % |
Base : Tous les répondants; 2011 : n = 1 006;
2013 : n = 1 006; 2015 : n = 1 016
NSP/AR = 1 %-3 %
Constatations concernant les sous-groupes
Les cadres issus d’entreprises comptant 100 employés ou plus ont été plus nombreux à indiquer que leur entreprise est très sensibilisée à ses responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels (69 % comparativement à un maximum de 45 % dans le cas des plus petites entreprises). Quant aux entreprises ayant un seul employé, 26 % des répondants ont déclaré qu’elle n’est pas du tout sensibilisée à ses responsabilités en la matière comparativement à un maximum de 12 % dans le cas des grandes entreprises.
De même, les entreprises qui recueillent davantage de types de renseignements sur leurs clients sont plus nombreuses à être sensibilisées à leurs responsabilités en matière de protection des renseignements personnels. Au total, 70 % des entreprises qui recueillent de cinq à sept types de renseignements sont considérées comme très sensibilisées, comparativement à 40 % dans le cas de celles qui recueillent trois éléments d’information ou moins. Le niveau de sensibilisation à ces responsabilités est plus élevé parmi les entreprises des secteurs des finances (68 %) ou de la santé (61 %).
La sensibilisation à la LPRPDE en particulier est plus élevée chez les entreprises de grande taille et celles établies dans la région du Grand Toronto et au Québec. En outre, les entreprises qui vendent uniquement aux clients sont plus susceptibles d’être sensibilisées à la LPRPDE (41 % y sont très sensibilisées comparativement à 34 % des entreprises vendant à d’autres entreprises). Enfin, le niveau de sensibilisation à la LPRPDE est plus élevé chez les entreprises des secteurs de la santé (61 %) ou des finances (58 %).
Une faible majorité d’entreprises ont pris des mesures pour se conformer à la LPRPDE
Une faible majorité de cadres (59 %) ont indiqué que leur entreprise a pris de mesures pour s’assurer de respecter la LPRPDE. Près de neuf entreprises sur dix (89 %) ayant pris des mesures pour respecter les lois fédérales canadiennes en matière de protection des renseignements personnels (n = 657) n’ont pas eu de difficulté à s’y conformer.
Figure 18 : Conformité à la LPRPDE
Version textuelle de la figure 18
Figure 18. Conformité à la LPRPDE
Question 1 : Toujours en ce qui concerne particulièrement la LPRPDE, votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte la loi sur la protection des renseignements personnels du gouvernement fédéral?
| Oui | Non | Ne sais pas |
|---|---|---|
| 35 % | 59 % | 5 % |
(n =1 016)
Question 2: Votre entreprise a-t-elle eu de la difficulté à se conformer à la LPRPDE?
| Aucune difficulté | Difficulté | Ne sais pas |
|---|---|---|
| 89 % | 10 % | 1 % |
(n =657)
Question 3 : Selon vous, quel a été l’obstacle ou le défi le plus important de votre entreprise en ce qui concerne la conformité à la LPRPDE?
| Obstacles | % Répondants |
|---|---|
| Mauvaise compréhension de la loi | 17 % |
| Connaissances ou rester à jour | 14 % |
| Coût de la conformité | 13 % |
| Sensibilisation ou information fournie | 8 % |
| Assurer la sécurité de l'information | 8 % |
| Mesures nécessaires pour que les employés se conforment | 5 % |
| Temps que le personnel doit y consacrer | 2 % |
| Autre | 11 % |
| Rien ou aucun obstacle | 4 % |
| Ne sais pas | 24 % |
(n =56)
Les quelques cadres ayant indiqué que leur entreprise avait eu de la difficulté à ce chapitre (n = 56) ont invoqué des raisons variées, principalement une compréhension vague de la loi (17 %), un manque d’information à jour (14 %) et le coût de la conformité (13 %). Près du quart (24 %) ne savaient pas pourquoi l’entreprise avait eu de la difficulté à cet égard.
Constatations concernant les sous-groupes
Les entreprises de certains groupes sont plus nombreuses à avoir pris des mesures pour se conformer à la LPRPDE : celles vendant à des clients seulement (65 %) ou à la fois aux clients et aux entreprises (60 %), comptant 100 employés ou plus (82 %) ou exerçant leurs activités dans des industries de base (64 %) ou dans le secteur de la santé (84 %)Note de bas de page 7. Par ailleurs, les entreprises de Colombie-Britannique sont un peu plus nombreuses à avoir eu de la difficulté à se conformer à la loi (19 %).
Communications et sensibilisation
La présente section fait état des commentaires des cadres sur les ressources que leurs entreprises utilisent pour recueillir de l’information concernant les questions liées à la protection des renseignements personnels, de même que leur niveau de sensibilisation aux ressources offertes par le Commissariat à la protection de la vie privée du Canada.
Internet – Principale source d’information pour la conformité aux lois en matière de protection des renseignements personnels
On a demandé aux cadres quelles organisations ou ressources leur entreprise utilise pour mieux comprendre ses responsabilités en vertu des lois canadiennes en matière de protection des renseignements personnels. Près de la moitié des cadres sondés (45 %) ont indiqué que leur entreprise n’a recours à aucune ressource pour obtenir de l’aide dans le domaine de la conformité.
Parmi les entreprises ayant sollicité de l’aide (n = 628), la principale ressource citée était Internet (42 %), suivi des gouvernements fédéral ou provincial (25 %), y compris le Commissariat à la protection de la vie privée du Canada (8 %).
Figure 19 : Sources utilisées pour faciliter la conformité aux lois en matière de protection des renseignements personnels
Version textuelle de la figure 19
Figure 19. Sources utilisées pour faciliter la conformité aux lois en matière de protection des renseignements personnels
Question : Quelles organisations ou ressources votre entreprise utilise-t-elle, le cas échéant, pour mieux comprendre ses responsabilités en vertu des lois canadiennes en matière de protection des renseignements personnels?
| Sources | % Répondants |
|---|---|
| Internet | 42 % |
| Gouvernement, y compris le Commissariat à la protection de la vie privée | 25 % |
| Ressources internes | 21 % |
| Association de l’industrie | 19 % |
| Avocat | 19 % |
| Experts de l’industrie, sociétés d’experts-conseils ou sources du domaine de l’éducation | 18 % |
Base : ceux qui ont consulté au moins une source : n = 628
NSP/AR = 12 %
Une forte minorité de répondants connaissaient les ressources offertes par le Commissariat
Près de deux cadres sondés sur cinq (41 %) savaient que le Commissariat offre des renseignements et des outils aux entreprises pour les aider à se conformer à leurs obligations en matière de protection des renseignements personnels. En revanche, une proportion de 59 % des cadres ont déclaré ne pas connaître ces ressources. Le niveau de sensibilisation est pratiquement inchangé depuis 2011, année où il avait chuté à 40 % après un sommet de 55 % en 2010.
Figure 20 : Connaissance des ressources du Commissariat à la protection de la vie privée
Version textuelle de la figure 20
Figure 20. Connaissance des ressources du Commissariat à la protection de la vie privée
Question : Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels?
| Connaissance | % Répondants |
|---|---|
| Aucune connaissance de l’information et des outils | 59 % |
| Connaissance de l’information et des outils | 41 % |
Base : n = 1 016; tous les répondants
NSP/AR = <1 %
Constatations concernant les sous-groupes
Les entreprises établies au Québec sont moins nombreuses à savoir que le Commissariat mettait à leur disposition des renseignements et des outils pour les aider à assumer leurs obligations en matière de protection des renseignements personnels (26 %). Le niveau de sensibilisation est plus élevé chez les entreprises comptant dix employés ou plus (de 44 % à un maximum de 51 % dans le cas des plus grandes entreprises).
Profil des entreprises
Les tableaux suivants présentent les caractéristiques des répondants au sondage (en utilisant des données pondérées).
| Type de client | Pourcentage |
|---|---|
| Vend directement aux clients | 36 % |
| Vend directement à d’autres entreprises ou organisations | 25 % |
| Vend directement aux clients et à d’autres entreprises ou organisations | 37 % |
| Est une organisation gouvernementale | 1 % |
| Autre | 1 % |
| Région | Pourcentage |
|---|---|
| Provinces de l’Atlantique | 6 % |
| Québec | 21 % |
| Manitoba et Saskatchewan | 7 % |
| Région de l’Alberta | 14 % |
| Colombie-Britannique | 16 % |
| Ontario (sauf la région du Grand Toronto) | 19 % |
| Région du Grand Toronto | 17 % |
| Taille de l’entreprise | Pourcentage |
|---|---|
| Travailleur autonome (1 employé) | 16 % |
| Petite entreprise (de 2 à 19 employés) | 70 % |
| Moyenne entreprise (de 20 à 99 employés) | 10 % |
| Grande entreprise (100 employés et plus) | 2 % |
| Ne sait pas ou pas de réponse | 1 % |
| Langue de l’entrevue | Pourcentage |
|---|---|
| Anglais | 81 % |
| Français | 19 % |
| Revenus en 2014 | Pourcentage |
|---|---|
| Moins de 100 000 $ | 17 % |
| De 100 000 $ à 249 999 $ | 15 % |
| De 250 000 $ à 499 999 $ | 9 % |
| De 500 000 $ à 999 999 $ | 10 % |
| De 1 000 000 $ à 4 999 999 $ | 21 % |
| De 5 000 000 $ à 9 999 999 $ | 3 % |
| De 10 000 000 $ à 19 999 999 $ | 2 % |
| Plus de 20 millions de dollars | 2 % |
| Ne sait pas ou pas de réponse | 20 % |
*Le total des pourcentages ne correspond pas toujours à 100 %, car les nombres ont été arrondis.
Annexes
Annexe 1 : Catégories concernant les sous-groupes
Industries de baseNote de bas de page 8 :
Autres industries
Revenus
Région
|
Modèle d’affaires de l’entreprise
Taille de l’entreprise :
|
Annexe 2 : Données totalisées
Ensemble complet de données totalisées (sous pli séparé)
Annexe 3 : Instrument de recherche
Bonjour, je m’appelle [nom du responsable de l’entrevue]. Je vous téléphone au nom de Phœnix, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du Commissariat à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.
Pourrais-je parler à la personne qui est le plus au courant du genre de renseignements personnels que vous recueillez sur vos clients et de la façon dont ces renseignements sont conservés et utilisés? Il pourrait s’agir, par exemple, de la personne responsable de la protection de la vie privée au sein de votre entreprise.
- SI LA PERSONNE EST DISPONIBLE, POURSUIVRE. RÉPÉTER L’INTRODUCTION AU BESOIN.
- SI LA PERSONNE N’EST PAS DISPONIBLE, FIXER LE MOMENT D’UN NOUVEL APPEL.
Veuillez prévoir une dizaine de minutes pour répondre au questionnaire du sondage, qui est enregistré auprès de l’Association de la recherche et de l’intelligence marketing (ARIM). Vos réponses demeureront strictement confidentielles et anonymes.
Puis-je continuer?
- Oui, maintenant (POURSUIVRE)
- Non, rappelez plus tard. Établir la date et l’heure : Date : Heure :
- Refus (REMERCIER LA PERSONNE ET METTRE FIN À L’APPEL)
REMARQUES À L’INTENTION DU RESPONSABLE DE L’ENTREVUE
SI LE RÉPONDANT DEMANDE LA DURÉE DU SONDAGE, LUI DIRE QUE CELA DEVRAIT PRENDRE ENVIRON 10 MINUTES.
SI LE RÉPONDANT REMET EN QUESTION LA VALIDITÉ DU SONDAGE, LUI OFFRIR DE LUI ENVOYER PAR TÉLÉCOPIEUR OU PAR COURRIEL LA LETTRE DU COMMISSARIAT CONFIRMANT LA VALIDITÉ DU SONDAGE. SI LE RÉPONDANT N’EST TOUJOURS PAS CONVAINCU, LUI DEMANDER DE TÉLÉPHONER À HEATHER ORMEROD, DU COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, AU 819-994-5682 (OU DEMANDER À MME ORMEROD DE TÉLÉPHONER AU RÉPONDANT).
SI LE RÉPONDANT LE DEMANDE, PRÉCISER QUE LE SONDAGE EST ENREGISTRÉ DANS LE SYSTÈME NATIONAL D’ENREGISTREMENT DES SONDAGES :
Le système d’enregistrement a été créé par le secteur de la recherche par sondage afin de permettre au public de vérifier la légitimité d’un sondage, de se renseigner sur le secteur ou de déposer une plainte. Le numéro de téléphone sans frais du système d’enregistrement est le 1-888-602-6742, poste 8728.
CERTAINES QUESTIONS SONT DES QUESTIONS DE SUIVI QUI ONT ÉTÉ UTILISÉES DANS DES SONDAGES ANTÉRIEURS. ELLES SONT MARQUÉES DE LA FAÇON SUIVANTE : S2013 = SUIVI (S) DU SONDAGE AUPRÈS DES ENTREPRISES 2013.
LES TITRES DES SECTIONS NE DEVRAIENT PAS ÊTRE LUS AUX RÉPONDANTS.
LE CHOIX « NE SAIT PAS / AUCUNE RÉPONSE » DOIT ÊTRE FOURNI POUR TOUTES LES QUESTIONS.
1. Lequel des énoncés suivants décrit le mieux votre entreprise? (LIRE LA LISTE, ACCEPTER UNE SEULE RÉPONSE.) S2013
Elle vend directement aux clients* 1
Elle vend directement à d’autres entreprises
ou organisations 2
Elle vend directement aux clients et à d’autres
entreprises ou organisations 3
Autre, veuillez préciser :
(NE PAS LIRE : ENTREPRISE SANS BUT LUCRATIF, REMERCIER LA PERSONNE ET
METTRE FIN À L’APPEL; NE SAIT PAS / AUCUNE RÉPONSE, REMERCIER LA
PERSONNE ET METTRE FIN À L’APPEL)
*REMARQUE AU RESPONSABLE DE L’ENTREVUE : Ceci se rapporte à un individu ne une entreprise ou organisation.
2. Environ combien d’employés travaillent pour votre entreprise au Canada? Veuillez inclure les employés à temps partiel dans les équivalents temps plein. (NE PAS LIRE LA LISTE.)
Un (c.-à.-d. travailleur indépendant) 1
2 à 4 2
5 à 9 3
10 à 19 4
20 à 49 5
50 à 99 6
100 à 149 7
150 à 199 8
200 à 249 9
250 à 299 10
300 à 499 11
500 à 999 12
1,000 à 4,999 13
Plus de 5,000 14
Section 1 : Pratiques liées à la protection des renseignements personnels
J’aimerais commencer par vous demander quels types de renseignements personnels vous conservez sur vos clients dans votre entreprise. S2013
3. Parmi les choix suivants, quels types de renseignements personnels recueillez-vous sur vos clients dans votre entreprise? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.) S2013 MODIFIÉ
Coordonnées, comme le nom, le numéro
de téléphone et l’adresse 1 Opinions, évaluations et commentaires 2 Habitudes de consommation 3 Renseignements financiers 4 Renseignements médicaux 5 Numéros de permis de conduire 6 Numéros d’assurance sociale 7 Autres renseignements. (NE PAS LIRE.)
Le cas échéant, veuillez préciser : _________ 9 Aucune de ces réponses (NE PAS LIRE.) 10
4. Parmi les choix suivants, de quelles manières entreposez-vous les renseignements personnels de vos clients dans votre entreprise? Les renseignements sont-ils entreposés… (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.) S2013
… sur place en format papier? 1
… sur place sur des serveurs? 2
… dans des ordinateurs de bureau? 3
… dans des dispositifs portables, comme des ordinateurs
portables, des clés USB ou des tablettes? 4
… par voie électronique grâce à l’infonuagique?* 5
… par un tiers, à l’exception de l’infonuagique?** 6
… sous forme d’enregistrements vidéo et audio? 7
… (NE PAS LIRE.) d’une autre manière?
Le cas échéant, veuillez préciser : 8
*REMARQUE AU RESPONSABLE DE L’ENTREVUE : SI LE RÉPONDANT NE SAIT PAS CE QU’EST L’INFONUAGIQUE, LUI EXPLIQUER QU’IL S’AGIT DE LA FOURNITURE DE RESSOURCES INFORMATIQUES PAR INTERNET. PLUTÔT QUE DE CONSERVER DES DONNÉES SUR VOTRE DISQUE DUR OU DE METTRE À JOUR DES APPLICATIONS POUR VOS PROPRES BESOINS, VOUS FAITES APPEL AU SERVICE D’UN TIERS PAR INTERNET, LEQUEL ŒUVRE À UN AUTRE ENDROIT ET VOUS PERMET D’ENTREPOSER VOS RENSEIGNEMENTS OU D’UTILISER SES APPLICATIONS.
**REMARQUE AU RESPONSABLE DE L’ENTREVUE : POUR CETTE QUESTION, IL FAUT DISTINGUER L’INFONUAGIQUE DE L’ENTREPOSAGE PAR UN TIERS.
5. Quelles mesures prenez-vous pour protéger les renseignements personnels de vos clients? (LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.) S2013 MODIFIÉ
Mesures matérielles, comme le verrouillage des classeurs,
la restriction de l’accès ou les alarmes de sécurité 1 Mots de passe 2 Chiffrement* 3 Pare-feu 4 Contrôles organisationnels, comme des politiques et
des procédures 5 (NE PAS LIRE.) Autre mesure. Le cas échéant,
veuillez préciser : 6 Aucune mesure 7
*REMARQUE AU RESPONSABLE DE L’ENTREVUE : Le cryptage se résume à l’utilisation d’un algorithme qui rend l’information illisible, sauf pour les personnes qui détiennent la « clé » pour lire le code.
6. Dans votre entreprise, est-ce qu’une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient? S2013
Oui 1
Non 2
7. Votre entreprise a-t-elle élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels? S2013
Oui 1
Non 2
8. Votre organisation donne-t-elle régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels? S2013
Oui 1
Non 2
9. Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels? S2013
Oui 1
Non 2
10. Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements ont été traités de façon inadéquate? S2013
Oui 1
Non 2
11. Votre entreprise a-t-elle une politique sur la protection des renseignements personnels qui explique aux clients comment vous recueillerez et utiliserez leurs renseignements personnels? S2013
Oui 1
Non 2
Section 2 : La protection des renseignements personnels en tant qu’objectif organisationnel
12. Dans quelle mesure la protection des renseignements personnels de vos clients est-elle importante pour votre entreprise? Veuillez utiliser une échelle de 1 à 7, où 1 signifie que cela n’est pas du tout un objectif organisationnel important et 7, qu’il s’agit d’un objectif très important. S2013
Section 3 : Sensibilisation aux lois sur la protection des renseignements personnels et répercussions de ces lois
La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales devraient protéger les renseignements personnels. En Alberta, en Colombie-Britannique et au Québec, le secteur privé est régi par des lois provinciales, qui sont considérées comme semblables à la loi fédérale. S2013
13. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie qu’elle n’est pas du tout sensibilisée et 7, qu’elle est très sensibilisée. S2013
14. En ce qui concerne la LPRPDE, la loi du gouvernement fédéral sur la protection des renseignements personnels, dans quelle mesure votre entreprise y est-elle sensibilisée? Veuillez utiliser une échelle de 1 à 7, où 1 signifie qu’elle n’est pas du tout sensibilisée et 7, qu’elle est très sensibilisée. S2013
Section 4 : Conformité
15. Toujours en ce qui concerne la LPRPDE, votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte la loi fédérale sur la protection des renseignements personnels?
Oui 1
Non 2
SI OUI :
16. Votre entreprise a-t-elle eu de la difficulté à se conformer à la LPRPDE?
Oui 1
Non 2
SI OUI :
17. Selon vous, quel a été l’obstacle ou le défi le plus important pour votre entreprise en ce qui concerne la conformité à la LPRPDE? (LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES.) S2013 – MODIFIÉ
Une mauvaise compréhension de la Loi 1
Le temps que les membres du personnel doivent
consacrer pour assurer la conformité 2
Le coût de la conformité
(sans compter les coûts liés au personnel) 3
Les mesures nécessaires pour que les employés
se conforment à la Loi 4
(NE PAS LIRE.) Autre, veuillez préciser :
Section 5 : Atteintes à la sécurité des renseignements personnels
Parfois, les renseignements personnels de nature délicate qu’une entreprise détient sur ses clients sont compromis pour différentes raisons, par exemple des activités criminelles, un vol, un piratage ou une erreur d’un employé qui aurait, par exemple, égaré un ordinateur portable ou un autre appareil. S2013
18. Dans quelle mesure êtes-vous préoccupé par une atteinte à la sécurité des données qui compromettrait les renseignements personnels de vos clients? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout préoccupé et 7, très préoccupé. S2013
19. Est-ce que votre entreprise a adopté des protocoles ou des procédures à suivre en cas d’atteinte qui compromettrait les renseignements personnels de vos clients? S2013
Oui 1
Non 2
Section 6 : Innovation au sein de l’entreprise
20. Votre entreprise dispose-t-elle de politiques ou de procédures pour évaluer les risques liés à la protection des renseignements personnels? Cela comprend l’évaluation des risques liés à la création ou à l’utilisation de nouvelles technologies ou de nouveaux produits ou services. S2013
Oui 1
Non 2
21. Dans votre entreprise, recueillez-vous des renseignements personnels auprès des clients pour ensuite les acheminer à une autre entreprise à des fins de traitement, d’entreposage ou pour tout autre service, y compris tout processus lié à l’infonuagique? S2013
Oui 1
Non 2
22. Votre entreprise autorise-t-elle les employés à utiliser des appareils électroniques personnels, par exemple un téléphone intelligent, une tablette ou un ordinateur personnel, pour les besoins de leur travail, par exemple, pour accéder aux réseaux ou aux données de l’entreprise? (LIRE LA LISTE. ACCEPTER UNE RÉPONSE.)
Oui 1
Non 2
Section 7 : Communications
23. À quelles organisations votre entreprise fait-elle appel ou quelles ressources utilise-t-elle, le cas échéant, pour obtenir des précisions sur ses responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels?
Internet (général) 1
Gouvernement 2*
[DEMANDER SI FÉDÉRAL (2A) OU PROVINCIAL (2B)]
Commissaire à la protection de la vie privée 3*
[DEMANDER SI FÉDÉRAL (3A) OU PROVINCIAL (3B)]
Avocat 4
Expert de l’entreprise ou du siège social ou ressource
interne de l’entreprise 5
Experts de l’industrie, sociétés d’experts-conseils ou
sources du domaine de l’éducation 6
Association de l’industrie 7
Aucune / ne pas utiliser 8
Autre, veuillez préciser :
Section 8 : Commissariat à la protection de la vie privée du canada
24. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels? S2013
Oui 1
Non 2
Section 9 : Profil organisationnel
Ces dernières questions sont posées à des fins statistiques uniquement. Toutes les réponses sont confidentielles.
25. Dans quelle industrie ou dans quel secteur votre entreprise exerce-t-elle ses activités? Si elle œuvre dans plusieurs secteurs, veuillez indiquer le secteur principal. (NE PASLIRE LA LISTE. ACCEPTER UNE RÉPONSE.)
Hébergement et services de restauration 1
Services administratifs, de soutien, de
gestion des déchets et d’assainissement 2
Agriculture, foresterie, pêche et chasse 3
Arts, spectacles et loisirs 4
Construction 5
Services d’enseignement 6
Finance et assurances 7
Soins de santé et assistance sociale 8
Industrie de l’information et industrie culturelle 9
Gestion de sociétés et d’entreprises 10
Fabrication 11
Extraction minière et extraction de pétrole et de gaz 12
Autres services (sauf les administrations publiques) 13
Services professionnels, scientifiques et techniques 14
Administrations publiques 15
Services immobiliers et services de location et de
location à bail 16
Commerce de détail 17
Transport et entreposage 18
Services publics 19
Commerce de gros 20
Autre, veuillez préciser : 21
26. Quel est votre poste au sein de l’organisation? (NE PAS LIRE LA LISTE. ACCEPTER UNE RÉPONSE.)
Propriétaire, président ou PDG 1
Directeur général ou autre gestionnaire 2
Gestionnaire des TI 3
Administration 4
Vice-président 5
Analyste, agent ou coordonnateur en matière de
protection des renseignements personnels 6
Conseiller juridique ou avocat 7
Ressources humaines ou Opérations 8
Autre, veuillez préciser : 9
27. Quelle catégorie correspond aux revenus de votre entreprise en 2014? (LIRE LA LISTE. ACCEPTER UNE RÉPONSE.)
Moins de 100 000 $ 1
De 100 000 $ jusqu’a 250 000 $ 2
De 250 000 $ jusqu’a 500 000 $ 3
De 500 000 $ jusqu’a 1 000 000 $ 4
De 1 000 000 $ jusqu’a 5 000 000 $ 5
De 5 000 000 $ jusqu’a 10 000 000 $ 6
De 10 000 000 $ jusqu’a 20 000 000 $ 7
Plus de 20 millions de dollars 8
Cela met fin au sondage.
Merci de votre temps et de vos commentaires; c’est très apprécié.
Annexe 4 : Énoncé de neutralité politique
Attestation de neutralité politique
À titre de cadre supérieure de Phoenix Strategic Perspectives, j’atteste par la présente que les documents remis sont entièrement conformes aux exigences de neutralité politique du gouvernement du Canada exposées dans la Politique de communication du gouvernement du Canada et dans la Procédure de planification et d’attribution de marchés de services de recherche sur l’opinion publique. En particulier, les documents remis ne contiennent pas de renseignements sur les intentions de vote électoral, les préférences quant aux partis politiques, les positions des partis ou l’évaluation de la performance d’un parti politique ou de ses dirigeants.
Document original signé par
Alethea Woods
Présidente
Phoenix Strategic Perspectives Inc.
Supports de substitution
- PDF (399 Ko) Accessibilité non vérifiée
- Date de modification :