Sondage d'opinion publique

Recherche sur l'opinion publique 2015-2016 auprès des entreprises canadiennes concernant les questions relatives à la protection de la vie privée (discussions de groupe)

Final Report

Volet qualitatif : Résultats des séances des groupes de discussion

Préparé pour le Commissariat à la protection de la vie privée du Canada par Phoenix Strategic Perspectives Inc.

Mars 2016

---

Sommaire

Le Commissariat à la protection de la vie privée du Canada a retenu les services de Phoenix Strategic Perspectives Inc. afin de réaliser auprès des entreprises canadiennes une recherche quantitative et qualitative sur l'opinion publique concernant les questions relatives à la protection de la vie privée. Cette recherche visait à mieux comprendre 1) dans quelle mesure les entreprises connaissent les exigences et les questions relatives à la protection de la vie privée et 2) les types de politique de confidentialité et de pratiques de protection de la vie privée qu'elles ont mises en place. Le présent rapport fait état des résultats de la recherche qualitative, axée sur six discussions de groupe qui ont eu lieu les 9 et 10 février 2016 à Toronto, à Moncton (en français) et à Winnipeg.

Information contextuelle

De façon générale, les participants s'occupent de la collecte, de la gestion et du retrait des renseignements sur les clients. Ils consacrent peu de temps aux questions relatives à la protection de la vie privée dans leurs activités professionnelles quotidiennes. Un petit nombre d'entre eux ont demandé des conseils ou reçu une formation sur la façon de gérer ces questions.

Les questions relatives à la protection de la vie privée dont les participants s'occupent personnellement s'inscrivent généralement dans trois catégories : 1) la collecte de renseignements auprès des clients (notamment les mettre à jour, obtenir le consentement à la collecte et expliquer la façon dont les renseignements seront utilisés); 2) la gestion de l'utilisation, de la communication et de la conservation des renseignements (notamment veiller à ce qu'ils soient stockés adéquatement, en gérer ou en limiter l'accès et veiller à ce que qu'ils soient conservés pendant la période requise ou indiquée); 3) le retrait des renseignements sur les clients, ce qui comprend habituellement l'envoi de renseignements aux fins de stockage hors site ou leur destruction. Les participants assument parfois des responsabilités dans plus d'une catégorie. De façon générale, dans le cadre de ces responsabilités, ils doivent assurer la conformité aux pratiques et aux mesures de sécurité de l'entreprise qui régissent la collecte, l'utilisation, la conservation et le retrait des renseignements sur les clients.

Les participants semblent consacrer aux questions relatives à la protection de la vie privée une faible proportion de leur temps; la majorité d'entre eux estiment y consacrer au plus 5 %. La plupart de ceux qui ont affirmé y consacrer davantage de temps ont fait état d'une proportion de l'ordre de 5 à 10 %. Très peu de participants ont affirmé avoir demandé des conseils sur la façon de s'occuper des questions relatives à la protection de la vie privée. Ceux qui en ont demandé l'ont fait concernant des questions précises, notamment la conservation des numéros de carte de crédit, la collecte des numéros d'assurance sociale (NAS), les procédures de déchiquetage de documents, l'élaboration d'une politique de confidentialité, la conservation des renseignements médicaux des clients de même que les lois applicables sur la protection des renseignements personnels. En outre, très peu de participants ont suivi une formation pour les aider à s'occuper des questions relatives à la protection de la vie privée au nom de leur entreprise.

Défis et sources de soutien pour les entreprises

Les questions économiques constituent les principaux défis auxquels font face les petites entreprises. Les sources vers lesquelles elles sont le plus susceptibles de se tourner pour demander des conseils ou une orientation sont les réseaux officiels (p. ex. siège social de l'entreprise ou associations commerciales ou professionnelles) et officieux (p. ex. pairs ou collègues).

Les participants ont relevé un éventail de questions ou de défis auxquels fait face leur entreprise, mais les défis de nature économique sont revenus le plus souvent, particulièrement la concurrence, la rentabilité et la croissance ou la part de marché. D'autres défis ont été cités, mais aucun ne l'a été par plus de quelques participants. D'après les participants, les questions et les défis auxquels fait face leur entreprise sont identiques ou similaires à ceux auxquels se heurte leur secteur en général.

Les réseaux, tant officiels qu'officieux, sont la source consultée le plus souvent pour obtenir des conseils ou une orientation concernant l'exploitation de l'entreprise. Ces réseaux comprennent les collègues, les personnes-ressources et les pairs au sein de leur secteur, le siège social de l'entreprise et les ressources ou sources internes, les fournisseurs, les conférences, les foires commerciales, les associations commerciales ou professionnelles et les sources en ligne. Les avocats et les comptables constituent les seules autres sources mentionnées assez fréquemment.

Défis liés à la protection de la vie privée auxquels font face les petites entreprises

La plupart des participants n'ont jamais eu à donner suite aux préoccupations d'un client concernant la protection de la vie privée. Cela dit, tous s'entendent sur l'importance de protéger les renseignements personnels sur les clients. D'ailleurs, la plupart des participants qualifient cette question de très importante.

La plupart des participants (une majorité dans chaque groupe) ont affirmé qu'aucun client n'avait fait part à leur entreprise de préoccupations concernant la protection de la vie privée. Dans le cas contraire, les clients avaient posé des questions, soulevé des préoccupations ou formulé des demandes concernant la façon dont l'entreprise gère et protège les renseignements personnels; les raisons pour lesquelles certains types de renseignements sont requis; la question de savoir si l'entreprise communique ou non des renseignements et, le cas échéant, à qui; et les raisons pour lesquelles d'autres fournisseurs contactent soudainement le client. En outre, des clients avaient demandé à l'entreprise de détruire après chaque transaction les renseignements associés à leur carte de crédit, craignaient que les renseignements sur leur casier judiciaire soient communiqués à des employeurs potentiels ou demandaient l'autorisation de fournir en personne plutôt que par courriel les renseignements demandés.

Tous les participants reconnaissent l'importance de protéger la vie privée des clients. D'ailleurs, la plupart d'entre eux ont qualifié cette question de très importante. Cela dit, il ne s'agit pas là d'une question ou d'une préoccupation prioritaire. D'après l'explication avancée par de nombreux participants, si l'on met en place des mesures ou des procédures raisonnables pour protéger les renseignements sur les clients, la question reste généralement au second plan ou en veilleuse. Comme on pouvait s'y attendre, la plupart des participants (là encore, une majorité dans chaque groupe) ont affirmé ne pas avoir évalué en bonne et due forme les risques d'atteinte à la vie privée au sein de leur entreprise. Il convient toutefois de mettre un bémol à cet égard. Manifestement, même si elles n'ont effectué aucune évaluation en bonne et due forme, bon nombre d'organisations consultées ont pris des mesures pour atténuer les risques d'atteinte à la sécurité des renseignements personnels qu'elles traitent.

Méthodes utilisées pour protéger les renseignements sur les clients

Les renseignements sur les clients recueillis par les entreprises sont le plus souvent des renseignements personnels et financiers. Afin de protéger les renseignements sur les clients, les entreprises utilisent généralement un ensemble de méthodes, notamment des mesures physiques (p. ex. armoires ou locaux verrouillés), technologiques (p. ex. mots de passe ou chiffrement) et organisationnelles (p. ex. accès aux renseignements personnels réservé aux employés de certains niveaux ou déchiquetage des documents). De plus, quelques entreprises se dotent d'une politique de confidentialité.

Les renseignements personnels recueillis le plus souvent par les entreprises au sujet des clients comprennent les coordonnées (p. ex. nom, adresse, numéro de téléphone ou adresse de courriel) et les renseignements financiers (p. ex. numéro de carte de crédit, numéro de compte bancaire, données du feuillet T4 ou salaire). De façon générale, elles recueillent les coordonnées des clients afin d'établir une relation et de faciliter les interactions avec eux. Les renseignements financiers recueillis visent généralement à faciliter des transactions comme la facturation, l'octroi de crédit, les paiements préautorisés ou la production des déclarations de revenus, mais également à vérifier les références des locataires. Certaines entreprises recueillent aussi des renseignements biographiques (p. ex. âge, date de naissance, sexe, antécédents médicaux ou emplois antérieurs). La vérification des références des locataires, la conformité aux exigences prescrites par la loi ou autrement et la capacité à fournir des services (p. ex. traitement médical ou poursuites judiciaires) sont les raisons invoquées pour recueillir ces renseignements.

Dans l'ensemble, les participants ont cité toute une gamme de mesures de sécurité visant à protéger les renseignements personnels des clients, en l'occurrence des mesures de nature physique, technologique ou organisationnelle. Les mesures physiques mentionnées le plus souvent comprennent les armoires verrouillées, les zones ou aires de stockage distinctes, un système d'alarme et un clavier ou un code pour accéder aux locaux. Les mesures technologiques citées le plus souvent comprennent des ordinateurs ou serveurs protégés par un mot de passe, le chiffrement, les pare-feu, les logiciels antivirus et les copies de secours des disques durs. Enfin, les principales règles ou procédures organisationnelles dont ont fait état les participants sont la limitation ou la restriction de l'accès aux dossiers et aux aires de stockage, les accords de confidentialité ou de non-divulgation, la suppression des numéros de carte de crédit après usage ainsi que le déchiquetage et la numérisation des documents. En plus de ces pratiques, plusieurs participants ont ajouté que les renseignements sur les clients sont protégés par les bonnes habitudes, la vigilance et le bon sens.

Malgré l'éventail de mesures de sécurité mises en place pour protéger les renseignements sur les clients, la vaste majorité des participants ont indiqué que leur entreprise ne s'était pas dotée d'une politique de confidentialité. Les entreprises qui en avaient adopté une comptaient généralement de 10 à 50 employés. Parmi les principales raisons invoquées par les participants pour expliquer que leur entreprise avait adopté une politique de confidentialité, notons l'impression qu'il s'agit d'une bonne pratique de gestion permettant d'éviter des controverses ou des problèmes éventuels. En l'absence d'une politique de confidentialité, la plupart des participants ont déclaré que leur entreprise n'en voyait pas la nécessité. Cette opinion s'illustre le plus souvent par le fait que les entreprises prennent des mesures et des précautions raisonnables pour protéger les renseignements sur les clients, notamment en s'en remettant au professionnalisme et au bon sens, si bien qu'il ne semblait pas nécessaire d'officialiser leurs pratiques dans un document écrit, surtout dans le cas d'une entreprise comptant moins de dix employés. Les participants ayant exprimé cette opinion n'ont pas mentionné explicitement un manque d'information, mais ils ne savaient manifestement pas que la loi oblige leur entreprise à se doter d'une politique de confidentialité. Très peu de participants ont déclaré que leur entreprise renseignait les clients de manière proactive sur ses pratiques de protection de la vie privée, mais certains ont ajouté qu'ils fournissaient ces renseignements aux clients sur demande.

Conformité aux lois sur la protection des renseignements personnels et examen de l'information concernant la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Très peu de participants connaissaient le nom des lois sur la protection des renseignements qui s'appliquent à leur entreprise. La plupart ont indiqué que les mesures prises au sein de leur entreprise pour protéger les renseignements sur les clients étaient motivées par le « bon sens » ou par le fait qu'il s'agit d'une « bonne pratique de gestion », et non par les lois canadiennes dans le domaine.

Les participants étaient généralement au courant de l'existence des lois sur la protection des renseignements personnels, mais ils étaient très peu nombreux à connaître le nom de celles qui s'appliquent à leur entreprise. La grande majorité des participants ont affirmé ne pas connaître les responsabilités incombant à leur entreprise en vertu de ces lois; ils savaient seulement qu'il faut protéger les renseignements personnels sur les clients et en assurer la confidentialité, ce qui dénote un manque de connaissance des lois sur la protection des renseignements personnels. Seulement quelques participants ont indiqué que les mesures prises au sein de leur entreprise pour protéger les renseignements sur les clients visaient à assurer la conformité aux lois canadiennes sur la protection des renseignements personnels. D'après la plupart des participants, ces mesures étaient motivées par « le bon sens », le fait qu'il s'agit d'« une bonne pratique de gestion », « la volonté de protéger l'entreprise », « l'exercice d'une diligence raisonnable » et « la volonté de maintenir la confiance des clients ».

Malgré une méconnaissance généralisée de la LPRPDE et une connaissance limitée des responsabilités incombant à leur entreprise en vertu des lois canadiennes sur la protection des renseignements personnels, les participants ont généralement déclaré que les cinq principes (qui leur ont été présentés dans un document) étaient logiques et allaient de soi. Ils n'ont pas eu de difficulté non plus à saisir intuitivement le sens de divers principes; par exemple, les participants ont indiqué ce qu'implique chaque principe.

Globalement, la réaction des participants à un document faisant état des responsabilités qui incombent à leur entreprise en vertu de la LPRPDE a été positive. De façon générale, ils ont mentionné que la majeure partie de l'information leur semblait « sensée » ou « logique » ou qu'elle « allait de soi », qu'elle « n'était pas étonnante » et qu'elle « renfermait de nombreux éléments auxquels ils se seraient attendus ». Le document dans son ensemble n'a pas suscité la surprise ni de préoccupations chez les participants. L'information portant sur leurs responsabilités pour ce qui est d'assurer l'accès des clients à leurs renseignements est celle que les participants considéraient le plus comme étant nouvelle.

Communications et sensibilisation

Peu de participants se rappelaient avoir reçu de l'information sur les obligations de leur entreprise en matière de protection de la vie privée. Des organisations (p. ex. associations professionnelles), des événements ou outils (p. ex. webinaires, foires commerciales) et divers médias (p. ex. médias sociaux variés, services de clavardage ou ligne de soutien) ont été proposés en guise de moyens auxquels le Commissariat pourrait avoir recours pour communiquer avec les entreprises afin de les sensibiliser à leurs obligations dans le domaine.

Pratiquement tous les participants ont affirmé n'avoir jamais reçu d'information concernant les obligations de leur entreprise en matière de protection de la vie privée. Le plus souvent, ils ont mentionné qu'ils consulteraient Internet pour trouver cette information en cas de besoin. Les autres sources d'information fréquemment citées sont les pairs, les associations professionnelles, les avocats, les comptables et le siège social de leur entreprise. Peu de participants consulteraient les sources gouvernementales, soit le gouvernement du Canada, le Commissariat à la protection de la vie privée du Canada, Industrie Canada, la Gendarmerie royale du Canada, le gouvernement de l'Ontario et Service Nouveau-Brunswick.

Collectivement, les participants ont relevé plusieurs moyens que le Commissariat pourrait utiliser pour les sensibiliser davantage à leurs obligations. Ils ont notamment mentionné des organisations, des événements et des outils ainsi que divers médias. La plupart des participants aimeraient que le Commissariat leur fasse parvenir des listes de vérification concernant leurs responsabilités et obligations, des mises à jour ou les modifications aux lois, des suggestions ou des conseils sur les pratiques exemplaires et la façon de protéger les renseignements, de même que des modèles ou des gabarits pour élaborer une politique de confidentialité.

Les messages les plus susceptibles d'inciter les participants à être attentifs aux obligations de leur entreprise en matière de protection de la vie privée portaient principalement sur les conséquences potentielles de la non-conformité (p. ex. responsabilités, amendes, perte de clients et poursuites en justice). Par contre, de nombreux participants étaient d'avis que des messages positifs seraient tout aussi efficaces, voire davantage (p. ex. « si vous tenez à vos clients, protégez leur vie privée »).

Introduction

Le Commissariat à la protection de la vie privée du Canada a retenu les services de Phoenix Strategic Perspectives Inc. afin de réaliser auprès des entreprises canadiennes une recherche quantitative et qualitative sur l'opinion publique concernant les questions relatives à la protection de la vie privée. Phoenix est heureuse de présenter les résultats de la recherche qualitative dans le présent rapport.

Contexte et objectifs

À titre de défenseur du droit des Canadiens à la vie privée, le Commissariat est habilité à enquêter sur les plaintes, à mener des vérifications et à publier de l'information sur les pratiques de traitement des renseignements personnels au sein des organisations des secteurs public et privé. De plus, il effectue de la recherche et sensibilise le public sur les questions liées à la protection de la vie privée. En vertu de son mandat, le Commissariat veille à l'application de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui régit les activités commerciales dans les provinces de l'Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Le Québec, l'Alberta et la Colombie Britannique ont adopté leur propre loi sur la protection des renseignements personnels dans le secteur privé. Toutefois, même dans ces provinces, la LPRPDE s'applique aux entreprises du secteur privé sous réglementation fédérale ainsi qu'aux renseignements personnels obtenus dans le cadre de transactions interprovinciales et internationales.

Comme le Commissariat a pour mandat de protéger et de promouvoir le droit à la vie privée et, à terme, de fournir des lignes directrices aux particuliers et aux organisations concernant les questions liées à la protection de la vie privée, il doit savoir ce qui suit sur la façon dont les entreprises canadiennes abordent ces enjeux :

• la mesure dans laquelle les entreprises connaissent les exigences et les questions relatives à la protection de la vie privée;
• les types de politiques de confidentialité et de pratiques de protection de la vie privée mises en place par les entreprises;
• la conformité des entreprises aux lois sur la protection des renseignements personnels;
• la sensibilisation des entreprises aux questions et pratiques nouvelles en matière de protection de la vie privée.

Le Commissariat effectue régulièrement des sondages quantitatifs auprès des entreprises (tous les deux ans). Cette recherche éclaire et guide les efforts de sensibilisation des entreprises déployés par le Commissariat.

Le Commissariat a récemment établi de nouvelles priorités et approches stratégiques en vue d'atteindre l'objectif qui consiste à permettre aux Canadiens d'exercer un meilleur contrôle sur leurs renseignements personnels. Dans le rapport sommaire portant sur ces nouvelles priorités, intitulé Tracer un chemin vers une meilleure protection, le Commissariat note que tout au long des consultations menées auprès des intervenants, on lui a fait savoir que les petites et moyennes entreprises (PME) avaient besoin d'être davantage sensibilisées pour mieux comprendre leurs obligations en matière de protection de la vie privée en vertu de la LPRPDE. Par conséquent, le Commissariat cherche à approfondir sa compréhension des petites entreprises afin de pouvoir mettre au point de la documentation et des méthodes appropriées pour mieux les sensibiliser.

Méthode

Pour respecter les objectifs en matière de recherche, une recherche quantitative et une recherche qualitative ont été réalisées auprès d'entreprises canadiennes. Le présent rapport porte sur le volet qualitatif de la recherche. Pour les besoins de ce volet, six groupes de discussion réunissant des représentants de petites entreprises ont été organisés les 9 et 10 février 2016, soit deux groupes dans chacune des villes suivantes : Toronto, Winnipeg et Moncton. Dans chaque ville, un groupe comprenait des représentants d'entreprises comptant moins de 10 employés, tandis que l'autre comprenait des représentants d'entreprises comptant de 10 à 50 employés^{Note de bas de page 2}. Toutes les entreprises devaient recueillir des renseignements sur leurs clients (p. ex. nom des clients, numéro de téléphone, adresse et numéro de carte de crédit) pour être admissibles, et tous les participants devaient gérer, dans une certaine mesure, les questions liées à la protection de la vie privée pour leur entreprise. Les groupes étaient formés de participants issus de différents secteurs et la moitié des participants appartenaient au commerce de détail, au secteur juridique et au secteur immobilier résidentiel. Research House, en qualité de sous-traitant pour Phoenix, a effectué le recrutement, et les participants ont reçu une indemnité de 250 $ en guise de remerciement.

En outre, les critères suivants s'appliquaient pour la formation des groupes de discussion :

Groupes des entreprises de moins de 10 employés

Groupes des entreprises comptant de 10 à 50 employés

La moitié des participants doivent être issus d'entreprises comptant moins de cinq employés, et l'autre moitié d'entreprises comptant cinq employés ou plus. Deux participants au maximum doivent être issus d'entreprises comptant un seul employé. Deux participants au maximum par groupe doivent avoir pour responsabilité principale les questions relatives à la protection de la vie privée et autres questions relatives à la conformité. Deux entreprises au maximum par groupe doivent s'occuper de questions relatives à la protection de la vie privéeNote de bas de page 3.

Un tiers des participants doivent être issus d'entreprises comptant de 10 à 20 employés, un tiers d'entreprises comptant de 21 à 40 employés et un dernier tiers, d'entreprises comptant de 41 à 50 employésNote de bas de page 4. Il ne doit y avoir aucun participant qui a pour responsabilité principale les questions relatives à la protection de la vie privée et autres questions relatives à la conformité. Deux entreprises au maximum par groupe doivent s'occuper de questions relatives à la protection de la vie privéeNote de bas de page 5.

Les principaux enquêteurs pour la présente recherche étaient Alethea Woods et Philippe Azzie. M. Azzie a animé les groupes de discussion de Toronto et de Moncton, et M^me Woods a animé ceux de Winnipeg. Tous deux ont participé à l'élaboration du rapport final.

Avis aux lecteurs

• La recherche dont il est question dans le présent rapport était de nature qualitative et non quantitative. C'est pourquoi les résultats reflètent l'opinion des participants sur les questions abordées, mais ne peuvent être appliqués de façon générale à l'ensemble des représentants des petites entreprises.
• Au cours de la discussion avec les participants, on a pu observer ce qui suit :
  • De nombreux participants ne faisaient pas de distinction entre la protection des renseignements personnels et de la vie privée de leurs clients, d'une part, et la protection de la confidentialité et des données exclusives de leurs clients, d'autre part. Autrement dit, ils ne faisaient pas de distinction entre la protection dans le cadre du commerce d'entreprise à consommateur et la protection dans le cadre du commerce d'entreprise à entreprise.
  • Dans certains cas, les participants ont décrit des situations concernant le traitement des renseignements sur la santé qui, au Nouveau-Brunswick et en Ontario, relève d'une loi provinciale essentiellement similaire à la LPRPDE.
• Les annexes suivantes ont été jointes au rapport : le questionnaire de recrutement, le guide de l'animateur et les documents distribués aux membres des groupes de discussion.

Résultats détaillés

Information contextuelle

La présente section renferme des renseignements généraux sur les participants, en mettant l'accent sur leur rôle au sein de leur entreprise en ce qui a trait aux questions liées à la protection de la vie privée.

Principales responsabilités au sein de l'entreprise

Les principales responsabilités des participants au sein des diverses entreprises n'étaient pas toutes les mêmes. Les groupes étaient composés de participants dont les principales responsabilités étaient les suivantes :

• responsabilité liée au fonctionnement général de l'entreprise (le participant était généralement le propriétaire d'une entreprise comptant moins de 10 employés);
• gestion de bureau, administration et activités quotidiennes, y compris la tenue de livres, la comptabilité, les opérations bancaires, les achats d'équipement et de matériel, l'expédition et la réception;
• ventes et fonctions connexes (y compris la facturation ainsi que les autres activités liées aux transactions avec d'autres entreprises et avec les clients);
• ressources humaines, notamment l'embauche, la formation et la gestion du personnel;
• communication et interactions avec les clients, notamment la prise de rendez vous, les rencontres et consultations initiales avec les clients, l'ouverture des dossiers des clients et la collecte de renseignements auprès de ces derniers (les participants étaient généralement des représentants de cabinets d'avocats et de cliniques médicales ou dentaires);
• établissement des politiques et procédures de l'entreprise, et règlement des questions liées à la réglementation et à la conformité;
• activités relatives aux interactions des propriétaires et des locataires, notamment la gestion du processus de sélection des locataires et des formulaires de demande que ces derniers doivent remplir, et la préparation des baux et des contrats de location;
• campagnes de financement pour des organismes de bienfaisance et sondages auprès des participants au cours des activités promotionnelles de ces organismes.

Les participants sont responsables d'un éventail de questions liées à la protection de la vie privée.

Les types de questions liées à la protection de la vie privée que les participants ont à régler se rattachent généralement aux grandes catégories qui suivent, et les participants ont parfois des responsabilités dans plus d'un domaine. Les représentants d'entreprises comptant moins de 10 employés avaient souvent des responsabilités dans plus d'un domaine.

• Collecte de renseignements auprès des clients : Cette fonction englobe non seulement la collecte initiale de l'information, mais également sa mise à jour de façon périodique ou selon les besoins. Les participants peuvent également être tenus d'obtenir le consentement des clients relativement à l'information recueillie, ou d'expliquer la raison pour laquelle les renseignements sont recueillis et la façon dont ils seront utilisés.
• Gestion de l'utilisation, de la communication et de la conservation de l'information : Il peut notamment s'agir d'assurer le stockage et la protection appropriés de l'information recueillie, de gérer et limiter l'accès à l'information, de déterminer pendant combien de temps il convient de conserver l'information, et de veiller à ce que les renseignements soient conservés pendant la période requise ou indiquée (mais pas au delà de celle ci).
• Retrait des renseignements sur les clients : Cela comporte habituellement l'envoi des renseignements aux fins de stockage hors site ou la destruction des renseignements recueillis (p. ex. déchiquetage), mais peut inclure le renvoi de l'information aux clients.

Dans le cadre de ces responsabilités, les participants doivent habituellement assurer le respect des pratiques de sécurité et des mesures de protection de l'entreprise régissant la collecte, l'utilisation, la conservation et le retrait des renseignements sur les clients. En règle générale, les responsabilités consistent à assurer le respect des pratiques de sécurité ou des mesures de protection de l'entreprise régissant la collecte, l'utilisation, la conservation et le retrait des renseignements sur les clients. Ces types de pratiques sont énumérés ci-dessous dans la section intitulée « Approches utilisées pour protéger les renseignements sur les clients ».

Quelques participants étaient responsables de l'élaboration et de la rédaction des politiques et des pratiques de leur entreprise en matière de protection des renseignements personnels, dont les accords de confidentialité ou de non divulgation avec les employés. Ces participants étaient le plus souvent des représentants d'entreprises comptant 10 employés ou plus.

Tâches particulières associées aux responsabilités en matière de protection des renseignements personnels

Les tâches et les activités que les participants doivent mener à bien dans le cadre de leur rôle de protection de la vie privée varient selon l'aspect de l'information relative aux clients dont ils ont coutume de s'occuper (c. à d. collecte de l'information, utilisation, communication et conservation de l'information, ou retrait de l'information). Ces tâches et activités sont énumérées ci après et organisées selon les types de questions qui sont du ressort des participants.

Tâches liées à la collecte de l'information

Tâches particulières liées à la collecte de l'information :

• Recueillir ou veiller à ce que soient recueillis les renseignements exigés ou requis.
• Expliquer aux clients pourquoi les renseignements sont nécessaires et comment ils seront utilisés.
• Entrer les renseignements sur les clients dans le système informatique de l'entreprise (p. ex. saisie des données ou numérisation des documents papier contenant les renseignements sur les clients).
• Chiffrer les renseignements sur les clients.
• Créer les fichiers de sauvegarde contenant les renseignements recueillis.
• Mettre à jour les renseignements sur les clients.

Tâches liées à l'utilisation, à la communication et à la conservation de l'information

Tâches particulières liées à l'utilisation, à la communication et à la conservation de l'information :

• Classer et stocker les renseignements sur les clients selon les procédures de l'entreprise.
• Limiter l'exposition des renseignements sur les clients et l'accès à ces renseignements.
• Garantir la confidentialité des listes de clients.
• Veiller à ce que les renseignements sur les factures et les cartes de crédit soient protégés comme il se doit.
• S'assurer que les employés lisent et signent les accords de non-divulgation.
• S'assurer de conserver les renseignements pendant la période requise ou obligatoire.
• Effectuer une surveillance générale des pratiques courantes en matière de sécurité (p. ex. veiller à ce qu'il n'y ait pas de dossiers ouverts sur les bureaux et à ce que l'on ne discute pas des affaires des clients en public).

Tâches liées au retrait de l'information

Tâches particulières liées au retrait de l'information :

• Renvoyer les renseignements aux clients.
• Envoyer les documents contenant les renseignements aux fins de déchiquetage.
• Envoyer les renseignements aux fins de stockage hors site.

Il y a peu de difficultés particulières associées aux rôles en matière de protection de la vie privée.

Les participants s'entendaient pour dire que, dans l'ensemble, ils ont peu de difficulté à exécuter les tâches liées à leur rôle en matière de protection de la vie privée. Cela dit, certains participants ont signalé des difficultés ou des défis particuliers auxquels ils font face à cet égard. Aucune de ces difficultés n'a toutefois été mentionnée par plus de quelques participants, et certaines n'ont été signalées que par un seul participant, par exemple :

• Mettre à jour les listes de clients : Selon les participants, cette tâche peut être difficile en raison des taux de roulement élevés chez les clients.
• Déterminer la durée de conservation des listes de clients : Selon les participants, cette tâche peut être complexe du fait que les relations avec les clients varient (c. à d. qu'une entreprise peut perdre un client puis le récupérer). Il est donc difficile de déterminer pendant combien de temps il y a lieu de conserver les listes de clients (p. ex. si une entreprise perd un client, doit elle détruire immédiatement les renseignements qu'elle possède sur ce client ou les conserver dans l'espoir de rétablir la relation?).
• Conserver de manière adéquate les renseignements sur les clients : De l'avis de quelques participants, la question de la conservation adéquate des renseignements sur les clients peut être difficile à résoudre en raison de la durée nécessaire au règlement de certains problèmes. Ce défi à relever concernait les entreprises œuvrant dans des secteurs précis, comme les services-conseils et les services financiers. à titre d'exemple, les dossiers juridiques et les appels en matière fiscale peuvent être très longs à régler et pendant tout ce temps, tous les renseignements sur les clients doivent être protégés et conservés pour une période minimale obligatoire (p. ex. 10 ans).
• Élaborer et rédiger la politique de l'entreprise en matière de protection de la vie privée : Selon les participants, cette tâche peut être difficile à accomplir en l'absence de modèles ou de gabarits à suivre, en raison du manque de connaissances au sujet de ce qu'il convient d'inclure dans une telle politique. Cette difficulté était le plus souvent signalée par les participants à l'emploi d'une petite entreprise, qui ne disposent pas des ressources internes requises à l'appui de la gestion ou de la prestation de conseils concernant ces considérations opérationnelles (comparativement à ceux qui travaillent pour une entreprise implantée à plusieurs endroits, y compris un siège social doté d'un centre administratif).
• Coordonner l'échange de renseignements entre les parties, tout en préservant la confidentialité : L'échange de renseignements entre les parties ajoute une dimension au processus qui consiste à assurer la confidentialité de l'information, ce qui complique la situation. L'exemple donné était celui d'une situation caractérisée par l'absence de relation directe d'entreprise à consommateur - en fait, la relation d'entreprise à consommateur passait par une relation d'entreprise à entreprise. Concrètement, il pourrait s'agir d'un conseiller financier qui travaille directement auprès des clients, mais qui a besoin de correspondre avec l'Agence du revenu du Canada au nom de ces clients (qui sont aussi des clients de l'Agence du revenu du Canada). Des relations de ce genre, à plusieurs niveaux, rendent la protection de l'information plus difficile.
• Trouver un juste équilibre entre la sécurité et l'aspect pratique : Cette question est liée précisément au chiffrement des renseignements sur les clients. On a fait remarquer qu'il pouvait être tentant de retarder le chiffrement des renseignements jusqu'à l'achèvement du travail sur le dossier, plutôt que de procéder au chiffrement après chaque séance de travail. Pour simplifier, disons que si le travail sur le dossier d'un client est censé prendre une semaine, il sera moins fastidieux de chiffrer le dossier une fois qu'on aura cessé d'y travailler plutôt que de chiffrer le produit de chaque séance de travail. Il faut réfléchir à la question en regard de la nécessité de protéger les renseignements sur les clients.

Temps limité consacré aux questions de protection des renseignements personnels comparativement aux autres responsabilités professionnelles

Le temps que les participants consacrent habituellement à la protection des renseignements personnels semble plutôt limité. Lorsqu'on leur a demandé de quantifier la proportion de temps allouée à cette activité, la majorité des participants ont estimé y consacrer au plus 5 % de leur temps. La plupart de ceux qui ont affirmé y consacrer davantage de temps ont fait état d'une proportion de l'ordre de 5 à 10 %. Très peu de personnes consacraient plus de 10 % de leur temps à ces questions^{Note de bas de page 6}. Au dire de plusieurs propriétaires d'immeuble, le temps consacré à ces questions varie en fonction du taux de roulement dans leurs logements locatifs.

On observe des divergences d'opinion entre les participants sur la question de savoir s'il est de plus en plus facile ou de plus en plus difficile de s'occuper des questions relatives à la protection des renseignements personnels. Les participants pour qui il est aujourd'hui plus facile de s'occuper de ces questions ont donné les raisons suivantes pour expliquer leur point de vue :

• La capacité de recueillir l'information par voie électronique en facilite la collecte et le stockage (p. ex. aucune numérisation ni aucun déchiquetage nécessaire).
• L'importance accrue consacrée à la sécurité des renseignements sur les clients élimine toute ambiguïté liée à la collecte de ces renseignements. La règle de base est la suivante : Si vous n'avez pas besoin de certains renseignements, ne les recueillez pas. En règle générale, cela rend les choses plus faciles.
• Le renforcement des mesures de sécurité mises en place et l'attention accrue consacrée à cette question rendent les clients moins réticents à fournir des renseignements à leur sujet, ce qui en facilite la collecte.

Quant aux participants pour qui il est aujourd'hui plus difficile de s'occuper de ces questions, ils ont donné les raisons suivantes pour expliquer leur point de vue :

• Le volume ou la quantité de renseignements recueillis et la facilité avec laquelle ils peuvent être copiés (p. ex. fichiers de sauvegarde) nous compliquent la tâche quand il s'agit d'assurer la confidentialité de ces renseignements.
• Avec la numérisation de l'information, on ne peut plus se contenter de détruire les renseignements sur les clients en déchiquetant les dossiers. Les fichiers de sauvegarde, par exemple, ne peuvent pas être détruits aussi facilement.
• En règle générale, l'information est plus difficile à recueillir aujourd'hui, car les clients craignent les risques d'atteinte à la sécurité des données. Cette opinion va clairement à l'encontre du point de vue susmentionné, selon lequel les clients sont moins réticents à fournir de l'information.

Peu de participants ont demandé conseil pour pouvoir mieux s'occuper de la protection des renseignements personnels.

Très peu de participants se souviennent d'avoir essayé d'obtenir des conseils sur la façon de s'occuper de la protection des renseignements personnels au sein de leur entreprise. Ceux qui en ont demandé l'ont fait parce qu'ils devaient se pencher sur une question très précise, par exemple la conservation des numéros de carte de crédit, la collecte du numéro d'assurance sociale, les procédures de déchiquetage de documents, l'élaboration des politiques de l'entreprise en matière de protection des renseignements personnels, la conservation des renseignements médicaux et les lois sur la protection des renseignements personnels applicables à l'entreprise. Parmi les sources consultées pour obtenir cette information, mentionnons le siège de l'entreprise, des avocats, des comptables, le ministère de la Santé du Manitoba, Equifax (organisme d'évaluation du crédit) et Shred-it (entreprise offrant des services liés à la destruction de renseignements); des recherches ont également été faites sur Internet. Un participant ne savait plus à qui il s'était adressé pour obtenir de tels conseils. Ce petit groupe de participants était surtout composé de représentants d'entreprises comptant 10 employés ou plus.

Quelques autres participants ont précisé que, même s'ils n'avaient pas demandé conseil, ils avaient reçu de l'information non sollicitée sur des questions liées à la protection des renseignements personnels, notamment de l'information concernant les lois sur la protection des renseignements personnels applicables à leur entreprise, la façon d'établir une interface avec la LPRPDE, et l'aide à la rédaction d'une politique sur la protection de la vie privée. Parmi les sources ayant fourni ces renseignements, les participants ont cité un cabinet comptable ainsi que des associations professionnelles ou des organismes de réglementation qui ont sensibilisé leurs membres au moment de l'entrée en vigueur des lois sur la protection des renseignements personnels.

Très peu de participants ont reçu de la formation sur les questions liées à la protection des renseignements personnels.

Très peu de participants ont reçu une formation pour les aider à s'occuper des questions liées à la protection des renseignements personnels. La formation reçue comprenait un séminaire donné par un cabinet comptable sur la façon de coordonner et de regrouper les renseignements sur les clients dans un dépôt sécuritaire, un séminaire sur la LPRPDE et la Loi canadienne anti pourriel, un atelier sur l'importance d'assurer la protection des renseignements personnels, et une formation interne sur les questions liées à la protection des renseignements personnels dans le cadre d'une orientation générale sur les protocoles d'accès aux systèmes de l'entreprise et aux renseignements sur les clients. Chacune de ces sources n'a été mentionnée que par un seul participant. Plusieurs autres participants ont indiqué avoir reçu quelques suggestions et conseils non officiels, mais aucune formation officielle concernant les pratiques exemplaires relatives aux questions liées à la protection des renseignements personnels.

Défis commerciaux et mécanismes de soutien

La présente section est brève. Elle porte sur les principales questions et les principaux enjeux auxquels font face les entreprises des participants dans leur ensemble.

Les principaux enjeux commerciaux auxquels font face les entreprises sont le plus souvent de nature économique.

Les participants ont désigné une batterie de questions ou d'enjeux auxquels fait face leur entreprise, mais ils mentionnaient le plus souvent des questions de nature économique. Ces questions et enjeux comprenaient la concurrence pour les clients et les parts de marché ainsi que la rentabilité et la croissance de l'entreprise. Les participants ont souvent mentionné expressément leur clientèle, citant le rétrécissement des marchés, l'acquisition et la fidélisation des clients et l'expansion de la clientèle parmi les principaux problèmes auxquels fait face leur entreprise. Aux yeux de certains, pour l'entreprise, le principal problème est celui de la volatilité des prix des produits de base et des taux de change ou, de façon plus générale, l'incapacité de prévoir les conditions du marché.

D'autres enjeux ont également été mentionnés, mais aucun ne l'a été par plus de quelques participants, à savoir :

• numérisation des dossiers des clients;
• nécessité de l'apprentissage continu (p. ex. nouveaux logiciels, nouveaux systèmes d'exploitation);
• établissement de relations avec la clientèle (p. ex. bâtir la confiance et répondre aux besoins des clients);
• efforts pour convaincre les clients de la sécurité des opérations de paiement en ligne;
• questions liées aux ressources humaines (c. à d. manque de travailleurs qualifiés, accès à des travailleurs étrangers);
• temps requis pour régler les types de questions dont s'occupe l'entreprise (p. ex. appels en matière fiscale et affaires juridiques);
• conformité aux normes de l'industrie des cartes de paiement;
• changements dans les pratiques liées aux décès et les mesures afférentes à celles ci;
• réticence des locataires potentiels à fournir de l'information;
• démarches pour que les clients paient leurs factures;
• collecte d'information ou de renseignements sur la concurrence.

Il convient de noter que, si les enjeux énumérés dans cette liste ne sont pas de nature exclusivement économique, certains peuvent avoir une incidence sur le bilan de l'entreprise.

D'après les participants, les difficultés et les enjeux auxquels fait face leur entreprise sont identiques ou similaires à ceux auxquels est confronté leur secteur en général.

Réseaux, associations professionnelles - Principales sources d'orientation

Les réseaux, tant officiels qu'officieux, sont la source le plus souvent mentionnée vers laquelle se tournent les participants pour obtenir des conseils et une orientation sur la conduite des affaires de leur entreprise. En mentionnant ces sources, les participants ont souvent indiqué spontanément s'être tournés vers les organisations en question parce qu'elles emploient des gens qui font face à des enjeux similaires et qui comprennent leurs difficultés. Ces réseaux incluent les collègues, les personnes-ressources et les pairs au sein de leur secteur, le siège social de l'entreprise et les ressources ou sources internes, les fournisseurs, les conférences, les foires commerciales, les associations commerciales ou professionnelles et les sources en ligne (p. ex. Meet-Up.com).

Les associations professionnelles ou commerciales désignées expressément par les participants sont les suivantes :

• chambre de commerce;
• Manitoba Tourism Education Council;
• centre d'entreprise des femmes;
• Manitoba Marketing Network;
• autorité de location du Manitoba - Direction de la location à usage d'habitation;
• Seed Winnipeg;
• Conseil ontarien de l'immobilier.

Les avocats et les comptables constituent la seule autre source mentionnée fréquemment. Quelques participants ont cité des sources gouvernementales, mais les seuls ministères fédéraux expressément mentionnés ont été Immigration Canada et Industrie Canada.

Questions et enjeux auxquels font face les petites entreprises sur le plan de la protection des renseignements personnels

La présente section porte sur les questions et les enjeux auxquels font face les petites entreprises sur le plan de la protection des renseignements personnels.

La plupart des entreprises n'ont jamais eu à donner suite aux préoccupations d'un client concernant la protection des renseignements personnels.

La plupart des participants - une majorité dans chaque groupe - ont affirmé qu'aucun client n'avait fait part à leur entreprise de préoccupations concernant la protection des renseignements personnels. Quelques-uns ont été moins catégoriques, précisant qu'ils ne se souvenaient pas que des clients aient jamais fait part à leur entreprise de préoccupations liées à la protection des renseignements personnels.

En revanche, dans la plupart des groupes, au moins un ou deux participants ont déclaré que des clients avaient fait part à leur entreprise de questions ou de préoccupations liées à la protection des renseignements personnels. Il s'agissait notamment :

• de questions sur la façon dont leurs renseignements personnels étaient gérés et protégés (p. ex. renseignements sur les cartes de crédit, renseignements médicaux);
• de questions sur les raisons pour lesquelles certains types de renseignements personnels étaient requis pour que l'achat puisse être effectué;
• de questions pour savoir si l'information était communiquée et, le cas échéant, à qui;
• de questions sur les raisons pour lesquelles d'autres fournisseurs avaient soudainement contacté le client (cela s'était produit après qu'un employé eut vendu des listes de clients à d'autres fournisseurs);
• de demandes pour que les renseignements sur les cartes de crédit soient détruits après chaque transaction;
• de préoccupations relatives au fait que l'information sur les casiers judiciaires pourrait être communiquée à d'éventuels employeurs;
• d'une demande pour que le client soit autorisé à fournir les renseignements demandés en personne plutôt que par courriel.

Les participants qui avaient été contactés par des clients ont tous indiqué que ces questions avaient été traitées à l'interne (c.-à-d. sans aide extérieure).

La protection des renseignements personnels des clients est importante, mais ne constitue pas une préoccupation prioritaire.

Tous les participants reconnaissent l'importance de protéger les renseignements personnels des clients. D'ailleurs, la plupart d'entre eux ont qualifié cette question de très importante. Cela dit, il ne s'agit pas là d'une question ou d'une préoccupation prioritaire. D'après l'explication avancée par de nombreux participants, si l'on met en place des mesures ou des procédures raisonnables pour protéger les renseignements sur les clients, la question reste généralement au second plan ou en veilleuse. Au dire de certains, la protection des renseignements personnels n'est pas un problème ou un enjeu jusqu'à ce qu'un problème ou un incident survienne. C'est à ce moment-là que l'on s'en occupe. Pour d'autres, on contraire, ce n'est pas vraiment une préoccupation en raison de la quantité limitée de renseignements qu'ils conservent sur les clients.

Même s'il ne s'agit pas d'une préoccupation importante, quelques participants ont expliqué qu'ils se demandent parfois si les mesures en place pour protéger les renseignements sur les clients au sein de leur entreprise doivent être améliorées ou renforcées. Un ou deux participants pensent de temps à autre à la protection des renseignements personnels des clients, en raison du type de travail qu'ils font (c. à d. qu'ils communiquent de l'information au sujet des locataires ou sont chargés de listes de donateurs à un organisme de bienfaisance).

Peu d'entreprises ont évalué les risques d'atteinte à la sécurité des renseignements personnels de leurs clients.

La plupart des participants - une majorité dans chaque groupe - n'avaient pas évalué les risques d'atteinte à la sécurité des renseignements personnels auxquels leur entreprise fait face. Il convient toutefois de mettre un bémol à cet égard. Comme nous venons de le faire remarquer, les participants ont souvent affirmé que, lorsque des mesures raisonnables sont prises pour protéger les renseignements sur les clients, la question reste généralement au second plan. En effet, certains ont réitéré ce point pour expliquer la raison pour laquelle leur entreprise n'a pas évalué les risques d'atteinte à la sécurité des renseignements personnels (c.-à-d. qu'aucune évaluation du risque n'est requise si des mesures raisonnables sont en place). En outre, comme l'illustrent les exemples de pratiques en matière de protection de la vie privée présentés à la section suivante, les entreprises ont pris diverses mesures pour protéger les renseignements personnels de leurs clients. Autrement dit, même si elles n'ont pas forcément effectué une évaluation officielle ou explicite des risques, il est clair que les entreprises ont adopté des pratiques visant à réduire le plus possible les risques relatifs à la confidentialité des renseignements sur leurs clients.

Parmi les participants ayant indiqué que leur entreprise avait mené une évaluation des risques, quelques-uns ont dit qu'il s'agissait d'une évaluation officieuse plutôt que d'une évaluation officielle. Parmi les risques inhérents aux renseignements personnels des clients qu'ils recueillent et conservent, ils ont cité les suivants :

• vols commis par des employés (p. ex. vol de listes de clients, vol de propriété intellectuelle);
• erreurs et négligence des employés (p. ex. omettre de déchiqueter les documents après les avoir numérisés, discuter des affaires des clients dans une aire ou un lieu public, communiquer des renseignements qui devraient demeurer confidentiels, laisser des fichiers non sécurisés, perdre des ordinateurs portables, utiliser des mots de passe faciles à déchiffrer);
• comportement contraire à la déontologie de la part du personnel d'entretien (p. ex. fouiller dans les bureaux après les heures de travail);
• piratage (p. ex. vol de renseignements sur la facturation);
• mauvaises pratiques (p. ex. copier-coller l'information dans des courriels);
• erreurs des clients (p. ex. laisser un formulaire de demande dûment rempli dans une aire ou un lieu public);
• sécurité laxiste ou insuffisante de l'immeuble.

Approches utilisées pour protéger les renseignements sur les clients

La présente section porte sur le type de renseignements personnels recueillis par les entreprises, et sur les approches et processus en place au sein des entreprises pour protéger ces renseignements.

Coordonnées et renseignements financiers - Types de renseignements le plus souvent recueillis

Parmi les types de renseignements personnels des clients le plus souvent recueillis par les entreprises, il y a les coordonnées et les renseignements financiers.

• Coordonnées : Les coordonnées comprennent habituellement des renseignements tels que le nom, l'adresse, le numéro de téléphone et l'adresse de courriel. Cette information est habituellement recueillie en vue d'établir des relations avec les clients et de faciliter les transactions avec eux. à titre d'exemple, ces renseignements sont utilisés pour prendre des rendez vous (p. ex. pour des soins dentaires ou médicaux), pour informer les clients qu'une commande est prête à être livrée, en cours de livraison ou arrivée, et pour permettre aux entreprises de communiquer avec les clients au sujet de questions liées au paiement.
• Renseignements financiers : Les renseignements financiers comprennent le plus souvent un numéro de carte de crédit. Toutefois, les autres types de renseignements financiers recueillis comprennent le numéro de compte bancaire, les données du feuillet T4 (dont le numéro d'assurance sociale), le numéro d'identification du client aux fins de l'impôt fédéral, le salaire et les antécédents en matière de crédit et de paiement. Les renseignements financiers habituellement recueillis pour faciliter des opérations comme la facturation, l'octroi de crédit, les paiements mensuels préautorisés et la production des déclarations de revenus. En ce qui concerne le numéro d'identification aux fins de l'impôt fédéral, il est recueilli dans le but de faciliter l'expédition outre-frontière. L'information sur le salaire est recueillie pour des raisons fiscales (c.-à-d. par un comptable) et à titre de preuve de revenu (c. à d. par un propriétaire). Les antécédents en matière de crédit sont également utilisés par les propriétaires afin de vérifier la cote de crédit des locataires éventuels avant de leur louer un appartement.

Certaines entreprises recueillent également des renseignements biographiques, par exemple l'âge, la date de naissance et le sexe, ainsi que de l'information sur les membres de la famille et les relations personnelles, les antécédents médicaux et professionnels, l'historique des achats et le casier judiciaire. Ces renseignements sont recueillis pour diverses raisons, dont la vérification des références des locataires éventuels et la conformité aux exigences particulières prescrites ou prévues par la loi, ainsi que pour appuyer la prestation de services (p. ex. traitement médical, demandes d'immigration et de permis de travail, poursuites judiciaires ou affaires juridiques).

Parmi les types de renseignements mentionnés par des participants à titre individuel figurent les opinions et commentaires des participants à des événements (recueillis afin d'évaluer l'événement), les renseignements sur les activités d'exploration et d'exploitation minière actuelles des clients (recueillis dans le but d'aider les clients en leur communiquant des renseignements sur la concurrence), les photographies (visant à faciliter les rapports entre un cabinet dentaire et des clients de l'extérieur de la ville), et l'information sur les périodes de l'année où les clients ne sont pas à la maison (recueillie afin de veiller à ce que les commandes ne leur soient pas envoyées au cours de ces périodes).

Gamme de mesures mises en place pour protéger les renseignements sur les clients

Dans l'ensemble, les participants ont cité toute une gamme de mesures de sécurité visant à protéger les renseignements personnels des clients. En outre, la plupart des participants ont indiqué que leur entreprise utilise une variété de mesures pour protéger les renseignements sur les clients, en l'occurrence de nature physique, technologique et organisationnelle. Les mesures mises en œuvre dans chacune de ces catégories sont mentionnées ci-après, et celles qui reviennent le plus souvent sont précédées d'un astérisque (*).

• Mesures physiques :
  • * Zones et aires de stockage distinctes, accessibles uniquement au moyen d'un passe-partout
  • * Systèmes d'alarme
  • * Claviers et codes de verrouillage pour accéder aux locaux
  • Vidéosurveillance (mentionnée seulement lorsque l'animateur a posé une question à ce sujet)
  • Dispositifs de verrouillage (immobilier)
  • Ordinateurs fixés aux bureaux
• Mesures technologiques
  • * Ordinateurs et serveurs protégés par mot de passe (c.-à-d. connexions personnalisées)
  • * Chiffrement
  • * Pare feu
  • * Logiciels antivirus
  • * Sauvegarde du disque dur
  • Sécurité de l'informatique en nuage
  • Stockage sur des serveurs protégés et sécurisés
  • Ordinateurs et serveurs sans accès Internet pour les renseignements sur les clients
  • Connexion à accès restreint
  • Sauvegarde dans un site éloigné
  • Protocoles régissant les communications automatisées (c.-à-d. information envoyée directement aux clients au lieu d'être copiée et collée dans un courriel)
• Mesures organisationnelles :
  • * Limitation ou restriction de l'accès aux dossiers et aux aires de stockage (p. ex. au moyen de l'authentification de l'utilisateur)
  • * Accords de conformité ou de non divulgation conclus avec les employés et les clients
  • * Suppression des numéros de carte de crédit après usage
  • * Numérisation des documents et destruction des copies papier
  • * Déchiquetage périodique de documents
  • Mise à jour périodique des mots de passe
  • Utilisation d'une liste de vérification des répercussions sur la sécurité

En plus des pratiques susmentionnées, certaines pratiques officieuses ont également été adoptées par de nombreuses entreprises, à savoir :

• En plus des pratiques susmentionnées, certaines pratiques officieuses ont également été adoptées par de nombreuses entreprises, à savoir :

Enfin, un certain nombre de participants ont précisé que les principales pratiques supplémentaires qu'ils ont mises en place pour protéger les renseignements sur les clients sont de bonnes habitudes de travail, la vigilance et le bon sens.

Peu d'entreprises ont adopté une politique officielle en matière de protection des renseignements personnels.

Malgré la gamme de mesures de sécurité en place pour protéger les renseignements sur les clients, la grande majorité des participants ont mentionné que leur entreprise n'avait pas de politique officielle en matière de protection des renseignements personnels. Les entreprises qui en ont une étaient le plus souvent des entreprises de grande taille (c.-à-d. celles comptant de 10 à 50 employés).

Parmi les participants dont l'entreprise a élaboré une politique de protection des renseignements personnels, l'idée qu'il s'agissait là d'une bonne pratique commerciale qui contribue à éviter les controverses et les problèmes éventuels a été le plus souvent citée pour expliquer l'adoption de cette mesure. Un ou deux participants ont expliqué que la décision était motivée par la nécessité de se conformer aux règlements dans leur secteur ou qu'ils avaient reçu le mandat d'élaborer une telle politique. Un participant a expliqué que la politique avait été élaborée dans le but de préciser les exceptions acceptables à l'échange de renseignements avec des tiers.

Parmi les participants dont l'entreprise n'avait pas élaboré de politique de protection des renseignements personnels, l'absence perçue de nécessité était la principale raison invoquée pour expliquer la décision. Le plus souvent, ces participants ont fait remarquer que leur entreprise prenait des mesures et des précautions raisonnables pour protéger les renseignements sur les clients, notamment en s'appuyant sur le professionnalisme et le bon sens. Par conséquent, il n'était pas nécessaire à leurs yeux d'élaborer une politique officielle de protection de la vie privée. Un plus petit nombre de participants ont fourni différentes raisons pour expliquer l'absence de nécessité d'adopter une politique de protection des renseignements personnels au sein de leur entreprise :

• il s'agit d'une petite entreprise ou d'une entreprise qui n'a pas n'a pas d'employés (un participant a indiqué que, si son entreprise avait des employés, il élaborerait une politique de protection des renseignements personnels);
• en raison de la quantité limitée de renseignements sur les clients recueillis par l'entreprise et de la nature de ces renseignements, il n'est pas nécessaire d'élaborer une politique;
• l'entreprise n'a jamais rencontré d'obstacle l'obligeant à revoir ses pratiques en matière de protection des renseignements personnels et à envisager l'élaboration d'une telle politique.

Au-delà de l'absence de nécessité, la seule raison que des participants ont invoquée pour ne pas avoir élaboré de politique de protection des renseignements personnels était qu'ils ne savaient pas ou qu'on ne leur avait jamais dit que leur entreprise devait avoir une telle politique.

Caractéristiques des politiques de protection des renseignements personnels

Les politiques des entreprises en matière de protection des renseignements personnels renfermaient un éventail de caractéristiques ou d'éléments, dont les suivants :

• types de renseignements recueillis auprès des clients;
• raison de la collecte des différents types de renseignements (c.-à-d. façon dont ils seront utilisés);
• durée de la conservation des renseignements recueillis;
• personnes à qui ces renseignements seront communiqués;
• exceptions acceptables à la communication de l'information;
• façon dont les clients peuvent faire retirer leurs renseignements des dossiers de l'entreprise;
• manière de répondre aux questions des clients au sujet de leurs renseignements personnels;
• façon de protéger les renseignements sur les clients;
• responsabilités en cas d'atteinte à la sécurité ou à la vie privée;
• coordonnées des personnes-ressources en ce qui a trait à l'information sur les clients;
• règles concernant la discussion au sujet des renseignements sur les clients et la diffusion de cette information.

Certains participants ont affirmé que leur entreprise avait reçu de l'aide pour élaborer sa politique de protection des renseignements personnels, tandis que d'autres n'avaient reçu aucune aide. Parmi ceux dont l'entreprise n'avait reçu aucune aide, quelques-uns ont ajouté qu'ils avaient utilisé un modèle général et l'avaient adapté, ou qu'ils avaient consulté les politiques de protection des renseignements personnels d'autres entreprises. Les participants dont l'entreprise avait reçu de l'aide ont fait état des sources suivantes : le Bureau du développement des affaires, le siège social de l'entreprise et l'Ordre des technologues dentaires de l'Ontario.

Interrogés sur la fréquence à laquelle leur politique faisait l'objet d'un examen, les participants dont l'entreprise a une politique de protection des renseignements personnels ont donné des réponses variées allant d'« annuellement » à « jamais », en passant par « régulièrement » (fréquence non définie), « selon les besoins » et « rarement ».

Enfin, quand on leur a demandé si l'objectif visé par la politique était de renseigner les clients ou de protéger leur entreprise, les participants dont l'entreprise dispose d'une politique de protection des renseignements personnels ont plutôt insisté sur la protection de l'entreprise, même si quelques uns ont souligné les deux aspects.

Peu d'entreprises communiquent avec les clients au sujet de leurs pratiques de protection des renseignements personnels.

Très peu de participants ont indiqué que leur entreprise communique de façon proactive avec les clients au sujet de ses pratiques en matière de protection des renseignements personnels, même si certains ont ajouté que leur entreprise fournirait cette information aux clients sur demande. Quelques autres participants ont fait remarquer que l'information concernant la protection des renseignements personnels était incluse dans les contrats avec les clients (p. ex. accords de non-divulgation), mais qu'elle n'était pas abordée explicitement. On a également signalé que les propriétaires abordaient habituellement le sujet de façon officieuse, en mentionnant aux locataires ce à quoi ils pouvaient s'attendre concernant la protection de la vie privée.

Les quelques participants ayant indiqué qu'ils communiquaient bel et bien avec les clients au sujet des pratiques de leur entreprise en matière de protection des renseignements personnels ont précisé que cela se produisait lorsque les clients créaient un compte en ligne et qu'ils acceptaient et approuvaient les modalités régissant leurs interactions avec l'entreprise. Un participant a précisé que les clients étaient invités à renouveler leur approbation des modalités une fois par année, ce qui comprend l'approbation des politiques et des pratiques de l'entreprise en matière de protection des renseignements personnels. ?

Conformité aux lois sur la protection des renseignements personnels

La présente section porte sur les questions relatives aux lois sur la protection des renseignements personnels qui s'appliquent aux entreprises au Canada.

Connaissance limitée des lois applicables sur la protection des renseignements personnels

Mis à part le fait que les participants connaissent l'existence de ces lois, très peu étaient capables de citer le titre d'une loi sur la protection des renseignements personnels applicable à leur entreprise. Ils n'étaient que quelques-uns à pouvoir citer la LPRPDE ou la Loi sur la protection des renseignements personnels ou à connaître la différence entre les deux. Un participant a précisé qu'il connaissait la LPRPDE parce qu'il avait suivi un cours sur la façon dont elle s'applique à son travail. Outre la LPRPDE et la Loi sur la protection des renseignements personnels, les seules lois citées étaient la Loi canadienne anti pourriel et la Loi sur les renseignements médicaux personnels du Manitoba, et chacune de ces lois a été citée par un seul participant.

Connaissance limitée des responsabilités en vertu des lois sur la protection des renseignements personnels

La plupart des participants ne connaissaient pas leurs responsabilités en vertu de ces lois; ils savaient seulement qu'il faut protéger les renseignements personnels sur les clients et en assurer la confidentialité, ce qui dénote un manque de connaissance des lois sur la protection des renseignements personnels. Mis à part cette connaissance générale, les seules responsabilités précises mentionnées par les participants, dont aucune n'a été mentionnée par plus de quelques participants, sont les suivantes :

• obtenir le consentement des clients en vue de recueillir des renseignements;
• expliquer aux clients la façon dont les renseignements recueillis seront utilisés;
• indiquer la période de conservation des renseignements recueillis;
• expliquer à qui ces renseignements seront communiqués;
• expliquer la façon dont ces renseignements seront protégés;
• ne communiquer les renseignements qu'aux personnes ayant le droit de les consulter.

Les quelques participants ayant affirmé connaître un peu à tout le moins leurs responsabilités en vertu des lois sur la protection des renseignements personnels avaient tendance à imputer cette connaissance à la nature de leur entreprise et à leurs responsabilités professionnelles. À titre d'exemple, une participante a imputé sa connaissance des lois sur la protection des renseignements personnels à son travail dans le secteur des organismes de bienfaisance, en expliquant qu'en vertu des lois applicables sur la protection de la vie privée, elle ne peut vendre les listes de donateurs. Elle doit les protéger et les tenir à jour. Un autre participant a associé son niveau de connaissance de ces lois à son travail dans le domaine de la technologie de l'information au sein du secteur de la santé.

Très peu d'entreprises ont pris des mesures visant expressément à se conformer à la LPRPDE.

Seulement quelques participants ont indiqué que les mesures prises au sein de leur entreprise pour protéger les renseignements sur les clients avaient été mises en œuvre, entièrement ou en partie, pour assurer la conformité à la LPRPDE et aux autres lois canadiennes sur la protection des renseignements personnels. Parmi ceux ayant affirmé que leur entreprise faisait des efforts ciblés pour se conformer à la loi, aucun n'avait l'impression qu'il avait été difficile de prendre ces mesures.

Même si certains participants ne savaient pas si les mesures étaient prises pour se conformer à la LPRPDE, la plupart ont indiqué qu'elles étaient motivées par « le bon sens », le fait qu'il s'agit d'« une bonne pratique de gestion », « la volonté de protéger l'entreprise », « l'exercice d'une diligence raisonnable » et « la volonté de maintenir la confiance des clients ». C'est ce qui explique pourquoi un certain nombre de participants ont affirmé spontanément qu'ils croyaient que leur entreprise se conforme aux lois applicables, même si les mesures en place n'avaient pas été prises dans ce but.

Examen de l'information sur la LPRPDE

À cette étape de la discussion, les participants ont reçu successivement deux documents contenant de l'information sur la LPRPDE. La présente section décrit leur réaction à cette information.

Le premier document énumérait cinq principes énoncés dans la LPRPDE et visant à aider les entreprises à protéger les renseignements personnels de leurs clients. On a demandé aux participants quelle était, selon eux, le sens de chaque principe.

Figure 1 :

Document n^o 1 à remettre aux participants

On leur a ensuite remis le deuxième document, qui était plus exhaustif et indiquait les responsabilités des entreprises relativement à chacun de ces principes énoncés dans la LPRPDE. On leur a demandé de lire le document individuellement en silence et d'encercler, au fil de leur lecture, tout élément qui était nouveau pour eux, de marquer d'un signe « + » tout ce que faisait actuellement leur entreprise et d'un signe « - » tout ce qui posait problème pour leur entreprise ou toute mesure que leur entreprise ne prenait pas.

Figure 2 :

Document n^o 2 à remettre aux participants

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi fédérale qui assure la protection de la vie privée dans le secteur privé au Canada. Elle définit les règles de base régissant la collecte, l'utilisation et la communication des renseignements personnels par les organisations du secteur privé dans le cadre d'activités commerciales au Canada. Cette loi énonce les dix principes que les entreprises doivent respecter. Les paragraphes ci-après présentent cinq de ces principes et certaines responsabilités qui s'y rattachent.

Vos responsabilités

• Préciser quels renseignements personnels vous recueillez et à quelles fins de façon à ce que vos clients puissent comprendre.
• Obtenir le consentement de la personne concernée avant ou pendant la collecte des renseignements de même qu'au moment où une nouvelle utilisation des renseignements personnels est constatée. Le consentement n'est considéré comme valable que s'il est raisonnable de s'attendre à ce que l'individu comprenne la nature, les fins et les conséquences de la collecte, de l'utilisation ou de la communication des renseignements personnels auxquelles il a consenti.

Comment vous acquitter de vos responsabilités

• Obtenez le consentement éclairé de la personne concernée quand vous recueillez, utilisez ou communiquez des renseignements personnels la concernant.
• Expliquez à la personne la façon dont ces renseignements seront utilisés et à qui ils seront communiqués.
• Conservez une preuve du consentement reçu.
• Ne refusez pas de fournir un produit ou un service à une personne qui ne consent pas à la collecte, à l'utilisation ou à la communication de renseignements personnels autres que les renseignements requis à des fins explicites et légitimes.
• Assurez-vous que les employés qui recueillent des renseignements personnels sont en mesure de répondre aux questions des personnes.

Vos responsabilités

• Ne pas recueillir des renseignements personnels de façon arbitraire.
• Ne pas tromper ou induire en erreur des personnes à propos des motifs de la collecte de renseignements personnels.

Comment vous acquitter de vos responsabilités

• Limitez la quantité et le type de renseignements recueillis à ceux qui sont nécessaires aux fins établies.
• Assurez-vous que les employés qui recueillent les renseignements personnels sont en mesure d'expliquer pourquoi ils sont nécessaires.

Vos responsabilités

• N'utiliser ou ne communiquer des renseignements personnels qu'aux fins pour lesquelles ils ont été recueillis, à moins que la personne concernée ne donne son consentement ou que l'utilisation ou la communication ne soit autorisée par la Loi.
• Ne conserver des renseignements personnels qu'aussi longtemps que nécessaire pour la réalisation des fins établies.
• Établir des lignes directrices pour la conservation et l'élimination des renseignements personnels.
• Détruire, effacer ou dépersonnaliser les renseignements dont vous n'avez plus besoin aux fins précisées ou prévues par la loi.

Comment vous acquitter de vos responsabilités

• Documentez toute nouvelle utilisation de renseignements personnels et obtenez le consentement de la personne concernée.
• Établissez des périodes de conservation minimale et maximale en tenant compte des exigences ou des restrictions législatives ainsi que des mécanismes de réparation.
• De manière à prévenir toute atteinte à la vie privée, détruisez les renseignements qui ne sont plus nécessaires pour réaliser une fin établie.

Vos responsabilités

• Protéger les renseignements personnels contre la perte ou le vol ainsi que contre toute consultation, communication, copie, utilisation ou modification non autorisée.

Comment vous acquitter de vos responsabilités

• Élaborez et mettez en œuvre une politique de sécurité pour assurer la protection des renseignements personnels.
• Vérifiez régulièrement les mesures de sécurité pour vous assurer qu'elles sont à jour.
• Utilisez des mesures de sécurité adéquates pour assurer la protection qui s'impose.
• Sensibilisez les employés en donnant régulièrement de la formation sur les mesures de sécurité.

Vos responsabilités

• Informer toute personne qui en fait la demande de l'existence de renseignements personnels la concernant.
• Expliquer l'usage qui est fait ou qui a été fait de ces renseignements personnels et fournir une liste de toutes les organisations auxquelles les renseignements ont été communiqués.
• Permettre à la personne concernée d'avoir accès à ses renseignements personnels.

Comment vous acquitter de vos responsabilités

• Donnez à toute personne qui en a besoin l'aide nécessaire pour formuler une demande d'accès à ses renseignements personnels.
• Donnez suite à la demande le plus rapidement possible, au plus tard 30 jours après sa réception.
• Veillez à ce que les renseignements fournis soient compréhensibles. Expliquez les acronymes, les abréviations et les codes.
• Si la personne concernée modifie les renseignements, transmettez les renseignements modifiés aux tierces parties qui y ont accès.
• Si vous refusez une demande d'accès, communiquez par écrit avec la personne concernée pour l'aviser de votre décision et lui exposer les motifs de votre refus et les recours possibles.

Les principes de la LPRPDE trouvent écho chez les participants.

Malgré une méconnaissance généralisée de la LPRPDE et une connaissance limitée des responsabilités incombant à leur entreprise en vertu des lois canadiennes sur la protection des renseignements personnels, les participants ont généralement déclaré que les cinq principes étaient logiques et allaient de soi. Même si les participants ne les connaissaient pas forcément avant la séance, les principes n'ont pas suscité de surprise ou de confusion dans leur esprit. En effet, pendant qu'ils examinaient le premier document (figure 1), certains ont indiqué qu'ils pensaient que les pratiques de leur entreprise respectaient ces principes, même si elles n'avaient pas été mises en place dans le but de se conformer à la LPRPDE.

Les participants n'ont pas eu de difficulté à saisir intuitivement le sens des principes ni la façon de les appliquer.

Les participants ont eu peu de difficulté, voire aucune, à saisir intuitivement le sens de chaque principe de la LPRPDE; ils ont su indiquer ce que chaque principe suppose. Chacun de ces principes est présenté ci après, accompagné des commentaires des participants sur leur signification particulière. Comme les commentaires étaient assez semblables d'un groupe à l'autre ou représentaient souvent des variations sur des thèmes communs, nous nous attachons à présenter des commentaires représentatifs plutôt que la liste complète et textuelle des commentaires des participants.

Obtenez un consentement valable et éclairé évoquait ce qui suit chez les participants :

• demander la permission à la personne auprès de qui les renseignements sont recueillis;
• faire savoir aux clients les raisons pour lesquelles ces renseignements sont demandés ou nécessaires;
• faire savoir aux clients à quelles fins les renseignements recueillis seront utilisés;
• expliquer ce à quoi la personne s'engage avant de recueillir les renseignements;
• veiller à ce que la personne comprenne ce qu'on lui demande;
• veiller à ce que la personne ait le droit de fournir ces renseignements ou à ce qu'elle soit habilitée à le faire en vertu de la loi;
• n'exercer aucune pression sur la personne (c.-à-d. qu'elle doit fournir l'information de son plein gré).

Dans le cadre de la discussion au sujet de ce principe, les participants ont cherché à savoir si un « consentement valable et éclairé » était un consentement écrit ou verbal.

Limitez la collecte de renseignements personnels évoquait ce qui suit chez les participants :

• recueillir uniquement les renseignements nécessaires;
• ne recueillir que le minimum de renseignements;
• recueillir uniquement l'essentiel.

Limitez l'utilisation, la communication et la conservation des renseignements personnels évoquait ce qui suit chez les participants :

• protéger les renseignements recueillis de toute indiscrétion;
• communiquer uniquement les renseignements en fonction du besoin de savoir;
• n'utiliser les renseignements qu'aux fins pour lesquelles ils ont été obtenus;
• veiller à ce que les employés compétents y aient accès; limiter ou restreindre l'accès;
• ne pas vendre les renseignements recueillis;
• ne pas conserver des renseignements plus longtemps que nécessaire;
• supprimer les renseignements lorsque prend fin une relation active avec un client.

Prenez des mesures de sécurité adéquates évoquait ce qui suit chez les participants :

• ensemble de mesures prises pour protéger les renseignements;
• protéger les renseignements en utilisant les méthodes nécessaires;
• élaborer des pratiques exemplaires pour protéger les renseignements;
• utiliser des mécanismes comme le chiffrement, des mots de passe, des armoires verrouillées et le déchiquetage;
• former le personnel.

Permettez aux individus d'avoir accès aux renseignements personnels qui les concernent évoquait ce qui suit chez les participants :

• toute personne a le droit de savoir quels sont les renseignements recueillis à son sujet;
• informer les clients des renseignements qui ont été recueillis;
• tenir les clients informés de ce qu'il advient de leurs renseignements personnels;
• permettre aux individus d'avoir accès renseignements détenus à leur sujet et les autoriser à consulter leurs dossiers.

Dans le cadre de la discussion sur ce principe, les participants ont cherché à savoir dans quelle mesure les entreprises doivent être proactives plutôt que réactives en ce qui concerne l'accès (à savoir s'il faut offrir aux clients la possibilité de consulter ou de connaître les renseignements recueillis à leur sujet ou s'il faut seulement répondre à leurs demandes à cet égard).

Les participants connaissent la plupart des responsabilités associées à la LPRPDE.

L'examen du deuxième document (figure 2) énonçant les responsabilités des entreprises relativement aux cinq principes de la LPRPDE a suscité diverses réponses. De façon générale, la réaction des participants a été positive, dans la mesure où le contenu leur semblait sensé et familier. À titre d'exemple, ils ont souvent mentionné qu'une grande partie ou la majorité de l'information leur semblait « sensée » ou « logique » ou qu'elle « allait de soi », qu'elle « n'était pas étonnante » et qu'elle « renfermait de nombreux éléments auxquels ils se seraient attendus ».

Le document dans son ensemble n'a pas suscité la surprise ni de préoccupations chez les participants. S'il y avait des éléments nouveaux à leurs yeux, il s'agissait plutôt de points bien précis. L'information jugée nouvelle par les participants se rapportait aux points suivants :

• obtenir le consentement chaque fois que l'information est utilisée à une nouvelle fin;
• documenter toute nouvelle utilisation des renseignements personnels et obtenir un consentement pour cette nouvelle utilisation;
• conserver une preuve du consentement obtenu;
• expliquer l'usage qui a été fait des renseignements et fournir une liste de toutes les organisations auxquelles les renseignements ont été communiqués;
• donner à toute personne qui en a besoin l'aide nécessaire pour formuler une demande d'accès à ses renseignements personnels;
• répondre à la demande le plus rapidement possible, au plus tard 30 jours après sa réception;
• si les renseignements sont modifiés par la personne, transmettre, le cas échéant, les renseignements ainsi modifiés aux tiers qui y ont accès;
• communiquer par écrit avec toute personne dont la demande d'accès est refusée pour l'aviser de la décision et lui exposer les motifs et les recours possibles.

Comme le révèle cette liste, l'information portant sur leurs responsabilités pour ce qui est d'assurer l'accès des clients à leurs renseignements est celle qui était la plus nouvelle pour les participants. Cet état de choses n'a rien d'étonnant puisque la plupart des participants ont indiqué que leur entreprise n'avait jamais eu à donner suite aux préoccupations d'un client concernant la protection de la vie privée.

Bon nombre de participants ont également décrit comme étant nouvelle l'information suivante : Ne refusez pas de fournir un produit ou un service à une personne qui ne consent pas à la collecte, à l'utilisation ou à la communication de renseignements personnels autres que les renseignements requis à des fins explicites et légitimes. Toutefois, dans bien des cas, les participants ont décrit cette information comme étant nouvelle parce qu'elle leur semblait bizarre (c'est-à-dire qu'ils ne pouvaient pas comprendre pourquoi une entreprise procéderait ainsi).

Certaines responsabilités suscitent des questions.

Dans la plupart des groupes, au moins quelques participants ont qualifié d'obscurs certains points abordés dans le deuxième document ou ont posé des questions à ce sujet^{Note de bas de page 7}, par exemple :

• En quoi consistent les renseignements personnels (p. ex. qu'est-ce qui est inclus dans cette catégorie et qu'est-ce qui en est exclus)?
• Qu'entend-on par la Loi? (Cette question semble corroborer la méconnaissance de la LPRPDE.)
• En quoi consiste le « consentement éclairé » (p. ex. peut-il être implicite, le consentement verbal est-il suffisant ou doit-il être consigné par écrit)?
• En quoi consiste une utilisation « nouvelle » des renseignements sur le client?
• En quoi consiste une « preuve » du consentement reçu (p. ex. cela signifie-t-il qu'un consentement écrit est requis)?
• En quoi consiste une collecte « non sélective » de renseignements?

Les entreprises sont susceptibles d'avoir pris des mesures en lien avec divers principes.

Une majorité de participants de chaque groupe ont indiqué que leur entreprise avait pris au moins certaines mesures respectant les principes de la LPRPDE. En outre, la plupart d'entre eux ont indiqué que leur entreprise avait pris à tout le moins quelques mesures conformément à plusieurs de ces principes. Les participants ont surtout mentionné des mesures prises en lien avec les principes « obtenez un consentement valable et éclairé », « limitez l'utilisation, la communication et la conservation des renseignements personnels » et « prenez des mesures de sécurité adéquates ». Les participants étaient moins nombreux à faire état de mesures prises par l'entreprise pour permettre aux personnes d'avoir accès à leurs renseignements personnels. Ce n'est peut-être pas étonnant puisque la plupart ont indiqué que leur entreprise ne communique pas avec les clients au sujet de ses pratiques en matière de protection de la vie privée.?

Communications et sensibilisation

La présente section porte sur les commentaires formulés par les participants au sujet des questions relatives à la communication et à la sensibilisation.

Peu de participants reçoivent de l'information concernant les obligations de leur entreprise en matière de protection des renseignements personnels.

Pratiquement tous les participants ont affirmé n'avoir jamais reçu d'information concernant les obligations de leur entreprise en matière de protection des renseignements personnels. Parmi le très petit nombre de ceux qui en avaient reçu, un participant a mentionné une lettre d'information faisant état de nouvelles lois sur la protection des renseignements personnels du gouvernement du Canada, un autre s'est souvenu d'un webinaire qui avait peut-être été animé par un avocat, et deux participants n'arrivaient pas à se souvenir de l'information qu'ils avaient reçue (mais ils étaient certains d'avoir reçu de l'information concernant les obligations de leur entreprise en matière de protection des renseignements personnels).

Internet - Source d'information la plus probable au sujet des obligations concernant la protection des renseignements personnels

Le plus souvent, les participants ont cité Internet comme source pour trouver en cas de besoin des renseignements concernant leurs obligations en matière de protection des renseignements personnels. Ils ont souvent indiqué qu'ils utiliseraient le terme « lois sur la protection des renseignements personnels » en ajoutant certaines précisions (p. ex. « lois sur la protection des renseignements personnels au Canada ») pour effectuer leur recherche. Les autres sources d'information fréquemment citées sont les pairs, les associations professionnelles, les avocats, les comptables et le siège social de leur entreprise. Les avocats, les comptables et le siège social de l'entreprise étaient les sources d'information mentionnées le plus souvent par les entreprises comptant 10 employés ou plus.

Peu de participants consulteraient les sources gouvernementales, soit le gouvernement du Canada (sans précision), le Commissariat à la protection de la vie privée du Canada, Industrie Canada, la Gendarmerie royale du Canada, le gouvernement de l'Ontario et Service Nouveau-Brunswick. Parmi les sources citées par un seul participant ou au plus quelques participants, mentionnons les services de ressources humaines, le Bureau du développement des affaires, des banques, le Conseil ontarien de l'immobilier et le Barreau du Nouveau Brunswick.

Le Commissariat peut communiquer avec les entreprises de diverses façons.

Collectivement, les participants ont relevé plusieurs mécanismes que le Commissariat à la protection de la vie privée du Canada pourrait utiliser pour communiquer avec leur entreprise et d'autres entreprises afin de les sensibiliser davantage à leurs obligations. Les voici, classées thématiquement par mode ou canal de communication :

Organisations

• Agence du revenu du Canada (ARC) - envois de l'ARC (information jointe aux formulaires relatifs à la taxe de vente harmonisée)
• Associations professionnelles (p. ex. Association canadienne de la technologie de l'information, Association des ingénieurs et des géoscientifiques du Manitoba, Conseil ontarien de l'immobilier)
• Banques
• Gouvernement du Canada (avec des caractéristiques d'apparence « officielle » ou de l'information jointe aux chèques du gouvernement)
• Fédération canadienne de l'entreprise indépendante
• Chambre de commerce du Canada (et les chambres locales)
• Manufacturiers et Exportateurs du Canada
• Autorité de location du Manitoba - Direction de la location à usage d'habitation
• Avocats ou cabinets d'avocats
• Comptables ou cabinets comptables

Événements et outils

• Webinaires (accessibles sur demande et adaptés à la taille et au secteur des entreprises)
• Séminaires ou ateliers (en personne pour faciliter les séances de questions et réponses)
• Outil de formation en ligne (accessible en tout temps)
• Kiosques dans le cadre des foires commerciales ou des conférences

Quelques participants ont fait remarquer qu'ils préféreraient des séminaires en personne à des événements en ligne tels que les webinaires. À leur avis, bien que la participation aux webinaires accessibles sur demande offre une grande souplesse, on peut aussi facilement les sauter ou les manquer. En revanche, ils estimaient que les réunions en personne responsabilisent les participants et les incitent davantage à être présents. Quelques-uns ont par ailleurs souligné que des expositions et des kiosques présentés dans le cadre d'événements ne s'avéreraient peut-être pas très utiles. En effet, les personnes pourraient être plus enclines à prendre le matériel mis à leur disposition par le Commissariat plutôt qu'à discuter avec ses représentants (exercice jugé plus fructueux).

Médias

• Bulletin (uniquement lorsqu'il s'agit de renseignements nouveaux ou importants)
• Dépliants ou affiches
• Vidéos sur YouTube
• Facebook
• LinkedIn
• Campagne publicitaire
• Numéro 1-800
• Service de clavardage ou ligne d'assistance

Peu de participants ont mentionné le courriel comme moyen efficace pour le Commissariat de communiquer avec les entreprises. En effet, bon nombre d'entre eux, de même que leur entreprise, sont inondés de courriels quotidiennement et il est probable qu'un courriel passera inaperçu ou sera ignoré.

Type d'information que les participants aimeraient recevoir du Commissariat

La plupart des participants aimeraient que le Commissariat à la protection de la vie privée du Canada leur fasse parvenir le type d'information qui suit :

• des listes de vérification concernant leurs responsabilités et obligations (notamment un outil interactif qui produit des listes de vérification personnalisées des mesures à prendre selon le type de renseignements recueillis);
• les mises à jour ou les modifications aux lois;
• des suggestions ou des conseils sur les pratiques exemplaires et la façon de protéger les renseignements (adaptés à divers secteurs);
• des modèles ou gabarits pour élaborer des politiques en matière de protection des renseignements personnels.

Les éléments suivants ont également été mentionnés, mais moins fréquemment :

• des tests en ligne pour évaluer les connaissances ou la sensibilisation en matière de protection des renseignements;
• de l'information au sujet des vérifications et des enquêtes du Commissariat (ce en quoi elles consistent et déroulement);
• l'offre d'une évaluation de la protection des renseignements personnels, laquelle serait réalisée par le Commissariat;
• de l'information sur la façon d'évaluer le coût de la conformité.

Certains participants ont tenu à souligner qu'afin d'être utile ou efficace, l'information fournie par le Commissariat doit être adaptée le plus possible à la taille et au secteur des entreprises.

Les messages négatifs et les messages positifs sont susceptibles d'attirer l'attention.

Les messages qui seraient le plus susceptibles d'attirer l'attention ou d'inciter les participants à prêter attention aux obligations de leur entreprise en matière de protection des renseignements personnels portaient surtout sur les conséquences possibles de la non-conformité, comme les responsabilités, les amendes, la perte de clients et les poursuites en justice. Par contre, de nombreux participants étaient d'avis que des messages positifs sur les avantages liés à la protection des renseignements sur les clients seraient tout aussi efficaces, sinon plus efficaces (p. ex. « si vous tenez à vos clients, protégez leurs renseignements personnels »). Plusieurs participants ont indiqué qu'il faudrait mettre l'accent sur les deux aspects (à savoir les messages positifs et les messages plutôt négatifs), tout en favorisant la protection de l'entreprise et des clients.

Quelques participants jugeraient efficaces des messages faisant valoir la possibilité de réduire les coûts potentiels associés à la conformité et la possibilité de recevoir une forme quelconque de certification du Commissariat en matière de conformité, de même que des messages faisant référence à des exemples ou à des cas réels ou concrets afin de souligner l'importance de protéger les renseignements sur les clients.

Selon certains participants, quel que soit le message utilisé, celui-ci doit être bref et ciblé. En ce qui concerne le style ou l'approche, quelques participants ont également proposé que l'on introduise de l'humour dans le message.

Annexes

Annexe 1 : Questionnaire de recrutement

Critères à respecter

• Deux groupes par ville
  • Groupe n^o 1 : Entreprises de moins de 10 employés
    • Toutes les entreprises doivent exercer des activités dans le domaine de la protection de la vie privée.
    • La moitié des participants doivent être issus d'entreprises comptant moins de cinq employés.
    • La moitié des participants doivent être issus d'entreprises comptant cinq employés ou plus.
    • Deux participants au maximum doivent être issus d'entreprises comptant un seul employé.
    • Il ne doit y avoir aucun participant qui ne s'occupe pas des questions relatives à la protection de la vie privée.
    • Deux participants au maximum doivent s'occuper des questions relatives à la protection de la vie privée.
    • Deux entreprises au maximum doivent s'occuper des questions relatives à la protection de la vie privée par groupe.
    • Aucun participant ne doit être avocat.
  • Groupe n^o 2 : De 10 à 50 employés^{Note de bas de page 8}
    • Toutes les entreprises doivent exercer des activités dans le domaine de la protection de la vie privée.
    • Un tiers des participants doivent être issus d'entreprises comptant de 10 à 20 employés.
    • Un tiers des participants doivent être issus d'entreprises comptant de 21 à 40 employés.
    • Un tiers des participants doivent être issus d'entreprises comptant de 41 à 50 employés.
    • Il ne doit y avoir aucun participant qui ne s'occupe pas des questions relatives à la protection de la vie privée.
    • Il ne doit y avoir aucun participant qui s'occupe des questions relatives à la protection de la vie privée.
    • Deux entreprises au maximum doivent s'occuper des questions relatives à la protection de la vie privée par groupe.
    • Aucun participant ne doit être avocat.
• Chaque groupe sera composé de participants issus de divers secteurs :
  • La moitié des participants doivent être issus des secteurs ciblés :
    • Location d'immeubles résidentiels
    • Commerce de détail
    • Services juridiques
  • La moitié des participants doivent être issus de secteurs non ciblés.
  • Deux participants au maximum doivent être issus d'un même secteur.
• Personne cible : Personne principalement responsable de la protection de la vie privée au sein d'une entreprise.
• Recruter huit personnes par groupe, en présumant que cinq ou six d'entre elles se présenteront.
• Les participants recevront un incitatif de 250 $.

Sessions

Time	Toronto (en anglais) 9 février	Moncton (en français) 10 février	Winnipeg (en anglais) 10 février
18 h	Moins de 10 employés	10 employés ou plus	Moins de 10 employés
20 h	10 employés ou plus	Moins de 10 employés	10 employés ou plus

Questionnaire

A. Introduction

Bonjour, je m'appelle          . Préférez-vous continuer en anglais ou en français? / Would you prefer to continue in English or French? /

[REMARQUE À L'INTENTION DE L'INTERVIEWEUR : DANS LE CAS DES GROUPES ANGLOPHONES, SI LE PARTICIPANT PRÉFÈRE CONTINUERR EN FRANÇAIS, VEUILLEZ LUI RÉPONDRE CE QUI SUIT : « Malheureusement, nous recherchons des gens qui parlent anglais pour faire partie de ces groupes de discussion. Nous vous remercions de votre intérêt. » DANS LE CAS DES GROUPES FRANCOPHONES, SI LE PARTICIPANT PRÉFÈRE CONTINUERR EN ANGLAIS, VEUILLEZ LUI RÉPONDRE CE QUI SUIT : « Unfortunately, we are looking for people who speak French to participate in this discussion group. We thank you for your interest. »]

Je vous téléphone au nom de Research House, un cabinet canadien spécialisé en recherches qui organise une série de discussions de groupe pour le compte du gouvernement fédéral en vue d'examiner les besoins et les pratiques des entreprises concernant les lois canadiennes sur la protection de la vie privée.

Pourrais je parler à la personne au sein de votre entreprise qui connaît le mieux les types de renseignements personnels que vous recueillez au sujet de vos clients et la façon dont l'entreprise stocke et utilise cette information? Il pourrait s'agir de l'agent de la protection de la vie privée si une personne occupe ce poste dans votre entreprise.

	
    Oui    1  	CONTINUER
    Non    2	REMERCIER L'INTERLOCUTEUR ET METTRE FIN À L'APPEL

[REMARQUE À L'INTENTION DE L'INTERVIEWEUR : RÉPÉTEZ L'INTRODUCTION EN VOUS ADRESSANT AU REPRÉSENTANT CHARGÉ DE LA PROTECTION DE LA VIE PRIVÉE.]

Je vous téléphone au nom de Research House, un cabinet canadien spécialisé en recherches qui organise une série de discussions de groupe pour le compte du gouvernement fédéral en vue d'examiner les besoins et les pratiques des entreprises concernant les lois canadienne sur la protection de la vie privée. Les discussions de groupe dureront au plus deux heures et les participants recevront un montant d'argent en guise de remerciement. Puis je vous poser quelques questions?

	
    Oui    1  	CONTINUER
    Non    2	REMERCIER L'INTERLOCUTEUR ET METTRE FIN À L'APPEL

Votre participation est entièrement volontaire. Nous aimerions connaître votre opinion. Personne ne tentera de vous vendre quoi que ce soit ni de vous amener à changer votre point de vue. Les discussions prendront la forme d'une « table ronde » dirigée par un professionnel de la recherche et réunissant huit participants au maximum. Toutes les opinions exprimées demeureront anonymes et ne serviront qu'aux fins de la recherche, conformément aux lois visant à protéger votre vie privée.

[REMARQUE À L'INTENTION DE L'INTERVIEWEUR : SI L'INTERLOCUTEUR POSE DES QUESTIONS AU SUJET DES LOIS SUR LA PROTECTION DE LA VIE PRIVÉE, DITES LUI CE QUI SUIT : « Les renseignements recueillis dans le cadre de la recherche sont assujettis aux dispositions de la Loi sur la protection des renseignements personnels, des autres lois du gouvernement du Canada et des lois provinciales applicables sur la protection de la vie privée. »]

Avant de vous inviter à faire partie d'un groupe de discussion, nous devons vous poser quelques questions pour assurer une bonne diversité. Il vous faudra cinq minutes pour y répondre. Puis je continuer?

	
    Oui    1  	CONTINUER
    Non    2	REMERCIER L'INTERLOCUTEUR ET METTRE FIN À L'APPEL

[REMARQUE À L'INTENTION DE L'INTERVIEWEUR : SI L'INTERLOCUTEUR REMET EN QUESTION LA VALIDITÉ DE LA RECHERCHE, PROPOSEZ DE LUI FAIRE PARVENIR LA LETTRE DE VALIDATION PAR TÉLÉCOPIEUR OU PAR COURRIEL. S'IL EST TOUJOURS INSATISFAIT, DEMANDEZ LUI DE TÉLÉPHONER À HEATHER ORMEROD, DU COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, AU 819 994 5682 (OU DEMANDEZ À HEATHER DE LUI TÉLÉPHONER)].

B. Qualification

1. Votre entreprise recueille-t elle des renseignements personnels concernant ses clients, par exemple leur nom, leur numéro de téléphone ou leur adresse, des renseignements financiers comme le numéro de leur carte de crédit ou bien leurs évaluations, leurs opinions ou leurs commentaires?

    Oui    1  	ENTREPRISE EXERÇANT DES ACTIVITÉS DANS 
	        LE DOMAINE DE LA PROTECTION DE LA VIE PRIVÉE
    Non    2	REMERCIER L'INTERLOCUTEUR ET METTRE FIN À L'APPEL

2. Combien d'employés à temps plein votre entreprise compte-t-elle au Canada? Veuillez considérer les employés à temps partiel comme des équivalents temps plein. LIRE LA LISTE. PORTER ATTENTION AUX QUOTAS.

    One		1	GROUPE : MOINS DE 10 EMPLOYÉS
    De 2 à 4	2 	GROUPE : MOINS DE 10 EMPLOYÉS
    De 5 à 9	3 	GROUPE : MOINS DE 10 EMPLOYÉS
    De 10 à 19	4 	GROUPE : 10 EMPLOYÉS OU PLUS
    De 20 à 40	5 	GROUPE : 10 EMPLOYÉS OU PLUS
    De 41 à 50	6 	GROUPE : 10 EMPLOYÉS OU PLUS
    Plus de 50	7	REMERCIER L'INTERLOCUTEUR ET METTRE FIN À L'APPEL

3. Dans lequel des secteurs suivants votre entreprise évolue-t-elle? LIRE LA LISTE. PORTER ATTENTION AUX QUOTAS ET ASSURER UNE BONNE DIVERSITÉ.

    Services d'alimentation		1	   SECTEUR CIBLE
    Commerce de détail  		2	   SECTEUR CIBLE
    Services juridiques			3	   SECTEUR CIBLE
    Gestion d'immeubles résidentiels	4	   SECTEUR CIBLE
    Autre - précisez :           	5	   SECTEUR NON CIBLE

SI L'INTERLOCUTEUR A RÉPONDU « 3 » À LA QUESTION 3, POSEZ LUI LA QUESTION QUI SUIT :

4. Pouvez vous m'indiquer le poste que vous occupez au sein de votre entreprise?

    Avocat				1	REMERCIER L'INTERLOCUTEUR 
						ET METTRE FIN À L'APPEL
    Assistant juridique ou parajuriste	2
    Technicien judiciaire		3
    Gestionnaire de bureau		4
    Adjoint administratif		5
    Dirigeant principal des finances 
	   ou directeur financier	6
    Propriétaire ou président		7
    Autre - précisez :          	8

5. Parmi les énoncés suivants, lequel décrit le mieux votre rôle au sein de l'entreprise en ce qui touche la protection de la vie privée? LIRE LA LISTE. PORTER ATTENTION AUX QUOTAS : AUCUN PARTICIPANT « QUI NE S'OCCUPE PAS DES QUESTIONS RELATIVES À LA PROTECTION DE LA VIE PRIVÉE »; GROUPE DE 10 EMPLOYÉS OU PLUS : AUCUN PARTICIPANT « QUI S'OCCUPE DES QUESTIONS RELATIVES À LA PROTECTION DE LA VIE PRIVÉE ». GROUPE DE MOINS DE 10 EMPLOYÉS : DEUX PARTICIPANTS AU MAXIMUM DOIVENT S'OCCUPER DES QUESTIONS RELATIVES À LA PROTECTION DE LA VIE PRIVÉE. ASSURER UNE BONNE DIVERSITÉ DANS LES AUTRES CATÉGORIES.

a) Je ne m'occupe JAMAIS des questions relatives à la protection de la vie privée, mais je suis la personne principalement responsable à cet égard.	1	INTERLOCUTEUR QUI NE S'OCCUPE PAS DES QUESTIONS RELATIVES À LA PROTECTION DE LA VIE PRIVÉE : REMERCIER L'INTERLOCUTEUR ET METTRE FIN À L'APPEL
b) Je m'occupe RAREMENT des questions relatives à la protection de la vie privée, mais je suis la personne principalement responsable à cet égard.	2
c) Je m'occupe PARFOIS des questions relatives à la protection de la vie privée, mais il ne s'agit pas de ma principale responsabilité.	3
d) Je m'occupe SOUVENT des questions relatives à la protection de la vie privée, mais il ne s'agit pas de ma principale responsabilité. 4	4
e) Les questions relatives à la protection de la vie privée et autres questions de conformité sont ma principale responsabilité.	5	INTERLOCUTEUR QUI S'OCCUPE DES QUESTIONS RELATIVES À LA PROTECTION DE LA VIE PRIVÉE : REMERCIER L'INTERLOCUTEUR ET METTRE FIN À L'APPEL S'IL S'AGIT DU GROUPE DE 10 EMPLOYÉS OU PLUS

6. Parmi les mesures suivantes, lesquelles ont été prises par votre entreprise? LIRE LA LISTE. PORTER ATTENTION AUX QUOTAS : DEUX ENTREPRISES AU MAXIMUM « QUI S'OCCUPENT DES QUESTIONS RELATIVES À LA PROTECTION DE LA VIE PRIVÉE » PAR GROUPE.

a) Désignation d'un responsable de la gestion des questions relatives à la protection de la vie privée au sein de votre entreprise.	1	ON CONSIDÈRE QU'IL S'AGIT D'UNE ENTREPRISE QUI S'OCCUPE DES QUESTIONS RELATIVES À LA PROTECTION DE LA VIE PRIVÉE SI LE RÉPONDANT SÉLECTIONNE TROIS MESURES OU PLUS
b) Élaboration d'une politique à l'intention du personnel expliquant les obligations en ce qui a trait à la protection de la vie privée.	2
c) Mise en place de procédures pour répondre aux demandes des clients qui souhaitent avoir accès à leurs renseignements personnels.	3
d) Mise en place de procédures pour gérer les plaintes des clients qui estiment que leurs renseignements ont été traités de façon inadéquate.	4
e) Élaboration d'une politique sur la protection de la vie privée.	5

7. Avez vous ou votre entreprise a t elle été en relation avec le Commissariat à la protection de la vie privée du Canada au cours des 12 derniers mois?

	
    Oui    1  	REMERCIER L'INTERLOCUTEUR ET METTRE FIN À L'APPEL
    Non    2

8. Avez vous déjà participé à une discussion de groupe ou à une entrevue sur un sujet prédéterminé et pour laquelle vous avez reçu un montant d'argent?

	
    Oui    1
    Non    2	PASSER À LA QUESTION SUIVANTE

9. À quand remonte la dernière fois où vous avez participé à une discussion de groupe ou à une entrevue de cette nature?

    Au cours des 12 derniers mois	1  REMERCIER L'INTERLOCUTEUR 
	                                   ET METTRE FIN À L'APPEL
    Il y a plus de 12 mois		2

10. Indiquer le sexe de l'interlocuteur (ne demandez pas). VISER LA DIVERSITÉ.

    Femme			1
    Homme			2

11. Dans quelle mesure êtes vous à l'aise d'exprimer votre point de vue dans le cadre d'une discussion de groupe, notamment lire des documents écrits et formuler des commentaires à cet égard? LIRE LES RÉPONSES POSSIBLES.

  Très à l'aise	 	 1
  Plutôt à l'aise	 2
  Pas très à l'aise	 3  REMERCIER L'INTERLOCUTEUR ET METTRE FIN À L'APPEL
  Pas du tout à l'aise   4  REMERCIER L'INTERLOCUTEUR ET METTRE FIN À L'APPEL

C. INVITATION À PARTICIPER

La discussion de groupe se tiendra le [JOUR DE LA SEMAINE] [DATE] à [HEURE]. Elle durera deux heures. Les participants recevront 250 $ en guise de remerciement et des rafraîchissements seront servis. Accepteriez vous d'y participer?

    Oui    1
    Non    2	REMERCIER L'INTERLOCUTEUR ET METTRE FIN À L'APPEL

La discussion sera dirigée par un chercheur du cabinet national de recherche sur l'opinion publique Phoenix SPI.

Avez vous un crayon à portée de main pour noter l'adresse du lieu où le groupe se réunira? La discussion aura lieu à [INSÉRER LE NOM DE L'ÉTABLISSEMENT] le [DATE], à [HEURE] . Nous vous demandons d'arriver 15 minutes à l'avance.

N'oubliez pas d'apporter une pièce d'identité avec photo (par exemple votre permis de conduire), car on vous demandera de la présenter à votre arrivée. Si vous utilisez des lunettes de lecture, veuillez les apporter. Les participants pourraient être invités à examiner certains documents en [FRANÇAIS / ANGLAIS] dans le cadre de la discussion.

La discussion sera filmée aux fins de la recherche et des représentants de l'équipe de recherche du gouvernement du Canada en observeront le déroulement à partir d'une salle voisine. On vous demandera de signer un formulaire de renonciation dans lequel vous accepterez d'être filmé pendant la discussion. Les enregistrements seront utilisés uniquement par l'équipe de recherche de Phoenix SPI et ne seront transmis à personne d'autre. Comme je l'ai mentionné précédemment, tous les renseignements recueillis au cours de la discussion de groupe demeureront anonymes et ne serviront qu'aux fins de la recherche, conformément aux lois visant à protéger votre vie privée.

Puisque nous n'invitons que quelques personnes à participer à la discussion, votre participation est très importante pour nous. Si vous ne pouvez vous présenter pour quelque raison que ce soit, veuillez nous en aviser par téléphone afin que nous puissions trouver un remplaçant. Vous pouvez nous joindre au [INSÉRER LE NUMÉRO DE TÉLÉPHONE] à notre bureau. Veuillez demander [INSÉRER LE NOM].

On vous téléphonera la veille de la discussion pour confirmer votre présence.

Afin que nous puissions vous joindre pour vous rappeler la tenue de la discussion de groupe ou communiquer avec vous en cas de changements, auriez-vous l'obligeance de confirmer votre nom et vos coordonnées?

    Prénom :          
    Nom de famille :          
    Adresse électronique :           
    Numéro de téléphone (jour) :          
    Numéro de téléphone (soir) :          

Annexe 2 : Guide de l'animateur

Introduction (5 minutes)

• Remerciez les participants de prendre part à la discussion de groupe.
• Présentez l'animateur et donnez un aperçu de Phoenix.
• Ce soir, nous menons une recherche pour le compte du Commissariat à la protection de la vie privée du Canada afin d'analyser les besoins et les pratiques des entreprises relativement à la législation canadienne sur la protection des renseignements personnels.
• Mon rôle consiste à animer la discussion en veillant à ce que nous nous en tenions au sujet prévu et au temps alloué.
• Votre rôle consiste à exprimer votre opinion sur les enjeux dont nous discuterons ce soir.
  • Ce n'est pas un test de connaissances. Et il n'y a pas de bonnes ni de mauvaises réponses. (Le but est de connaître votre opinion.)
  • Nous voulons obtenir des réponses franches et honnêtes.
  • Vous avez le droit de ne pas être d'accord. Nous vous invitons à le faire savoir si vous avec une opinion différente.
• Les commentaires seront traités de façon confidentielle [ANIMATEUR : INSISTEZ SUR CE POINT AU BESOIN, CAR C'EST EXTRÊMEMENT IMPORTANT. LE COMMISSARIAT PEUT FAIRE ENQUÊTE SUR DES ENTREPRISES. D'AILLEURS, CERTAINS PARTICIPANTS SE SONT DITS PRÉOCCUPÉS PAR CET ASPECT LORSQUE NOUS LES AVONS CONTACTÉS.] Ils ne seront présentés que sous une forme agrégée. Nous les consignons uniquement en vue de la rédaction du rapport. Il y a des observateurs derrière une vitre sans tain.
• Si vous avez un téléphone cellulaire ou un autre appareil électronique, c'est le moment de l'éteindre.
• Avez-vous des questions?
• Présentation des participants : Veuillez nous indiquer votre prénom, le poste que vous occupez et le secteur d'activité de votre entreprise.

ANIMATEUR : POSEZ LES QUESTIONS MARQUÉES D'UN ASTÉRISQUE UNIQUEMENT SI LE TEMPS LE PERMET.

Renseignements généraux (15 minutes)

Lorsque vous avez été recruté pour cette recherche, vous avez tous dit que vous étiez la personne qui connaît le mieux les types de renseignements personnels recueillis à propos des clients et les modes de stockage et d'utilisation de ces renseignements. Certains d'entre vous s'occupent peut-être même de la protection des renseignements personnels au sein de votre entreprise. Pour commencer, j'aimerais vous poser quelques questions générales concernant votre rôle dans le domaine.

1. Quelles sont vos principales responsabilités au sein de votre entreprise? VEILLEZ À OBTENIR UNE RÉPONSE CONCISE.
2. De quels aspects de la protection des renseignements personnels vous occupez-vous en ce qui a trait à l'information que vous recueillez et conservez concernant les clients? VEILLEZ À OBTENIR UNE RÉPONSE CONCISE.
   
   Approfondir : - au besoin :
   • questions et plaintes des clients;
   • enquêtes;
   • supervision des pratiques de sécurité;
   • demandes de clients qui veulent voir les renseignements personnels que votre entreprise conserve à leur sujet.
3. Quels types de tâches ou d'activités exercez-vous dans le cadre de votre rôle de protection des renseignements personnels? Y a-t-il des tâches ou des activités qui sont difficiles à exercer? Dans l'affirmative, pourquoi?
4. * Quelle proportion de votre temps consacrez-vous à la protection des renseignements personnels comparativement à vos autres principales responsabilités professionnelles? Est-il plus difficile ou plus facile de vous en occuper maintenant? Est-ce que d'autres personnes au sein de l'entreprise s'occupent de la protection des renseignements personnels? Dans l'affirmative, que font-elles?
   
   Approfondir : - importance relative de la fonction de protection des renseignements personnels par rapport aux autres responsabilités
5. Avez-vous déjà cherché à obtenir des conseils pour vous aider à vous occuper de la protection des renseignements personnels dans votre entreprise?
   
   Approfondir :
   • organisations auxquelles vous avez recours
   • ressources ou outils utilisés
   • Si INTERNET est mentionné : demandez quels sont les sites Web les plus visités, inscrits dans les signets ou dignes de confiance et quelles sont les sources incontournables. [VEILLEZ À OBTENIR UNE RÉPONSE CONCISE.]
6. Levez la main si vous avez reçu une formation pour vous aider à vous occuper de la protection des renseignements personnels? [COMPTEZ LE NOMBRE DE PERSONNES QUI LÈVENT LA MAIN.] Dans l'affirmative, quelle était la nature de cette formation? Sur quoi portait-elle?
   
   * Approfondir :
   • formation portant exclusivement sur la protection des renseignements personnels ou volet d'une formation générale
   • qui a donné la formation : entreprise ou organisation de l'extérieur?
   • besoins comblés? Pourquoi?

Questions et enjeux pour l'entreprise (10 minutes)

Pensez maintenant à la situation dans une optique plus générale et à votre entreprise dans son ensemble.

7. Quels sont les principales difficultés ou les principaux enjeux auxquels fait face votre entreprise? Et quels sont ceux auxquels fait face son secteur d'activité dans son ensemble? [VEILLEZ À OBTENIR UNE RÉPONSE CONCISE. METTEZ L'ACCENT SUR LA SITUATION EN GÉNÉRAL, NON FORCÉMENT SOUS L'ANGLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS.]
   
   Approfondir : différences et similitudes entre l'entreprise et le secteur
8. À qui parlez-vous ou à quels moyens avez-vous recours pour obtenir des conseils et une orientation sur la conduite des affaires de l'entreprise? Pourquoi utilisez-vous ces ressources ou ces mécanismes de soutien? Sont-ils utiles?
   
   Approfondir :
   • organisations auxquelles vous avez recours
   • ressources ou outils utilisés (p. ex. externalisation de services)
9. * Ces ressources ou ces mécanismes de soutien sont-ils suffisants? Répondent-ils à vos besoins? Dans la négative, qu'est-ce qui manque? De quoi d'autre avez-vous besoin?
   
   Approfondir : lacunes

Questions et enjeux sur le plan de la protection des renseignements personnels (15 minutes)

10. Quelle importance votre entreprise accorde-t-elle à la protection des renseignements personnels des clients? Pensez-vous parfois à cette fonction? Et quelle importance votre secteur d'activité accorde-t-il à la protection de l'information des clients?
    
    Approfondir :
    • niveau de risque perçu
    • niveau de préoccupation : cet aspect est-il pris en compte?
    • priorité par rapport aux autres enjeux ou préoccupations de l'entreprise
    • différences ou similitudes entre l'entreprise et le secteur d'activité
11. Évaluez-vous les risques d'atteinte à la sécurité des renseignements personnels auxquels fait face votre entreprise? Dans l'affirmative, quels sont les principaux risques dans le cas des renseignements personnels que vous recueillez et stockez concernant vos clients?
    
    Approfondir (au besoin) :
    • erreurs ou vols commis par les employés
    • perte de clés USB
    • pirates informatiques et risques d'atteinte à la sécurité des données ou de cyberattaque
    • sécurité de l'information stockée par les tiers
12. * À l'heure actuelle, votre entreprise fait-elle face à d'autres enjeux relatifs à la protection des renseignements personnels?
    
    Approfondir (au besoin) :
    • recours approprié à la vidéosurveillance
    • utilisation par les employés de leurs propres appareils
    • protection de la vie privée en ligne ou cybercommerce
    • publicité ciblée
    • établissement du profil des clients pour leur fournir des services plus personnalisés et personnels
13. Est-ce que des clients ont déjà contacté votre entreprise pour lui faire part de préoccupations concernant la protection des renseignements personnels? Dans l'affirmative, quelles étaient ces préoccupations?
    
    Approfondir : types de préoccupations
14. Comment ces préoccupations ont-elles été traitées? Avez-vous obtenu un soutien pour vous en occuper? Dans l'affirmative, qui vous a apporté ce soutien?

Approches et processus de protection des renseignements personnels (20 minutes)

J'aimerais maintenant parler du traitement des renseignements personnels et de la protection de ces renseignements dans votre entreprise.

15. Quels types de renseignements personnels votre entreprise recueille-t-elle sur ses clients? À quelles fins?
    
    Approfondir : nature (p. ex. coordonnées, renseignements financiers ou opinions)
16. * Comment stockez-vous cette information? Est-elle stockée ailleurs?
    
    Approfondir :
    • support papier ou électronique
    • en ligne
    • sur place ou hors site (tiers)
17. Quelles mesures votre entreprise prend-elle pour protéger les renseignements personnels des clients?
    
    Approfondir :
    • mesures de sécurité en place
    • évaluation régulière des risques
    • mesures de sécurité :
      • armoires ou fichiers verrouillés
      • immeuble sécurisé
      • déchiquetage de documents
      • ordinateurs protégés au moyen d'un mot de passe
      • chiffrement
18. Levez la main si votre entreprise a adopté d'autres pratiques, en plus de ces mesures de protection, pour vous aider à protéger les renseignements personnels des clients, par exemple des procédures écrites, des pratiques informelles que vous appliquez régulièrement ou de la formation. [COMPTEZ LE NOMBRE DE PERSONNES QUI LÈVENT LA MAIN.] Dans la négative, pourquoi n'a-t-elle pas adopté d'autres pratiques?
    
    Approfondir : pratiques officielles ou informelles
19. Si votre entreprise a adopté des pratiques de protection des renseignements personnels :
    1. Parlons d'abord des pratiques informelles. De quels types de pratiques s'agit-il (p. ex. interventions, activités, etc., concernant la protection des renseignements personnels)?
    2. Et quelle est la situation en ce qui a trait aux procédures officielles? De quels types de pratiques s'agit-il (p. ex. interventions, activités, etc., concernant la protection des renseignements personnels)?
    3. Votre entreprise a-t-elle reçu un soutien pour élaborer les pratiques et les procédures? Dans l'affirmative, qui lui a apporté ce soutien?
    4. Votre entreprise offre-t-elle une formation aux employés sur les obligations en matière de protection des renseignements personnels? Dans l'affirmative, qui peut suivre cette formation? À quelle fréquence est-elle offerte? Par qui est-elle donnée?
    
    Approfondir : pour chaque pratique, demandez quelles sont les mesures ou interventions particulières
20. Levez la main si votre entreprise a adopté une politique pour assurer la protection des renseignements personnels? [COMPTEZ LE NOMBRE DE PERSONNES QUI LÈVENT LA MAIN.] Dans la négative, pourquoi? Dans l'affirmative, pourquoi avez-vous élaboré cette politique?
21. Si votre entreprise a adopté une politique pour assurer la protection des renseignements personnels : [VEILLEZ À OBTENIR UNE RÉPONSE CONCISE.]
1. Quelle est l'idée générale de cette politique?
2. Avez-vous reçu un soutien pour élaborer cette politique? Dans l'affirmative, qui vous a apporté ce soutien? En quoi ce soutien consistait-il?
3. À quelle fréquence revoyez-vous votre politique?
4. Quel est l'objectif visé par la politique - renseigner les clients ou protéger votre entreprise?
22. Communiquez-vous avec les clients à propos des pratiques de protection des renseignements personnels adoptées par votre entreprise? Dans l'affirmative, que leur dites-vous à ce sujet? Comment, quand et où le leur dites-vous? À quelle fréquence le faites-vous? Quelle est votre motivation?
    
    Approfondir :
    • modifications en ce qui a trait à l'utilisation
    • mises à jour des politiques

Conformité (35 minutes)

Au Canada, le gouvernement fédéral et les gouvernements provinciaux ont adopté des lois sur la protection des renseignements personnels qui s'appliquent aux entreprises. J'aimerais maintenant parler des responsabilités de votre entreprise découlant de la législation à laquelle elle est assujettie.

23. Connaissez-vous les lois sur la protection des renseignements personnels qui s'appliquent à votre entreprise? Dans l'affirmative, que savez-vous à ce sujet?
    
    Si vous connaissez les lois sur la protection des renseignements personnels s'appliquant à votre entreprise :
24. Dans quelle mesure connaissez-vous vos responsabilités découlant de ces lois? Quelles sont ces responsabilités?
25. * Quels sont les aspects de vos responsabilités que vous auriez besoin de mieux connaître?
    
    La Loi sur la protection des renseignements personnels et les documents électroniques - communément appelée « LPRPDE » - est la loi fédérale qui assure la protection de la vie privée dans le secteur privé au Canada. Elle définit les règles régissant la protection des renseignements personnels par les entreprises.
26. Nous avons parlé plus tôt des différents types de mesures que prend votre entreprise pour protéger l'information des clients. A-t-elle pris certaines de ces mesures expressément pour se conformer à la LPRPDE et aux autres lois canadiennes sur la protection des renseignements personnels? A-t-il été difficile de prendre ces mesures? Dans l'affirmative, pourquoi?
    
    Approfondir :
    • mesures motivées par la législation sur la protection des renseignements personnels
    • défis ou obstacles rencontrés
27. * Avez-vous reçu un soutien? Dans l'affirmative, à qui avez-vous parlé ou à quels moyens avez-vous eu recours pour obtenir des conseils ou une orientation?
    
    Nous allons maintenant nous pencher sur deux documents. Voici le premier. Il énonce cinq des principes définis dans la LPRPDE pour aider les entreprises comme la vôtre à protéger les renseignements personnels des clients. Nous allons examiner ces principes un à la fois. [DISTRIBUEZ LE DOCUMENT N^o 1. PASSEZ EN REVUE LES PRINCIPES UNE SÉRIE D'ÉNONCÉS À LA FOIS.]
    
    Commençons par… [ALTERNEZ ENTRE LES GROUPES].
28. À votre avis, qu'est-ce que cela signifie?
    
    [RÉPÉTEZ POUR CHAQUE PRINCIPE.]
    
    Passons maintenant au deuxième document, qui indique les responsabilités des entreprises comme la vôtre concernant chacun des cinq mêmes principes de la LPRPDE. Je vous laisse quelques minutes pour le lire en silence. Nous en discuterons en groupe lorsque vous aurez tous terminé. Veuillez encercler tous les éléments qui sont nouveaux pour vous, les choses que vous ne saviez pas auparavant. Je vous demande aussi d'inscrire un signe « + » pour indiquer chaque mesure que votre entreprise prend actuellement et un signe « - » pour indiquer celles qu'elle ne prend pas ou qui posent problème pour elle. Avez-vous des questions?
    
    DISTRIBUEZ LE DOCUMENT. LAISSEZ AUX PARTICIPANTS LE TEMPS VOULU POUR L'EXAMINER, PUIS CONTINUEZ.
    
    On dirait bien que vous avez tous terminé.
29. * Tout d'abord, quelle est votre impression générale du document que vous venez de lire? Pourquoi? Avez-vous des choses à ajouter?
    
    Approfondir : réaction positive, neutre ou critique
30. Dans l'ensemble, qu'avez-vous appris? Y a-t-il autre chose?
31. Avant de continuer, j'aimerais savoir s'il y a quoi que ce soit qui n'était pas clair dans ce que vous avez lu.
    
    Nous allons maintenant nous concentrer sur chaque principe à tour de rôle. Commençons par… [ÉNONCEZ LE PRINCIPE; ALTERNEZ ENTRE LES GROUPES. POUR CHAQUE PRINCIPE, POSEZ LES QUESTIONS SUIVANTES :]
32. How, if at all, have you applied [would you apply] this principle in your business?Si vous avez appliqué ce principe dans votre entreprise, comment vous y êtes-vous pris? [Autrement, comment l'appliqueriez-vous?]
33. Qu'avez-vous trouvé le plus difficile? [Autrement, à votre avis, qu'est-ce qui serait le plus difficile?]
34. À votre avis, quels sont les éléments qui vous ont aidés à appliquer ce principe? [Autrement, à votre avis, quels sont ceux qui vous aideraient à l'appliquer?]

RÉPÉTEZ LES QUESTIONS POUR CHAQUE PRINCIPE. [* Si vous manquez de temps, laissez tomber le principe de l'accès.]

Communications ou sensibilisation (15 minutes)

Passons maintenant à un autre sujet.

35. Si vous aviez besoin d'information sur les obligations de votre entreprise en matière de protection des renseignements personnels, où la chercheriez-vous?
    
    Approfondir : canaux ou sources
36. Vous arrive-t-il de recevoir de l'information sur les obligations de votre entreprise en matière de protection des renseignements personnels? Dans l'affirmative, qui vous donne cette information? Sur quel support? De façon générale, quel type d'information recevez-vous à ce sujet? Dans quelle mesure est-elle utile? S'il y a des aspects de cette information que vous aimez, j'aimerais que vous me les indiquiez.
    
    Approfondir :
    • associations industrielles
    • services professionnels assurés par des tiers (p. ex. avocat ou comptable)
    • bulletin d'information par courriel, messages de courriel, poste ou documents papier
    Approfondir :
    • modifications ou mises à jour portant sur vos obligations
    • interprétations juridiques des modifications apportées à vos obligations
    • conseils utiles pour assurer la conformité
37. Quel est le meilleur canal de communication que le Commissariat à la protection de la vie privée du Canada peut utiliser pour sensibiliser votre entreprise et d'autres entreprises comme la vôtre aux exigences à respecter?
    
    Approfondir : canaux : courriel ou site Web
38. Quel type d'information aimeriez-vous recevoir du Commissariat à la protection de la vie privée du Canada?
    
    Approfondir :
    • modifications ou mises à jour portant sur vos obligations
    • conseils utiles pour assurer la conformité
    • résumé des conclusions des enquêtes menées par le commissaire
39. Quels messages attireraient votre attention sur les obligations de votre entreprise en matière de protection des renseignements personnels ou vous inciteraient à y porter attention?
    
    Approfondir :
    • conséquences
    • avantages découlant de la conformité
    * Il y a différentes façons de renseigner les entreprises sur leurs obligations en matière de protection des renseignements personnels. Parmi les options proposées, y en a-t-il une qui présente un intérêt particulier pour vous? Dans l'affirmative, laquelle? La première est… [LISEZ EN ALTERNANT ENTRE LES GROUPES] ::
    1. Un outil de formation en ligne que les propriétaires de petite entreprise pourraient utiliser pour se renseigner sur la protection de la vie privée ou pour former leurs employés.
    2. Un kiosque ou une table aux événements s'adressant aux petites entreprises, où des employés seraient disponibles pour parler en personne avec les propriétaires de petite entreprise, répondre à leurs questions et leur distribuer des documents d'information.
    3. Des présentations et des webinaires à l'intention des petites entreprises sur les obligations en matière de protection des renseignements personnels offerts en marge d'activités organisées par la chambre de commerce locale.
    
    
    POSEZ LES QUESTIONS 40 ET 41 APRÈS AVOIR ÉNONCÉ CHAQUE APPROCHE :
40. * Que pensez-vous de cette idée? Quels sont les aspects que vous aimez? Quels sont ceux que vous n'aimez pas?
41. * Que faudrait-il faire pour maximiser l'efficacité et s'assurer de répondre à vos besoins?
42. * Y a-t-il d'autres modes de communication ou d'autres outils qui inciteraient une entreprise comme la vôtre à en apprendre davantage sur les obligations en matière de protection des renseignements personnels?

Conclusion (5 minutes)

43. * Avez-vous d'autres idées à formuler pour conclure? Avez-vous des conseils à donner au Commissariat à la protection de la vie privée du Canada pour l'aider à donner une orientation et de l'information aux entreprises concernant leurs responsabilités en matière de protection des renseignements personnels?

Annexe 3 : Documents distribués aux membres des groupes de discussion