Sélection de la langue

Recherche

Sondage de 2017 auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels

Rapport final

Préparé pour le Commissariat à la protection de la vie privée du Canada par Phoenix Strategic Perspectives Inc.

Janvier 2018


Tableau des figures

Résumé

Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a retenu les services de Phoenix Strategic Perspectives (Phoenix SPI) afin de réaliser un sondage téléphonique de 13 minutes auprès de 1 014 entreprises canadiennes. Compte tenu de la taille de l’échantillon, les résultats sont fiables à plus ou moins 3,1 %, 19 fois sur 20. Le travail sur le terrain a été réalisé entre le 27 octobre et le 30 novembre 2017, et les résultats ont été pondérés pour refléter la distribution réelle des entreprises au Canada.

La recherche visait à donner un portrait plus exact du degré de familiarité des entreprises avec les exigences et les enjeux liés à la protection des renseignements personnels, à en savoir plus sur les types de politiques et pratiques en la matière mis en place par ces entreprises et à déterminer leurs besoins en renseignements sur la protection des renseignements personnels. Les résultats seront utilisés par le Commissariat : 1) pour fournir des directives aux particuliers et aux organisations à propos de la protection des renseignements personnels, et 2) pour améliorer ses efforts de diffusion auprès des petites entreprises.

1. Collecte, entreposage et protection des renseignements sur les clients

Les entreprises canadiennes continuent de recueillir une grande variété de renseignements personnels sur leurs clients. Comme l’indiquent les sondages des années précédentes, les coordonnées sont en tête de liste, avec une large majorité des entreprises (94 %) qui recueillent les noms, les numéros de téléphone et les adresses postales ou électroniques de leurs clients. Les autres types de renseignements mentionnés assez fréquemment comprennent les opinions, les évaluations et les commentaires (29 %), les renseignements financiers, comme les factures, les cartes de crédit et les dossiers bancaires (25 %) ainsi que les documents d’identité, tels que les numéros d’assurance sociale (21 %).

Près des trois quarts des répondants (73 %) déclarent que leur entreprise stocke les renseignements recueillis sur les clients sur place, par voie électronique. Ceci constitue un changement important par rapport aux années précédentes, où le stockage de renseignements en format papier était la principale méthode utilisée par les entreprises. À 56 % (en baisse par rapport aux 62 % de 2015), le stockage sur place en format papier est la deuxième méthode la plus fréquemment mentionnée. Parmi les autres méthodes de stockage des renseignements sur les clients, citons l’utilisation de dispositifs portables, tels que les ordinateurs portables, les clés USB ou les tablettes (26 %) et le stockage hors site chez un tiers (18 %).

Concernant la protection des données, 94 % des entreprises interrogées utilisent au moins une méthode de sécurité pour protéger les renseignements personnels de leurs clients. La fréquence du recours à des méthodes de sécurité n’a pas évolué depuis 2015, où 93 % des entreprises utilisaient au moins une mesure. Comme en 2015, les mesures les plus courantes utilisées sont les mots de passe (78 %) et les mesures matérielles (77 %). Une plus petite proportion de répondants indiquent que leur entreprise utilise des contrôles organisationnels (60 %), des mesures technologiques (59 %) ainsi que des tests de révision du système et des mises à jour de sécurité (55 %).

2. Pratiques de l’entreprise en matière de protection des renseignements personnels

Comme en 2015, environ deux tiers des cadres d’entreprise interrogés (68 %) indiquent que leur entreprise accorde beaucoup d’importance à la protection des renseignements personnels de ses clients. Mettant en lumière cette importance, près ou plus de la moitié des entreprises sondées ont un responsable de la protection des renseignements personnels (59 %), des politiques internes pour le personnel précisant les obligations en matière de protection des renseignements personnels (50 %) et des procédures pour traiter les plaintes des consommateurs (51 %) ou les demandes des consommateurs pour accéder à leurs renseignements personnels (47 %). Ces résultats sont restés pratiquement inchangés depuis 2015. Par ailleurs, 37 % (en hausse par rapport aux 32 % de 2015) donnent régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels.

Concernant les politiques sur la protection des renseignements personnels, moins de la moitié des répondants (44 %) indiquent que leur entreprise dispose d’une telle politique qui explique aux clients comment l’entreprise recueillera et utilisera leurs renseignements personnels. Parmi les entreprises disposant d’une politique sur la protection des renseignements personnels (n = 486), plus de 9 sur 10 ont une politique qui explique en langage simple quels renseignements personnels sont recueillis (92 %) et à quelles fins (95 %). Par ailleurs, trois quarts de ces entreprises ont une politique sur la protection des renseignements personnels qui explique clairement à quelles entités les renseignements personnels recueillis seront communiqués. Parmi les entreprises disposant d’une politique sur la protection des renseignements personnels, la moitié (52 %) y explique le risque de préjudice en cas d’atteinte.

3. Gestion des risques liés à la protection des renseignements personnels

Les cadres étaient quelque peu divisés quant à leur niveau de préoccupation à l’égard d’une atteinte à la protection des données. Près du quart des répondants (23 %) ont choisi la cote la plus élevée (extrêmement préoccupé), tandis que 36 % ont indiqué ne pas être préoccupés du tout. Globalement, près de la moitié (48 %) des répondants ont exprimé un niveau de préoccupation au moins modéré (notes de trois ou plus sur l’échelle de sept points), et exactement la moitié (50 %) des répondants se sont dits peu ou pas préoccupés. La proportion des cadres non préoccupés par une atteinte à la protection des données est passée de 44 % en 2015 à 50 % en 2017.

Quatre entreprises sondées sur 10 (40 %) ont des politiques ou des procédures établies dans l’éventualité d’une atteinte compromettant les renseignements personnels des clients. Presque autant de répondants (38 %) indiquent que leur entreprise dispose de politiques ou de procédures établies pour évaluer les risques d’atteinte à la protection des renseignements personnels liés à leur entreprise. La proportion d’entreprises disposant de politiques ou de procédures pour gérer les atteintes à la protection des données et pour évaluer les risques d’atteinte à la sécurité des renseignements personnels est restée pratiquement la même depuis 2015.

4. Sensibilisation aux lois fédérales sur la protection des renseignements personnels et répercussions de ces lois

La sensibilisation des entreprises aux responsabilités en vertu des lois sur la protection des renseignements personnels du Canada n’a pas changé depuis 2015. Lorsqu’on leur demande d’évaluer la sensibilisation de leur entreprise à ses responsabilités en vertu des lois sur la protection des renseignements personnels du Canada, une forte minorité (44 %) de cadres d’entreprise indiquent que leur entreprise y est très sensibilisée, tandis qu’une part légèrement inférieure (38 %) indique que leur entreprise présente un niveau de sensibilisation modéré. Comme en 2015, globalement, 82 % des entreprises sont au moins quelque peu au courant de leurs responsabilités en vertu des lois sur la protection des renseignements personnels du Canada.

Deux tiers des entreprises interrogées (66 %) indiquent que leur entreprise a pris des mesures pour respecter les lois sur la protection des renseignements personnels du Canada. Cela représente une augmentation de sept points de pourcentage depuis 2015, où 59 % des entreprises avaient pris de telles mesures. Parmi celles qui ont pris des mesures pour les respecter (n = 719), environ 9 sur 10 (89 %) déclarent que leur entreprise n’a pas trouvé cela difficile. Par ailleurs, la plupart des entreprises ayant pris des mesures pour respecter les lois sur la protection des renseignements personnels du Canada (66 %) n’ont rencontré aucune difficulté. Parmi les entreprises qui n’ont pris aucune mesure pour les respecter (n = 237), près de 6 sur 10 (57 %) ne prévoient pas de difficulté ou d’obstacle.

5. Communications et sensibilisation

Les cadres d’entreprise ont été interrogés sur l’utilité d’outils ou de ressources potentiels pour aider leur entreprise à respecter les lois sur la protection des renseignements personnels du Canada. Un peu plus de la moitié (53 %) a indiqué que les renseignements sur la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et les responsabilités connexes seraient une ressource utile. Moins de la moitié a jugé les autres outils ou ressources utiles : 44 % ont indiqué que les outils d’apprentissage en ligne expliquant la LPRPDE seraient utiles; 43 % ont dit la même chose à propos des outils de formation à l’attention du personnel; et 35 % ont déclaré que les outils interactifs d’évaluation des pratiques en matière de protection des renseignements personnels seraient utiles (près du quart ignorait si les outils interactifs seraient utiles ou non).

À peine plus d’un quart (27 %) des cadres d’entreprise interrogés ont déclaré que leur entreprise avait recherché des renseignements ou communiqué avec quelqu’un pour obtenir ses conseils à propos des responsabilités de l’entreprise en vertu des lois sur la protection des renseignements personnels du Canada. Interrogés sur les organisations ou ressources que leur entreprise utilise (ou utiliserait) pour mieux comprendre ses responsabilités en matière de protection des renseignements personnels, 27 % des cadres d’entreprise ont répondu l’Internet (en général) ainsi que Google (14 %) ou des sites Web précis (5 %). Après l’Internet, 19 % consultaient (ou consulteraient) le gouvernement fédéral, 15 % un gouvernement provincial, et 14 % un avocat. Plus de 4 répondants sur 10 (44 %, en hausse par rapport aux 41 % de 2015) savaient que le Commissariat dispose d’information et d’outils pour aider les entreprises à se conformer à leurs obligations en matière de protection des renseignements personnels.

Différences entre les sous-groupes

Comme pour les années précédentes, c’est la taille de l’entreprise qui a la plus forte incidence sur les pratiques en matière de protection des renseignements personnels d’une entreprise. Les entreprises qui comptent 100 employés et plus ont tendance à recueillir plus de types de renseignements personnels auprès de leurs clients, et sont plus susceptibles de stocker ces renseignements sur place, par voie électronique. Par ailleurs, les grandes entreprises sont plus susceptibles d’avoir pris des mesures pour protéger les renseignements personnels de leurs clients, d’avoir mis en place une série de pratiques en matière de protection des renseignements personnels et de disposer d’une politique sur la protection des renseignements personnels qui explique comment elles recueillent et utilisent les renseignements des clients. Les grandes entreprises sont également plus susceptibles d’avoir mis en place des protocoles en cas d’atteinte à la protection des données, ainsi que des politiques pour évaluer les risques d’atteinte à la sécurité des renseignements personnels en lien avec leur entreprise. Enfin, la connaissance de leurs responsabilités en vertu des lois sur la protection des renseignements personnels du Canada était supérieure parmi les grandes entreprises, et ces dernières étaient plus susceptibles d’avoir pris des mesures pour s’assurer de respecter les lois sur la protection des renseignements personnels.

Renseignements supplémentaires

Valeur du contrat :

La valeur du contrat était de 58 737,40 $ (taxes applicables comprises).

Énoncé de neutralité politique :

Je déclare par la présente, à titre de cadre supérieure de Phoenix Strategic Perspectives, que les produis livrables respectent toutes les exigences de neutralité politique du gouvernement du Canada décrites dans la Politique de communication du gouvernement Canada et la Procédure de planification et d’attribution de marchés de services de recherche sur l’opinion publique. Plus particulièrement, les produits finaux ne comprennent pas de renseignements sur les intentions de vote aux élections, les préférences de partis politiques, les positions vis-à-vis de l’électorat ou l’évaluation de la performance d’un parti politique ou de son dirigeant.

(La version originale a été signée par)

Alethea Woods
Présidente
Phoenix Strategic Perspectives Inc.

Introduction

Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a chargé Phoenix Strategic Perspectives (Phoenix SPI) de mener une recherche sur l’opinion publique (ROP) auprès d’entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels.

Contexte et objectifs

À titre de défenseur des droits des Canadiens en matière de protection de la vie privée, le Commissariat est autorisé à enquêter sur les plaintes, à mener des vérifications en vertu de deux lois fédérales, à publier de l’information sur les pratiques de traitement des renseignements personnels dans les secteurs public et privé et à mener des recherches sur les enjeux liés à la protection des renseignements personnels. Mandaté par le Parlement pour agir à titre d’ombudsman et de gardien de la vie privée au Canada, le commissaire est chargé de faire respecter la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui s’applique aux activités commerciales dans les provinces de l’Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Le Québec, l’Alberta et la Colombie-Britannique possèdent leur propre loi sur la protection des renseignements personnels applicable au secteur privé. Toutefois, même dans ces provinces, la LPRPDE vise les entreprises du secteur privé sous réglementation fédérale ainsi que les renseignements personnels obtenus dans le cadre d’opérations interprovinciales et internationales.

Compte tenu de son mandat, le Commissariat a besoin de comprendre le degré de familiarité des entreprises avec les enjeux liés à la protection des renseignements personnels, et de connaître le type de politiques et de pratiques mises en place en la matière. Le Commissariat doit également évaluer la conformité à la loi. Pour ce faire, il est également important que le Commissariat comprenne la sensibilisation et les démarches des entreprises en matière de protection des renseignements personnels. Par conséquent, le Commissariat commande régulièrement des sondages auprès d’entreprises pour éclairer et guider ses efforts de diffusion auprès des entreprises.

Par ailleurs, le Commissariat a déterminé les priorités et approches stratégiques en vue de contribuer à l’atteinte de la vision du Commissariat, qui consiste à accroître le contrôle des Canadiens sur leurs renseignements personnels. Dans le rapport sommaire sur les priorités, intitulé Tracer un chemin vers une meilleure protection, le Commissariat note que les petites et moyennes entreprises (PME) ont besoin d’être davantage sensibilisées pour mieux comprendre leurs obligations en matière de protection des renseignements personnels en vertu de la LPRPDE. Par conséquent, le Commissariat cherche à approfondir sa compréhension des petites entreprises afin de pouvoir mettre au point de la documentation et des approches appropriées pour mieux les sensibiliser.

Le sondage de cette année aidera le Commissariat à mieux comprendre le degré de familiarité des entreprises avec les enjeux et les exigences liés à la protection des renseignements personnels. Il l’aidera également à en savoir plus sur les types de politiques et de pratiques sur la protection des renseignements personnels mises en place par les entreprises, ainsi que sur les renseignements dont elles ont besoin en la matière. Les résultats seront utilisés par le Commissariat : 1) pour fournir des directives aux particuliers et aux organisations à propos de la protection des renseignements personnels; et 2) pour améliorer ses efforts de diffusion auprès des petites entreprises.

Méthodologie

Un sondage téléphonique de treize minutes a été réalisé auprès de 1 014 entreprises d’un bout à l’autre du Canada. Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage. Une base d’échantillonnage aléatoire a été générée pour déterminer le contingent de chacun des trois groupes cibles (formés en fonction de la taille des entreprises) : petite (1 à 19 employés); moyenne (20 à 99 employés) et grande (100 employés et plus). Les répondants ciblés étaient des décideurs de haut niveau ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes. Les résultats ont été pondérés selon la taille, le secteur et la région au moyen des données de Statistique Canada afin de veiller à ce qu’elles reflètent la distribution réelle des entreprises au Canada. Compte tenu de la taille de l’échantillon, les résultats sont fiables à plus ou moins 3,1 %, 19 fois sur 20.

Les caractéristiques techniques de sondage sont présentées ci¬après.

  • Pour les besoins du test préalable effectué par téléphone, dix entrevues ont été réalisées dans chacune des deux langues officielles. Les entrevues ont été enregistrées numériquement et passées en revue par la suite.
  • Les entrevues ont été réalisées dans la langue officielle choisie par le répondant.
  • Le sondage a été enregistré dans le système national d’enregistrement des sondages de l’Association de la recherche et de l’intelligence marketing (ARIM).
  • Les répondants ont été avisés que le sondage a été commandé par le Commissariat à la protection de la vie privée du Canada.
  • Le taux de réponse a été de 17 %.
  • L’étude sur le terrain a été menée du 27 octobre au 30 novembre 2017.

Le tableau qui suit décrit la répartition finale des appels pour ce sondage, de même que le taux de réponse connexe (selon la formule établie de l’ARIM)Note de bas de page 1 :

Nombre total de tentatives d’appels 7 322
Exclus de la portée – Non valides 1 084
Non résolus (NR) 1 780
Pas de réponse/répondeur 1 780
Unités admissibles non répondantes (UA) 3 423
Barrière linguistique 32
Impossibilités de réaliser l’entretien téléphonique (maladie/décès) 58
Rappel (répondant non disponible) 2 512
Refus 694
Terminaison 127
Répondants potentiels – Unités répondantes (UR) 1 035
Entrevues effectuées 1 014
Quota atteint 1
Téléphone cellulaire – conversation non sécuritaire 20

Notes aux lecteurs

  • Tous les résultats du rapport sont exprimés en pourcentage, sauf indication contraire.
  • Dans tout le rapport, comme les pourcentages ont été arrondis, leur somme ne correspond pas nécessairement à 100 %.
  • Seules les variations entre les sous-groupes qui sont statistiquement significatives à un niveau de confiance de 95 % ou qui s’inscrivent dans un modèle ou une tendance ont été mentionnées.
  • Le questionnaire du sondage est fourni en annexe du présent rapport.

Conclusions détaillées

1. Collecte, entreposage et protection des renseignements sur les clients

La présente section aborde les types de renseignements personnels sur les clients recueillis par les entreprises, les méthodes d’entreposage des données et les mesures prises par les entreprises pour empêcher leur divulgation.

Coordonnées — Renseignements sur les clients les plus souvent recueillis

En ce qui concerne le type de renseignements recueillis au sujet des clients, la vaste majorité des entreprises sondées (94 %) recueillent les coordonnées, comme les noms, les numéros de téléphone et les adresses postales ou électroniques. Les autres types de renseignements mentionnés assez fréquemment comprennent les opinions, les évaluations et les commentaires (29 %), les renseignements financiers, comme les factures, les cartes de crédit et les dossiers bancaires (25 %) ainsi que les documents d’identification, tels que les numéros d’assurance sociale (NAS) (21 %).

Figure 1 : Type de renseignements sur les clients recueillis par les entreprises

Figure 1 : Type de renseignements sur les clients recueillis par les entreprises

Figure 1 : Type de renseignements sur les clients recueillis par les entreprises
Q3. Parmi les choix suivants, quels types de renseignements personnels recueillez-vous sur vos clients dans votre entreprise? [Réponses multiples acceptées]
Base : n = 1 014; tous les répondants
Type % des
répondants
Coordonnées 94 %
Opinions, évaluations et commentaires 29 %
Renseignements financiers 25 %
Documents d’identification (p. ex. NAS) 21 %
Habitudes d'achat 15 %
Identificateurs biométriques 1 %
Autre 1 %
Aucune de ces réponses 4 %

Au total, 4 % des répondants ont indiqué que leur entreprise ne recueillait aucun de ces types de renseignements sur ses clients.

Depuis le début du suivi en 2011, le type de renseignements recueilli sur les clients par les entreprises a peu évolué. Les coordonnées, les renseignements financiers et les commentaires restent les renseignements sur les clients qui sont le plus souvent recueillis.

La probabilité de recueillir des renseignements sur les clients augmente généralement avec la taille de l’entreprise. Les grandes entreprises (qui comptent 100 employés et plus) sont plus susceptibles de recueillir les opinions, évaluations et commentaires (45 %), les renseignements financiers (45 %), les documents d’identité (32 %) et les habitudes de consommation (28 %) de leurs clients.

Variété des méthodes utilisées pour stocker les renseignements personnels

Les entreprises ont déclaré utiliser diverses méthodes pour stocker les renseignements personnels de leurs clients. En tête de liste, on retrouve le stockage sur place en format électronique, avec près des trois quarts (73 %) des répondants indiquant que leur entreprise entrepose ainsi les renseignements de ses clients. Ensuite, 56 % des répondants ont indiqué que leur entreprise stocke les renseignements sur les clients sur place en format papier. Ceci constitue un changement intéressant par rapport aux années précédentes, où le stockage sur place en format papier était la principale méthode utilisée par les entreprises.

Par ailleurs, environ un quart des entreprises (26 %) stockent les renseignements sur leurs clients sur des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes. Dix-huit pour cent ont répondu que leur entreprise entreposait les renseignements sur les clients hors site en format électronique chez un tiers.

Figure 2 : Méthodes utilisées par les entreprises pour stocker les renseignements personnels

Figure 2 : Méthodes utilisées par les entreprises pour stocker les renseignements personnels

Figure 2 : Méthodes utilisées par les entreprises pour stocker les renseignements personnels
Q4. Parmi les choix suivants, de quelles manières entreposez-vous les renseignements personnels de vos clients dans votre entreprise? [Réponses multiples acceptées]
Base : n = 1 014; tous les répondants; Ne sait pas/Refus = 6 %
Méthodes % des
répondants
Sur place en format électronique 73 %
Sur place en format papier 56 %
Dispositifs portables 26 %
Hors site chez un tiers 18 %
Enregistrements audio et vidéo 3 %
Entreposés d’une autre manière 1 %

Les entreprises individuelles sont les plus susceptibles d’entreposer les renseignements personnels des clients sur des dispositifs portables (45 %). La probabilité de stocker ces renseignements sur place en format électronique augmente en général avec la taille de l’entreprise : de 53 % des entreprises à propriétaire unique à 84 % des entreprises comptant 100 employés et plus.

Mesures électroniques et matérielles prises pour protéger les renseignements personnels

La vaste majorité des entreprises sondées (94 %) utilisent au moins une méthode de sécurité pour protéger les renseignements personnels de leurs clients. Les mots de passe restent la méthode de sécurité la plus couramment utilisée, avec près de quatre entreprises sur cinq (78 %) qui les utilisent pour protéger les renseignements personnels de leurs clients. Le recours à des méthodes matérielles, telles que les alarmes de sécurité, suit de près (77 %). De plus petites proportions de répondants utilisent des contrôles organisationnels, tels que des politiques et des procédures (60 %), des mesures technologiques comme le chiffrement (59 %) ainsi que des tests de révision du système et des mises à jour de sécurité (55 %).

Figure 3 : Mesures prises par les entreprises pour protéger les renseignements personnels

Figure 3 : Mesures prises par les entreprises pour protéger les renseignements personnels

Figure 3 : Mesures prises par les entreprises pour protéger les renseignements personnels
Q5. Quelles mesures prenez-vous pour protéger les renseignements personnels de vos clients? [Réponses multiples acceptées]
Base : n = 1 014; tous les répondants; Ne sait pas/Refus = 1 %
Mesures % des
répondants
Mots de passe 78 %
Mesures matérielles (p. ex. alarmes de sécurité) 77 %
Contrôles organisationnels (p. ex. politiques et procédures) 60 %
Mesures technologiques (p. ex. chiffrement) 59 %
Tests de révision du système et mises à jour de sécurité 55 %
Aucune mesure prise 6 %

La probabilité de prendre des mesures pour protéger les renseignements personnels des clients augmente avec la taille de l’entreprise. Les grandes entreprises sont plus susceptibles d’utiliser des mots de passe (94 %), des contrôles organisationnels (89 %), des tests de révision du système et des mises à jour de sécurité (85 %) et des mesures technologiques comme le chiffrement (84 %) pour protéger les renseignements de leurs clients.

Les entreprises installées au Québec ont tendance à utiliser moins de méthodes de protection pour les renseignements de leurs clients que celles des autres régions. Par ailleurs, les entreprises installées dans les Prairies (75 %) sont bien plus susceptibles d’utiliser des mesures technologiques que celles du Québec (42 %), du Canada atlantique (49 %) et de l’Ontario (61 %).

2. Pratiques de l’entreprise en matière de protection des renseignements personnels

La présente section expose les procédures et les politiques que les entreprises ont établies pour protéger les renseignements personnels qu’elles recueillent sur leurs clients.

La plupart des entreprises accordent une grande importance à la protection des renseignements personnels de leurs clients

La plupart des entreprises accordent de l’importance à la protection des renseignements personnels de leurs clients. Près de trois répondants sur cinq (58 %) ont choisi la plus haute note (sur une échelle de sept points), estimant que la protection des renseignements personnels de leurs clients est un objectif extrêmement important pour leur entreprise. Plus de deux tiers des répondants ont indiqué accorder une importance élevée à la protection des renseignements personnels des clients (notes de six ou sept). Les autres (19 %) accordaient une importance moyenne à cette question (notes de trois à cinq). Seulement 9 % des répondants ont indiqué que la protection des renseignements personnels des clients ne constitue pas un objectif important de leur entreprise.

Figure 4 : Importance que les entreprises accordent à la protection des renseignements personnels des clients

Figure 4 : Importance que les entreprises accordent à la protection des renseignements personnels des clients

Figure 4 : Importance que les entreprises accordent à la protection des renseignements personnels des clients
Q13. Dans quelle mesure la protection des renseignements personnels de vos clients est-elle importante pour votre entreprise?
Base : n = 1 014; tous les répondants; Ne sait pas/Refus = 3 %
Importance 2017
(n=1 014)
Objectif organisationnel pas important (1) 7 %
2 2 %
3 3 %
4 5 %
5 11 %
6 10 %
Objectif organisationnel très important (7) 58 %

La probabilité d’accorder une grande importance (notes de six à sept) est plus élevée parmi les entreprises installées en Ontario (74 %), et plus précisément dans la région du Grand Toronto (76 %), comparativement à l’Alberta (61 %). Les entreprises comptant de deux à quatre employés (59 %) étaient moins susceptibles que les entreprises à propriétaire unique (73 %) et les grandes entreprises d’accorder une importance élevée à la protection des renseignements personnels de leurs clients. Parmi les grandes entreprises, 68 % de celles qui comptent de 5 à 9 employés, 76 % de celles qui comptent de 10 à 19 employés, 71 % de celles qui comptent de 20 à 99 employés et 79 % de celles qui comptent 100 employés et plus accordaient une importance élevée à la protection des renseignements personnels des clients.

Comparativement à 2015, l’importance accordée à la protection des renseignements personnels des clients est restée pratiquement la même. Depuis 2013, l’importance n’a évolué que de trois points de pourcentage au plus et, à 67 %, demeure supérieure à la base de référence de 62 % enregistrée en 2011.

Figure 5 : Importance que les entreprises accordent à la protection des renseignements personnels des clients au fil du temps

Figure 5 : Importance que les entreprises accordent à la protection des renseignements personnels des clients au fil du temps

Figure 5 : Importance que les entreprises accordent à la protection des renseignements personnels des clients au fil du temps
Q13. Dans quelle mesure la protection des renseignements personnels de vos clients est-elle importante pour votre entreprise?
Importance 2011
(n=1 006)
2013
(n=1 006)
2015
(n=1 016)
2017
(n=1 014)
Importance élevée (6-7) 62 % 70 % 67 % 68 %
Importance moyenne (3-5) 26 % 20 % 21 % 19 %
Importance faible (1-2) 12 % 9 % 11 % 9 %

Application inégale des pratiques de conformité en matière de protection des renseignements personnels

On a demandé aux représentants d’entreprise si leur entreprise avait mis en place une série de pratiques de protection des renseignements personnels. Les voici :

  • la désignation d’un employé responsable des questions liées à la protection de la vie privée et des renseignements personnels que détient l’entreprise;
  • l’élaboration et la description dans des documents des politiques internes à l’intention du personnel expliquant les obligations que leur impose la loi en matière de protection des renseignements personnels;
  • la prestation d’une formation et la communication d’information sur la protection des renseignements personnels aux employés, et ce, sur une base régulière;
  • la mise en place de procédures pour répondre aux demandes de leurs clients concernant l’accès à leurs renseignements personnels;
  • la mise en place de procédures pour gérer les plaintes des clients qui estiment que leurs renseignements personnels ont été traités de façon inadéquate.

Trois de ces pratiques ont été mises en place par au moins la moitié des entreprises sondées. Il s’agit de la désignation d’un responsable de la protection des renseignements personnels (59 %), des procédures pour traiter les plaintes des consommateurs (51 %) et des politiques pour le personnel précisant les obligations en matière de protection des renseignements personnels (50 %). Près de la moitié (47 %) des répondants ont indiqué que leur entreprise avait mis en place des procédures pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels. Les répondants étaient moins susceptibles d’affirmer que leur entreprise fournissait régulièrement au personnel de la formation et de l’information sur la protection des renseignements personnels (37 %).

Figure 6 : Pratiques de conformité en matière de protection des renseignements personnels des entreprises

Figure 6 : Pratiques de conformité en matière de protection des renseignements personnels des entreprises

Figure 6 : Pratiques de conformité en matière de protection des renseignements personnels des entreprises
Q6 à Q10.
Base : n = 1 014; tous les répondants [Ne sait pas/Refus = 5 % ou moins]
Pratiques 2017
(n=1 014)
Dans votre entreprise, est-ce qu’une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient? 59 %
Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent leurs renseignements ont été que traités de façon inadéquate? 51 %
Votre entreprise a-t-elle élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels? 50 %
Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels? 47 %
Votre organisation donne-t-elle régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels? 37 %

Les entreprises comptant 100 employés et plus et celles dont les revenus sont supérieurs à 20 millions de dollars étaient plus susceptibles d’avoir mis en place chacune de ces pratiques visant la protection des renseignements personnels. De manière générale, la probabilité de ne pas avoir mis en place de telles pratiques était plus élevée parmi les entreprises installées au Québec.

Parmi les pratiques qui ont fait l’objet d’un suivi, la proportion d’entreprises les ayant mises en œuvre a très peu changé depuis 2015. La seule augmentation notable depuis 2015, c’est la proportion d’entreprises qui fournissent régulièrement à leur personnel de la formation et de l’information sur la protection des renseignements personnels (37 % en 2017 contre 32 % en 2015).

Moins de la moitié des entreprises dispose d’une politique sur la protection des renseignements personnels

Quand on leur a demandé si leur entreprise disposait d’une politique sur la protection des renseignements personnels qui explique aux employés comment recueillir et utiliser les renseignements personnels des clients, moins de la moitié (44 %) des répondants ont indiqué que leur entreprise en avait une. Réciproquement, 52 % ont répondu que leur entreprise n’avait pas de politique sur la protection des renseignements personnels.

Parmi les entreprises disposant d’une politique sur la protection des renseignements personnels (n = 486), plus de 9 sur 10 ont une politique qui explique en langage simple quels renseignements personnels sont recueillis (92 %) et à quelles fins (95 %). Par ailleurs, trois quarts de ces entreprises ont une politique sur la protection des renseignements personnels qui explique clairement à quelles entités les renseignements personnels recueillis seront communiqués. Parmi les entreprises disposant d’une politique sur la protection des renseignements personnels, seules 52 % expliquent le risque de préjudice en cas d’atteinte à la politique.

Figure 7 : Politiques sur la protection des renseignements personnels

Figure 7 : Politiques sur la protection des renseignements personnels

Figure 7 : Politiques sur la protection des renseignements personnels
[gauche] Votre entreprise a-t-elle une politique sur la protection des renseignements personnels qui explique aux clients comment vous recueillerez et utiliserez leurs renseignements personnels?
Base : n = 1 014; tous les répondants
Réponses % des
répondants
Ont une politique sur la protection des renseignements personnels 44 %
N’ont pas de politique sur la protection des renseignements personnels 52 %
Ne sait pas 4 %
Q12. [droite] Votre politique sur la protection des renseignements personnels explique-t-elle en langage clair…?
Base : n = 486; entreprises dotées d’une politique sur la protection des renseignements personnels
Questions Oui Non Ne
s'applique
pas
Quels renseignements personnels sont recueillis? 92 % 7 % 1 %
À quelles fins ils sont recueillis? 95 % 4 % 1 %
À quelles parties ils seront communiqués? 75 % 14 % 10 %
Risque de préjudice en cas d’atteinte à la protection des données? 52 % 39 % 9 %

Les entreprises comptant 100 employés et plus et celles dont les revenus sont supérieurs à 20 millions de dollars étaient plus susceptibles de disposer d’une politique sur la protection des renseignements personnels qui explique comment elles recueillent et utilisent les renseignements personnels des clients (66 % et 74 %, respectivement). À l’échelle régionale, les entreprises situées en Ontario (50 %), et plus précisément dans la région du Grand Toronto (58 %), ainsi que dans les Prairies (52 %) étaient plus susceptibles que les entreprises du Québec (38 %) de disposer d’une politique sur la protection des renseignements personnels.

3. Gestion des risques liés à la protection des renseignements personnels

La présente section examine le niveau de préoccupation des répondants en ce qui concerne le traitement des atteintes à la protection des données et les plans en la matière.

Les entreprises sont divisées sur leur niveau de préoccupation à l’égard d’une atteinte à la protection des données

Les cadres sondés étaient partagés sur la question de leur niveau de préoccupation à l’égard d’une éventuelle atteinte à la protection des données. Près du quart des répondants (23 %) ont choisi la cote la plus élevée (extrêmement préoccupé), tandis que 36 % ont indiqué ne pas être préoccupés du tout. Globalement, près de la moitié (48 %) des répondants ont exprimé un niveau de préoccupation au moins modéré (notes de trois ou plus sur une échelle de sept points), et la moitié (50 %) des répondants se sont dits peu ou pas préoccupés du tout.

Avant que cette question ne leur soit posée, les répondants ont obtenu l’information suivante :

Les atteintes à la protection des données sont causées par une activité criminelle, un vol, du piratage ou l’erreur d’un employé, comme le fait d’égarer un ordinateur portable ou un autre appareil portatif.

Figure 8 : Niveau de préoccupation à l’égard d’une atteinte à la protection des données touchant les renseignements personnels des clients

Figure 8 : Niveau de préoccupation à l’égard d’une atteinte à la protection des données touchant les renseignements personnels des clients

Figure 8 : Niveau de préoccupation à l’égard d’une atteinte à la protection des données touchant les renseignements personnels des clients
Q18. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients?
Base : n = 1 014; tous les répondants [Ne sait pas/Refus = 2 %]
Préoccupation 2017
(n=1 014)
Pas du tout préoccupé (1) 36 %
2 14 %
3 8 %
4 6 %
5 6 %
6 5 %
Très préoccupé (7) 23 %

Les entreprises installées au Québec étaient bien plus susceptibles de répondre qu’elles sont extrêmement préoccupées (notes de six à sept) par une atteinte à la protection des données (48 % comparativement à seulement 15 % des entreprises en Alberta et à un maximum de 29 % des entreprises en Colombie-Britannique et dans la région du Grand Toronto).

Le niveau de préoccupation à l’égard d’une atteinte à la protection des données a baissé par rapport à 2015; la proportion de cadres extrêmement préoccupés (six à sept sur sept) à propos d’une telle atteinte a baissé de quatre points de pourcentage. Par ailleurs, la proportion des cadres non préoccupés par une atteinte à la protection des données a augmenté de six points de pourcentage, passant de 44 % en 2015 à 50 % en 2017.

Figure 9 : Niveau de préoccupation à l’égard d’une atteinte à la protection des données touchant les renseignements personnels des clients au fil du temps

Figure 9 : Niveau de préoccupation à l’égard d’une atteinte à la protection des données touchant les renseignements personnels des clients au fil du temps

Figure 9 : Niveau de préoccupation à l’égard d’une atteinte à la protection des données touchant les renseignements personnels des clients au fil du temps
Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients?
Préoccupation 2011
(n=1 006)
2013
(n=1 006)
2015
(n=1 016)
2017
(n=1 014)
Très préoccupé (6-7) 32 % 24 % 32 % 28 %
Quelque peu préoccupé (3-5) 23 % 23 % 23 % 20 %
Pas du tout préoccupé (1-2) 43 % 50 % 44 % 50 %

Une forte minorité dispose de protocoles contre les atteintes à la protection des données

Une forte minorité (40 %) des entreprises indiquent qu’elles ont des politiques ou des procédures établies à suivre dans l’éventualité d’une atteinte compromettant les renseignements personnels des clients. Inversement, 52 % des cadres ont indiqué que leur entreprise n’avait mis en place aucun protocole ou aucune procédure (8 % ne savaient pas avec certitude si leur entreprise avait des protocoles en place ou non).

Figure 10 : Protocoles en place pour les atteintes à la protection des données

Figure 10 : Protocoles en place pour les atteintes à la protection des données

Figure 10 : Protocoles en place pour les atteintes à la protection des données
Q19. Est-ce que votre entreprise a adopté des protocoles ou des procédures à suivre en cas d’atteinte qui compromettrait les renseignements personnels de vos clients?
Base : n = 1 014; tous les répondants
Protocoles en place % des
répondants
Ont une politique sur la protection des renseignements personnels 40 %
Aucune procédure en place 52 %
Ne sait pas 8 %

Les entreprises comptant 100 employés et plus (61 %) et celles dont les revenus sont supérieurs à 20 millions de dollars (79 %) étaient plus susceptibles d’avoir mis en place des procédures en cas d’atteinte à la protection des données. En fait, la probabilité que l’entreprise ait mis en place des procédures augmentait avec la taille de l’entreprise et ses revenus. À l’échelle régionale, les entreprises installées en Ontario (46 %), et plus précisément dans la région du Grand Toronto (54 %), étaient plus susceptibles que celles du Québec et du Canada atlantique (31 % chacune) de disposer de ces types de procédures.

La proportion d’entreprises disposant de politiques ou de procédures pour gérer les atteintes à la protection des données est restée pratiquement la même depuis 2015.

Peu d’entreprises disposent de politiques pour évaluer les risques liés à la protection des renseignements personnels

Près de 4 répondants sur 10 (38 %) ont indiqué que leur entreprise disposait de politiques ou de procédures établies pour évaluer les risques liés à la protection des renseignements personnels de leur entreprise. À l’inverse, un peu plus de la moitié (55 %) des répondants ont indiqué que leur entreprise ne disposait d’aucune politique d’évaluation établie (7 % n’étaient pas sûrs d’avoir des politiques d’évaluation des risques).

Figure 11 : Politiques d’entreprise en place pour évaluer les risques liés à la protection des renseignements personnels

Figure 11 : Politiques d’entreprise en place pour évaluer les risques liés à la protection des renseignements personnels

Figure 11 : Politiques d’entreprise en place pour évaluer les risques liés à la protection des renseignements personnels
Q20. Votre entreprise compte-t-elle sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels? Cela comprend l’évaluation des risques liés à la création ou à l’utilisation de nouvelles technologies ou de nouveaux produits ou services.
Base : n = 1 014; tous les répondants
Politiques en place % des
répondants
Politiques d’évaluation des risques en place 38 %
Aucune politique d’évaluation des risques 55 %
Ne sait pas 7 %

Dans une proportion de 66 %, les entreprises comptant plus de 100 employés sont les plus susceptibles de disposer de politiques ou de procédures établies pour évaluer les risques liés à la protection des renseignements personnels de leur entreprise. Par ailleurs, les entreprises dont les revenus sont inférieurs à 10 millions de dollars étaient plus susceptibles de ne pas avoir mis en place de politiques d’évaluation des risques (62 % pour les entreprises de moins de 1 million de dollars et 58 % pour les entreprises entre 1 et 10 millions de dollars).

La proportion d’entreprises canadiennes ayant des politiques ou procédures établies pour évaluer les risques liés à la protection des renseignements personnels n’a pas évolué depuis 2015, où 37 % des répondants indiquaient que leur entreprise avait mis en place ces mesures.

4. Sensibilisation aux lois fédérales sur la protection des renseignements personnels et répercussions de ces lois

La présente section examine les constatations en ce qui a trait à la sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels. Les questions figurant dans cette section ont été précédées de la description suivante des lois canadiennes en matière de protection des renseignements personnels.

La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie¬Britannique et au Québec, le secteur privé est régi par des lois provinciales, lesquelles sont considérées comme semblables à la loi fédérale.

La plupart des entreprises ont tout au moins un niveau modéré de sensibilisation aux responsabilités en vertu des lois sur la protection des renseignements personnels

Lorsqu’on leur demande d’évaluer la sensibilisation de leur entreprise à ses responsabilités en vertu des lois sur la protection des renseignements personnels du Canada, une forte minorité (44 %) de répondants pensent que leur entreprise y est très sensibilisée (notes de six ou sept sur l’échelle). Parmi ces répondants, 29 % indiquent que leur entreprise est extrêmement sensibilisée. Une proportion un peu plus faible (38 %) de cadres a indiqué que leur entreprise était quelque peu sensibilisée à ses responsabilités en la matière (notes de trois à cinq). Quatorze pour cent ont indiqué que le niveau de sensibilisation de leur entreprise était faible (notes de un ou de deux).

Figure 12 : Sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels

Figure 12 : Sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels

Figure 12 : Sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels
Q14. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada?
Base : n = 1 014; tous les répondants [Ne sait pas/Refus = 4 %]
Sensibilisation 2017
(n=1 014)
Pas du tout sensibilisée (1) 8 %
2 6 %
3 9 %
4 11 %
5 18 %
6 15 %
Très sensibilisée (7) 29 %

La probabilité de dire que leur entreprise est sensibilisée à ses responsabilités en vertu des lois sur la protection des renseignements personnels du Canada est plus élevée parmi les répondants des entreprises installées dans la région du Grand Toronto (51 %), comparativement à celles installées au Canada atlantique (26 %) et en Colombie-Britannique (36 %). Les entreprises comptant 100 employés et plus (64 %) et celles dont les revenus sont supérieurs à 20 millions de dollars (54 %) étaient plus susceptibles de se considérer comme très sensibilisées (notes de six à sept) à leurs responsabilités en vertu des lois sur la protection des renseignements personnels du Canada.

Comparativement à 2015, on constate une légère baisse dans la proportion des cadres qui ont évalué que le niveau de sensibilisation de leur entreprise était faible (de 17 % en 2015 à 14 % en 2017). Néanmoins, la proportion de répondants ayant déclaré que leur entreprise avait un haut niveau de sensibilisation à ses responsabilités est demeurée quasiment identique depuis 2015.

Figure 13 : Sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels au fil du temps

Figure 13 : Sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels au fil du temps

Figure 13 : Sensibilisation des entreprises à leurs responsabilités en vertu des lois sur la protection des renseignements personnels au fil du temps
Q14. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada?
Sensibilisation 2011
(n=1 006)
2013
(n=1 006)
2015
(n=1 016)
2017
(n=1 014)
Très sensibilisée (6-7) 31 % 45 % 43 % 44 %
Quelque peu sensibilisée (3-5) 47 % 42 % 39 % 38 %
Pas sensibilisée (1-2) 19 % 12 % 17 % 14 %

Deux tiers des entreprises ont pris des mesures pour respecter les lois sur la protection des renseignements personnels

Deux tiers des cadres interrogés (66 %) indiquent que leur entreprise a pris des mesures pour s’assurer de respecter les lois sur la protection des renseignements personnels du Canada. Parmi les entreprises ayant pris des mesures pour respecter les lois (n = 719), environ 9 sur 10 (89 %) n’ont pas trouvé qu’il était difficile de respecter les lois.

Figure 14 : Conformité aux lois sur la protection des renseignements personnels du Canada

Figure 14 : Conformité aux lois sur la protection des renseignements personnels du Canada

Figure 14 : Conformité aux lois sur la protection des renseignements personnels du Canada
Q15. [gauche] Votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte la loi sur la protection des renseignements personnels du Canada?
Base : n = 1 014; tous les répondants
Conformité % des
répondants
Ont pris des mesures 66 %
N’ont pas pris de mesures 29 %
Ne sait pas 5 %
Q16. [droite] Dans quelle mesure a-t-il été difficile pour votre entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels?
Base : n = 719; entreprises ayant pris des mesures [Ne sait pas/Refus = 3 %]
Difficultés 2017
(n=1 014)
Extrêmement facile (1) 23 %
2 10 %
3 9 %
Neutre (4) 36 %
5 11 %
6 4 %
Extrêmement difficile (7) 4 %

De manière générale, la probabilité de prendre des mesures augmente avec la taille de l’entreprise : de 58 % des entreprises comptant moins de cinq employés à 91 % des entreprises comptant 100 employés et plus. On constate la même tendance si l’on observe les revenus de l’entreprise : la probabilité de prendre des mesures augmente avec les revenus annuels de l’entreprise.

Les entreprises installées au Canada atlantique étaient moins susceptibles d’avoir pris des mesures pour respecter les lois sur la protection des renseignements personnels du Canada (49 % comparativement à 54 % des entreprises au Québec, 67 % des entreprises en Alberta, 68 % des entreprises en Colombie-Britannique, 71 % des entreprises en Ontario et 72 % des entreprises dans les Prairies).

Comparativement à 2015Note de bas de page 2, on constate une augmentation de la proportion des cadres qui ont indiqué que leur entreprise avait pris des mesures pour respecter les lois sur la protection des renseignements personnels du Canada (de 59 % en 2015 à 66 % en 2017).

Les entreprises individuelles et les entreprises comptant entre 5 et 9 employés étaient plus susceptibles que les entreprises de 100 employés et plus de considérer qu’il était facile de respecter les lois sur la protection des renseignements personnels du Canada (41 % et 38 % respectivement, contre 21 %).

Très peu de difficultés rencontrées ou prévues

Parmi les cadres ayant répondu avoir pris des mesures pour respecter les lois sur la protection des renseignements personnels du Canada, moins de deux sur cinq (38 %) ont dit qu’ils avaient rencontré des difficultés ce faisant. La majorité (66 %) n’a rencontré aucune difficulté. La figure 15 présente les proportions ayant mentionné chaque difficulté rencontrée.

Figure 15 : Difficultés rencontrées pour respecter les lois sur la protection des renseignements personnels du Canada

Figure 15 : Difficultés rencontrées pour respecter les lois sur la protection des renseignements personnels du Canada

Figure 15 : Difficultés rencontrées pour respecter les lois sur la protection des renseignements personnels du Canada
Q17. En ce qui concerne les mesures prises par votre entreprise pour se conformer aux lois canadiennes sur la protection des renseignements personnels, quelles difficultés a-t-elle rencontrées, le cas échéant? [Réponses multiples acceptées]
Base : n = 777; entreprises ayant pris des mesures pour être conformes [Ne sait pas/Refus = 9 %]
Difficultés % des
répondants
Temps que le personnel doit y consacrer 6 %
Manque de connaissances sur les façons de se conformer 5 %
Comprendre comment les lois sur la protection des renseignements personnels s’appliquent aux situations 4 %
Connaissance/renseignements fournis (général) 4 %
Compréhension vague de la loi 3 %
Se tenir au fait des obligations 2 %
Stocker les renseignements (général) 2 %
Connaissances/rester à jour 2 %
Coût de la conformité (coûts non liés au personnel) 2 %
Protéger la confidentialité des renseignements personnels 2 %
Respect de la conformité par les employés 2 %
Assurer la sécurité des renseignements 1 %
Autre 3 %
Rien / pas d'obstacles ni de difficultés 66 %
Ne sait pas/Refus 9 %

La probabilité de dire que leur entreprise n’avait rencontré aucune difficulté ou aucun obstacle était supérieure parmi les répondants d’entreprises installées en Alberta (77 %) que chez les répondants d’entreprises installées en Colombie-Britannique (53 %). Les répondants des entreprises comptant moins de 20 employés étaient plus susceptibles que ceux des grandes entreprises de répondre que leur entreprise n’avait rencontré aucune difficulté.

Concernant les entreprises n’ayant pris aucune mesure pour respecter les lois sur la protection des renseignements personnels du Canada (n = 237), 57 % ont indiqué qu’elles n’avaient pas prévu rencontrer de difficulté ou d’obstacle pour respecter les lois sur la protection des renseignements personnels du Canada. Pour les autres, le manque de connaissances (13 %) à propos de la manière de respecter les lois est la difficulté la plus couramment citée. Elle est suivie par l’absence de connaissance claire des lois ou des exigences (9 %) et par le temps que le personnel doit consacrer au respect des lois (8 %).

Comme le montre la figure 16, d’autres difficultés ont été citées par 5 % des cadres d’entreprise au maximum.

Figure 16 : Difficultés prévues pour respecter les lois sur la protection des renseignements personnels du Canada

Figure 16 : Difficultés prévues pour respecter les lois sur la protection des renseignements personnels du Canada

Figure 16 : Difficultés prévues pour respecter les lois sur la protection des renseignements personnels du Canada
Q17A. Selon vous, quelles difficultés votre entreprise pourrait-elle rencontrer, le cas échéant, lorsqu’il s’agit de s’assurer qu’elle se conforme aux lois canadiennes sur la protection des renseignements personnels? [Réponses multiples acceptées]
Base : n = 237; entreprises n’ayant pas pris de mesures pour être conformes [Ne sait pas/Refus = 14 %]
Difficultés % des
répondants
Manque de connaissances sur les façons de se conformer 13 %
Compréhension vague de la loi ou des exigences 9 %
Temps que le personnel doit y consacrer 8 %
Coût de la conformité (coûts non liés au personnel) 5 %
Connaissance/renseignements fournis (général) 4 %
Comprendre comment les lois sur la protection des renseignements personnels s’appliquent aux situations 2 %
Protéger la confidentialité des renseignements personnels 2 %
Se tenir au fait des obligations 2 %
Connaissances/rester à jour 1 %
Respect de la conformité par les employés 1 %
Stocker les renseignements (général) 0 %
Autre 2 %
Rien / pas d'obstacles ni de difficultés 57 %

5. Communications et sensibilisation

La présente section décrit les commentaires des cadres sur les questions liées aux communications et à la sensibilisation.

Lorsqu’invités à choisir parmi une liste d’outils et de ressources potentiels qui pourraient aider les entreprises à respecter les lois sur la protection des renseignements personnels, les répondants étaient plus enclins à considérer l’information sur la LPRPDE et ses responsabilités comme étant une ressource utile

Interrogés sur l’utilité de certains outils ou ressources pour aider leur entreprise à respecter les lois sur la protection des renseignements personnels du Canada, les cadres ont jugé les renseignements sur la LPRPDE et les responsabilités connexes comme les plus utiles. À peine plus de la moitié (53 %) a indiqué que les renseignements sur la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et ses responsabilités connexes seraient une ressource utile. Moins de la moitié a jugé les autres outils ou ressources utiles : 44 % ont indiqué que les outils d’apprentissage en ligne expliquant la LPRPDE seraient utiles; 43 % ont dit la même chose à propos des outils de formation à l’attention du personnel; et 35 % ont déclaré que les outils interactifs d’évaluation des pratiques en matière de protection des renseignements personnels seraient utiles (près du quart ignorait si les outils interactifs seraient utiles ou non).

Figure 17 : Utilité perçue de divers outils/ressources potentiels

Figure 17 : Utilité perçue de divers outils/ressources

Figure 17 : Utilité perçue de divers outils/ressources potentiels
17B. Dans quelle mesure les ressources et les outils qui suivent pourraient-ils aider votre entreprise à se conformer aux lois canadiennes sur la protection des renseignements personnels?
Base : n = 1 014; tous les répondants
Outils/ressources Ne sait pas 1
- pas du tout utiles
2 3 4 5
- énormément utiles
Renseignements sur la LPRPDE et les responsabilités connexes 12 % 13 % 6 % 16 % 19 % 34 %
Outils d’apprentissage en ligne expliquant la LPRPDE 16 % 17 % 7 % 16 % 17 % 27 %
Outils de formation pour sensibiliser le personnel 18 % 18 % 7 % 14 % 17 % 26 %
Outils interactifs pour évaluer les pratiques de protection des renseignements personnels 24 % 19 % 5 % 17 % 15 % 20 %

La probabilité de considérer les outils et ressources comme étant utiles (notes de quatre à cinq sur une échelle de cinq) augmentait avec la taille de l’entreprise. Inversement, les représentants des entreprises à propriétaire unique étaient plus susceptibles de considérer les outils et ressources comme n’étant pas utiles (notes de un ou de deux) comparativement aux répondants des entreprises comptant plus d’un employé. À l’échelle régionale, les répondants des entreprises installées au Québec et en Alberta étaient généralement moins susceptibles de considérer ces outils et ressources comme étant utiles pour que leur entreprise respecte les lois sur la protection des renseignements personnels du Canada.

Un peu plus du quart des entreprises recherchait des renseignements sur la conformité aux lois sur la protection des renseignements personnels

Quand on leur a demandé si leur entreprise avait déjà cherché des renseignements ou communiqué avec quelqu’un pour obtenir ses conseils à propos de ses responsabilités en vertu des lois sur la protection des renseignements personnels du Canada, à peine plus du quart (27 %) des répondants ont répondu par l’affirmative. À l’inverse, près des trois quarts (73 %) ont répondu que leur entreprise n’avait pas cherché de tels renseignements.

Figure 18 : Recherche d’information sur la conformité aux lois sur la protection des renseignements personnels

Figure 18 : Recherche d’information sur la conformité aux lois sur la protection des renseignements personnels

Figure 18 : Recherche d’information sur la conformité aux lois sur la protection des renseignements personnels
Q21A. Votre entreprise a-t-elle déjà cherché de l’information ou communiqué avec une personne pour obtenir des avis ou des conseils au sujet des responsabilités qui lui incombent en vertu des lois canadiennes sur la protection des renseignements personnels?
Base : n = 1 014; tous les répondants
Recherche % des
répondants
N’ont pas cherché de renseignements 73 %
Ont cherché des renseignements 27 %

La probabilité de chercher des renseignements ou de communiquer avec quelqu’un pour obtenir ses conseils à propos des responsabilités de son entreprise en vertu des lois sur la protection des renseignements personnels du Canada augmentait avec la taille de l’entreprise, de 14 % des entreprises individuelles à 58 % des entreprises comptant 100 employés et plus.

Internet, la source principale de renseignements sur la conformité aux lois sur la protection des renseignements personnels

Interrogés sur les organisations ou ressources que les entreprises utilisent pour mieux comprendre leurs responsabilités en vertu des lois sur la protection des renseignements personnels du Canada, 27 % des cadres d’entreprise ont répondu l’Internet (en général) ainsi que Google (14 %) ou des sites Web précis (5 %). Après l’Internet, 19 % consultaient (ou consulteraient) le gouvernement fédéral, 15 % un gouvernement provincial, et 14 % un avocat. D’autres sources ont été citées en de plus petites proportions, comme l’illustre la figure 19.

Figure 19 : Sources utilisées pour faciliter la conformité aux lois sur la protection des renseignements personnels du Canada

Figure 19 : Sources utilisées pour faciliter la conformité aux lois sur la protection des renseignements personnels du Canada

Figure 19 : Sources utilisées pour faciliter la conformité aux lois sur la protection des renseignements personnels du Canada
Q21. À quelles organisations ou ressources votre entreprise a-t-elle fait appel pour mieux comprendre les responsabilités qui lui incombent en vertu des lois canadiennes sur la protection des renseignements personnels? [Réponses multiples acceptées]
Base : n = 1 014; tous les répondants [Ne sait pas/Refus = 12 %]
Sources % des
répondants
Internet (général) 27 %
Gouvernement (FÉDÉRAL) 19 %
Gouvernement (PROVINCIAL) 15 %
Google 14 %
Avocat 14 %
Experts de l’industrie, sociétés d’experts-conseils ou sources du domaine de l’éducation 9 %
Expert de l’entreprise ou du siège social ou ressource interne 9 %
Association industrielle 8 %
Comptable 8 %
Pair/collègue/associé 6 %
Commissaire à la protection de la vie privée (FÉDÉRAL) 6 %
Commissaire à la protection de la vie privée (PROVINCIAL) 5 %
Internet (précis) 5 %
Recherche personnelle (y compris lecture de la Loi) 4 %
LinkedIn 2 %
Youtube 1 %
Médias sociaux 1 %
Facebook 0 %
Twitter 0 %
Autre 3 %
Aucune/ne les utilise pas 13 %

Les représentants des entreprises de 100 employés et plus étaient plus susceptibles de répondre que leur entreprise a recours à un avocat pour l’aider à mieux comprendre ses responsabilités en vertu des lois sur la protection des renseignements personnels (25 % contre 9 % des entreprises individuelles et 21 % des entreprises comptant entre 20 et 99 employés). De manière générale, la probabilité de ne consulter aucune ressource augmentait à mesure que la taille de l’entreprise diminuait : de 8 % des entreprises de 100 employés et plus à 28 % des entreprises individuelles.

Près de la moitié connaît les ressources fournies par le Commissariat

Près de la moitié (44 %, en hausse par rapport aux 41 % de 2015) des cadres d’entreprise sondés savaient que le Commissariat dispose d’information et d’outils pour aider les entreprises à se conformer à leurs obligations en matière de protection des renseignements personnels. Inversement, 54 % ont indiqué qu’ils ne connaissaient pas les ressources du Commissariat.

Figure 20 : Connaissance des ressources du Commissariat

Figure 20 : Connaissance des ressources du Commissariat

Figure 20 : Connaissance des ressources du Commissariat
Q22. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels?
Base : n = 1 014; tous les répondants
Connaissance % des
répondants
Connaissance de l’information et des outils 44 %
Ignorance de l’information et des outils 54 %
Ne sait pas 2 %

Avec une proportion de 24 %, le fait de savoir que le Commissariat dispose d’information et d’outils pour aider les entreprises à assumer leurs obligations en matière de protection des renseignements personnels était le plus faible au Québec.

6. Profil d’entreprise

Les tableaux suivants présentent les caractéristiques des répondants au sondage (en utilisant des données pondérées).

Type de client Pourcentage
Vend directement aux clients 37 %
Vend directement à d’autres entreprises/organisations 25 %
Vend directement aux clients et à d’autres entreprises/organisations 37 %
Est une organisation gouvernementale <1 %
Autre 1 %
Région Pourcentage
Canada atlantique 6 %
Québec 20 %
Manitoba et Saskatchewan 7 %
Alberta 15 %
Colombie-Britannique 15 %
Ontario (à l’exception de la région du Grand Toronto) 20 %
Région du Grand Toronto 18 %
Taille de l’entreprise Pourcentage
Travailleur autonome (1 employé) 13 %
Petite entreprise (2 à 19 employés) 73 %
Moyenne entreprise (20 à 99 employés) 10 %
Grande entreprise (100 employés et plus) 2 % 2 %
Ne sait pas/pas de réponse 2 %
Langue de l’entrevue Pourcentage
Anglais 82 %
Français 18 %
Revenus en 2016 Pourcentage*
Moins de 100 000 $ 16 %
100 000 $ à moins de 250 000 $ 15 %
250 000 $ à moins de 500 000 $ 11 %
500 000 $ à moins de 1 000 000 $ 11 %
1 000 000 $ à moins de 5 000 000 $ 17 %
5 000 000 $ à moins de 10 000 000 $ 3 %
10 000 000 $ à moins de 20 000 000 $ 1 %
Plus de 20 millions de dollars 2 %
Ne sait pas/pas de réponse 23 %

* Les nombres ayant été arrondis, les sommes des pourcentages ne correspondent pas à 100 %.

Annexe

Annexe 1 : Questionnaire du sondage

SCRIPT

Bonjour, je m’appelle [nom de l’enquêteur]. Je vous appelle au nom de Phoenix, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du commissaire à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.

Préférez-vous continuer en anglais ou en français? / Would you prefer to continue in English or French?

Pourrais-je parler à la personne au sein de votre entreprise qui connaît le mieux les types de renseignements personnels que vous recueillez au sujet de vos clients ainsi que la façon dont ces renseignements sont conservés et utilisés? Il pourrait s’agir de l’agent de la protection de la vie privée de votre entreprise, si ce poste existe.

  • SI LA PERSONNE EST DISPONIBLE, POURSUIVRE. RÉPÉTER L’INTRODUCTION, AU BESOIN.
  • SI ELLE N’EST PAS DISPONIBLE, FIXER LE MOMENT D’UN AUTRE APPEL.

Le sondage dure environ 10 minutes. Je tiens à signaler que vos réponses demeureront absolument confidentielles et anonymes, et que ce sondage est enregistré auprès de l'Association de la recherche et de l'intelligence marketing (ARIM).

Est-ce que je peux continuer?

  • Oui, maintenant (POURSUIVRE)
  • Nonn, rappelez plus tard. Fixer la date et l’heure : Date : Heure :
  • Refuse [MERCI/METTRE FIN À L’APPEL]

REMARQUES À L’INTENTION DE LA PERSONNE QUI PROCÈDE À L’ENTREVUE :

SI LE RÉPONDANT DEMANDE LA DURÉE DU SONDAGE, LUI DIRE QUE CELA

SI LE RÉPONDANT DOUTE DE LA LÉGITIMITÉ DU SONDAGE, LUI OFFRIR DE LUI ENVOYER PAR TÉLÉCOPIEUR OU PAR COURRIEL LA LETTRE DU COMMISSARIAT CONFIRMANT LA LÉGITIMITÉ DU SONDAGE. SI LE RÉPONDANT DOUTE TOUJOURS, LUI DEMANDER DE COMMUNIQUER PAR TÉLÉPHONE AVEC HEATHER ORMEROD, DU COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, AU 819-994-5682 (OU DEMANDER À HEATHER DE COMMUNIQUER PAR TÉLÉPHONE AVEC LE RÉPONDANT).

SI LE RÉPONDANT LE DEMANDE, LE SONDAGE EST ENREGISTRÉ DANS LE SYSTÈME NATIONAL D’ENREGISTREMENT DES SONDAGES :

Le système d’enregistrement a été créé par l’industrie de la recherche par sondages afin de permettre au public de vérifier qu’un sondage est authentique, d’obtenir des renseignements à propos de l’industrie des sondages ou de formuler une plainte. Le numéro de téléphone sans frais du système d’enregistrement est le 1-888-602-6742, poste 8728.

CERTAINES QUESTIONS SONT DES QUESTIONS DE SUIVI UTILISÉES DANS DES SONDAGES ANTÉRIEURS. CES QUESTIONS SONT IDENTIFIÉES DE LA FAÇON SUIVANTE : T2015 = SUIVI DU SONDAGE AUPRÈS DES ENTREPRISES DE 2015.

IL NE FAUT PAS LIRE LES TITRES DE SECTION AUX RÉPONDANTS.

FLE CHOIX « NE SAIT PAS/AUCUNE RÉPONSE » DOIT ÊTRE FOURNI POUR TOUTES LES QUESTIONS.

1. Lequel des énoncés suivants décrit le mieux votre entreprise? [LIRE LA LISTE; ACCEPTER UNE SEULE RÉPONSE.] T2015

  • Elle vend directement à des consommateurs
  • Elle vend directement à d’autres entreprises/organisations
  • Elle vend directement à des consommateurs et à d’autres entreprises/organisations
  • Autre, veuillez préciser :

NE PAS LIRE : S’IL S’AGIT D’UN ORGANISME SANS BUT LUCRATIF OU QUE LA RÉPONSE EST NE SAIT PAS/PAS DE RÉPONSE, REMERCIER ET METTRE FIN À L’APPEL.]

*REMARQUE À L’INTENTION DE LA PERSONNE QUI PROCÈDE À L’ENTREVUE : SI L’INTERLOCUTEUR S’INTERROGE SUR L’OPTION (1) « CONSOMMATEURS », DIRE : Ce mot renvoie à une personne, pas à une entreprise ou à un organisme.

2. Environ combien d’employés travaillent pour votre entreprise au Canada? Veuillez tenir compte des employés à temps partiel en équivalents temps plein. [NE PAS LIRE LA LISTE.]

  • Un (c.-à.-d. travailleur indépendant)
  • 2-4
  • 5-9
  • 10-19
  • 20-49
  • 50-99
  • 100-149
  • 150-199
  • 200-249
  • 250-299
  • 300-499
  • 500-999
  • 1 000-4 999
  • Plus de 5 000

Section 1 : Pratiques en matière de protection des renseignements personnels

J’aimerais commencer par vous demander quels types de renseignements personnels vous conservez sur vos clients dans votre entreprise. T2015

3. Parmi les choix suivants, quels types de renseignements personnels recueillez-vous sur vos clients dans votre entreprise? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.] T2015

  • Coordonnées, comme les noms, les numéros de téléphone et les adresses
  • Opinions, évaluations et commentaires
  • Préférences ou habitudes d’achat pour fins de marketing
  • Identificateurs biométriques, comme empreintes digitales, reconnaissance par l’ADN, le visage ou la voix
  • Renseignements financiers
  • Documents d’identification, comme permis de conduire ou numéro d’assurance sociale
  • Autres renseignements
  • [NE PAS LIRE.] Le cas échéant, veuillez préciser :                        
  • [NE PAS LIRE.] Aucun des choix précédents

4. Parmi les choix suivants, de quelles manières entreposez-vous les renseignements personnels de vos clients dans votre entreprise? Les renseignements sont-ils…? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.] T2015

  • entreposés sur place en format papier
  • entreposés sur place en format électronique
  • entreposés dans des dispositifs portables, comme des ordinateurs portables, des clés USB ou des tablettes
  • entreposés hors site chez un tiers
  • entreposés sous forme d’enregistrements vidéo et audio
  • entreposés d’une autre manière : le cas échéant, veuillez préciser

5. Quelles mesures prenez-vous pour protéger les renseignements personnels de vos clients? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES.] T2015 : MODIFIÉ

  • Mesures matérielles, comme le verrouillage des classeurs, la restriction de l’accès ou les alarmes de sécurité
  • Mots de passe
  • Mesures technologiques, comme le chiffrement ou des pare-feu
  • Tests de révision du système et mises à jour de sécurité
  • Contrôles organisationnels, comme des politiques et des procédures
  • Autre mesure. [NE PAS LIRE.] Le cas échéant, veuillez préciser :
  • Aucune mesure prise

6. Dans votre entreprise, est-ce qu’une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient? T2015

  • Oui
  • Non

7. Votre entreprise a-t-elle élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels? T2015

  • Oui
  • Non

8. Votre organisation donne-t-elle régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels? T2015

  • Oui
  • Non

9. Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels? T2015

  • Oui
  • Non

10. Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements ont été traités de façon inadéquate? T2015

  • Oui
  • Non

11. Votre entreprise a-t-elle une politique sur la protection des renseignements personnels? T2015

  • Oui
  • Non

DANS L’AFFIRMATIVE :

12. Votre politique sur la protection des renseignements personnels explique-t-elle en langage clair...? [LIRE LA LISTE.]

  1. Les renseignements personnels que votre entreprise recueille auprès de ses clients
  2. Les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés ou communiqués
  3. Les parties avec lesquelles les renseignements personnels des clients seront partagés
  4. Le risque de préjudice à la personne, le cas échéant, en cas d’atteinte à la protection des données

CHOIX DE RÉPONSES :

  • Oui
  • Non
  • Sans objet

REMARQUE À L’INTENTION DE LA PERSONNE QUI PROCÈDE À L’ENTREVUE : Si l’interlocuteur répond « Oui » à la question 11, mais admet spontanément en réponse à la question 12 que son entreprise n’a pas de politique officielle sur la protection des renseignements personnels, modifier la réponse à la question 11 pour indiquer « Non ».

Section 2 : La protection des renseignements personnels en tant qu’objectif organisationnel

13. Dans quelle mesure la protection des renseignements personnels de vos clients est-elle importante pour votre entreprise? Veuillez utiliser une échelle de 1 à 7, où 1 signifie que cela n’est pas un objectif organisationnel important et 7 signifie qu’il s’agit d’un objectif très important. T2015

Section 3 : Sensibilisation aux lois sur la protection des renseignements personnels

La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie-Britannique et au Québec, le secteur privé est régi par des lois provinciales, lesquelles sont considérées comme semblables à la loi fédérale. T2015

14. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout sensibilisée et 7 signifie très sensibilisée. T2015

Section 4 : Conformité

15. Votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte la loi sur la protection des renseignements personnels du Canada? T2015 : MODIFIÉ

  • Oui CONTINUER
  • Non PASSER À LA Q17A

16. Dans quelle mesure a-t-il été difficile pour votre entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie extrêmement facile, 7, extrêmement difficile et 4, ni facile ni difficile. T2013

17. En ce qui concerne les mesures prises par votre entreprise pour se conformer aux lois canadiennes sur la protection des renseignements personnels, quelles difficultés a-t-elle rencontrées, le cas échéant? Y a-t-il autre chose? [NE PAS LIRE LA LISTE. POSER DES QUESTIONS POUR OBTENIR DES DÉTAILS. ACCEPTER PLUSIEURS RÉPONSES.] T2015 : MODIFIÉ

  • Compréhension vague de la loi ou des exigences
  • Manque de connaissanceur les façons de se conformer à la loi ou aux exigences
  • Temps que le personnel doit consacrer à assurer la conformité
  • Coût de la conformité (coûts non liés au personnel)
  • Respect de la conformité par les employés
  • Comprendre comment les lois sur la protection des renseignements personnels s’appliquent dans différentes situations
  • Se tenir au fait des obligations
  • Protéger la confidentialité des renseignements personnels
  • Autre : [NE PAS LIRE.] Veuillez préciser
  • Rien / pas d’obstacles ni de difficultés

SI L’INTERLOCUTEUR A RÉPONDU « NON » À LA QUESTION 15 :

17A. Selon vous, quelles difficultés votre entreprise pourrait-elle rencontrer, le cas échéant, lorsqu’il s’agit de s’assurer qu’elle se conforme aux lois canadiennes sur la protection des renseignements personnels? [NE PAS LIRE LA LISTE. POSER DES QUESTIONS POUR OBTENIR DES DÉTAILS. ACCEPTER PLUSIEURS RÉPONSES.]

  • Compréhension vague de la loi ou des exigences
  • Manque de connaissances sur les façons de se conformer à la loi ou aux exigences
  • Temps que le personnel doit consacrer à assurer la conformité
  • Coût de la conformité (coûts non liés au personnel)
  • Respect de la conformité par les employés
  • Comprendre comment les lois sur la protection des renseignements personnels s’appliquent dans différentes situations
  • Se tenir au fait des obligations
  • Protéger la confidentialité des renseignements personnels
  • Autre : [NE PAS LIRE.] Veuillez préciser
  • Rien / aucune difficulté

QUESTION À POSER À TOUS LES RÉPONDANTS :

17B. Dans quelle mesure les ressources et les outils qui suivent pourraient-ils aider votre entreprise à se conformer aux lois canadiennes sur la protection des renseignements personnels? Veuillez utiliser une échelle de 1 à 5, où 1 signifie pas du tout et 5, énormément. Si la situation ne s’applique pas à votre entreprise, veuillez l’indiquer.

  1. Outils interactifs que votre entreprise peut utiliser pour évaluer ses pratiques de protection des renseignements personnels
  2. Outils d’apprentissage en ligne expliquant la LPRPDE*.
  3. Outils de formation que pourrait utiliser votre entreprise pour sensibiliser le personnel
  4. IRenseignements sur la LPRPDE et les responsabilités qui incombent à votre entreprise

* REMARQUE À L’INTENTION DE LA PERSONNE QUI PROCÈDE À L’ENTREVUE : SI LE RÉPONDANT POSE DES QUESTIONS AU SUJET DE LA LPRPDE, RÉPONDRE CE QUI SUIT : La LPRPDE est la loi fédérale qui établit les règles régissant la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. Elle s’applique dans la plupart des provinces.

Section 5 : Atteintes à la protection des données

Les atteintes à la protection des données sont causées par une activité criminelle, un vol, du piratage ou l’erreur d’un employé, comme le fait de laisser un ordinateur portable ou un autre appareil portatif à un endroit inapproprié. T2015 : MODIFIÉ

18. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients? Veuillez utiliser une échelle de 1 à 7, où 1 signifie pas du tout préoccupé et 7, très préoccupé. T2015

19. Est-ce que votre entreprise a adopté des protocoles ou des procédures à suivre en cas d’atteinte qui compromettrait les renseignements personnels de vos clients? T2015

  • Oui
  • Non

Section 6 : Innovation dans l’entreprise

20. Votre entreprise compte-t-elle sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels? Cela comprend l’évaluation des risques liés à la création ou à l’utilisation de nouvelles technologies ou de nouveaux produits ou services. T2015

  • Oui
  • Non

Section 7 : Communications

21A. Votre entreprise a-t-elle déjà cherché de l’information ou communiqué avec une personne pour obtenir des avis ou des conseils au sujet des responsabilités qui lui incombent en vertu des lois canadiennes sur la protection des renseignements personnels?

  • Oui
  • Non

21. SI L’INTERLOCUTEUR A RÉPONDU « OUI » À LA QUESTION 21A : À quelles organisations ou ressources votre entreprise a-t-elle fait appel pour mieux comprendre les responsabilités qui lui incombent en vertu des lois canadiennes sur la protection des renseignements personnels? [NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES.]

  • Internet [DEMANDER DES EXEMPLES PRÉCIS.]
    • Internet (précision donnée : NOTER S’IL NE S’AGIT PAS DES CODES DE GOOGLE OU DES MÉDIAS SOCIAUX)
    • Internet (pas de précision donnée)
  • Google
  • Médias sociaux [PRÉCISER : Quel média social utilisez-vous pour vos activités?]
    • LinkedIn
    • YouTube
    • Facebook
    • Twitter
  • Gouvernement [DEMANDER S’IL S’AGIT DU FÉDÉRAL OU DU PROVINCIAL.]
  • Commissaire à la protection de la vie privée [DEMANDER S’IL S’AGIT DU
  • COMMISSAIRE AU FÉDÉRAL OU D’UN COMMISSAIRE PROVINCIAL.]
  • Avocat
  • Comptable
  • Pair/collègue/associé
  • Expert de l’entreprise ou du siège social ou ressource interne de l’entreprise
  • Experts de l’industrie, sociétés d’experts-conseils ou sources du domaine de l’éducation
  • Association de l'industrie
  • Aucune/n’a pas recours à ces ressources
  • Autre. Préciser :

Section 8 : Commissariat à la protection de la vie privée du Canada

22. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels? T2015

  • Oui
  • Non

REMARQUE À L’INTENTION DE LA PERSONNE QUI PROCÈDE À L’ENTREVUE : Si l’interlocuteur pose des questions sur le Commissariat ou la façon de communiquer avec l’organisation, lui donner l’adresse du site Web : priv.gc.ca.

Section 9 : Profil d’entreprise

Ces dernières questions n’ont qu’une visée statistique, et toutes les réponses sont confidentielles.

23. Dans quelle industrie ou dans quel secteur œuvrez-vous? Si votre entreprise œuvre dans plusieurs secteurs, veuillez indiquer le secteur principal. [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE.]

  • Services d’hébergement et de restauration
  • Services administratifs, services de soutien, services de gestion des déchets et services d'assainissement
  • Agriculture, foresterie, pêche et chasse
  • Arts, divertissements et loisirs
  • Secteur de la construction
  • Services d’éducation
  • Finances et assurances
  • Soins de santé et assistance sociale
  • Industrie de l’information et industrie culturelle
  • Gestion de sociétés et d’entreprises
  • Secteur manufacturier
  • Extraction minière et extraction de pétrole et de gaz
  • Autres services (à l’exception de l’administration publique)
  • Services professionnels, scientifiques et techniques
  • Administration publique
  • Services immobiliers et services de location et de location à bail
  • Commerce de détail
  • Transport et entreposage
  • Services publics
  • Commerce de gros
  • Autre. Veuillez préciser :

24. Quel est votre poste dans l’organisation? [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE.]

  • Propriétaire, président ou PDG
  • Directeur général ou autre gestionnaire
  • Gestionnaire de la TI
  • Administration
  • Vice-président
  • Analyste, agent ou coordonnateur en matière de protection des renseignements personnels
  • Conseiller juridique ou avocat
  • RH/Opérations
  • Autre: Préciser

25. Quelle catégorie correspond aux revenus de votre entreprise en 2016? [LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE.]

  • Moins de 100 000 $
  • De 100 000 $ à 249 999 $
  • De 250 000 $ à 499 999 $
  • De 500 000 $ à 999 999 $
  • De 1 000 000 $ à 4 999 999 $
  • De 5 000 000 $ à 9 999 999 $
  • De 10 000 000 $ à 19 999 999 $
  • Plus de 20 millions de dollars

Cela met fin au sondage.
Cela met fin au sondage. Merci de votre temps et de vos commentaires; votre participation est très appréciée.

Annexe 2 : Données totalisées

Ensemble complet de données totalisées (sous pli séparé)

Date de modification :