Sondage de 2021-2022 auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels

Rapport final

Préparé pour le Commissariat à la protection de la vie privée du Canada

Nom du fournisseur : Phoenix SPI
Numéro du contrat : 2R008-210080-001-CY
Date d’attribution : 2021-11-05
Valeur du contrat : 75 575,74 $ (taxes applicables comprises)
Date de livraison : 2022-03-10

Numéro d’enregistrement : POR 035-21

Le présent rapport de recherche sur l’opinion publique présente les résultats d’un sondage téléphonique mené par Phoenix SPI pour le compte du Commissariat à la protection de la vie privée du Canada. Le sondage a été mené auprès de 751 représentants d’entreprises canadiennes, entre le 12 janvier et le 18 février 2022.

La présente publication peut être reproduite à des fins non commerciales seulement. Il faut avoir obtenu au préalable l’autorisation écrite du Commissariat à la protection de la vie privée du Canada. Pour obtenir des renseignements supplémentaires sur le présent rapport, veuillez communiquer avec le Commissariat à la protection de la vie privée du Canada par courriel à l’adresse suivante : publications@priv.gc.ca, ou par la poste à l’adresse suivante :

Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec)
K1A 1H3

Liste des figures

Figure 1: Utilisation des renseignements personnels des clients recueillis par les entreprises
Figure 2: Communication, collecte ou utilisation des renseignements des clients
Figure 3: Méthodes utilisées par les entreprises pour entreposer les renseignements personnels
Figure 4: Importance que les entreprises accordent à la protection des renseignements personnels des clients
Figure 5: Importance que les entreprises accordent à la protection des renseignements personnels des clients [au fil du temps]
Figure 6: Politique sur la protection des renseignements personnels
Figure 7: Caractéristiques des politiques sur la protection des renseignements personnels
Figure 8: Entreprises qui avisent leurs clients des modifications apportées à leur politique sur la protection des renseignements personnels
Figure 9: Mesures prises pour aviser les clients des pratiques de l’entreprise en matière de protection de la vie privée
Figure 10: Pratiques en matière de protection de la vie privée
Figure 11: Pratiques en matière de protection de la vie privée [au fil du temps]
Figure 12: Politiques organisationnelles pour évaluer les risques liés à la protection des renseignements personnels
Figure 13: Atteinte à la protection des données
Figure 14: Degré de préoccupation concernant les atteintes à la protection des données
Figure 15: Degré de préoccupation concernant les atteintes à la protection des données [au fil du temps]
Figure 16: Sensibilisation des entreprises à l’égard de leurs responsabilités aux termes des lois sur la protection des renseignements personnels
Figure 17: Sensibilisation des entreprises à l’égard de leurs responsabilités aux termes des lois sur la protection des renseignements personnels [au fil du temps]
Figure 18: Respect des lois canadiennes régissant la protection des renseignements personnels
Figure 19: Degré de difficulté éprouvé pour se conformer aux lois canadiennes régissant la protection des renseignements personnels
Figure 20: Respect des lois canadiennes régissant la protection des renseignements personnels [au fil du temps]
Figure 21: Connaissance des ressources offertes par le Commissariat à la protection de la vie privée du Canada

Résumé

Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a retenu les services de Phoenix Strategic Perspectives (Phoenix SPI) afin de réaliser une étude quantitative auprès des entreprises canadiennes sur les enjeux liés à la protection des renseignements personnels.

But, objectifs et utilisation des résultats

Pour répondre à ses besoins en matière de renseignements, le Commissariat réalise tous les deux ans des sondages auprès des entreprises afin d’éclairer et d’orienter les efforts de sensibilisation. La présente recherche visait à recueillir des données sur le type de politiques et de pratiques de protection des renseignements personnels mises en œuvre par les entreprises, sur le respect de la loi par les entreprises; ainsi que sur la sensibilisation et les approches des entreprises en matière de protection des renseignements personnels. Les résultats du sondage permettront au Commissariat de fournir une orientation aux individus et aux organisations sur les enjeux liés à la protection des renseignements personnels, et à renforcer ses efforts de sensibilisation auprès des petites entreprises, ce qui peut être un moyen efficace d’apporter des changements positifs en matière de protection des renseignements personnels.

Méthodologie

Un sondage téléphonique de 15 minutes a été réalisé auprès de 751 entreprises d’un bout à l’autre du Canada, du 12 janvier au 18 février 2022. Les répondants ciblés étaient des décideurs de haut niveau ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes. Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage : petite (1 à 19 employés); moyenne (20 à 99 employés); et grande (100 employés et plus). Les résultats ont été pondérés selon la taille, le secteur et la région au moyen des données de Statistique Canada afin de veiller à ce qu’elles reflètent la distribution réelle des entreprises au Canada. Compte tenu de la taille de l’échantillon, les résultats sont fiables à plus ou moins 3,6 %, 19 fois sur 20.

Information contextuelle

Le Commissariat a réalisé ce sondage auprès des entreprises canadiennes tous les deux ans depuis le sondage de référence de 2011. Pour bon nombre des enjeux qui ont fait l’objet du sondage, il existe des données de suivi recueillies sur 10 ans permettant de surveiller les pratiques des entreprises en matière de protection de la vie privée. Le précédent sondage a été réalisé en 2019, avant la pandémie mondiale de COVID-19. Cette pandémie a eu des répercussions bien documentées sur les entreprises au Canada^{Note de bas de page 1}. Les mesures adoptées par les entreprises pour prévenir la propagation de la COVID-19 ayant entraîné, entre autres, des baisses de revenus, des mises à pied, un roulement de personnel, l’adoption du travail à distance et une réduction des heures de travail. Cette année, le sondage a été mené au plus fort de la cinquième vague (le variant Omicron) après près de deux ans de restrictions liées à la pandémie. Afin de gérer le variant Omicron, les restrictions imposées aux entreprises par les gouvernements ont à nouveau été durcies en janvier 2022, certaines administrations sont revenues au confinement comme mesure de protection.

Les restrictions liées au variant Omicron et la pandémie en général ont eu une incidence sur le présent sondage, notamment sur la conception de la recherche, en particulier sur le nombre de réponses reçues et, fort probablement, sur les opinions formulées par les représentants des entreprises qui ont participé au sondage. Alors que les entreprises sont préoccupées par les répercussions de la pandémie sur leurs activités quotidiennes, il est raisonnable de supposer que les responsabilités en matière de protection des renseignements personnels ne sont pas au premier plan. Par exemple, le manque de conformité aux pratiques de protection des renseignements personnels pourrait être davantage le signe que le répondant ne se souvient pas vraiment de ces mesures ou ne les connaît pas suffisamment, ou que ces enjeux sont devenus moins prioritaires en raison des changements opérationnels importants.

Principales constatations

Bon nombre d’entreprises disposent d’une politique sur la protection des renseignements personnels, mais elles sont moins nombreuses à déclarer en avoir une en 2022 qu’en 2019.

Environ six représentants d’entreprises sur dix (59 %) indiquent que leur entreprise dispose d’une politique sur la protection des renseignements personnels. Cela représente une légère baisse depuis 2019, année où 65 % des entreprises ont déclaré avoir mis en place une telle politique. La probabilité d’avoir mis en place une politique sur la protection des renseignements personnels est plus élevée chez les grandes entreprises. Parmi les grandes entreprises ayant participé au sondage, 79 % d’entre elles ont déclaré disposer d’une telle politique, comparativement à 66 % des moyennes entreprises et à 58 % des petites entreprises.
Parmi les entreprises qui disposent d’une politique sur la protection des renseignements personnels, la majorité ont déclaré avoir une politique qui explique en langage clair les éléments suivants : les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés et communiqués (84 %); la façon dont leur entreprise recueille, utilise et communique les renseignements personnels (83 %); et les renseignements personnels que leur entreprise recueille auprès de ses clients (78 %). De plus, 72 % des répondants ont déclaré que leur entreprise dispose d’une politique sur la protection des renseignements personnels qui explique en langage clair les parties avec lesquelles les renseignements personnels recueillis seront partagés. En outre, 66 % des entreprises ont une politique qui explique la façon dont les renseignements personnels des clients sont détruits; 57 % d’entre elles dispose d’une politique qui explique la durée pendant laquelle l’entreprise conserve les renseignements personnels des clients et 51 % d’entre elles ont une politique qui explique en langage clair les risques de préjudice en cas d’atteinte à la protection des données.
Une proportion de 70 % des répondants (comparativement à 51 % en 2019) qui travaillent pour une entreprise disposant d’une politique sur la protection des renseignements personnels ont déclaré que leur entreprise fait en sorte que ses clients aient facilement accès à l’information sur la protection des renseignements personnels. Les entreprises comptant un seul employé (c’est-à-dire les travailleurs autonomes) (78 %) ainsi que les entreprises comptant de cinq à neuf employés (82 %) sont plus susceptibles que les grandes entreprises de rendre leurs renseignements personnels facilement accessibles aux clients. De plus, 43 % des entreprises qui disposent d’une politique sur la protection des renseignements personnels avisent leurs clients lorsqu’elles modifient leur politique (comparativement à 36 % en 2019). La même proportion d’entreprises, soit 43 %, obtient le consentement des clients lorsqu’elles modifient leurs pratiques de protection de la vie privée (comparativement à 34 % en 2019).

Au moins la moitié des entreprises canadiennes ont mis en œuvre la plupart des pratiques de conformité en matière de protection des renseignements mesurées au moyen du sondage.

Parmi toutes les mesures, la conformité aux pratiques en matière de protection des renseignements personnels est celle qui a diminué depuis 2019. Près de six répondants sur dix (57 %) ont déclaré que leur entreprise avait désigné un chef de la protection des renseignements personnels (comparativement à 62 % en 2019). Ensuite, 51 % des répondants ont déclaré que leur entreprise avait élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations en ce qui a trait à la protection des renseignements personnels (comparativement à 55 % en 2019). La même proportion de répondants (51 %) a déclaré que leur entreprise avait mis en place des procédures pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels (comparativement à 60 % en 2019). De plus, 51 % des représentants ont affirmé que leur entreprise avait mis en place des procédures pour gérer les plaintes des clients concernant le traitement de leurs renseignements personnels (comparativement à 58 % en 2019). La probabilité d’avoir mis en œuvre ces pratiques augmentait en fonction de la taille de l’entreprise et était la plus élevée parmi les grandes entreprises pour presque toutes les mesures.
Peu de répondants (34 %) ont déclaré que leur entreprise donne régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels (comparativement à 39 % en 2019).

Plus de neuf entreprises sur dix n’ont pas connu d’atteinte à la vie privée.

Au total, 94 % des entreprises n’auraient pas connu d’atteinte à la vie privée (ce pourcentage est le même qu’en 2019).
Il n’y a pas de consensus clair lorsqu’il s’agit de savoir dans quelle mesure les entreprises sont préoccupées par d’éventuelles atteintes à la protection des données. Un peu plus d’une entreprise sur quatre (28 %) se dit préoccupée par une atteinte à la protection des données (notes de 6 et 7), alors que 23 % des entreprises sont très préoccupées par une atteinte éventuelle. Toutefois, 41 % des entreprises ne sont pas préoccupées par une atteinte éventuelle (notes de 1 et 2), et 30 % d’entre elles ne sont pas du tout préoccupées par ce problème.
Les préoccupations marquées (notes de 6 et 7) concernant une atteinte à la protection des données ont fluctué au fil du temps, passant d’un minimum de 24 % en 2013 à un maximum de 37 % en 2019. À 28 %, les préoccupations marquées ont considérablement diminué cette année par rapport à 2019.

De nombreuses entreprises sont bien sensibilisées à leurs responsabilités aux termes des lois sur la protection des renseignements personnels.

Au total, 86 % des représentants d’entreprise ont déclaré que leur entreprise est au moins modérément sensibilisée à ses responsabilités en matière de protection des renseignements personnels, et 40 % d’entre elles sont très sensibilisées à ces responsabilités.
Une proportion de 74 % des représentants d’entreprise ont déclaré que leur entreprise a pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels. La probabilité de prendre des mesures pour assurer le respect des lois augmente avec la taille de l’entreprise. En tout, 85 % des grandes entreprises et 82 % des moyennes entreprises ont pris des mesures pour assurer le respect des lois, alors que seulement 73 % des petites entreprises l’ont fait.
Un tiers des représentants d’entreprises ayant participé au sondage ont affirmé que leur entreprise sait que le Commissariat offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels. La probabilité d’être au fait de ces ressources était plus élevée dans les moyennes (41 %) et grandes (56 %) entreprises que dans les petites (32 %).

Valeur du contrat

La valeur du contrat était de 75 575,74 $ (taxes applicables comprises).

Attestation de neutralité politique

À titre de cadre supérieure de Phoenix Strategic Perspectives, j’atteste que le rapport livré est entièrement conforme aux exigences en matière de neutralité politique du gouvernement du Canada énoncées dans la Politique de communication du gouvernement du Canada et à la Procédure de planification et d’attribution de marchés de services de recherche sur l’opinion publique. Plus précisément, ce rapport ne renferme pas d’information sur les intentions de vote, les préférences quant aux partis politiques, les positions des partis ou l’évaluation de la performance d’un parti politique ou de son chef.

Document original a été signé par

Alethea Woods
Présidente
Phoenix Strategic Perspectives Inc.

Introduction

La société Phoenix Strategic Perspectives Inc. (Phoenix SPI) a été mandatée par le Commissariat à la protection de la vie privée du Canada afin de mener une recherche sur l’opinion publique (ROP) auprès d’entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels.

Contexte

À titre de défenseur du droit à la vie privée des Canadiens, le Commissariat est autorisé à enquêter sur les plaintes et à mener des vérifications en vertu de deux lois fédérales, à publier de l’information sur les pratiques de traitement des renseignements personnels dans les secteurs public et privé et à effectuer de la recherche sur les enjeux liés à la protection des renseignements personnels.

Le commissaire à la protection de la vie privée du Canada est indépendant du gouvernement et relève directement du Parlement. Le commissaire est entre autres responsable de faire respecter la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) qui s’applique aux activités commerciales partout au Canada, sauf dans les provinces ayant une loi applicable au secteur privé, c’est-à-dire le Québec, l’Alberta et la Colombie-Britannique. Toutefois, même dans ces provinces, la LPRPDE vise les entreprises du secteur privé sous réglementation fédérale ainsi que les renseignements personnels obtenus dans le cadre d’opérations interprovinciales et internationales.

But et objectifs de la recherche

Compte tenu de son mandat, le Commissariat doit comprendre dans quelle mesure les entreprises connaissent les enjeux liés à la protection des renseignements personnels et savoir quel type de politiques et de pratiques en la matière elles ont mis en place. Le Commissariat doit également évaluer la conformité à la loi. Pour ce faire, il est également important que le Commissariat comprenne la sensibilisation et les démarches des entreprises en matière de protection des renseignements personnels. Le Commissariat mène tous les deux ans un sondage quantitatif auprès des entreprises.

La présente recherche vise à nous permettre de mieux comprendre la mesure dans laquelle les entreprises connaissent les exigences et les enjeux liés à la protection des renseignements personnels. Elle vise aussi à en savoir plus sur les types de politiques et de pratiques en la matière adoptées par les entreprises et à déterminer les besoins en information de ces dernières dans ce domaine. Les résultats du sondage serviront à éclairer et à orienter les efforts déployés par le Commissariat pour sensibiliser les entreprises.

Méthodologie

Un sondage téléphonique de 15 minutes a été réalisé auprès de 751 entreprises d’un bout à l’autre du Canada, du 12 janvier au 18 février 2022. Les répondants ciblés étaient des décideurs de haut niveau ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes. Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage : petite (de 1 à 19 employés); moyenne (de 20 à 99 employés) et grande (100 employés et plus). L’échantillon provient de la société Dun & Bradstreet (D&B Canada). Les entrevues ont été réalisées au moyen de la technologie d’entrevues téléphoniques assistées par ordinateur. Les résultats ont été pondérés selon la taille, le secteur et la région au moyen des données de Statistique Canada, afin de veiller à ce qu’elles reflètent la distribution réelle des entreprises au Canada. Compte tenu de la taille de l’échantillon, les résultats sont fiables à plus ou moins 3,6 %, 19 fois sur 20.

Il est à noter que la taille cible de l’échantillon devait être de 1 000 entrevues, comme pour les versions précédentes de ce sondage : 500 auprès de petites entreprises, 300 auprès de moyennes entreprises et 200 auprès de grandes entreprises. La taille cible de l’échantillon a été réduite à 750 entrevues lorsque le travail sur le terrain était à moitié terminé, afin de tenir compte du faible taux de réponse de cette année attribuable, dans une large mesure, aux conditions en milieu de travail dans le contexte de la pandémie mondiale. Comme nous l’avons déjà mentionné, le présent sondage a commencé au plus fort de la vague de propagation du variant Omicron de la COVID-19. Dans un grand nombre de provinces et de territoires du pays, les employés des entreprises travaillaient à distance afin de limiter la propagation de ce variant. Cette situation a eu d’importantes répercussions sur la collecte de données, car il était beaucoup plus difficile de joindre les personnes admissibles.

Le tableau ci-dessous présente des renseignements sur la répartition finale des appels pour le sondage, ainsi que les taux de réponse connexes^{Note de bas de page 2}.

Répartition finale
Répartition	Total
Nombre total de tentatives d’appel	11 079
Répondants non admissibles – non valides	1 764
Non résolu (NR)	3 131
Aucune réponse/répondeur	3 131
Répondants potentiels – unités non répondantes (UNR)	5 365
Barrière linguistique	30
Impossibilité de réaliser l’entrevue téléphonique (maladie ou décès)	74
Rappel (répondant non disponible)	1 970
Refus	3 192
Interruption	99
Répondants potentiels – unités répondantes (UR)	819
Entrevues réalisées	751
Non admissible (à but non lucratif)	52
Non admissible (ignore combien l’entreprise compte d’employés)	16
Taux de réponse	9 %

Information contextuelle

Le Commissariat a réalisé ce sondage auprès des entreprises canadiennes tous les deux ans depuis le sondage de référence de 2011. Pour bon nombre des enjeux qui ont fait l’objet du sondage, il existe des données de suivi recueillies sur 10 ans permettant de surveiller les pratiques des entreprises en matière de protection de la vie privée. Le précédent sondage a été réalisé en 2019, avant la pandémie mondiale de COVID-19. Cette pandémie a eu des répercussions bien documentées sur les entreprises au Canada^{Note de bas de page 3}. Les mesures adoptées par les entreprises pour prévenir la propagation de la COVID-19 ayant entraîné, entre autres, des baisses de revenus, des mises à pied, un roulement de personnel, l’adoption du travail à distance et une réduction des heures de travail. Cette année, le sondage a été mené au plus fort de la cinquième vague (le variant Omicron) après près de deux ans de restrictions liées à la pandémie. Afin de gérer le variant Omicron, les restrictions imposées aux entreprises par les gouvernements ont à nouveau été durcies en janvier 2022, certaines administrations sont revenues au confinement comme mesure de protection. Les restrictions liées au variant Omicron et la pandémie en général ont eu une incidence sur le présent sondage, notamment sur la conception de la recherche, en particulier sur le nombre de réponses reçues et, fort probablement, sur les opinions formulées par les représentants des entreprises qui ont participé au sondage.

Tout d’abord, en raison des restrictions liées au variant Omicron (et des changements opérationnels apportés aux entreprises à cause de la COVID-19 en général), il était beaucoup plus difficile de joindre les personnes admissibles dans les entreprises canadiennes. Les fermetures d’entreprises et le télétravail, par exemple, ont entraîné un taux de réponse plus faible que celui observé dans les versions précédentes du sondage ainsi qu’un taux de refus plus élevé chez les entreprises (c’est-à-dire chez celles qui ne transfèrent pas l’intervieweur à la personne responsable des fonctions liées à la protection des renseignements personnels dans l’entreprise). Des taux de réponse plus faibles ont été observés dans d’autres recherches interentreprises menées à la même période. Afin de tenir compte du faible taux de réponse de cette année, la taille cible de l’échantillon a été réduite à 750 entrevues lorsque le travail sur le terrain était à moitié terminé. La taille réduite de l’échantillon a limité les comparaisons qui pouvaient être faites à l’échelle régionale, et elle n’a entraîné qu’une marge d’erreur d’échantillonnage légèrement plus élevée (plus ou moins 3,6 %, 19 fois sur 20, comparativement à plus ou moins 3,1 %, 19 fois sur 20 pour les échantillons précédents).

En outre, en plus d’avoir perturbé la réalisation de la recherche, la pandémie peut aussi avoir eu une incidence sur les résultats du sondage de deux façons. Alors que les entreprises sont préoccupées par les répercussions de la pandémie sur leurs activités quotidiennes, il est raisonnable de supposer que les responsabilités en matière de protection des renseignements personnels ne sont pas au premier plan. De plus, en raison des mises à pied et du roulement de personnel, il ne serait pas surprenant que, dans certaines des entreprises faisant partie de l’échantillon du sondage, la personne responsable de la conformité en matière de protection des renseignements personnels soit nouvellement nommée à ce poste et donc probablement moins renseignée au sujet des pratiques de l’entreprise en ce qui concerne la collecte, l’entreposage et l’utilisation des renseignements personnels des clients. Ces deux facteurs pourraient être à l’origine des changements observés cette année dans les données du sondage. Nous ne saurons pas s’il s’agit de changements durables ou des conséquences engendrées par le contexte dans lequel la recherche a été menée, et ce, jusqu’à ce que ce sondage soit réalisé à nouveau dans deux ans.

Notes aux lecteurs

Les résultats sont comparés à ceux de sondages semblables menés en 2011, 2013, 2015, 2017 et 2019.
Sauf indication contraire, tous les résultats sont exprimés en pourcentages. Tout au long du rapport, les pourcentages ne correspondent pas toujours à 100 % en raison de l’arrondissement et des questions pour lesquelles de multiples réponses étaient permises.
Parfois, le nombre de répondants change dans le rapport parce qu’on a posé des questions à des sous-échantillons de la population du sondage. Les lecteurs devraient en être conscients et faire preuve de prudence lorsqu’ils interprètent des résultats obtenus auprès d’un plus petit nombre de répondants.
Les tailles des bases indiquées dans les graphiques correspondent au nombre réel de répondants à qui la question a été posée, le cas échéant.
Les différences entre les sous-groupes sont décrites dans le rapport. Lorsqu’il est question des variations entre les sous-groupes, seules les différences qui sont importantes au niveau de confiance de 95 % et qui ont trait à un sous-groupe dont la taille de l’échantillon dépasse n = 30 sont indiquées. Si une catégorie ou plus d’un sous-groupe n’est pas mentionnée dans une discussion sur les différences entre les sous-groupes (si deux régions parmi six sont comparées, par exemple), on peut en conclure que seules les catégories en question présentaient des différences considérables.
Seules les variations entre les sous-groupes qui sont statistiquement significatives à un niveau de confiance de 95 % ou qui s’inscrivent dans un modèle ou une tendance ont été mentionnées.
Le questionnaire du sondage est fourni en annexe du présent rapport.

Conclusions détaillées

1. Utilisation et entreposage des renseignements sur les clients

La présente section traite de la manière dont les entreprises canadiennes utilisent et entreposent les renseignements personnels qu’elles recueillent auprès de leurs clients.

De nombreuses entreprises utilisent les renseignements personnels qu’elles recueillent pour fournir un service

Plus des trois quarts des représentants d’entreprise sondés (77 %) ont affirmé que leur entreprise utilise les renseignements qu’elle recueille sur ses clients pour fournir un service. Cela pourrait consister, par exemple, à recueillir une adresse de courriel pour envoyer une facture. Il s’agit d’une augmentation significative depuis le dernier sondage, où environ deux tiers des entreprises utilisent ces renseignements pour fournir un service aux clients (63 % en 2019 comparativement à 77 % en 2022). Au total, 22 % des répondants ont indiqué qu’en plus de fournir un service, leur entreprise utilise ces renseignements pour établir le profils des clients afin de personnaliser les services offerts (en baisse par rapport à 2019, où cette proportion était de 30 %). Les entreprises sont moins nombreuses à utiliser ces renseignements à des fins de marketing (11 %) ou pour la comptabilité ou la facturation (7 %).

Nouveauté observée cette année : 12 % des entreprises sondées utilisent les renseignements personnels qu’elles recueillent sur leurs clients à des fins liées à la COVID-19. Ces entreprises sont plus susceptibles de vendre uniquement aux consommateurs et de compter 100 employés ou plus. Au cours de la pandémie mondiale, certaines entreprises ont été tenues de recueillir des renseignements sur leurs clients dans le contexte des mesures de traçage de contacts établies par la santé publique visant à limiter la propagation de la COVID-19. Le présent sondage a été réalisé au plus fort de la vague de propagation du variant Omicron de la COVID-19.

Version textuelle de la figure 1

Figure 1 : Utilisation des renseignements personnels des clients recueillis par les entreprises

Q6. Que fait votre entreprise des renseignements personnels qu’elle recueille concernant ses clients? [Plusieurs réponses acceptées] Base de 2022 : n = 751; tous les répondants.

Réponses	2022	2019
Fournir un service aux clients	77 %	63 %
Établir le profil des clients	22 %	30 %
Pour des fins en lien avec la COVID-19	12 %	Aucune donnée comparable n’est disponible pour 2019.
À des fins de marketing	11 %	10 %
À des fins de comptabilité ou de facturation	7 %	7 %
À des fins de communication	Aucune donnée comparable n’est disponible pour 2022.	3 %
Pour d'autres fins	2 %	2 %
Ne sait pas	8 %	11 %

Q6. Que fait votre entreprise des renseignements personnels qu’elle recueille concernant ses clients? [Plusieurs réponses acceptées] Base de 2022 : n = 751; tous les répondants.

Les entreprises qui vendent leurs services ou leur produits à d’autres entreprises ou à la fois à des entreprises et à des consommateurs étaient beaucoup plus susceptibles que celles qui les vendent uniquement à des consommateurs de signaler qu’elles utilisent les renseignements personnels de leurs clients pour fournir un service (81 % et 82 % respectivement). En revanche, un peu plus des deux tiers (68 %) des entreprises qui vendent leurs services ou leur produits directement aux consommateurs ont affirmer utiliser les renseignements personnels qu’elles recueillent concernant leurs clients pour fournir un service.

Un grand nombre d’entreprises indiquent clairement si la collecte, l’utilisation ou la communication des renseignements est une condition de service ou non

Environ six entreprises sur dix (62 %) disposant d’une politique sur la protection des renseignements personnels ont affirmé qu’elles indiquaient clairement aux clients si la collecte, l’utilisation ou la communication de renseignements est une condition du service. À l’inverse, 30 % des répondants de ces entreprises ont indiqué qu’ils ne communiquaient pas cette information. Une proportion de huit pour cent des répondants ont affirmé ne pas connaître la pratique de leur entreprise dans ce domaine ou que cela ne s’appliquait pas à leur entreprise.

Version textuelle de la figure 2

Figure 2 : Communication, collecte ou utilisation des renseignements des clients

Q20c. Votre entreprise fait-elle ce qui suit : Indiquer clairement si la collecte, l’utilisation ou la communication des renseignements est une condition de service. Base : n = 473; entreprises disposant d’une politique sur la protection des renseignements personnels. [NSP/PR : 4 %].

Les répondants estiment à 62 % que leur entreprise indique clairement que le fait de recueillir, d’utiliser ou de communiquer des renseignements est une condition de service.

Réponses	% des répondants
Oui, il est indiqué clairement s'il s'agit d'une condition de service.	62 %
Non, il n'est pas indiqué clairement s'il s'agit d'une condition de service.	30 %
Ne s'applique pas/ne sait pas.	8 %

Les entreprises de l’Ouest canadien sont plus susceptibles que celles de l’Ontario d’indiquer clairement aux clients si la collecte, l’utilisation ou la communication des renseignements est une condition de service : 72 % des répondants dont l’entreprise est établie dans l’Ouest l’ont affirmé, comparativement à 55 % des répondants dont l’entreprise est établie en Ontario. Les entreprises qui connaissent leurs obligations en matière de protection des renseignements personnels (64 %) sont plus susceptibles d’indiquer qu’elles adoptent cette pratique que les entreprises qui ne connaissent pas leurs obligations (31 %).

De nombreuses entreprises entreposent les renseignements personnels sur place, en format électronique.

Les entreprises canadiennes ont affirmé utiliser diverses méthodes pour entreposer les renseignements personnels de leurs clients. En tête de liste se trouve l’entreposage sur place en format électronique, mentionné par 62 % des représentants d’entreprise sondés. La proportion d’entreprises qui a affirmé entreposer des renseignements sur place en format électronique a diminué de 10 points de pourcentage depuis 2019, année où 72 % d’entre elles avaient indiqué entreposer des renseignements de cette manière. Ensuite, 41 % des représentants d’entreprise ont affirmé que leur entreprise entrepose les renseignements personnels des clients sur place en format papier (en baisse par rapport à 49 % en 2019), et 27 % des entreprises entreposent ces renseignements en format électronique chez un tiers (en hausse par rapport à 21 % en 2019).

En plus d’entreposer les renseignements sur place ou chez un tiers, un certain nombre d’entreprises ont affirmé que ces renseignements étaient entreposés en format électronique (18 %) ou papier (7 %) au bureau à domicile d’un employé. Ces deux choix de réponse ont été ajoutés au sondage cette année afin de prendre en compte la réalité du contexte de la santé publique au moment où nous avons mené le sondage.

Version textuelle de la figure 3

Figure 3 : Méthodes utilisées par les entreprises pour entreposer les renseignements personnels

Q7. Parmi les choix suivants, de quelle manière entreposez-vous les renseignements personnels de vos clients dans votre entreprise? Les renseignements sont-ils…? [Plusieurs réponses acceptées] Base de 2022 : n = 751; tous les répondants.

Réponses	2022	2019
Entreposés sur place en format électronique	62 %	72 %
Entreposés sur place en format papier	41 %	49 %
Entreposés chez un tiers en format électronique	27 %	21 %
Entreposés au bureau à domicile d’un employé en format électronique	18 %	Aucune donnée comparable n’est disponible pour 2019.
Entreposés au bureau à domicile d’un employé en format papier	7 %	Aucune donnée comparable n’est disponible pour 2019.
L'entreprise ne recueille pas de renseignements personnels	6 %	5 %

Les entreprises qui vendent leurs services ou leurs produits à la fois à des consommateurs et à des entreprises (71 %) sont plus susceptibles que celles qui les vendent uniquement à des consommateurs (54 %) d’entreposer des renseignements sur place en format électronique.

2. Pratiques de l’entreprise en matière de protection des renseignements personnels

La présente section fait état des procédures et des politiques adoptées par les entreprises pour protéger les renseignements personnels qu’elles recueillent sur leurs clients.

La majorité des entreprises accordent une grande importance à la protection des renseignements personnels de leurs clients.

On a demandé aux représentants d’entreprises quelle importance leur entreprise accorde à la protection des renseignements personnels de leurs clients. Plus de neuf répondants sur dix (92 %) ont affirmé que leur entreprise considère la protection des renseignements personnels des clients comme étant au moins modérément importante. Plus précisément, près de huit représentants d’entreprise sur dix (79 %) ont indiqué que leur entreprise considérait la protection des renseignements personnels des clients comme étant très importante (notes de 6 et 7) : 68 % d’entre eux ont affirmé qu’il s’agissait d’un objectif organisationnel extrêmement important, et 13 % des entreprises considèrent que cet objectif est d’une importance modérée. Très peu de répondants (5 %) ont affirmé que la protection des renseignements personnels des clients n’est pas un objectif organisationnel important pour leur entreprise (notes de 1 et 2).

Version textuelle de la figure 4

Figure 4 : Importance que les entreprises accordent à la protection des renseignements personnels des clients

Q8. Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise? Base : n = 751; tous les répondants; [NSP/PR = 2 %]

Importance	% des répondants
Objectif organisationnel très important (7)	68 %
6	11 %
5	8 %
4	3 %
3	2 %
2	1 %
Cela n'est pas un objectif organisationnel important (1)	4 %

Q8. Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise? Base : n = 751; tous les répondants; [NSP/PR = 2 %]

Les entreprises qui connaissent leurs obligations en matière de protection des renseignements personnels (80 %) sont plus susceptibles que celles qui ne les connaissent pas (31 %) d’accorder une très grande importance (80 %) à la protection des renseignements personnels de leurs clients. De plus, les entreprises qui se conforment à la LPRPDE (77 % comparativement à 46 % qui ne s’y conforment pas) ou qui ont adopté une politique d’évaluation des risques (84 % comparativement à 60 % qui ne l’ont pas fait) sont plus susceptibles de considérer cet enjeu comme étant très important.

Au fil du temps, l’importance que les entreprises accordent à la protection des renseignements personnels de leurs clients a fortement augmenté par rapport au pourcentage qui servait de référence en 2011 (62 %). La hausse la plus marquée a été observée entre 2017 et 2019 (ce qui représente une augmentation de 13 points de pourcentage). Cette année, le pourcentage des entreprises qui accordent une grande importance à la protection des renseignements personnels de leurs clients est pratiquement le même qu’en 2019 : 79 % en 2022 comparativement à 81 % en 2019.

Version textuelle de la figure 5

Figure 5 : Importance que les entreprises accordent à la protection des renseignements personnels des clients [au fil du temps]

Q8. Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise?

Degré d’importance	2011 (n=1 006)	2013 (n=1 006)	2015 (n=1 016)	2017 (n=1 014)	2019 (n=1 003)	2022 (n=751)
Très grande importance (6 et 7)	62 %	70 %	67 %	68 %	81 %	79 %
Importance modérée (de 3 à 5)	26 %	20 %	21 %	19 %	12 %	13 %
Faible importance (1 et 2)	12 %	9 %	11 %	9 %	6 %	5 %

Q8. Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise?

Plus de la moitié des entreprises ont adopté une politique sur la protection des renseignements personnels.

Environ six entreprises canadiennes sondées sur 10 (59 %) indiquent que leur entreprise dispose d’une politique sur la protection des renseignements personnels. Cette proportion marque un léger recul dans le temps, puisque 65 % des entreprises ont affirmé avoir une politique sur la protection des renseignements personnels en 2019 comparativement à 59 % en 2022. À l’inverse, 36 % des représentants des entreprises ont indiqué que leur entreprise ne dispose pas d’une politique sur la protection des renseignements personnels (comparativement à 32 % en 2019). Les autres (5 %) ne savent pas si leur entreprise dispose d’une telle politique.

Comme nous l’avons déjà mentionné, la pandémie peut avoir eu une incidence sur les résultats du sondage, et plus particulièrement, sur les résultats concernant la conformité aux pratiques en matière de protection des renseignements personnels. Alors que les entreprises sont préoccupées par les répercussions de la pandémie sur leurs activités quotidiennes, il est raisonnable de supposer que les responsabilités en matière de protection des renseignements personnels ne sont pas au premier plan. Nous ne saurons pas s’il s’agit de changements durables ou des conséquences engendrées par le contexte dans lequel la recherche a été menée, et ce, jusqu’à ce que ce sondage soit réalisé à nouveau dans deux ans.

Version textuelle de la figure 6

Figure 6 : Politique sur la protection des renseignements personnels

Q18. Votre entreprise a-t-elle une politique sur la protection des renseignements personnels? Base : n = 751; tous les répondants.

59 % des répondants affirment que leur entreprise a une politique sur la protection des renseignements personnels.

Réponses	% des répondants
Oui, mon entreprise a une politique sur la protection des renseignements personnels.	59 %
Non, mon entreprise n'a pas de politique sur la protection des renseignements personnels.	36 %
Ne sait pas.	5 %

Q18. Votre entreprise a-t-elle une politique sur la protection des renseignements personnels? Base : n = 751; tous les répondants.

Les entreprises établies dans les provinces de l’Atlantique (69 %), en Ontario (65 %) et dans l’Ouest canadien (64 %) sont plus susceptibles que les entreprises du Québec (39 %) de disposer d’une politique sur la protection des renseignements personnels. De plus, les grandes entreprises sont plus susceptibles d’avoir une politique sur la protection des renseignements personnels. Soixante-dix-neuf pour cent (79 %) des grandes entreprises sondées ont affirmé disposer d’une telle politique, comparativement à 66 % des moyennes entreprises et à 58 % des petites entreprises. En outre, les entreprises qui connaissent leurs obligations en matière de protection des renseignements personnels (70 % comparativement à 25 % qui ne les connaissent pas) et celles qui ont adopté une politique d’évaluation des risques (86 % comparativement à 43 % qui ne l’ont pas fait) sont plus susceptibles d’affirmer avoir une politique de protection des renseignements personnels.

La majorité des entreprises qui disposent d’une politique sur la protection des renseignements personnels expliquent divers éléments en langage clair.

Parmi les entreprises qui disposent d’une politique sur la protection des renseignements personnels (n = 473), la plupart ont affirmé disposer d’une politique qui explique en langage clair les éléments suivants : les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés ou communiqués (84 %); la façon dont leur entreprise recueille, utilise et communique les renseignements (83 %); et les renseignements personnels que leur entreprise recueille auprès des clients (78 %). De plus, environ sept entreprises sur dix (72 %) ont indiqué disposer d’une politique sur la protection des renseignements personnels qui explique en langage clair les parties avec lesquelles les renseignements personnels des clients seront partagés, et la moitié (51 %) ont affirmer disposer d’une politique expliquant en langage clair le risque de préjudice en cas d’atteinte à la protection des données.

Cette année, on a également demandé aux répondants si la politique de leur entreprise sur la protection des renseignements personnels expliquait en langage clair la façon dont leur entreprise détruit les renseignements personnels de ses clients et la durée de conservation de ceux-ci. En réponse à ces questions, deux tiers (66 %) des représentants d’entreprise ont affirmé que la politique de leur entreprise sur la protection des renseignements personnels explique la façon dont ces renseignements sont détruits, et près de six représentants sur dix (57 %) ont indiqué que la politique de leur entreprise dans ce domaine explique la durée de conservation des renseignements personnels.

Version textuelle de la figure 7

Figure 7 : Caractéristiques des politiques sur la protection des renseignements personnels

Votre politique sur la protection des renseignements personnels explique-t-elle en langage clair…

Q19. Votre politique sur la protection des renseignements personnels explique-t-elle en langage clair...? Base : n = 473; entreprises disposant d’une politique sur la protection des renseignements personnels.

Questions	2022	2019	2017
Les fins auxquelles les renseignements sont recueillis, utilisés ou communiqués?	84 %	82 %	95 %
La façon dont les renseignements personnels sont recueillis, utilisés ou communiqués?	83 %	84 %	Aucune donnée comparable n’est disponible pour 2017.
Les renseignements personnels que votre entreprise recueille?	78 %	80 %	92 %
Les parties avec lesquelles les renseignements personnels seront partagés?	72 %	70 %	75 %
La façon dont votre entreprise détruit les renseignements personnels de ses clients?	66 %	Aucune donnée comparable n’est disponible pour 2017 et 2019.	Aucune donnée comparable n’est disponible pour 2017 et 2019.
La durée de conservation des renseignements personnels de ses clients?	57 %	Aucune donnée comparable n’est disponible pour 2017 et 2019.	Aucune donnée comparable n’est disponible pour 2017 et 2019.
Le risque de préjudice en cas d'atteinte?	51 %	52 %	52 %

Les différences entre 2019 et 2022 sont faibles, variant d’à peine deux points de pourcentage, et ne sont donc pas significatives. Par rapport à 2017, moins d’entreprises affirment toutefois que leur politique sur la protection des renseignements personnels explique en langage clair les fins de la collecte, de l’utilisation et de la communication de leurs renseignements personnels (84 % par rapport à 95 % en 2017), la nature des renseignements personnels recueillis (78 % par rapport à 92 %).

Les entreprises du Québec (62 %) sont plus susceptibles que celles de l’Ontario (43 %) d’avoir une politique qui explique clairement le risque de préjudice en cas d’atteinte à la protection des données. De plus, les entreprises qui vendent leurs services ou leurs produits uniquement à des consommateurs (88 %) sont plus susceptibles que celles qui les vendent uniquement à d’autres entreprises (70 %) d’avoir une politique qui explique la façon dont elles recueillent, utilisent ou communiquent les renseignements. Les entreprises qui connaissent leurs obligations en matière de protection des renseignements personnels et celles qui ont adopté une politique d’évaluation des risques sont plus susceptibles d’indique qu’elles disposent d’une politique sur la protection des renseignements personnels qui explique toutes ces dispositions dans un langage clair. Les écarts selon la taille de l’entreprise ne sont pas significatives.

Quatre entreprises sur dix avisent leurs clients lorsqu’elles apportent des modifications à leur politique sur la protection des renseignements personnels.

Quarante-trois pour cent (43 %) des entreprises qui disposent d’une politique sur la protection des renseignements personnels avisent leurs clients lorsqu’elles apportent des modifications à cette politique. Cette proportion est en hausse depuis 2019, année où 36 % des entreprises ont indiqué qu’elles avisaient leurs clients des modifications apportées aux politique. En revanche, près de la moitié (48 %) d’entre elles ont affirmé qu’elles n’avisaient pas les clients de ces modifications. Les autres (10 %) ne savent pas si leur entreprise avise leurs clients à ce sujet ou estiment que cela ne s’applique pas à leur entreprise.

Version textuelle de la figure 8

Figure 8 : Entreprises qui avisent leurs clients des modifications apportées à leur politique sur la protection des renseignements personnels

Q20a. Votre entreprise fait-elle ce qui suit : Aviser les clients quand elle modifie sa politique de protection des renseignements personnels. Base : n=479; entreprises disposant d’une politique sur la protection des renseignements personnels. [NSP/PR : 5 %].

Les entreprises estiment à 43 % qu’elles avisent les clients lorsqu’elles apportent des modifications à leur politique sur la protection des renseignements personnels.

Réponses	% des répondants
Oui, mon entreprise avise les clients lorsqu'elle apporte des modifications à sa politique sur la protection des renseignements personnels.	43 %
Non, mon entreprise n'avise pas les clients lorsqu'elle apporte des modifications à sa politique sur la protection des renseignements personnels.	48 %
Ne s'applique pas/ne sait pas.	10 %

Il n’y a pas de différences entre les sous-groupes à signaler dans le rapport.

La majorité des entreprises rendent l’information sur la protection des renseignements personnels accessibles aux clients; un nombre moins important d’entre elles obtiennent le consentement du client lorsqu’elles modifient leur politique sur la protection des renseignements personnels.

Sept représentants d’entreprise sur dix (70 %) ont affirmé que leur entreprise rendait l’information sur la protection des renseignements personnels facilement accessibles aux clients. Cela représente une augmentation marquée depuis 2019, année où 51 % des entreprises sondées avaient indiqué rendre cette information facilement accessible. Les répondants sont un peu moins nombreux à affirmer que leur entreprise obtient le consentement des clients quand elle modifie ses pratiques de protection de la vie privée (43 % comparativement à 34 % en 2019).

Version textuelle de la figure 9

Figure 9 : Mesures prises pour aviser les clients des pratiques de l’entreprise en matière de protection de la vie privée

Q20b/20d. Votre entreprise fait-elle ce qui suit? Base : 2022 n=473; entreprises disposant d’une politique sur la protection des renseignements personnels. [NSP/PR : 7 %].

Questions	2022	2019
Obtenir le consentement des clients quand elle modifie ses pratiques de protection de la vie privée.	43 %	34 %
Faire en sorte que vos clients aient facilement accès à l’information sur la protection des renseignements personnels.	70 %	51 %

Q20b/20d. Votre entreprise fait-elle ce qui suit? Base : 2022 n=473; entreprises disposant d’une politique sur la protection des renseignements personnels. [NSP/PR : 7 %].

Les entreprises comptant un seul employé (c’est-à-dire les travailleurs autonomes) (78 %) ainsi que les entreprises comptant de cinq à neuf employés (82 %) sont plus susceptibles que les grandes entreprises de faire en sorte que leurs clients aient facilement accès à l’information sur la protection des renseignements personnels.

Au moins la moitié des entreprises ont mis en œuvre la plupart des pratiques de protection de la vie privée.

On a demandé aux représentants si leur entreprise a mis en place une série de pratiques de protection de la vie privée. Au moins la moitié des répondants sondés ont affirmé que leur entreprise a mis en œuvre les pratiques de conformité suivantes en matière de protection de la vie privée : nommer une personne responsable des questions liées à la protection de la vie privée et des renseignements personnels (57 %); élaborer et documenter des politiques internes à l’intention du personnel qui expliquent les obligations en ce qui a trait à la protection des renseignements personnels (51 %); mettre en place des procédures pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels (51 %); et mettre en place des procédures pour gérer les plaintes des clients concernant le traitement de leurs renseignements personnels (51 %). Une proportion moins élevée des répondants (environ le tiers, ou 34 %) indiquent que leur entreprise donne régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels.

Version textuelle de la figure 10

Figure 10 : Pratiques en matière de protection de la vie privée

Q13 à Q17. Base : n = 751; tous les répondants [NSP/PR = 2 % à 6 %]

Questions	% des répondants
Dans votre entreprise, est-ce qu'une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient?	57 %
Votre entreprise a-t-elle élaboré et documenté des politiques internes à l'intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels?	51 %
Y-a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels?	51 %
Y-a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate?	51 %
Votre organisation donne-t-elle régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels?	34 %

Q13 à Q17. Base : n = 751; tous les répondants [NSP/PR = 2 % à 6 %]

Les entreprises situées au Québec sont généralement moins susceptibles d’avoir mis en œuvre des pratiques de conformité en matière de protection de la vie privée. En outre, la probabilité que ces pratiques aient été mises en œuvre augmente en fonction de la taille de l’entreprise et était la plus élevée chez les grandes entreprises pour presque toutes les mesures. Les entreprises qui connaissent leurs obligations en matière de protection des renseignements personnels et celles qui ont adopté une politique d’évaluation du risque sont plus susceptibles d’avoir mis en œuvre toutes ces pratiques de conformité en matière de protection de la vie privée.

Pour l’ensemble des mesures, la conformité aux pratiques en matière de protection de la vie privée est celle ayant diminué depuis 2019. Même si 62 % des entreprises sondées en 2019 ont affirmé qu’une personne dans leur entreprise était nommé responsable des questions liées à la protection de la vie privée, cette proportion a diminué de cinq points de pourcentage pour atteindre 57 % en 2022. En outre, 60 % des entreprises sondées en 2019 ont affirmé avoir mis en place des procédures pour répondre aux demandes des clients concernant l’accès à leurs renseignements; cette proportion a diminué de neuf points de pourcentage pour atteindre 51 % en 2022. De plus, 51 % des entreprises sondées en 2022 ont indiqué que leur entreprise avait mis en place des procédures pour gérer les plaintes des clients; cette proportion est en baisse par rapport à cette de 2019 (58 %).

Comme nous l’avons déjà mentionné, la pandémie peut avoir eu une incidence sur les résultats du sondage, et plus particulièrement, sur les résultats concernant les pratiques en matière de protection de la vie privée. Nous ne saurons pas s’il s’agit de changements durables ou des conséquences engendrées par le contexte dans lequel la recherche a été menée, et ce, jusqu’à ce que ce sondage soit réalisé à nouveau dans deux ans.

Version textuelle de la figure 11

Figure 11 : Pratiques en matière de protection de la vie privée [au fil du temps]

Q13 à Q17.

Questions	2022	2019	2017	2015	2013
Dans votre entreprise, est-ce qu'une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient?	57 %	62 %	59 %	57 %	58 %
Votre entreprise a-t-elle élaboré et documenté des politiques internes à l'intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels?	51 %	55 %	50 %	50 %	51 %
Y-a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels?	51 %	60 %	47 %	Aucune donnée comparable n’est disponible pour 2015.	Aucune donnée comparable n’est disponible pour 2013.
Y-a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate?	51 %	58 %	51 %	50 %	51 %
Votre organisation donne-t-elle régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels?	34 %	39 %	37 %	32 %	34 %

Q13 à Q17.

Les résultats obtenus cette année sont plus similaires à ceux obtenus en 2017 et dans les années précédentes qu’à ceux obtenus en 2019. Nous ne saurons pas s’il s’agit de changements durables ou des conséquences engendrées par le contexte dans lequel la recherche a été menée, et ce, jusqu’à ce que ce sondage soit réalisé à nouveau dans deux ans. Toutefois, comme nous l’avons mentionné précédemment, la pandémie a perturbé la réalisation de la recherche, mais elle peut aussi être à l’origine des changements observés cette année dans les données du sondage.

3. Gestion des risques liés à la protection des renseignements personnels

La présente section porte sur la manière dont les entreprises canadiennes gèrent les risques d’atteinte à la vie privée, y compris les atteintes à la protection des données.

Un tiers des entreprises ont mis en place une politique pour évaluer les risques liés à la protection des renseignements personnels.

Un tiers (33 %) des représentants d’entreprise ont affirmé que leur entreprise dispose de politiques ou de procédures pour évaluer les risques liés à la protection des renseignements personnels liés à leurs activités. Cette proportion représente une légère baisse depuis 2019, année où 38 % des entreprises avaient affirmé disposer d’une politique pour évaluer les risques liés à la protection des renseignements personnels. Plus de la moitié des représentants d’entreprise sondés (59 %) ont indiqué que leur entreprise ne dispose d’aucune politique ou procédure d’évaluation des risques. Les autres (8 %) ne savaient pas si leur entreprise disposait de politiques ou de procédures pour évaluer les risques liés à la protection des renseignements personnels ou ont déclaré spontanément que cela ne s’applique pas.

Version textuelle de la figure 12

Figure 12 : Politiques organisationnelles pour évaluer les risques liés à la protection des renseignements personnels

Q21. Votre entreprise compte-t-elle sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels? Base : n = 751; tous les répondants.

Les répondants estiment à 33 % que leur entreprise dispose d’une politique d’évaluation des risques.

Réponses	% des répondants
Oui, mon entreprise dispose d'une politique d'évaluation des risques.	33 %
Non, mon entreprise ne dispose pas d'une politique d'évaluation des risques.	59 %
Ne s'applique pas/ne sait pas.	8 %

Q21. Votre entreprise compte-t-elle sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels? Base : n = 751; tous les répondants.

Les grandes entreprises sont plus susceptibles d’avoir mis en place des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels. Plus précisément, 49 % des grandes entreprises et 40 % des moyennes entreprises ont indiqué avoir mis en place de telles politiques ou procédures, comparativement à un tiers des petites entreprises (32 %). Les entreprises qui connaissent leurs obligations en matière de protection des renseignements personnels (40 %) sont plus susceptibles que celles qui ne les connaissent pas (10 %) d’avoir mis en place des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels liés à leurs activités.

La grande majorité des entreprises n’ont pas été confrontées à une atteinte à la protection des données.

La grande majorité des représentants d’entreprises (94 %) ont affirmé que leur entreprise n’a pas été confrontée à une atteinte qui a compromis les renseignements personnels de leurs clients. Conformément aux données des années précédentes, très peu (4 %) disent que leur entreprise a été confrontée à une atteinte à la protection des données. La proportion des entreprises ayant été confrontée à une atteinte à la protection des données est passée de 3 % en 2010 à 4 % en 2019.

Version textuelle de la figure 13

Figure 13 : Atteinte à la protection des données

Q24. Votre entreprise a-t-elle déjà été confrontée à une atteinte qui a compromis les renseignements personnels de vos clients?
Base : n = 751; tous les répondants. [NSP/PR : 2 %]

Les répondants indiquent à 94 % que leur entreprise n’a été confrontée à une atteinte à la protection des données.

Réponses	% des répondants
Oui, mon entreprise a été confrontée à une atteinte.	4 %
Non, mon entreprise n'a été confrontée à aucune atteinte.	94 %

Q24. Votre entreprise a-t-elle déjà été confrontée à une atteinte qui a compromis les renseignements personnels de vos clients?

Base : n = 751; tous les répondants. [NSP/PR : 2 %]

Les petites et les moyennes entreprises (94 % et 95 % respectivement) sont plus susceptibles de ne pas avoir été confrontées à une atteinte à la protection des données, comparativement à 87 % des grandes entreprises qui n’ont été confrontées à aucune atteinte.

Parmi les entreprises qui ont été confrontées à une atteinte (n = 31), un peu plus des deux tiers (68 %) ont affirmé qu’elles s’assurent de conserver un registre de toutes les atteintes à la protection des données touchant les renseignements personnels de leurs clients. (Faites preuve de prudence au moment d’interpréter ces résultats, car ils reflètent un très petit échantillon de n = 31.) Pour remédier à la situation, 44 % des entreprises qui ont été confrontées à une atteinte à la protection des données ont averti es personnes concernées, 21 % ont mis en place un système de sécurité ou ont accru la sécurité, 16 % ont suivi les procédures de l’entreprise (non précisées), 14 % ont informé le siège social, les RH ou le service responsable de la protection des renseignements personnels de l’entreprise et 11 % ont examiné leurs politiques ou leurs pratiques en matière de protection des renseignements personnels.

Il n’y a pas de consensus clair quant au degré de préoccupation concernant les possibles atteintes à la protection des données.

On a invité les représentants d’entreprises à évaluer leur degré de préoccupation concernant une atteinte à la protection des données qui compromettrait les renseignements personnels de leurs clients. Avant de poser cette question aux représentants, on leur a fourni l’information suivante :

Les atteintes à la protection des données sont causées par une activité criminelle, un vol, du piratage ou l’erreur d’un employé, comme le fait de laisser un ordinateur portable ou un autre appareil portatif à un endroit inapproprié.

En réponse à cette question, un peu plus d’un représentant sur quatre (28 %) a affirmé être préoccupé par les atteintes à la protection des données (notes de 6 et 7), dont 23 % se disent très préoccupées par une possible atteinte. Toutefois, 41 % des répondants ont indiqué qu’ils ne sont pas préoccupés par de possibles atteintes (notes de 1 et 2), dont 30 % qui ne sont pas du tout préoccupés à ce sujet.

Version textuelle de la figure 14

Figure 14 : Degré de préoccupation concernant les atteintes à la protection des données

Q23. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients? Base : n = 751; tous les répondants [NSP/PR = 3 %].

Degré de préoccupation	% des répondants
Très préoccupé (7)	23 %
6	5 %
5	9 %
4	11 %
3	9 %
2	11 %
Pas du tout préoccupé (1)	30 %

Les entreprises installées au Québec étaient bien plus susceptibles de répondre qu’elles sont très préoccupées par une atteinte à la protection des données (31 % comparativement à la moyenne de 23 %). Tout comme les entreprises québécoises, les entreprises qui vendent leurs services ou leurs produits à la fois aux consommateurs et aux entreprises sont aussi plus susceptibles d’être très préoccupées (27 %), tout comme les entreprises qui connaissent leurs obligations en matière de protection des renseignements personnels (29 %) et les entreprises qui ont mis en place une politique d’évaluation des risques (41 %).

Les préoccupations marquées (notes de 6 et 7) concernant une atteinte à la protection des données ont fluctué au fil du temps, passant d’un minimum de 24 % en 2013 à un maximum de 37 % en 2019. Atteignant un pourcentage de 28 %, le degré de préoccupation élevé a fortement diminué cette année par rapport à 2019. Comme il a été mentionné précédemment, la pandémie pourrait être à l’origine des changements observés cette année dans les données du sondage.

Version textuelle de la figure 15

Figure 15 : Degré de préoccupation concernant les atteintes à la protection des données [au fil du temps]

Q23. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients?

Degré de préoccupation	2011 (n=1 006)	2013 (n=1 006)	2015 (n=1 016)	2017 (n=1 014)	2019 (n=1 003)	2022 (n=751)
Très préoccupé (6 et 7)	32 %	24 %	32 %	28 %	37 %	28 %
Quelque peu préoccupé (de 3 à 5)	23 %	23 %	23 %	20 %	19 %	29 %
Pas du tout préoccupé (1 et 2)	43 %	50 %	44 %	50 %	43 %	41 %

Q23. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients?

4. Sensibilisation aux lois fédérales sur la protection des renseignements personnels et répercussions de ces lois

La présente section porte sur les résultats du sondage en ce qui a trait à la sensibilisation des entreprises à l’égard de leurs responsabilités en vertu des lois sur la protection des renseignements personnels. Les questions figurant dans cette section ont été précédées de la description suivante des lois canadiennes régissant la protection des renseignements personnels.

La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie-Britannique et au Québec, le secteur privé est régi par des lois provinciales, lesquelles sont considérées comme semblables à la loi fédérale.

De nombreuses entreprises sont très sensibilisées à leurs responsabilités aux termes des lois sur la protection des renseignements personnels.

La moitié des représentants d’entreprises (52 %) pensent que leur entreprise est très sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada (note de 6 ou 7), dont 40 % qui ont affirmé que leur entreprise est très sensibilisée à ses responsabilités. De plus, 34 % d’entre eux estiment que leur entreprise est quelque peu sensibilisée à ses responsabilités en matière protection des renseignements personnels (notes de 3 à 5). Au total, 86 % des entreprises sondées sont au moins quelque peu sensibilisées à leurs responsabilités en matière de protection des renseignements personnels. Peu d’entre elles (11 %) ont estimé que le degré de sensibilisation de leur entreprise à cet égard est faible (note de 1 ou 2).

Version textuelle de la figure 16

Figure 16 : Sensibilisation des entreprises à l’égard de leurs responsabilités aux termes des lois sur la protection des renseignements personnels

Q9. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? Base : n = 751; tous les répondants; [NSP/PR = 4 %].

Degré de sensibilisation	% des répondants
Très sensibilisée (7)	40 %
6	12 %
5	19 %
4	8 %
3	7 %
2	4 %
Pas du tout sensibilisée (1)	7 %

Il n’y a pas de différences entre les sous-groupes à signaler dans le rapport.

La proportion de représentants d’entreprises qui déclarent que leur entreprise est très sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada a légèrement diminué cette année par rapport au record de 57 % observé en 2019.

Version textuelle de la figure 17

Figure 17 : Sensibilisation des entreprises à l’égard de leurs responsabilités aux termes des lois sur la protection des renseignements personnels [au fil du temps]

Q9. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada?

Degré de sensibilisation	2011 (n=1 006)	2013 (n=1 016)	2015 (n=1 016)	2017 (n=1 014)	2019 (n=1 003)	2022 (n=751)
Très sensibilisée (6 et 7)	31 %	45 %	43 %	44 %	57 %	52 %
Quelque peu sensibilisée (de 3 à 5)	47 %	42 %	39 %	38 %	33 %	33 %
Pas du tout sensibilisée (1 et 2)	19 %	12 %	17 %	14 %	9 %	11 %

Q9. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada?

Les trois quarts des entreprises ont pris des mesures pour respecter les lois régissant la protection des renseignements personnels.

Près des trois quarts des représentants d’entreprises sondés (74 %) ont affirmé que leur entreprise a pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels. Le pourcentage des entreprises qui respectent les lois n’a pas changé de manière importante depuis 2019 et il demeure plus élevée que les 66 % signalés en 2017.

Version textuelle de la figure 18

Figure 18 : Respect des lois canadiennes régissant la protection des renseignements personnels

Q10. Votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels? Base : n = 751; tous les répondants.

74 % des entreprises ont pris des mesures pour s’assurer qu’elles respectent les lois canadiennes régissant la protection des renseignements personnels.

Réponses	% des répondants
Oui, mon entreprise a pris des mesures pour s'assurer qu'elle respecte les lois.	74 %
Non, mon entreprise n'a pas pris de mesures pour s'assurer qu'elle respecte les lois.	20 %
Ne sait pas	6 %

Q10. Votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels? Base : n = 751; tous les répondants.

Les entreprises situées dans les provinces de l’Atlantique (86 %) et dans l’Ouest canadien (79 %), ainsi que celles installées en Ontario (78 %) étaient beaucoup plus susceptibles d’avoir pris des mesures pour s’assurer qu’elles respectent les lois que les entreprises situées au Québec (58 %). De plus, la probabilité de prendre des mesures pour s’assurer de respecter les lois augmente en fonction de la taille de l’entreprise. En effet, 85 % des grandes entreprises et 82 % des moyennes entreprises ont pris des mesures pour s’assurer qu’elles respectent les lois, comparativement à 73 % des petites entreprises. Les entreprises qui ont affirmé entreposer les renseignements personnels des clients en format électronique au bureau à domicile d’un employé ou de l’employeur (59 %) sont moins susceptibles que les entreprises qui entreposent ces renseignements sur place (77 % en format papier et 76 % en format électronique) ou à l’extérieur chez un tiers (79 %) d’affirmer qu’elles ont pris des mesures pour s’assurer qu’elles respectent les lois canadiennes sur la protection des renseignements personnels.

La moitié des entreprises n’ont pas trouvé facile ou difficile de s’assurer qu’elles respectent les lois.

Plus de neuf entreprises sur dix (94 %) qui ont pris des mesures pour respecter les lois canadiennes sur la protection des renseignements personnels (n = 584) ont trouvé qu’il était moyennement facile (notes de 3 à 5) ou extrêmement facile (notes de 1 et 2) de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels. Très peu de représentants (4 %) ont affirmé que leur entreprise avait éprouvé de grandes difficultés (notes de 6 et 7) à se conformer aux lois dans ce domaine.

Version textuelle de la figure 19

Figure 19 : Degré de difficulté éprouvé pour se conformer aux lois canadiennes régissant la protection des renseignements personnels

Q11. Dans quelle mesure a-t-il été difficile pour votre entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels? Base : n=584; entreprises qui ont pris des mesures pour s’assurer qu’elles respectent les lois. [NSP/PR = 2 %]

Degré de difficulté	% des répondants
Extrêmement difficile (7)	2 %
6	2 %
5	6 %
4	46 %
3	7 %
2	10 %
Extrêmement facile (1)	25 %

Les entreprises qui comptent de deux à quatre employés (40 %) sont plus susceptibles que celles qui comptent de 20 à 99 employés (22 %) ou 100 employés et plus (17 %) d’avoir trouvé extrêmement facile de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels.

La proportion d’entreprises qui trouvent extrêmement facile de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels n’a cessé de croître au fil du temps jusqu’à atteindre un record de 37 % en 2019. Les opinions à ce sujet restent pratiquement les mêmes depuis 2019 (37 % en 2019 comparativement à 35 % des entreprises qui ont affirmé en 2022 que cela était extrêmement facile).

Version textuelle de la figure 20

Figure 20 : Respect des lois canadiennes régissant la protection des renseignements personnels [au fil du temps]

Degré de difficulté	2011 (n=1 006)	2013 (n=1 006)	2017 (n=719)	2019 (n=797)	2022 (n=584)
Extrêmement facile (1 et 2)	28 %	31 %	33 %	37 %	35 %
Moyennement facile (de 3 à 5)	61 %	56 %	56 %	55 %	59 %
Extrêmement difficile (6 et 7)	4 %	6 %	8 %	6 %	4 %
En 2015, la question n’était pas la même. Les données de 2015 ne sont donc pas représentées dans le graphique.

* En 2015, la question n’était pas la même. Les données de 2015 ne sont donc pas représentées dans le graphique.

Un tiers des entreprises savent que le Commissariat offre des ressources.

Précisément un tiers (33 %) des entreprises sondées savent que le Commissariat offre des renseignements et des outils pour les aider à assumer leurs obligations en matière de protection des renseignements personnels. En comparaison, environ deux tiers (65 %) des répondants ont affirmé ne pas savoir que le Commissariat offre des ressources. La proportion des entreprises qui savent que le Commissariat leur offre des ressources n’a pas changé depuis 2019.

Version textuelle de la figure 21

Figure 21 : Connaissance des ressources offertes par le Commissariat à la protection de la vie privée du Canada

Q12. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels? Base : n = 751, tous les répondants. [NSP/PR : 2 %].

33 % des entreprises savent que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils pour les aider à assumer leurs obligations en matière de protection des renseignements personnels.

Réponses	% des répondants
Oui, je savais que le Commissariat offrait des ressources.	33 %
Non, je ne savais pas que le Commissariat offrait des ressources.	65 %

Les entreprises situées en Ontario (39 %) sont plus susceptibles que celles installées au Québec (25 %) de savoir que le Commissariat leur offre des renseignements et des outils pour les aider à respecter leurs obligations en matière de protection des renseignements personnels. La proportion des entreprises qui savent que ces ressources existent est aussi plus élevée chez les moyennes (41 %) et les grandes (56 %) entreprises que chez les petites (32 %).

Annexe

1. Profil des entreprises qui ont répondu au sondage

Les tableaux suivants présentent les caractéristiques des entreprises canadiennes figurant dans l’échantillon du sondage (au moyen des données pondérées).

Type de consommateur	Pourcentage
Vend directement à des consommateurs	36 %
Vend directement à d’autres entreprises/organisations	22 %
Vend directement à des consommateurs et à d’autres entreprises/organisations	41 %
Autres	1 %

Recours à des sous-traitants	Pourcentage
Tout le temps	10 %
Parfois	48 %
Jamais	41 %
Cela dépend	1 %
Ne sait pas/pas de réponse	<1 %

Participation à un partenariat public-privé	Pourcentage
Ne participe pas actuellement à un partenariat public-privé	91 %
Participe actuellement à un partenariat public-privé	3 %
A déjà participé à un partenariat public-privé	<1 %
Ne sait pas/pas de réponse	6 %

Région	Pourcentage
Canada atlantique	7 %
Québec	23 %
Prairies	7 %
Alberta	14 %
Colombie-Britannique	15 %
Ontario (à l’exception de la région du Grand Toronto)	19 %
Région du Grand Toronto	16 %

Taille de l’entreprise	Pourcentage
1 employé (travailleur autonome)	21 %
De 2 à 4 employés	21 %
De 5 à 9 employés	19 %
De 10 à 19 employés	26 %
De 20 à 99 employés	11 %
100 employés et plus	2 %

Revenus	Pourcentage
Moins de 100 000 $	16 %
100 000 $ à moins de 250 000 $	12 %
250 000 $ à moins de 500 000 $	12 %
500 000 $ à moins de 1 000 000 $	11 %
1 000 000 $ à moins de 5 000 000 $	18 %
5 000 000 $ à moins de 10 000 000 $	6 %
10 000 000 $ à moins de 20 000 000 $	2 %
Plus de 20 millions de dollars	2 %
Ne sait pas/Refus	21 %

2. Questionnaire du sondage

Introduction

Bonjour, je m’appelle [nom de l’intervieweur]. Préférez-vous que je continue en français ou en anglais?/Would you prefer that I continue in English or French?

Je vous appelle au nom de Phoenix SPI, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du commissaire à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.

Pourrais-je parler à la personne au sein de votre entreprise qui connaît le mieux les types de renseignements personnels que vous recueillez au sujet de vos clients ainsi que la façon dont ces renseignements sont conservés et utilisés? Il pourrait s’agir du chef de la protection des renseignements personnels de votre entreprise, si ce poste existe.

SI LA PERSONNE EST DISPONIBLE, POURSUIVRE. RÉPÉTER L’INTRODUCTION, AU BESOIN.
SI ELLE N’EST PAS DISPONIBLE, FIXER LE MOMENT D’UN AUTRE APPEL.

Le sondage ne devrait pas durer plus de 15 minutes. Votre participation est volontaire et vos réponses demeureront absolument confidentielles et anonymes.

Est-ce que je peux continuer?

Oui, maintenant [POURSUIVRE]
Non, rappelez plus tard. Fixer la date et l’heure : Date : Heure :
Refusé [MERCI/METTRE FIN À L’APPEL]

Filtrage et renseignements généraux

1. Lequel des énoncés suivants décrit le mieux votre entreprise? [LIRE LA LISTE; ACCEPTER UNE SEULE RÉPONSE]

  01. Elle vend directement à des consommateurs. *
  02. Elle vend directement à d’autres entreprises/organisations.
  03. Elle vend directement à des consommateurs et à d’autres entreprises/organisations
  04. Autres, veuillez préciser :                 
  05. NE PAS LIRE : Organisme sans but lucratif [REMERCIER ET METTRE FIN]
  99. NE PAS LIRE : Ne sait pas/pas de réponse [REMERCIER ET METTRE FIN]

*REMARQUE À L’INTENTION DE L’INTERVIEWEUR : SI L’INTERLOCUTEUR S’INTERROGE SUR L’OPTION (1) « CONSOMMATEURS », DIRE : Cela fait référence à une personne, pas à une entreprise ou à un organisme.

2. Environ combien d’employés travaillent pour votre entreprise au Canada? Veuillez tenir compte des employés à temps partiel comme des équivalents temps plein. [NE PAS LIRE LA LISTE]

  01. Un (c.-à-d. travailleur indépendant)
  02. 2-4
  03. 5-9
  04. 10-19
  05. 20-49
  06. 50-99
  07. 100-149
  08. 150-199
  09. 200-249
  10. 250-299
  11. 300-499
  12. 500-999
  13. 1 000-4 999
  14. Plus de 5 000
  99. NE PAS LIRE : Ne sait pas/pas de réponse [REMERCIER ET METTRE FIN]

3. Pour mener à bien ses activités, votre entreprise a-t-elle recours à des sous-traitants tout le temps, parfois ou jamais?

  01. Tout le temps
  02. Parfois
  03. Jamais
  04. NE PAS LIRE : Cela dépend
  99. NE PAS LIRE : Ne sait pas/pas de réponse

4. Votre entreprise participe-t-elle actuellement à un partenariat public-privé, ce que l’on appelle parfois PPP?

  01. Non
  02. Oui
  03. NE PAS LIRE : L’entreprise a déjà participé à un
      partenariat de ce genre, mais n’y participe plus
  99. NE PAS LIRE : Ne sait pas/pas de réponse

Section 1 : Renseignements personnels des clients

J’aimerais commencer par vous demander quels types de renseignements personnels vous conservez sur vos clients dans votre entreprise. Par renseignements personnels, j’entends tout renseignement qui pourrait permettre d’identifier un individu. Il peut s’agir du nom d’un client, de son adresse courriel, de ses opinions, de l’historique de ses achats ou de ses renseignements financiers, comme son numéro de carte de crédit, mais aussi de données biométriques, telles que des empreintes digitales ou vocales, des photos ou des vidéos, ainsi que l’historique des séances de clavardage ou de messagerie instantanée.

Pour commencer,

5. D’où proviennent les renseignements personnels recueillis par votre entreprise? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES]

  01.	Directement des clients
  02.	D’une autre entreprise, comme un courtier de données,
        un partenaire de la chaîne d’approvisionnement ou un sous-traitant
  03.	Du gouvernement
  04.	De sources accessibles au public, comme des sites Web ou des médias sociaux

6. Que fait votre entreprise des renseignements personnels qu’elle recueille concernant ses clients? Les utilisez-vous pour…? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES]

  01.	Établir le profil des clients à des fins de marketing
  02.	Personnaliser les services ou les produits
  03.	Fournir un service aux clients – par exemple,
        recueillir une adresse de courriel pour envoyer une facture
  04.	Pour des fins de santé publique en lien avec la COVID-19
  05.	Pour d’autres fins. Le cas échéant, veuillez préciser :

7. Parmi les choix suivants, de quelle manière entreposez-vous les renseignements personnels de vos clients dans votre entreprise? Les renseignements sont-ils…? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES]

  01.	Entreposés sur place en format papier
  02.	Entreposés sur place en format électronique
  03.	Entreposés à l’extérieur chez un tiers, par exemple grâce à l’infonuagique
  04.	Entreposés au bureau à domicile d’un employé ou de l’employeur en format papier
  05.	Entreposés au bureau à domicile d’un employé ou de l’employeur en format électronique

[DÉCLARATION SPONTANÉE] L’entreprise n’entrepose pas de renseignements personnels concernant ses clients.

8. Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise? Veuillez utiliser une échelle de 1 à 7, où 1 signifie que cela n’est pas un objectif organisationnel important et 7 signifie qu’il s’agit d’un objectif très important.

Section 2 : Lois canadiennes sur la protection des renseignements personnels et conformité

La Loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit les règles qui régissent la façon dont les entreprises effectuant des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie-Britannique et au Québec, le secteur privé est régi par des lois provinciales, lesquelles sont considérées comme semblables à la loi fédérale.

9. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « pas du tout sensibilisée » et 7 signifie « très sensibilisée ».

10. Votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels?

  01.	Oui 
  02.	Non 
  03.	[DÉCLARATION SPONTANÉE] Ne sait pas

11. [Si Q10=01] Dans quelle mesure a-t-il été difficile pour votre entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « extrêmement facile », 7, « extrêmement difficile ».

12. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels?

  01.	Oui 
  02.	Non 
  03.	[DÉCLARATION SPONTANÉE] Ne connaît pas le Commissariat

REMARQUE À L’INTENTION DE L’INTERVIEWEUR : Si l’interlocuteur pose des questions sur le Commissariat ou la façon de communiquer avec l’organisation, lui donner l’adresse du site Web suivant : priv.gc.ca.

Section 3 : Pratiques de l’entreprise en matière de protection de la vie privée

Maintenant, j’aimerais vous poser des questions sur les pratiques de votre entreprise en matière de protection de la vie privée.

13. Dans votre entreprise, est-ce qu’une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient?

  01.	Oui 
  02.	Non 
  03.	[DÉCLARATION SPONTANÉE] Ne sait pas

14. Votre entreprise a-t-elle élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels?

  01.	Oui 
  02.	Non 
  03.	[DÉCLARATION SPONTANÉE] Ne sait pas

15. Votre organisation donne-t-elle régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels?

  01.	Oui 
  02.	Non 
  03.	[DÉCLARATION SPONTANÉE] Ne sait pas

16. Y a-t-il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels?

  01.	Oui 
  02.	Non 
  03.	[DÉCLARATION SPONTANÉE] Ne sait pas

17. Y a-t-il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate?

  01.	Oui 
  02.	Non 
  03.	[DÉCLARATION SPONTANÉE] Ne sait pas

18. Votre entreprise a-t-elle une politique sur la protection des renseignements personnels?

  01.	Oui 
  02.	Non 
  03.	[DÉCLARATION SPONTANÉE] Ne sait pas

19. [Si Q18=01] Votre politique sur la protection des renseignements personnels explique-t-elle en langage clair...? [LIRE LA LISTE]

La façon dont votre entreprise recueille, utilise et communique les renseignements personnels de ses clients
Les renseignements personnels que votre entreprise recueille auprès de ses clients
Les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés ou communiqués
Les parties avec lesquelles les renseignements personnels des clients seront partagés
La durée de conservation des renseignements personnels de ses clients
Le risque de préjudice à la personne, le cas échéant, en cas d’atteinte à la protection des données
La façon dont votre entreprise détruit les renseignements personnels de ses clients lorsqu’elle n’en a plus besoin

CHOIX DE RÉPONSES :

  01.	Oui
  02.	Non
  98.	[DÉCLARATION SPONTANÉE] Ne s’applique pas
  99.	[DÉCLARATION SPONTANÉE] Ne sait pas

Toujours à propos de la collecte et de l’utilisation que fait votre entreprise des renseignements personnels…

20. [Si Q18=01] Votre entreprise fait-elle ce qui suit? [LIRE LA LISTE]

Aviser les clients quand elle modifie sa politique de protection des renseignements personnels.
Obtenir le consentement des clients quand elle modifie ses pratiques de protection de la vie privée.
Indiquer clairement si la collecte, l’utilisation ou la communication des renseignements est une condition de service.
Faire en sorte que vos clients aient facilement accès à l’information sur la protection des renseignements personnels.
Expliquer comment les clients peuvent soulever leurs préoccupations concernant la protection de la vie privée ou poser des questions à ce sujet.
Expliquer comment les clients peuvent demander l’accès à leurs renseignements personnels.
Expliquer comment les clients peuvent déposer une plainte officielle concernant la protection de la vie privée.

CHOIX DE RÉPONSES :

  01.	Oui
  02.	Non
  98.	[DÉCLARATION SPONTANÉE] Ne s’applique pas
  99.	[DÉCLARATION SPONTANÉE] Ne sait pas

Section 4 : Évaluation du risque et atteintes

21. Votre entreprise compte-t-elle sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels? Cela comprend l’évaluation des risques liés à la création ou à l’utilisation de nouvelles technologies ou de nouveaux produits ou services.

  01.	Oui
  02.	Non
  98.	[DÉCLARATION SPONTANÉE] Ne s’applique pas
  99.	[DÉCLARATION SPONTANÉE] Ne sait pas

Les atteintes à la protection des données sont causées par une activité criminelle, un vol, du piratage ou l’erreur d’un employé, comme le fait de laisser un ordinateur portable ou un autre appareil portatif à un endroit inapproprié.

22. Dans quelle mesure votre entreprise est-elle prête à réagir à une atteinte à la protection des données touchant les renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « n’est pas du tout prête à réagir » à une atteinte à la protection des données et 7 signifie « tout à fait prête à intervenir ».

23. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « pas du tout préoccupé » et 7, « très préoccupé ».

24. Votre entreprise a-t-elle déjà été confrontée à une atteinte qui a compromis les renseignements personnels de vos clients?

  01.	Oui
  02.	Non
  99.	[DÉCLARATION SPONTANÉE] Ne sait pas

25. [Si Q24=01] Votre entreprise s’assure-t-elle de conserver un registre de toutes les atteintes à la protection des données touchant les renseignements personnels de vos clients?

  01.	Oui
  02.	Non
  99.	[DÉCLARATION SPONTANÉE] Ne sait pas

26. [Si Q24=01] Qu’a fait votre entreprise pour régler cette situation? [NE PAS LIRE LA LISTE. ACCEPTER PLUSIEURS RÉPONSES]

  01.	Averti les personnes concernées
  02.	Averti les organismes gouvernementaux responsables
        de l’application des lois canadiennes sur la protection
        des renseignements personnels
  03.	Averti les forces de l’ordre
  04.	Suivi les procédures adéquates (en général)
  05.	Averti le siège social, les RH ou le service responsable
        de la protection des renseignements personnels de l’entreprise
  06.	Recouru à un conseiller juridique ou une poursuite en justice
  07.	Réglé le problème avec les personnes responsables de
        l’atteinte (p. ex. congédiement de l’employé ou réprimande)
  08.	Obtention de renseignements du gouvernement (sites Web, numéros 1-800)
  09.	Formation ou formation d’appoint du personnel
  10.	Examen des politiques ou des pratiques en matière
        de protection des renseignements personnels
  11.	Mis en place d’un système de sécurité ou accroissement de la sécurité
  88.	Autres (préciser) :  
  99.	Ne sait pas

Section 5 : Profil de l’entreprise

Ces dernières questions n’ont qu’une visée statistique, et toutes les réponses sont confidentielles.

27. Dans quelle industrie ou dans quel secteur exercez-vous des activités? Si votre entreprise exerce des activités dans plusieurs secteurs, veuillez indiquer le secteur principal. [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]

  01.	Services d’hébergement et de restauration
  02.	Services administratifs, services de soutien, 
        services de gestion des déchets et services d’assainissement
  03.	Agriculture, foresterie, pêche et chasse
  04.	Arts, divertissements et loisirs
  05.	Secteur de la construction
  06.	Services d’éducation
  07.	Finances et assurances
  08.	Soins de santé et assistance sociale 
  09.	Industrie de l’information et industrie culturelle 
  10.	Gestion de sociétés et d’entreprises 
  11.	Secteur manufacturier
  12.	Extraction minière et extraction de pétrole et de gaz
  13.	Autres services (à l’exception de l’administration publique)
  14.	Services professionnels, scientifiques et techniques 
  15.	Administration publique
  16.	Services immobiliers et services de location et de location à bail
  17.	Commerce de détail 
  18.	Transport et entreposage
  19.	Services publics
  20.	Commerce de gros 
  88.	Autres. Veuillez préciser :

28. Quel est votre poste dans l’organisation? [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]

  01.	Propriétaire, président ou PDG 
  02.	Directeur général ou autre gestionnaire 
  03.	Gestionnaire de la TI 
  04.	Administration
  05.	Vice-président 
  06.	Analyste, agent ou coordonnateur en matière de protection
        des renseignements personnels
  07.	Conseiller juridique ou avocat
  08.	RH/Opérations 
  88.	Autres : préciser

29. Quelle catégorie correspond aux revenus de votre entreprise en 2021 [LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]

  01.	Moins de 100 000 $
  02.	De 100 000 $ à 249 999 $
  03.	De 250 000 $ à 499 999 $
  04.	De 500 000 $ à 999 999 $
  05.	De 1 000 000 $ à 4 999 999 $
  06.	De 5 000 000 $ à 9 999 999 $
  07.	De 10 000 000 $ à 19 999 999 $
  08.	Plus de 20 millions de dollars
  99.	NE PAS LIRE : PRÉFÈRABLE DE NE PAS DIRE

Cela met fin au sondage. Merci de votre temps et de vos commentaires; nous vous sommes reconnaissants de votre participation.

Notes

Note de bas de page 1

Voir la série de Statistique Canada : « La COVID-19 au Canada : le point sur les répercussions sociales et économiques après un an », catalogue n^o 11-631-X, et « Les répercussions de la COVID-19 sur les petites entreprises au Canada », catalogue n^o 45-28-0001.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

La formule utilisée pour calculer le taux de réponse est la suivante : [P=P/(NR+RP+P)]. Ainsi, le taux de réponse correspond au nombre de participants [P], divisé par le nombre de cas non résolus [NR] plus le nombre de répondants potentiels non participants [RP] – ménages et répondants combinés – plus le nombre de participants [P].

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Retour à la référence de la note de bas de page 3

Date de modification :: 2022-08-11

Sondage de 2021-2022 auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels

Table des matières

Rapport final

Liste des figures

Résumé

But, objectifs et utilisation des résultats

Méthodologie

Information contextuelle

Principales constatations

Bon nombre d’entreprises disposent d’une politique sur la protection des renseignements personnels, mais elles sont moins nombreuses à déclarer en avoir une en 2022 qu’en 2019.

Au moins la moitié des entreprises canadiennes ont mis en œuvre la plupart des pratiques de conformité en matière de protection des renseignements mesurées au moyen du sondage.

Plus de neuf entreprises sur dix n’ont pas connu d’atteinte à la vie privée.

De nombreuses entreprises sont bien sensibilisées à leurs responsabilités aux termes des lois sur la protection des renseignements personnels.

Valeur du contrat

Attestation de neutralité politique

Introduction

Contexte

But et objectifs de la recherche

Méthodologie

Information contextuelle

Notes aux lecteurs

Conclusions détaillées

1. Utilisation et entreposage des renseignements sur les clients

De nombreuses entreprises utilisent les renseignements personnels qu’elles recueillent pour fournir un service

Figure 1 : Utilisation des renseignements personnels des clients recueillis par les entreprises

Un grand nombre d’entreprises indiquent clairement si la collecte, l’utilisation ou la communication des renseignements est une condition de service ou non

Figure 2 : Communication, collecte ou utilisation des renseignements des clients

De nombreuses entreprises entreposent les renseignements personnels sur place, en format électronique.

Figure 3 : Méthodes utilisées par les entreprises pour entreposer les renseignements personnels

2. Pratiques de l’entreprise en matière de protection des renseignements personnels

La majorité des entreprises accordent une grande importance à la protection des renseignements personnels de leurs clients.

Figure 4 : Importance que les entreprises accordent à la protection des renseignements personnels des clients

Figure 5 : Importance que les entreprises accordent à la protection des renseignements personnels des clients [au fil du temps]

Plus de la moitié des entreprises ont adopté une politique sur la protection des renseignements personnels.

Figure 6 : Politique sur la protection des renseignements personnels

La majorité des entreprises qui disposent d’une politique sur la protection des renseignements personnels expliquent divers éléments en langage clair.

Figure 7 : Caractéristiques des politiques sur la protection des renseignements personnels

Quatre entreprises sur dix avisent leurs clients lorsqu’elles apportent des modifications à leur politique sur la protection des renseignements personnels.

Figure 8 : Entreprises qui avisent leurs clients des modifications apportées à leur politique sur la protection des renseignements personnels

La majorité des entreprises rendent l’information sur la protection des renseignements personnels accessibles aux clients; un nombre moins important d’entre elles obtiennent le consentement du client lorsqu’elles modifient leur politique sur la protection des renseignements personnels.

Figure 9 : Mesures prises pour aviser les clients des pratiques de l’entreprise en matière de protection de la vie privée

Au moins la moitié des entreprises ont mis en œuvre la plupart des pratiques de protection de la vie privée.

Figure 10 : Pratiques en matière de protection de la vie privée

Figure 11 : Pratiques en matière de protection de la vie privée [au fil du temps]

3. Gestion des risques liés à la protection des renseignements personnels

Un tiers des entreprises ont mis en place une politique pour évaluer les risques liés à la protection des renseignements personnels.

Figure 12 : Politiques organisationnelles pour évaluer les risques liés à la protection des renseignements personnels

La grande majorité des entreprises n’ont pas été confrontées à une atteinte à la protection des données.

Figure 13 : Atteinte à la protection des données

Il n’y a pas de consensus clair quant au degré de préoccupation concernant les possibles atteintes à la protection des données.

Figure 14 : Degré de préoccupation concernant les atteintes à la protection des données

Figure 15 : Degré de préoccupation concernant les atteintes à la protection des données [au fil du temps]

4. Sensibilisation aux lois fédérales sur la protection des renseignements personnels et répercussions de ces lois

De nombreuses entreprises sont très sensibilisées à leurs responsabilités aux termes des lois sur la protection des renseignements personnels.

Figure 16 : Sensibilisation des entreprises à l’égard de leurs responsabilités aux termes des lois sur la protection des renseignements personnels

Figure 17 : Sensibilisation des entreprises à l’égard de leurs responsabilités aux termes des lois sur la protection des renseignements personnels [au fil du temps]

Les trois quarts des entreprises ont pris des mesures pour respecter les lois régissant la protection des renseignements personnels.

Figure 18 : Respect des lois canadiennes régissant la protection des renseignements personnels

La moitié des entreprises n’ont pas trouvé facile ou difficile de s’assurer qu’elles respectent les lois.

Figure 19 : Degré de difficulté éprouvé pour se conformer aux lois canadiennes régissant la protection des renseignements personnels

Figure 20 : Respect des lois canadiennes régissant la protection des renseignements personnels [au fil du temps]

Un tiers des entreprises savent que le Commissariat offre des ressources.

Figure 21 : Connaissance des ressources offertes par le Commissariat à la protection de la vie privée du Canada

Annexe

1. Profil des entreprises qui ont répondu au sondage

2. Questionnaire du sondage

Introduction

Filtrage et renseignements généraux

Section 1 : Renseignements personnels des clients

Section 2 : Lois canadiennes sur la protection des renseignements personnels et conformité

Section 3 : Pratiques de l’entreprise en matière de protection de la vie privée

Section 4 : Évaluation du risque et atteintes

Section 5 : Profil de l’entreprise

Table des matières