Sélection de la langue

Recherche

Sondage de 2023-2024 mené auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels

Rapport final

Préparé pour le Commissariat à la protection de la vie privée du Canada

Nom du fournisseur : Phoenix SPI
Numéro de contrat : CW2334458
Date d’attribution : 2023-10-18
Valeur du contrat : 72 252,20 $ (taxes applicables comprises)
Date de livraison : 2024-03-06
Numéro d’enregistrement : ROP No: 073-23
Pour plus d’information, veuillez écrire à l’adresse suivante : publications@priv.gc.ca.

This report is also available in English.


Sondage de 2023-2024 mené auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels

Rapport final

Préparé pour le Commissariat à la protection de la vie privée du Canada
Nom du fournisseur : Phoenix Strategic Perspectives Inc.
Mars 2024

Le présent rapport de recherche sur l’opinion publique présente les résultats d’un sondage téléphonique mené par Phoenix SPI pour le compte du Commissariat à la protection de la vie privée du Canada. Le sondage a été mené auprès de 800 représentants d’entreprises canadiennes, entre le 21 novembre et le 21 décembre 2023.

La présente publication peut être reproduite à des fins non commerciales seulement. Il faut cependant avoir obtenu au préalable l’autorisation écrite du Commissariat à la protection de la vie privée du Canada. Pour obtenir des renseignements supplémentaires sur le présent rapport, veuillez communiquer avec le Commissariat à la protection de la vie privée du Canada par courriel, à l’adresse suivante : publications@priv.gc.ca, ou par la poste, à l’adresse suivante :

Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec)  K1A 1H3

Numéro de catalogue : IP54-96/2024F-PDF

Numéro international normalisé du livre (ISBN) : 978-0-660-71663-3

Documents connexes (numéro d’enregistrement de la ROP : POR 073-23)
Numéro de catalogue (rapport final, anglais) : IP54-96/2024E-PDF
ISBN : 978-0-660-71662-6

Also available in English under the title: “2023-24 Survey of Canadian businesses on privacy-related issues”.


Liste des figures


Résumé

Le Commissariat à la protection de la vie privée du Canada a retenu les services de Phoenix Strategic Perspectives (Phoenix SPI) afin de réaliser une étude quantitative auprès des entreprises canadiennes sur les enjeux liés à la protection des renseignements personnels.

But, objectifs et utilisation des résultats

Pour répondre à ses besoins en matière de renseignements, le Commissariat réalise tous les deux ans des sondages auprès des entreprises afin d’éclairer et d’orienter les efforts de sensibilisation. La présente recherche visait à recueillir des données sur le type de politiques et de pratiques de protection des renseignements personnels mises en œuvre par les entreprises; sur le respect de la loi par les entreprises; ainsi que sur la sensibilisation des entreprises à la protection des renseignements personnels et leurs approches en la matière. Les résultats du sondage permettront au Commissariat de fournir une orientation aux individus et aux organisations sur les enjeux liés à la protection des renseignements personnels et de renforcer ses efforts de sensibilisation auprès des petites entreprises, ce qui peut être un moyen efficace d’apporter des changements positifs en matière de protection des renseignements personnels.

Méthodologie

Un sondage téléphonique de 15 minutes a été réalisé auprès de 800 entreprises d’un bout à l’autre du Canada, entre le 21 novembre et le 21 décembre 2023. Les répondants ciblés étaient des décideurs de haut niveau ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes. Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage : petite (1 à 19 employés); moyenne (20 à 99 employés); et grande (100 employés et plus). Les résultats ont été pondérés selon la taille, le secteur et la région au moyen des données de Statistique Canada afin de veiller à ce qu’elles reflètent la distribution réelle des entreprises au Canada. Les résultats obtenus au moyen d’un échantillon de cette taille comportent une marge d’erreur de ± 3,5 %, 19 fois sur 20.

Principales constatations

La plupart des entreprises canadiennes sont sensibilisées aux responsabilités qui leur incombent en vertu des lois canadiennes sur la protection des renseignements personnels et ont pris des mesures pour s’assurer de respecter ces lois.

  • Au total, 88 % des représentants d’entreprise ont déclaré que leur entreprise est au moins modérément sensibilisée à ses responsabilités en matière de protection des renseignements personnels, et près de la moitié d’entre elles (47 %) sont très sensibilisées à ces responsabilités. Depuis 2019, la proportion d’entreprises qui déclarent être très sensibilisées à ses responsabilités en matière de protection des renseignements personnels n’a pas cessé de diminuer, passant de 57 % en 2019 à 52 % en 2022, puis à 47 % cette année.
  • Près des trois quarts des représentants d’entreprises sondés (76 %) ont affirmé que leur entreprise a pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels. Le pourcentage des entreprises qui respectent les lois n’a pas changé de manière importante depuis 2019, et il demeure plus élevé que les 66 % enregistrés en 2017. La probabilité de prendre des mesures pour assurer la conformité augmente avec la taille de l’entreprise, passant de 75 % pour les petites entreprises à 94 % pour les grandes.
  • En tout, 93 % des entreprises qui ont pris des mesures pour se conformer aux lois canadiennes sur la protection des renseignements personnels ont estimé qu’il était modérément ou extrêmement facile de rendre conformes leurs pratiques en matière de traitement des renseignements personnels. La proportion d’entreprises qui ont estimé qu’il était extrêmement facile d’assurer leur conformité a augmenté de manière importante cette année, passant de 35 % en 2022 à 56 % en 2023.
  • Peu de difficultés en matière de conformité ont été nommées : manque de connaissance (6 %) ou de compréhension des lois sur la protection des renseignements personnels (6 %), difficulté à intégrer les mesures de protection des renseignements personnels aux systèmes et aux processus déjà en place (5 %), manque de ressources internes ou d’une équipe affectée à la protection des renseignements personnels (4 %), manque de compétences techniques (2 %) et coût financier de la mise en conformité (2 %); ce qui souligne la facilité avec laquelle les entreprises étaient en mesure de se conformer aux lois canadiennes sur la protection des renseignements personnels.

La connaissance des entreprises à propos des renseignements et des outils du Commissariat a considérablement augmenté, mais seulement une entreprise sur quatre a utilisé ces ressources pour se conformer à ses obligations en matière de protection des renseignements personnels.

  • Quatre représentants d’entreprises sondés sur dix (41 %, contre 33 % en 2022) savent que le Commissariat offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels. Le pourcentage de représentants d’entreprise qui ont autodéclaré l’utilisation de ces ressources a augmenté cette année, passant de 17 % en 2013 à 26 % en 2023. Ce pourcentage demeure toutefois inférieur à celui des représentants sondés connaissant ces ressources. Ce fait peut s’expliquer notamment par l’absence de besoin, mentionnée par 31 % des représentants qui connaissaient les ressources du Commissariat, mais qui ont déclaré que leur entreprise ne les avait pas utilisées.

Au moins la moitié des entreprises canadiennes ont mis en œuvre la plupart des pratiques en matière de protection de la vie privée évaluées au moyen du sondage. Le pourcentage de mise en œuvre est pratiquement le même depuis 2022, année au cours de laquelle une baisse avait été signalée pour toutes les mesures. En plus d’assumer leurs obligations en matière de protection de la vie privée, de nombreuses entreprises ont également déclaré avoir pris des mesures pour protéger les renseignements personnels.

  • Au moins la moitié des répondants ont affirmé que leur entreprise a mis en œuvre les pratiques de protection de la vie privée suivantes : nommer une personne responsable des questions liées à la protection de la vie privée et des renseignements personnels (56 %); mettre en place des procédures pour gérer les plaintes des clients concernant le traitement de leurs renseignements personnels (53 %) ainsi que pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels (50 %); et élaborer des politiques internes à l’intention du personnel qui expliquent les obligations en ce qui a trait à la protection des renseignements personnels (50 %). Exactement le tiers des répondants (33 %) ont indiqué que leur entreprise donne régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels. La probabilité d’avoir mis en œuvre ces pratiques augmentait en fonction de la taille de l’entreprise et était la plus élevée parmi les grandes entreprises pour presque toutes les mesures.
  • Nouveauté observée cette année : les entreprises ont été sondées sur les mesures de sécurité utilisées pour protéger les données de leurs clients et de leurs employés. Environ huit représentants d’entreprises sur dix ont déclaré que leur entreprise exigeait des mots de passe pour accéder aux comptes (83 %) et contrôlait l’accès des employés aux fichiers électroniques (79 %). Un peu plus de la moitié des répondants ont déclaré que leur entreprise utilisait l’authentification multifactorielle (53 %) et cryptait les données entreposées (49 %), tandis qu’un tiers d’entre elles (33 %) cryptaient ses communications.

Bon nombre d’entreprises disposent d’une politique sur la protection des renseignements personnels, mais elles sont moins nombreuses à déclarer en avoir une au fil des années. La plupart des entreprises qui disposent d’une politique de protection des renseignements personnels utilisent un langage clair pour expliquer leurs pratiques en matière de renseignements personnels des clients.

  • Un peu plus de la moitié (55 %) des représentants d’entreprises sondés ont déclaré que leur entreprise disposait d’une telle politique. Au fil du temps, la proportion de ces entreprises a diminué, passant de 65 % en 2019 à 59 % en 2022, puis à 55 % cette année. La probabilité d’avoir mis en place une politique sur la protection des renseignements personnels est plus élevée chez les grandes entreprises. Près de neuf grandes entreprises sur dix (87 %) disposent d’une telle politique, contre deux tiers (67 %) des moyennes entreprises et environ la moitié (53 %) des petites entreprises.
  • Les résultats de 2023 sont généralement cohérents avec ceux des années précédentes lorsqu’il s’agit de relever si les politiques sur la protection des renseignements personnels des entreprises sont rédigées en langage clair. La plupart de ces politiques expliquent en langage clair les éléments suivants : les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés ou communiqués (85 %), la nature des renseignements personnels recueillis (81 %) et les méthodes utilisées par l’entreprise pour recueillir, utiliser et communiquer ces renseignements (80 %). En outre, un grand nombre de répondants ont déclaré que la politique de leur entreprise explique avec quelles parties les renseignements personnels seront partagés (70 %) et comment ils seront détruits (62 %), tandis qu’un peu plus de la moitié (55 %) déclarent que la politique de leur entreprise explique les risques de préjudice en cas d’atteinte à la protection des données. Le seul changement notable au fil du temps a été la proportion d’entreprises qui précisent, en langage clair, la durée de conservation des renseignements personnels de ses clients. Cette proportion est passée de 57 % en 2022 à 67 % en 2023.
  • Aux représentants des entreprises qui ont déclaré que leur entreprise avait une politique sur la protection des renseignements personnels, on a également demandé si leur entreprise communiquait à ses clients différentes explications sur ses pratiques en matière de protection des renseignements personnels. Le changement le plus important d’une année à l’autre comprend une baisse de la proportion d’entreprises qui expliquent comment les clients peuvent déposer une plainte officielle en matière de protection de la vie privée (de 60 % en 2022 à 49 % en 2023), qui rendent l’information sur la protection des renseignements personnels facilement accessible (de 70 % en 2022 à 60 % en 2023) et qui expliquent comment les clients peuvent demander l’accès à leurs renseignements personnels (de 69 % en 2022 à 59 % cette année).

Peu d’entreprises ont été confrontées à une atteinte à la protection des données, mais la moitié d’entre elles sont prêtes à réagir à une atteinte touchant des renseignements personnels.

  • Au total, 93 % des entreprises n’auraient pas été confrontées à une atteinte à la vie privée. Le nombre d’atteintes à la protection des données signalées est demeuré constant au cours de la dernière décennie (4 % en 2013, 2019 et 2022 et 6 % en 2023).
  • Plus de huit répondants sur dix (84 %) ont déclaré que leur entreprise était au moins quelque peu préparée à réagir à une atteinte à la protection de données touchant des renseignements personnels, dont près de la moitié (46 %) ont déclaré que leur entreprise était tout à fait prête à intervenir.

Valeur du contrat

La valeur du contrat était de 72 252,20 $ (taxes applicables comprises).

Attestation de neutralité politique

À titre de cadre supérieure de Phoenix Strategic Perspectives, j’atteste que le rapport livré est entièrement conforme aux exigences en matière de neutralité politique du gouvernement du Canada énoncées dans la Politique de communication du gouvernement du Canada et à la Procédure de planification et d’attribution de marchés de services de recherche sur l’opinion publique. Plus précisément, ce rapport ne renferme pas d’information sur les intentions de vote, les préférences quant aux partis politiques, les positions des partis ou l’évaluation de la performance d’un parti politique ou de son chef.

Document original a été signé par

Alethea Woods
Présidente
Phoenix Strategic Perspectives Inc.


Introduction

La société Phoenix Strategic Perspectives Inc. (Phoenix SPI) a été mandatée par le Commissariat à la protection de la vie privée du Canada afin de mener une recherche sur l’opinion publique (ROP) auprès d’entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels.

Contexte

À titre de défenseur du droit à la vie privée des Canadiens, le Commissariat est autorisé à enquêter sur les plaintes et à mener des vérifications en vertu de deux lois fédérales, à publier de l’information sur les pratiques de traitement des renseignements personnels dans les secteurs public et privé et à effectuer de la recherche sur les enjeux liés à la protection des renseignements personnels.

Mandaté par le Parlement pour agir à titre d’ombudsman et de gardien de la vie privée au Canada, le Commissariat est chargé de faire respecter la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui s’applique aux activités commerciales dans les provinces de l’Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Le Québec, l’Alberta et la Colombie-Britannique possèdent leur propre loi sur la protection des renseignements personnels applicable au secteur privé. Toutefois, même dans ces provinces, la LPRPDE s’applique aux entreprises du secteur privé sous réglementation fédérale ainsi qu’aux renseignements personnels obtenus dans le cadre d’activités interprovinciales et internationales.

But et objectifs de la recherche

Compte tenu de son mandat, le Commissariat doit comprendre dans quelle mesure les entreprises connaissent les enjeux liés à la protection des renseignements personnels et savoir quel type de politiques et de pratiques en la matière elles ont mis en place. Le Commissariat doit également évaluer la conformité à la loi. Pour ce faire, il est également important que le Commissariat comprenne le niveau de sensibilisation des entreprises à la protection des renseignements personnels et leurs approches en la matière.

La présente recherche vise à permettre de mieux comprendre la mesure dans laquelle les entreprises connaissent les exigences et les enjeux liés à la protection des renseignements personnels. Elle vise aussi à en savoir plus sur les types de politiques et de pratiques en la matière adoptées par les entreprises et à déterminer les besoins en information de ces dernières dans ce domaine. Les résultats du sondage serviront à éclairer et à orienter les efforts déployés par le Commissariat pour sensibiliser les entreprises.

Méthodologie

Un sondage téléphonique de 15 minutes a été réalisé auprès de 800 entreprises d’un bout à l’autre du Canada, entre le 21 novembre et le 21 décembre 2023. Les répondants ciblés étaient des décideurs de haut niveau ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes. Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage : petite (de 1 à 19 employés); moyenne (de 20 à 99 employés) et grande (100 employés et plus). L’échantillon provient de la société Dun & Bradstreet (D&B Canada). Les entrevues ont été réalisées au moyen d’une technologie d’entrevues téléphoniques assistées par ordinateur. Les résultats ont été pondérés selon la taille, le secteur et la région au moyen des données de Statistique Canada afin de veiller à ce qu’elles reflètent la distribution réelle des entreprises au Canada. Les résultats obtenus au moyen d’un échantillon de cette taille comportent une marge d’erreur de ± 3,5 %, 19 fois sur 20.

Le tableau ci-dessous présente des renseignements sur la répartition finale des appels pour le sondage, ainsi que les taux de réponse connexes. La formule utilisée pour calculer le taux de réponse [TR] est la suivante : [TR=UR/(NR+UNR+UR)]. Ainsi, le taux de réponse correspond au nombre d’unités répondantes [UR], divisé par le nombre de cas non résolus [NR] plus le nombre de répondants potentiels qui n’ont pas répondu [UNR] – ménages et répondants combinés – plus le nombre d’unités répondantes [UR].

Répartition finale des appels Total
Nombre total de tentatives d’appel 12 598
Répondants non admissibles – non valides 2 226
Non résolu (NR) 5 759

Aucune réponse/répondeur

5 759
Répondants potentiels – unités non répondantes (UNR) 5 365

Barrière linguistique

74

Impossibilité de réaliser l’entrevue téléphonique (maladie ou décès)

91

Rappel (répondant non disponible)

1 722

Refus

3 473

Interruption

128
Répondants potentiels – unités répondantes (UR) 938

Entrevues réalisées

800

Non admissible (à but non lucratif)

127

Non admissible (ignore combien l’entreprise compte d’employés)

11
Taux de réponse (TR) 8 %

Notes aux lecteurs

  • Les résultats sont comparés à ceux de sondages semblables menés en 2011, 2013, 2015, 2017, 2019 et 2022.
  • Sauf indication contraire, tous les résultats sont exprimés en pourcentages. Il est possible que la somme des pourcentages ne corresponde pas toujours à 100 % en raison de l’arrondissement des nombres et des questions pour lesquelles de multiples réponses étaient permises.
  • Parfois, le nombre de répondants change dans le rapport parce qu’on a posé des questions à des sous-échantillons de la population du sondage. Les lecteurs devraient en être conscients et faire preuve de prudence lorsqu’ils interprètent des résultats obtenus auprès d’un plus petit nombre de répondants.
  • Les tailles des bases indiquées dans les graphiques correspondent au nombre réel de répondants à qui la question a été posée, le cas échéant.
  • Les différences entre les sous-groupes sont décrites dans le rapport. Lorsqu’on ne fait pas mention de variations entre les sous-groupes, il est présumé qu’aucune variation importante n’est à noter.
    • Si une catégorie ou plus d’un sous-groupe n’est pas mentionné dans l’explication des variations entre les sous-groupes (par exemple, si seulement deux régions parmi quatre sont comparées), on peut conclure que seules les catégories en question présentaient des variations considérables.
    • On ne fait mention que des variations entre les sous-groupes qui sont statistiquement significatives à un niveau de confiance de 95 % et qui se rapportent à un échantillon de sous-groupes d’une taille supérieure à n = 30 ou qui s’inscrivent dans un modèle ou une tendance.
  • Le questionnaire du sondage est fourni en annexe au présent rapport.

Conclusions détaillées

1. Renseignements personnels des clients

La présente section traite de la manière dont les entreprises canadiennes utilisent et conservent les renseignements personnels qu’elles recueillent auprès de leurs clients.

La plupart des entreprises utilisent les renseignements personnels qu’elles recueillent pour fournir des services.

Plus de huit représentants d’entreprise sondés sur dix (84 %) ont affirmé que leur entreprise utilise les renseignements qu’elle recueille sur ses clients pour fournir un service. Cela pourrait consister, par exemple, à recueillir une adresse de courriel pour envoyer une facture. L’utilisation des renseignements personnels des clients pour fournir un service a augmenté de façon constante, passant de 63 % en 2019 à 84 % cette année. Depuis 2022, près d’un quart (23 %) des répondants ont déclaré que leur entreprise utilisait ces renseignements pour personnaliser ses services ou ses produits. Quinze pour cent (15 %) des représentants ont déclaré que leur entreprise utilise les renseignements personnels de ses clients à des fins d’analyse de données (15 %) et 15 % (contre 11 % en 2022) pour établir des profils de clients à des fins de marketing. Ils sont moins nombreux à déclarer que leur entreprise utilise ces renseignements pour la facturation ou le traitement des paiements (5 %) et pour l’entraînement d’un système d’intelligence artificielle (IA) (1 %).

Figure 1 : Utilisation des renseignements personnels des clients recueillis par les entreprises
figure 1

Q3. Que fait votre entreprise des renseignements personnels qu’elle recueille concernant ses clients? Les utilisez-vous pour…? Réponses multiples acceptées. Base : tous les répondants. *Nouvelles catégories cette année.

Version textuelle de la figure 1
Figure 1 : Utilisation des renseignements personnels des clients recueillis par les entreprises
  2019 (n=1 003) 2022 (n=751) 2023 (n=800)
Pour entraîner un système d’intelligence artificielle (IA)* 1 %
Pour la facturation/le traitement des paiements 7 % 7 % 5 %
Pour établir des profils de clients à des fins de marketing 10 % 11 % 15 %
Pour l’analyse de données* 15 %
Pour personnaliser les services ou produits 30 % 22 % 23 %
Pour fournir des services aux clients 63 % 77 % 84 %

Les entreprises qui vendent leurs services ou leurs produits à d’autres entreprises ou à la fois à des entreprises et à des consommateurs étaient beaucoup plus susceptibles que celles qui les vendent uniquement à des consommateurs de signaler qu’elles utilisent les renseignements personnels de leurs clients pour fournir un service (94 % et 89 % respectivement, contre 63 % pour les entreprises qui vendent directement à des consommateurs).

De nombreuses entreprises stockent les renseignements personnels sur place, en format électronique.

Les entreprises canadiennes ont affirmé utiliser diverses méthodes pour conserver les renseignements personnels de leurs clients. Comme les années précédentes, le stockage sur place en format électronique est en tête de liste, mentionné par 68 % des représentants d’entreprises sondés (contre 62 % en 2022). Après le stockage sur place suit le stockage hors site auprès d’un tiers, comme un service nuagiqueNote de bas de page 1. En effet, 41 % des représentants d’entreprises ont déclaré avoir recours à cette façon de faire, qui a d’ailleurs considérablement augmenté cette année, passant de 27 % en 2022 à 41 % en 2023. Enfin, presque autant de répondants (38 %; pratiquement inchangé par rapport à 41 % en 2022) ont déclaré que leur entreprise stocke ces renseignements sur place, en format papier.

En plus de stocker les renseignements sur place ou chez un tiers, un certain nombre d’entreprises ont affirmé que ces renseignements étaient entreposés en format électronique (15 %) ou papier (7 %) au bureau au domicile d’un employé ou de l’employeur.

Figure 2 : Méthodes utilisées par les entreprises pour conserver les renseignements personnels
figure 2

Q4. Comment votre entreprise conserve-t-elle les renseignements personnels de ses clients? Les renseignements sont-ils…? Réponses multiples acceptées. Base : tous les répondants.

Version textuelle de la figure 2
Figure 2 : Méthodes utilisées par les entreprises pour conserver les renseignements personnels
  2019 (n=1 003) 2022 (n=751) 2023 (n=800)
L’entreprise n’entrepose pas de renseignements personnels concernant ses clients 5 % 6 % 6 %
Entreposés au bureau à domicile d’un employé ou de l’employeur en format papier 0 % Aucune donnée comparable pour 2019 7 % 7 %
Entreposés au bureau à domicile d’un employé ou de l’employeur en format électronique 0 % Aucune donnée comparable pour 2019 18 % 15 %
Stockés sur place en format papier 49 % 41 % 38 %
Stockés hors site auprès d’un tiers, comme un service en nuage 21 % 27 % 41 %
Stockés sur place en format électronique 72 % 62 % 68 %

Les entreprises de l’ouest du Canada (79 %) sont les plus susceptibles de stocker les renseignements personnels de leurs clients sur place, en format électronique. En outre, la probabilité de stocker des données sur place en format électronique augmente avec la taille de l’entreprise : 48 % des entreprises à propriétaire unique et 74 % des entreprises comptant 20 employés ou plus. Les grandes entreprises (17 %) et les petites entreprises (15 %) sont plus susceptibles que les moyennes entreprises (7 %) de stocker les renseignements personnels de leurs clients au bureau au domicile d’un employé ou de l’employeur en format électronique.

La probabilité de recourir au stockage hors site auprès d’un tiers, comme un service infonuagique, était plus élevée au Canada atlantique (57 %), en Ontario (45 %) et dans l’ouest du Canada (43 %) qu’au Québec (24 %), ainsi que parmi les entreprises qui vendent uniquement aux entreprises (47 %) ou aux entreprises et aux consommateurs (45 %) par rapport à celles qui vendent exclusivement aux consommateurs (28 %). Le recours à des services d’entreposage par des tiers tend également à être plus important dans les entreprises en activité dans des industries ou des secteurs clés de l’économieNote de bas de page 2, comme les services professionnels, scientifiques et techniques, les finances et les assurances, les industries de l’information et de la culture, ainsi que les arts, les divertissements et les loisirs.

Un très faible nombre d’entreprises envoient des renseignements sur leurs clients en dehors du Canada.

Trois pour cent des représentants d’entreprises sondés ont déclaré que leur entreprise envoyait les renseignements personnels de leurs clients à des entreprises situées en dehors du Canada à des fins de traitement, de stockage ou autres. La grande majorité (95 %) ne le fait pas.

Figure 3 : Circulation transfrontalière des renseignements personnels des clients
figure 3

Q5. Votre entreprise envoie-t-elle des renseignements personnels de ses clients à des entreprises situées en dehors du Canada à des fins de traitement, de stockage ou autres? Base : n = 800; tous les répondants. Ne sait pas : 2 %.

Version textuelle de la figure 3
Figure 3 : Circulation transfrontalière des renseignements personnels des clients
  % des répondants
L’entreprise envoie des renseignements personnels de ses clients à des entreprises situées en dehors du Canada 3 %
L’entreprise n’envoie pas de renseignements personnels de ses clients à des entreprises situées en dehors du Canada 95 %

3 % des entreprises envoient des renseignements sur leurs clients à l’étranger

Parmi les entreprises qui envoient les renseignements personnels de leurs clients en dehors du Canada (n = 26)Note de bas de page 3, les deux tiers (67 %) des représentants d’entreprises sondés ont déclaré que leur entreprise informe les clients que leurs renseignements personnels peuvent quitter le Canada. Les autres entreprises ne le font pas ou le répondant ne le sait pas. Les entreprises qui informent leurs clients (n = 13) Note de bas de page 2 utilisent le plus souvent une politique de confidentialité de l’entreprise pour en informer les clients, suivie d’un accord sur les modalités de services et, enfin, d’un consentement exprès.

2. Technologie

Utilisation limitée de l’IA pour les activités commerciales

Six pour cent des représentants d’entreprises sondés ont déclaré que leur entreprise utilisait l’intelligence artificielle (IA) dans le cadre de ses activités commerciales. Toutefois, la grande majorité (93 %) ne le fait pas.

Figure 4 : Utilisation de l’IA pour les activités commerciales
figure 4

Q8. Votre entreprise utilise-t-elle l’IA pour ses activités commerciales? Base : n = 800; tous les répondants. Je ne sais pas : 1 %

Version textuelle de la figure 4
Figure 4 : Utilisation de l’IA pour les activités commerciales
  % des répondants
L’entreprise utilise l’IA dans le cadre de ses activités commerciales 6 %
L’entreprise n’utilise pas l’IA dans le cadre de ses activités commerciales 93 %

6 % des entreprises utilisent l’IA dans le cadre de leurs activités commerciales

Amélioration des activités commerciales – principale utilisation de l’IA

Parmi les entreprises qui utilisent l’IA pour leurs activités commerciales (n = 39)Note de bas de page 4, la majorité (61 %) le fait pour améliorer ses activités.

Figure 5 : Utilisation de l’IA dans les activités commerciales
figure 5

Q9. De quelle manière votre entreprise utilise-t-elle l’IA dans ses activités commerciales? Réponses multiples acceptées Base : n = 39; celles qui utilisent l’IA dans leurs activités commerciales. Ne sait pas : <1 %.

Version textuelle de la figure 5
Figure 5 : Usage de l’IA dans les activités commerciales
  % des répondants
Recrutement d’employés 6 %
Analyse des données 7 %
Service à la clientèle/robots conversationnels 16 %
Marketing 20 %
Amélioration des activités commerciales 61 %

Quatre entreprises sur dix utilisent l’IA pour accroître l’efficacité et prendre des décisions

Quatre répondants sur dix (41 %) qui ont déclaré que leur entreprise utilise l’IA dans ses activités commerciales ont indiqué qu’elle le fait pour accroître l’efficacité et prendre des décisionsNote de bas de page 5. Presque autant (39 %) ont déclaré que leur entreprise utilise l’IA pour accroître l’efficacité, et non pas pour prendre des décisions. Peu d’entreprises utilisent actuellement l’IA pour prendre des décisions, mais pas pour accroître leur efficacité. Un peu plus d’un représentant d’entreprise sondé sur dix (12 %) a déclaré que son entreprise utilise l’IA dans ses activités commerciales, mais à aucune de ces fins.

Figure 6 : Usage que font les entreprises de l’IA
figure 6

Q10. Votre entreprise utilise-t-elle l’IA pour accroître son efficacité, pour prendre des décisions ou pour ces deux objectifs? Base : n = 39; celles qui utilisent l’IA dans leurs activités commerciales. Ne sait pas : <1 %.

Version textuelle de la figure 6
Figure 6 : Usage que font les entreprises de l’IA
  % des répondants
Aucun 12 %
Les deux 41 %
Prendre des décisions 9 %
Accroître l’efficacité 39 %

Un quart des entreprises qui n’utilisent pas l’IA sont assez ou très susceptibles de le faire dans les cinq prochaines années.

Près d’un quart des répondants qui ont déclaré que leur entreprise n’utilisait pas encore l’IA (n = 761) ont indiqué qu’il était assez (16 %) ou très (7 %) probable que leur entreprise utilise l’IA pour ses activités commerciales au cours des cinq prochaines années. En revanche, un peu plus des trois quarts des répondants ont déclaré qu’il était peu (26 %) ou pas du tout (51 %) probable que leur entreprise utilise l’IA au cours des cinq prochaines années.

Figure 7 : Probabilité que l’entreprise utilise l’IA pour ses activités commerciales au cours des cinq prochaines années
figure 7

Q12. Quelle est la probabilité que votre entreprise utilise l’IA pour ses activités commerciales au cours des cinq prochaines années? Base : n = 761; celles qui n’utilisent pas actuellement l’IA pour leurs activités commerciales. Ne sait pas : <1 %.

Version textuelle de la figure 7
Figure 7 : Probabilité que l’entreprise utilise l’IA pour ses activités commerciales au cours des cinq prochaines années
  % des répondants
Pas du tout probable 51 %
Peu probable 26 %
Assez probable 16 %
Très probable 7 %

3. Lois canadiennes sur la protection des renseignements personnels et conformité

La présente section porte sur les résultats du sondage en ce qui a trait à la sensibilisation des entreprises à l’égard de leurs responsabilités en vertu des lois sur la protection des renseignements personnels. Les questions figurant dans cette section ont été précédées de la description suivante des lois canadiennes régissant la protection des renseignements personnels.

La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit des règles qui régissent la manière dont les entreprises engagées dans des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie-Britannique et au Québec, le secteur privé est régi par des lois provinciales, qui sont considérées comme similaires à la loi fédérale.

De nombreuses entreprises sont très sensibilisées à leurs responsabilités aux termes des lois sur la protection des renseignements personnels.

Près de la moitié des représentants d’entreprises (47 %) ont indiqué que leur entreprise est très sensibilisée aux responsabilités qui lui incombent aux termes des lois canadiennes régissant la protection des renseignements personnels (notes de 6 ou 7 sur une échelle de 7). Des représentants interrogés, 41 % ont dit que leur entreprise est modérément sensibilisée à ces responsabilités (notes de 3 à 5). Au total, la majorité (88 %) des entreprises sondées sont au moins quelque peu sensibilisées à leurs responsabilités en matière de protection des renseignements personnels. Peu d’entre elles (12 %) ont estimé que le degré de sensibilisation de leur entreprise à cet égard est faible (note de 1 ou 2).

Figure 8 : Sensibilisation des entreprises à l’égard de leurs responsabilités aux termes des lois sur la protection des renseignements personnels
figure 8

Q13. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? Base : n = 800; tous les répondants. Ne sait pas : 1 %.

Version textuelle de la figure 8
Figure 8 : Sensibilisation des entreprises à l’égard de leurs responsabilités aux termes des lois sur la protection des renseignements personnels
  % des répondants
7 – Très sensibilisée 28 %
6 19 %
5 25 %
4 9 %
3 7 %
2 5 %
1 – Pas du tout sensibilisée 7 %

Le niveau de sensibilisation était plus élevé dans les entreprises du Québec (65 %) que dans celles du Canada atlantique (36 %), de l’Ontario (45 %) et de l’ouest du Canada (43 %), et il augmente avec la taille de l’entreprise, passant de 45 % dans les petites entreprises à 77 % dans les grandesNote de bas de page 6. En outre, la sensibilisation était plus élevée chez les entreprises qui ont pris des mesures pour s’assurer qu’elles respectent les lois canadiennes régissant la protection des renseignements personnels (58 % contre 11 % de celles qui ne l’ont pas fait), qui recueillent des renseignements personnels auprès de mineurs (69 % contre 45 % de celles qui ne le font pas), qui ont une politique sur la protection des renseignements personnels (59 % contre 31 % de celles qui n’en ont pas) et qui connaissent les ressources aux entreprises du Commissariat (65 % contre 35 % de celles qui ne les connaissent pas).

La proportion de représentants d’entreprises qui déclarent que leur entreprise est très sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada continue de diminuer par rapport au record de 57 % observé en 2019. Cette année, 47 % des répondants (soit une baisse de 5 %) estiment que leur entreprise est très sensibilisée à ses responsabilités en matière de protection des renseignements personnels, alors que ce chiffre était de 52 % en 2022.

Figure 9 : Sensibilisation des entreprises à l’égard de leurs responsabilités aux termes des lois sur la protection des renseignements personnels [de 2011 à aujourd’hui]
figure 9

Les calculs nets sont basés sur des pourcentages non arrondis.

Q13. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada?

Version textuelle de la figure 9
Figure 9 : Sensibilisation des entreprises à l’égard de leurs responsabilités aux termes des lois sur la protection des renseignements personnels [de 2011 à aujourd’hui]
  Très sensibilisée (6 et 7)
2011 (n=1 006) 31 %
2013 (n=1 016) 45 %
2015 (n=1 016) 43 %
2017 (n=1 014) 44 %
2019 (n=1 003) 57 %
2022 (n=751) 52 %
2023 (n=800) 47 %
  Quelque peu sensibilisée (de 3 à 5)
2011 (n=1 006) 47 %
2013 (n=1 016) 42 %
2015 (n=1 016) 39 %
2017 (n=1 014) 38 %
2019 (n=1 003) 33 %
2022 (n=751) 33 %
2023 (n=800) 41 %
  Pas du tout sensibilisée (1 et 2)
2011 (n=1 006) 19 %
2013 (n=1 016) 12 %
2015 (n=1 016) 17 %
2017 (n=1 014) 14 %
2019 (n=1 003) 9 %
2022 (n=751) 11 %
2023 (n=800) 11 %

Les trois quarts des entreprises ont pris des mesures pour respecter les lois régissant la protection des renseignements personnels.

Près des trois quarts des représentants d’entreprises sondés (76 %) ont affirmé que leur entreprise a pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels. Le pourcentage des entreprises qui respectent les lois n’a pas changé de manière importante depuis 2019 et il demeure plus élevé que les 66 % signalés en 2017.

Figure 10 : Respect des lois canadiennes régissant la protection des renseignements personnels
figure 10

Q14. Votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels? Base : tous les répondants.

Version textuelle de la figure 10
Figure 10 : Respect des lois canadiennes régissant la protection des renseignements personnels
  % des entreprises qui ont pris des mesures pour respecter les lois
2017 (n=1 014) 66 %
2019 (n=1 003) 77 %
2022 (n=751) 74 %
2023 (n=800) 76 %

La probabilité de prendre des mesures pour s’assurer de respecter les lois augmente en fonction de la taille de l’entreprise, passant de 75 % pour les petites entreprises à 94 % pour les grandes. En outre, elle était plus élevée parmi les entreprises qui utilisent actuellement l’IA dans leurs activités commerciales (99 % contre 75 % de celles qui ne l’utilisent pas), qui recueillent des renseignements personnels auprès de mineurs (91 % contre 75 % de celles qui n’en recueillent pas), qui disposent d’une politique sur la protection des renseignements personnels (92 % contre 55 % de celles qui n’en ont pas) et qui connaissent les ressources aux entreprises du Commissariat (90 % contre 67 % de celles qui ne les connaissent pas).

La plupart des entreprises ont estimé qu’il était au moins assez facile de se conformer aux lois.

Parmi les entreprises qui ont pris des mesures pour respecter les lois canadiennes sur la protection des renseignements personnels (n = 623), plus de neuf entreprises sur dix (93 %) ont trouvé qu’il était moyennement facile (notes de 3 à 5 sur une échelle de 7) ou extrêmement facile (notes de 1 et 2) de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels. Très peu de représentants (5 %) ont affirmé que leur entreprise avait éprouvé de grandes difficultés (notes de 6 et 7) à se conformer aux lois dans ce domaine.

Figure 11 : Degré de difficulté éprouvé à se conformer aux lois canadiennes régissant la protection des renseignements personnels
figure 11

Q15. Dans quelle mesure est-il difficile pour votre entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels? Base : n = 623; celles qui ont pris des mesures pour se conformer aux lois canadiennes sur la protection des renseignements personnels. Ne sait pas : 2 %.

Version textuelle de la figure 11
Figure 11 : Degré de difficulté éprouvé à se conformer aux lois canadiennes régissant la protection des renseignements personnels
  % des répondants
7 – Extrêmement difficile 4 %
6 2 %
5 12 %
4 12 %
3 13 %
2 19 %
1 – Extrêmement facile 36 %

Les petites entreprises (57 %) sont plus susceptibles de trouver qu’il est facile de se conformer aux lois canadiennes sur la protection des renseignements personnels que les entreprises de taille plus grande (46 % des entreprises de 20 à 99 employés et 42 % des entreprises de 100 employés ou plus).

La proportion d’entreprises qui trouvent extrêmement facile de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels a augmenté de façon significative cette année, pour atteindre un sommet de 56 % (contre 35 % en 2022 et 37 % en 2019).

Figure 12 : Respect des lois canadiennes régissant la protection des renseignements personnels [de 2011 à aujourd’hui]
figure 12

Les calculs nets sont basés sur des pourcentages non arrondis.

Q15. Dans quelle mesure est-il difficile pour votre entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels?

Version textuelle de la figure 12
Figure 12 : Respect des lois canadiennes régissant la protection des renseignements personnels [de 2011 à aujourd’hui]
  Extrêmement facile (1 et 2)
2011 (n=1 006) 28 %
2013 (n=1 006) 31 %
2017 (n=719) 33 %
2019 (n=797) 37 %
2022 (n=584) 35 %
2023 (n=623) 56 %
  Moyennement facile (de 3 à 5)
2011 (n=1 006) 61 %
2013 (n=1 006) 56 %
2017 (n=719)  56 %
2019 (n=797) 55 %
2022 (n=584) 59 %
2023 (n=623) 37 %
  Extrêmement difficile (6 et 7)
2011 (n=1 006) 4 %
2013 (n=1 006) 6 %
2017 (n=719) 8 %
2019 (n=797) 6 %
2022 (n=584) 4 %
2023 (n=623) 5 %

Peu de difficultés ont été cernées en ce qui concerne la conformité aux lois en matière de protection des renseignements personnels.

Près des deux tiers (64 %) des représentants des entreprises ont déclaré que leur entreprise n’avait pas rencontré ou ne s’attendait pas à rencontrer de difficultés particulières à se conformer aux lois canadiennes en matière de protection des renseignements personnels. Lorsque, dans une question ouverte, on leur a demandé de préciser les difficultés rencontrées ou anticipées, ces répondants ont expliqué que la conformité « semblait ou semble difficile », sans l’être. Par ailleurs, 16 % des répondants ont déclaré ne pas être au courant de l’existence de telles difficultés.

Les difficultés précisées comprenaient le manque de connaissance (6 %) ou de compréhension des lois en matière de protection des renseignements personnels (6 %), la difficulté d’intégrer les mesures de protection des renseignements personnels dans les systèmes ou processus déjà en place (5 %), le manque de ressources internes ou d’une équipe affectée à la protection des renseignements personnels (4 %), le manque de compétences techniques (2 %) et le coût financier de la mise en conformité (2 %).

Figure 13 : Difficultés rencontrées ou anticipées à se conformer aux lois canadiennes régissant la protection des renseignements personnels
figure 13

Q16. Quelles difficultés, le cas échéant, votre entreprise a-t-elle rencontrées/pensez-vous que votre entreprise va rencontrer pour se conformer aux lois canadiennes en matière de protection des renseignements personnels? Réponses multiples acceptées. Base : n = 800; tous les répondants.

Version textuelle de la figure 13
Figure 13 : Difficultés rencontrées ou anticipées à se conformer aux lois canadiennes régissant la protection des renseignements personnels
  % des répondants
Ne sait pas 16 %
Aucune raison particulière/cela semblait juste difficile 64 %
Autre 3 %
Coût financier de la mise en conformité 2 %
Manque de compétences techniques 2 %
Manque de ressources internes/l’entreprise n’a pas d’équipe affectée à la protection des renseignements personnels 4 %
Difficulté d’intégrer les mesures de protection des renseignements personnels 5 %
Manque de compréhension des lois en matière de protection des renseignements personnels 6 %
Manque de connaissances (non précisé) 6 %

La moitié des répondants ont cherché de l’information sur leurs responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels.

La moitié (49 %) des entreprises ont cherché de l’information sur leurs responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels. Quarante-quatre pour cent ne l’ont pas fait (7 % des représentants d’entreprises sondés ne savaient pas si leur entreprise avait recherché ce type d’information).

Figure 14 : Recherche d’information sur les responsabilités en matière de protection des renseignements personnels
figure 14

Q17. Votre entreprise a-t-elle déjà cherché de l’information sur ses responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels? Base : n = 800; tous les répondants.

Version textuelle de la figure 14
Figure 14 : Recherche d’information sur les responsabilités en matière de protection des renseignements personnels
  % des répondants
Oui, l’entreprise a cherché de l’information 49 %
Non, l’entreprise n’a pas cherché de l’information 44 %
Ne sait pas 7 %

49 % des répondants ont cherché de l’information sur leurs responsabilités aux termes des lois canadiennes sur la protection des renseignements personnels

Par rapport aux entreprises du Canada atlantique (30 %), celles du Québec (53 %) et de l’Ontario (52 %) sont plus susceptibles d’avoir cherché de l’information sur leurs responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels. En outre, la probabilité de chercher de l’information augmente avec la taille de l’entreprise, de 47 % chez les petites entreprises à 72 % chez les grandes. Elle augmente également avec la connaissance des responsabilités en matière de protection des renseignements personnels : de 15 % chez les entreprises qui ne sont pas sensibilisées à ces responsabilités à 63 % chez celles qui y sont très sensibilisées. Les entreprises qui utilisent actuellement l’IA (86 % contre 46 % de celles qui ne l’utilisent pas), qui ont pris des mesures pour se conformer aux lois sur la protection des renseignements personnels (60 % contre 12 % de celles qui ne l’ont pas fait) et qui connaissent les ressources du Commissariat aux entreprises (57 % contre 43 % de celles qui ne les connaissent pas) sont plus susceptibles d’avoir cherché de l’information sur les lois canadiennes en matière de protection des renseignements personnels.

L’Internet, suivi du gouvernement, est la principale source d’information.

Si les entreprises avaient besoin d’information sur leurs responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels, selon les représentants interrogés, les principales sources d’information qu’elles utiliseraient seraient Internet (30 %) et le gouvernement du Canada (27 %), suivies de Google ou d’autres moteurs de recherche en ligne (23 %). Outre le gouvernement du Canada, 10 % des représentants ont indiqué qu’ils se tourneraient vers le gouvernement, sans préciser de quel ordre de gouvernement, tandis que 7 % ont mentionné leur gouvernement provincial ou territorial; 4 %, le Commissariat à la protection de la vie privée du Canada et 1 %, leur commissaire à la protection de la vie privée provincial ou territorial.

En plus d’Internet et des gouvernements, 8 % des représentants ont déclaré qu’ils demanderaient des informations à un collègue, à leur entreprise ou à leur siège social; 7 %, à leur association industrielle ou professionnelle; 5 %, à des experts du secteur ou à des sociétés de conseil; 4 %, à d’autres types de professionnels, comme des comptables ou des avocats, et 2 %, à un expert en protection des renseignements personnels.

Figure 15 : Sources d’information sur les responsabilités en matière de protection des renseignements personnels
figure 15

Q18. Si vous avez besoin d’information sur les responsabilités de votre entreprise en vertu des lois canadiennes sur la protection des renseignements personnels, où iriez-vous chercher cette information? Réponses multiples acceptées. Base : n = 800; tous les répondants. Ne sait pas : 4 %.

Version textuelle de la figure 15
Figure 15 : Sources d’information sur les responsabilités en matière de protection des renseignements personnels
  % des répondants
Autre 3 %
Commissaire provincial ou territorial à la protection des renseignements personnels 1 %
Expert en protection des renseignements personnels 2 %
Autre professionnel 4 %
Commissaire ou Commissariat à la protection de la vie privée du Canada 4 %
Experts du secteur ou sociétés de conseil 5 %
Associations industrielle ou professionnelle 7 %
Gouvernements provinciaux ou territoriaux 7 %
Collègue, entreprise ou siège social 8 %
Gouvernement (non précisé) 10 %
Google ou autres moteurs de recherche 23 %
Gouvernement du Canada 27 %
Internet (non précisé) 30 %

Quatre représentants sondés sur dix connaissent les ressources du Commissariat.

Quatre représentants d’entreprises sondés sur dix (41 %) ont affirmé que leur entreprise sait que le Commissariat offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels. La connaissance des ressources aux entreprises du Commissariat a considérablement augmenté depuis 2021, alors qu’un tiers (33 %) des répondants connaît ces ressources.

Figure 16 : Connaissance des ressources offertes par le Commissariat à la protection de la vie privée du Canada [de 2011 à aujourd’hui]
figure 16

Q19. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels? Base : n = 800; tous les répondants.

Version textuelle de la figure 16
Figure 16 : Connaissance des ressources offertes par le Commissariat à la protection de la vie privée du Canada [de 2011 à aujourd’hui]
  % des répondants connaissant les outils et les renseignements offerts par le Commissariat
2011 (n=1 006) 40 %
2013 (n=1 006) 41 %
2015 (n=1 016) 41 %
2017 (n=1 014) 44 %
2019 (n=1 003) 36 %
2022 (n=751) 33 %
2023 (n=800) 41 %

La probabilité que les entreprises sachent que le Commissariat met à leur disposition des renseignements et des outils pour les aider à se conformer aux lois canadiennes sur la protection des renseignements personnels augmente avec la taille de l’entreprise, passant de 40 % des petites entreprises à 59 % des grandes entreprises. Cette probabilité augmente également avec le degré de sensibilisation aux responsabilités en matière de protection des renseignements personnels, passant de 24 % des entreprises n’étant pas sensibilisées à ces responsabilités à 56 % de celles qui y sont très sensibilisées. Les entreprises qui ont pris des mesures pour se conformer à leurs obligations en matière de protection des renseignements personnels sont également plus au courant de l’offre de renseignements et d’outils du Commissariat (48 % contre 19 % de celles qui n’en ont pas prises).

Une entreprise sur quatre a utilisé les ressources du Commissariat.

Parmi les répondants qui connaissaient les ressources du Commissariat (n = 335), un sur quatre (26 %) a déclaré que son entreprise avait utilisé les renseignements et les outils que le Commissariat offre aux entreprises pour les aider à se conformer à ses obligations en matière de protection des renseignements personnels. En comparaison à il y a dix ans, le pourcentage d’entreprises qui ont autodéclaré avoir utilisé les renseignements et les outils du Commissariat a considérablement augmenté, passant de 17 % en 2013 à 26 % en 2023.

Figure 17 : Utilisation des ressources offertes par le Commissariat à la protection de la vie privée du Canada [de 2011 à aujourd’hui]
figure 17

Q20. Votre entreprise a-t-elle déjà utilisé l’une de ces ressources? Base : ceux qui connaissent les outils et les renseignements du Commissariat.

Version textuelle de la figure 17
Figure 17 : Utilisation des ressources offertes par le Commissariat à la protection de la vie privée du Canada [de 2011 à aujourd’hui]
  % des répondants ayant utilisé les outils et les renseignements offerts par le Commissariat
2011 (n=448) 19 %
2013 (n=427) 17 %
2023 (n=335) 26 %

L’utilisation des ressources du Commissariat augmente avec la taille de l’entreprise, passant de 22 % des petites entreprises à 54 % des grandes.

L’absence de besoin est la principale raison pour laquelle les ressources du Commissariat ne sont pas utilisées.

Parmi les répondants qui connaissent les ressources du Commissariat mais qui ne les ont pas utilisées (n = 405), la principale raison invoquée est l’absence de besoin. Trois répondants sur dix (31 %) ont mentionné qu’ils n’en avaient pas besoin; 9 %, qu’ils n’avaient pas besoin d’aide pour se conformé à la loi, et 3 %, que leur entreprise disposait d’une équipe affectée à la protection des renseignements personnels. Après l’absence de besoin, deux répondants sur dix (21 %) ont indiqué le manque de sensibilisation ou de connaissance à l’égard des ressources; 8 %, être incertains que les ressources seraient pertinentes, et 3 %, qu’ils ne pensaient pas qu’elles seraient utiles.

D’autres n’ont pas donné de raison particulière pour n’avoir jamais utilisé les ressources du Commissariat : 18 % ont déclaré qu’il n’y avait pas de raison particulière, et 11 % ne savaient pas pourquoi leur entreprise n’avait pas utilisé les renseignements et les outils du Commissariat.

Figure 18 : Raisons de ne pas utiliser les ressources offertes par le Commissariat à la protection de la vie privée du Canada
figure 18

Q21. Y a-t-il une raison particulière pour laquelle votre entreprise n’a jamais utilisé ces ressources? Réponses multiples acceptées. Base : n = 405, ceux qui connaissent les ressources du Commissariat, mais qui ne les ont pas utilisées.

Version textuelle de la figure 18
Figure 18 : Raisons de ne pas utiliser les ressources offertes par le Commissariat à la protection de la vie privée du Canada
  % des répondants
Ne sait pas 11 %
Autre 4 %
Ne pensait pas qu’elles seraient utiles 3 %
Notre entreprise dispose d’une équipe affectée à la protection des renseignements personnels 3 %
Incertitude qu’elles seraient pertinentes 8 %
N’a pas besoin d’aide pour se conformer à la loi 9 %
Aucune raison particulière 18 %
Méconnaissance de l’option ou manque de connaissance 21 %
Absence de besoin (non précisé) 31 %

4. Pratiques de l’entreprise en matière de protection des renseignements personnels

La présente section fait état des procédures et des politiques adoptées par les entreprises pour protéger les renseignements personnels qu’elles recueillent à propos de leurs clients.

Huit répondants sur dix accordent une grande importance à la protection des renseignements personnels des clients.

La grande majorité des répondants (94 %) ont affirmé que leur entreprise considère la protection des renseignements personnels des clients comme étant au moins modérément importante. Plus précisément, huit représentants d’entreprise sur dix (80 %) ont indiqué que leur entreprise considérait la protection des renseignements personnels des clients comme étant très importante (notes de 6 et 7 sur une échelle de 7); près de sept répondants sur dix (69 %) ont affirmé qu’il s’agissait d’un objectif organisationnel extrêmement important; et 14 % des entreprises considèrent que cet objectif est d’une importance modérée. Parallèlement, 6 % des représentants des entreprises ont affirmé que la protection des renseignements personnels des clients n’est pas un objectif organisationnel important pour leur entreprise (notes de 1 et 2).

Figure 19 : Importance accordée à la protection des renseignements personnels des clients
figure 19

Q22. Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise? Base : n = 800; tous les répondants. Je ne sais pas : 1 %

Version textuelle de la figure 19
Figure 19 : Importance accordée à la protection des renseignements personnels des clients
  % des répondants
7 – Extrêmement important 69 %
6 11 %
5 10 %
4 3 %
3 2 %
2 1 %
1 – Pas du tout important 5 %

Les moyennes (91 %) et les grandes (92 %) entreprises sont plus susceptibles que les petites (78 %) d’accorder une grande importance (notes de 6 et 7) à la protection des renseignements personnels de leurs clients. En outre, les entreprises qui utilisent actuellement l’IA (100 % contre 78 % de celles qui ne l’utilisent pas), qui ont pris des mesures pour se conformer aux lois canadiennes sur la protection des renseignements personnels (88 % contre 50 % de celles qui ne l’ont pas fait) et qui recueillent des renseignements auprès de mineurs (94 % contre 78 % de celles qui ne le font pas) sont également plus susceptibles de considérer cet aspect comme très important.

La proportion d’entreprises qui accordent de l’importance à la protection des renseignements personnels des clients reste élevée et pratiquement inchangée depuis 2019 : 81 % en 2019, 79 % en 2022 et 80 % en 2023.

Figure 20 : Importance nette accordée à la protection des renseignements personnels des clients [de 2011 à aujourd’hui]
figure 20

Les calculs nets sont basés sur des pourcentages non arrondis.

Q22. Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise?

Version textuelle de la figure 20
Figure 20 : Importance nette accordée à la protection des renseignements personnels des clients [de 2011 à aujourd’hui]
  Très grande importance (6 et 7)
2011 (n=1 006) 62 %
2013 (n=1 003) 70 %
2015 (n=1 016) 67 %
2017 (n=1 014) 68 %
2019 (n=1 003) 81 %
2022 (n=751) 79 %
2023 (n=800) 80 %
  Importance modérée (de 3 à 5)
2011 (n=1 006) 26 %
2013 (n=1 006) 20 %
2015 (n=1 016) 21 %
2017 (n=1 014) 19 %
2019 (n=1 003) 12 %
2022 (n=751) 13 %
2023 (n=800) 14 %
  Faible importance (1 et 2)
2011 (n=1 006) 12 %
2013 (n=1 006) 9 %
2015 (n=1 016) 11 %
2017 (n=1 014) 9 %
2019 (n=1 003) 6 %
2022 (n=751) 5 %
2023 (n=800) 5 %

Au moins la moitié des entreprises ont mis en œuvre la plupart des pratiques de protection de la vie privée.

On a demandé aux représentants si leur entreprise avait mis en place une série de pratiques de protection de la vie privée. Au moins la moitié des répondants sondés ont affirmé que leur entreprise a mis en œuvre les pratiques suivantes en matière de protection de la vie privée : désigner un responsable de la protection des renseignements personnels (56 %), mettre en place des procédures pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate (53 %) ainsi que pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels (50 %), et élaborer des politiques internes à l’intention du personnel qui expliquent les obligations en ce qui a trait à la protection des renseignements personnels (50 %). Exactement le tiers des répondants (33 %) ont indiqué que leur entreprise fournit régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels.

Une certaine tendance veut que la probabilité d’avoir mis en œuvre de nombreuses pratiques augmente avec la taille de l’entreprise. Les variations régionales sont limitées. Les entreprises de l’ouest du Canada (54 %) étaient plus susceptibles que celles du Québec (40 %) d’avoir des politiques internes à l’intention du personnel, et les entreprises de l’Ontario (59 %) étaient plus susceptibles que celles du Canada atlantique (37 %) et du Québec (45 %) d’avoir des procédures en place pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate.

En outre, les entreprises qui connaissent les ressources offertes par le Commissariat pour les aider à assumer leurs obligations en matière de protection des renseignements personnels sont plus susceptibles que les entreprises qui ne les connaissent pas d’avoir mis en place toutes ces mesures de protection des renseignements personnels. Les entreprises qui recueillent des renseignements personnels auprès de mineurs étaient plus susceptibles que celles qui ne le font pas d’avoir des politiques internes à l’intention de leur personnel qui expliquent les obligations en ce qui a trait à la protection des renseignements personnels (74 % contre 47 %), de fournir régulièrement à son personnel une formation et de l’information en la matière (58 % contre 29 %) et d’avoir des procédures en place pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels (75 % contre 47 %) ainsi que pour gérer les plaintes des clients concernant le traitement de leurs renseignements personnels (72 % contre 51 %).

Figure 21 : Mesures prises pour gérer les obligations des entreprises en matière de protection des renseignements personnels
figure 21

Q23 à Q27. Base : n = 800; tous les répondants. Ne sait pas : 3 % à 4 %.

Version textuelle de la figure 21
Figure 21 : Mesures prises pour gérer les obligations des entreprises en matière de protection des renseignements personnels
  % des répondants
Désigner un responsable de la protection des renseignements personnels 56 %
Avoir des procédures en place pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate 53 %
Avoir des politiques internes à l’intention du personnel qui expliquent les obligations en ce qui a trait à la protection des renseignements personnels 50 %
Avoir des procédures en place pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels 50 %
Fournir régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels 33 %

Le pourcentage de mise en place de ces mesures de protection des renseignements personnels est pratiquement le même depuis 2022, année au cours de laquelle une baisse avait été signalée pour toutes les mesures. À l’époque, on avait pris en considération le contexte de la pandémie mondiale de COVID-19 dans la diminution de la proportion d’entreprises déclarant avoir mis en place ces pratiques, en émettant l’hypothèse que la pandémie avait pu avoir une incidence sur les résultats de l’enquête. Les résultats de cette année suggèrent que le déclin enregistré entre 2019 et en 2022 pourrait être une tendance, plutôt qu’un événement isolé influencé par la pandémie.

Figure 22 : Mesures prises pour gérer les obligations des entreprises en matière de protection des renseignements personnels [de 2013 à aujourd’hui]
figure 22
Version textuelle de la figure 22
Figure 22 : Mesures prises pour gérer les obligations des entreprises en matière de protection des renseignements personnels [de 2013 à aujourd’hui]
  2023 (n=800) 2022 (n=751) 2019 (n=1 003) 2017 (n=1 014) 2015 (n=1 016) 2013 (n=1 006)
Désigner un responsable de la protection des renseignements personnels 56 % 57 % 62 % 59 % 57 % 58 %
Avoir des procédures en place pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate 53 % 51 % 58 % 51 % 50 % 51 %
Avoir des politiques internes à l’intention du personnel qui expliquent les obligations en ce qui a trait à la protection des renseignements personnels 50 % 51 % 55 % 50 % 50 % 51 %
Avoir des procédures en place pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels 50 % 51 % 60 % 47 % Aucune donnée comparable pour 2013 ou 2015
Fournir régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels 33 % 34 % 39 % 37 % 32 % 34 %

Mise en œuvre inégale des mesures de protection des renseignements personnels

En ce qui concerne la protection des renseignements personnels des clients et des employés, environ huit représentants d’entreprises sur dix ont déclaré que leur entreprise exigeait des mots de passe pour accéder aux comptes (83 %) et contrôlait l’accès des employés aux fichiers électroniques (79 %). Un peu plus de la moitié des répondants ont déclaré que leur entreprise utilise l’authentification multifacteur (53 %) et crypte les données stockées (49 %) pour protéger les renseignements des clients et des employés. Suivent les entreprises qui cryptent les communications dans une proportion d’exactement un tiers. Très peu d’entreprises (4 %) utilisent l’authentification par empreintes vocales.

Seulement la mise en œuvre deux mesures varient selon les régions : l’authentification multifacteur et le cryptage des communications. Dans les deux cas, les entreprises situées au Québec étaient moins susceptibles que celles situées ailleurs au pays d’avoir mis en œuvre chacune de ces mesures de sécurité. Plus précisément, 39 % des entreprises au Québec utiliseraient l’authentification multifacteur, contre 58 % des entreprises de l’Ontario et de l’ouest du Canada, et 20 % crypteraient les communications, contre 48 % des entreprises de l’Ontario.

De plus, des variations en fonction de la taille de l’entreprise étaient évidentes pour plusieurs de ces mesures, les petites entreprises étant moins susceptibles que les grandes d’exiger des mots de passe (81 %), d’utiliser l’authentification multifacteur (52 %) et de contrôler l’accès des employés aux fichiers électroniques (77 %).

Figure 23 : Mesures prises pour protéger les renseignements personnels
figure 23

Q28A–F. Votre entreprise prend-elle l’une des mesures suivantes pour protéger les renseignements personnels de ses clients et de ses employés? Base : n = 800; tous les répondants. Ne sait pas : 0 % à 7 %. Ne s’applique pas : 4 % à 6 %.

Version textuelle de la figure 23
Figure 23 : Mesures prises pour protéger les renseignements personnels
  % des répondants
Exiger des mots de passe pour accéder aux comptes 83 %
Contrôler l’accès des employés aux fichiers électroniques 79 %
Utiliser une authentification multifacteur 53 %
Crypter les données stockées 49 %
Crypter les communications 33 %
Utiliser l’authentification par empreintes vocales 4 %

Une entreprise sur dix recueille des renseignements personnels auprès de clients mineurs.

Environ un représentant d’entreprise sur dix (12 %) a déclaré que son entreprise recueillait des renseignements personnels auprès de clients âgés de moins de 18 ans. La plupart des entreprises (88 %) ne recueillent pas de renseignements personnels auprès de mineurs.

Figure 24 : Collecte de renseignements personnels auprès de clients mineurs
figure 24

Q29. Votre entreprise recueille-t-elle des renseignements personnels auprès de clients mineurs, c’est-à-dire âgés de moins de 18 ans? Base : n = 800; tous les répondants. Ne sait pas : <1 %.

Version textuelle de la figure 24
Figure 24 : Collecte de renseignements personnels auprès de clients mineurs
  % des répondants
Recueille des renseignements personnels auprès de clients mineurs 12 %
Ne recueille pas de renseignements personnels auprès de clients mineurs 88 %

12 % des répondants déclarent que leur entreprise recueille des renseignements personnels auprès de clients mineurs

Les entreprises du Canada atlantique (24 %) sont plus susceptibles de recueillir des renseignements personnels auprès de mineurs que les entreprises situées ailleurs au pays (10 % des entreprises de l’Ontario et 9 % de celles de l’ouest du Canada). De même, les entreprises qui vendent uniquement aux consommateurs (23 %) sont beaucoup plus susceptibles que celles qui vendent aux entreprises et aux consommateurs (12 %) de recueillir des renseignements personnels auprès de mineurs. Les grandes entreprises (20 % contre 11 % des petites entreprises) et les entreprises qui ont pris des mesures pour se conformer à leurs obligations en matière de protection des renseignements personnels (14 % contre 3 % de celles qui ne l’ont pas fait) sont également plus susceptibles de recueillir des renseignements auprès de mineurs.

En outre, les entreprises en activité dans les industries ou secteurs économiques suivantsNote de bas de page 7 ont tendance à être plus susceptibles de recueillir des renseignements personnels auprès de mineurs : les services d’éducation, les services sociaux ainsi que les finances et les assurances.

Les entreprises mettent en œuvre diverses pratiques lorsqu’elles recueillent des renseignements personnels auprès de mineurs

La majorité des représentants sondés qui ont déclaré que leur entreprise recueille des renseignements personnels auprès de mineurs (n = 67) vérifie l’âge (82 %), explique les politiques et les pratiques en matière de protection des renseignements personnels dans un langage simple et adapté à l’âge (73 %) et obtient le consentement des parents (69 %) lorsqu’elle recueille des renseignements auprès de mineurs. Dans des proportions moindres ou similaires, les entreprises permettent aux jeunes de supprimer facilement leur compte ou les renseignements qu’ils ont publiés (30 %), utilisent par défaut des paramètres de confidentialité stricts, par exemple en désactivant automatiquement la géolocalisation (29 %) et réalisent des évaluations des facteurs relatifs à la vie privée avant de lancer des produits ou des outils destinés aux jeunes (27 %).

Figure 25 : Mesures prises lors de la collecte de renseignements personnels auprès de mineurs
figure 25

Q30A-F. Lors de la collecte de renseignements auprès de mineurs, votre entreprise prend-elle l’une ou l’autre des mesures suivantes? Base : n = 67; celles qui recueillent des renseignements auprès de mineurs. Ne sait pas : 0 % à 8 %. Ne s’applique pas : 5 % à 46 %.

Version textuelle de la figure 25
Figure 25 : Mesures prises lors de la collecte de renseignements personnels auprès de mineurs
  % des répondants
Vérifier l’âge 82 %
Expliquer les politiques et les pratiques en matière de protection de la vie privée dans un langage simple et adapté à l’âge des personnes concernées 73 %
Obtenir le consentement des parents 69 %
Faciliter la suppression par les jeunes de leur compte ou de leurs renseignements 30 %
Utiliser par défaut des paramètres de confidentialité stricts 29 %
Réaliser des évaluations des facteurs relatifs à la vie privée avant de lancer des produits ou des outils destinés aux jeunes 27 %

5. Politiques sur la protection des renseignements personnels

Cette section est axée sur le contenu des politiques sur la protection des renseignements personnels des entreprises.

La majorité des entreprises sondées ont mis en œuvre une politique sur la protection des renseignements personnels.

Un peu plus de la moitié (55 %) des représentants d’entreprises sondés ont déclaré que leur entreprise disposait d’une telle politique. Au fil du temps, la proportion de ces entreprises a diminué, passant d’un maximum de 65 % en 2019 à 59 % en 2022, puis à 55 % cette année. En 2022, le contexte de la pandémie mondiale de COVID-19 avait été pris en considération dans la diminution de la proportion d’entreprises déclarant disposer d’une politique sur la protection des renseignements personnels. Plus précisément, il était raisonnable de supposer que les responsabilités en matière de protection des renseignements personnels n’étaient pas au premier rang des préoccupations des entreprises préoccupées par les répercussions de la pandémie sur leurs activités. Les résultats de cette année suggèrent que le déclin des politiques sur la protection des renseignements personnels pourrait être une tendance, plutôt qu’un événement isolé influencé par la pandémie.

Figure 26 : Utilisation de politiques sur la protection des renseignements personnels [de 2019 à aujourd’hui]
figure 26

Q31. Votre entreprise a-t-elle une politique sur la protection des renseignements personnels? Base : tous les répondants.

Version textuelle de la figure 26
Figure 26 : Utilisation de politiques sur la protection des renseignements personnels [de 2019 à aujourd’hui]
  % des répondants qui ont une politique sur la protection des renseignements personnels
2019 (n=1 003) 65 %
2022 (n=751) 59 %
2023 (n=800) 55 %

Les entreprises établies dans les provinces de l’Atlantique (65 %), en Ontario (62 %) et dans l’Ouest canadien (57 %) sont plus susceptibles que les entreprises du Québec (36 %) de disposer d’une politique sur la protection des renseignements personnels. En outre, plus la taille de l’entreprise augmente, plus la probabilité de disposer d’une politique sur la protection des renseignements personnels augmente. La moitié (53 %) des petites entreprises disposent d’une telle politique, contre deux tiers (67 %) des moyennes entreprises et près de neuf grandes entreprises sur dix (87 %). Les entreprises qui utilisent l’IA (78 %) sont plus susceptibles que celles qui ne l’utilisent pas (54 %) d’avoir une politique sur la protection des renseignements personnels, tout comme les entreprises qui recueillent des renseignements auprès de mineurs (82 % contre 52 % de celles qui ne le font pas) et les entreprises qui connaissent les ressources du Commissariat mises à leur disposition pour les aider à respecter leurs obligations en matière de protection des renseignements personnels (68 % contre 46 % de celles qui ne les connaissent pas).

Les politiques sur la protection des renseignements personnels des entreprises comportent des niveaux variables d’information en langage clair.

Parmi les entreprises qui disposent d’une politique sur la protection des renseignements personnels (n = 472), la plupart ont affirmé disposer d’une politique qui explique en langage clair les éléments suivants : les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés ou communiqués (85 %); les renseignements personnels qui sont recueillis (81 %) et la façon dont ces renseignements sont recueillis, utilisés et communiqués (80 %). En outre, sept entreprises sur dix (70 %) expliquent en langage clair avec quelles parties les renseignements personnels recueillis seront communiqués, deux tiers (67 %) indiquent la durée de conservation des renseignements et six entreprises sur dix (62 %) expliquent comment elles détruisent les renseignements personnels de leurs clients. Un peu plus de la moitié (55 %) des entreprises ont déclaré que leur politique explique en langage clair les risques de préjudice en cas d’atteinte à la protection des données.

Figure 27 : Communications selon la politique sur la protection des renseignements personnels
figure 27

Q32A-G. Votre politique sur la protection des renseignements personnels explique-t-elle en langage clair...? Base : n = 472; entreprises disposant d’une politique sur la protection des renseignements personnels. Ne sait pas : 3 % à 9 %; Ne s’applique pas : 3 % à 6 %.

Version textuelle de la figure 27
Figure 27 : Communications selon la politique sur la protection des renseignements personnels

Votre politique sur la protection des renseignements personnels explique‑t‑elle en langage clair ce qui suit?

  2023 (n=472)
Les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués 85 %
Les renseignements personnels qui sont recueillis 81 %
La façon dont les renseignements personnels sont recueillis, utilisés ou communiqués 80 %
Les parties avec lesquelles les renseignements personnels des clients seront partagés 70 %
La durée de conservation des renseignements personnels que l’entreprise détient sur ses clients 67 %
La façon dont votre entreprise détruit les renseignements personnels de ses clients 62 %
Le risque de préjudice en cas d’atteinte 55 %

Les entreprises du Québec sont plus susceptibles que celles de l’Ontario ou de l’ouest du Canada d’utiliser dans leur politique sur la protection des renseignements personnels un langage clair pour préciser la durée de conservation des renseignements personnels de leurs clients (87 % contre 63 % et 64 %, respectivement) et sur la façon dont elles détruisent ces renseignements (85 % contre 55 % et 60 %, respectivement).

Les résultats de 2023 sont généralement cohérents avec ceux des années précédentes lorsqu’il s’agit de savoir si les politiques sur la protection des renseignements personnels des entreprises sont rédigées en langage clair. Le seul changement notable au fil du temps a été la proportion d’entreprises qui précisent, en langage clair, la durée de conservation des renseignements personnels de ses clients. Cette proportion est passée de 57 % en 2022 à 67 % en 2023. Toutes les autres variations d’une année à l’autre n’ont pas dépassé 4 %.

Figure 28 : Communications selon la politique sur la protection des renseignements personnels [de 2017 à aujourd’hui]
figure 28

Q32. Votre politique sur la protection des renseignements personnels explique-t-elle en langage clair...? Base : n = 472; entreprises disposant d’une politique sur la protection des renseignements personnels.

Version textuelle de la figure 28
Figure 28 : Communications selon la politique sur la protection des renseignements personnels [de 2017 à aujourd’hui]

Votre politique sur la protection des renseignements personnels explique‑t‑elle en langage clair ce qui suit?

  2023 (n=472) 2022 (n=473) 2019 (n=717) 2017 (n=486)
Les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués 85 % 84 % 82 % 95 %
La façon dont les renseignements personnels sont recueillis, utilisés ou communiqués 80 % 83 % 84 % Aucune donnée comparable pour 2017
Les renseignements personnels qui sont recueillis 81 % 78 % 80 % 92 %
Les parties avec lesquelles les renseignements personnels des clients seront partagés 70 % 72 % 70 % 75 %
La façon dont votre entreprise détruit les renseignements personnels de ses clients 62 % 66 % Aucune donnée comparable pour 2017 et 2019
La durée de conservation des renseignements personnels que l’entreprise détient sur ses clients 67 % 57 % Aucune donnée comparable pour 2017 et 2019
Le risque de préjudice en cas d’atteinte 55 % 51 % 52 % 52 %

Les communications proactives sur les pratiques en matière de protection des renseignements personnels varient.

Il a été demandé aux représentants des entreprises qui ont déclaré que leur entreprise avait une politique sur la protection des renseignements personnels (n = 472) si leur entreprise communiquait à ses clients différentes explications sur ses pratiques en matière de protection des renseignements personnels. Exactement les deux tiers (67 %) ont dit que leur entreprise explique comment les clients peuvent soulever une préoccupation ou poser une question sur la protection de la vie privée. Environ six entreprises sur dix indiquent clairement si la collecte, l’utilisation ou la communication des renseignements est une condition de service (62 %), font en sorte que leurs clients aient facilement accès à l’information sur la protection des renseignements personnels (60 %) et expliquent comment les clients peuvent demander l’accès à leurs renseignements personnels (59 %).

Un peu moins de la moitié des entreprises expliquent comment les clients peuvent déposer une plainte officielle concernant la protection de la vie privée (49 %), font activement la promotion de leurs pratiques en matière de protection de protection de la vie privée (49 %) et avisent les clients des changements apportés à leur politique de protection des renseignements personnels (47 %). Quatre répondants sur dix (41 %) ont affirmé que leur entreprise obtient le consentement des clients quand elle modifie ses pratiques de protection de la vie privée.

Figure 29 : Communication des pratiques de l’entreprise en matière de protection des renseignements personnels
figure 29

Q33A–H. Votre entreprise prend-elle l’une ou l’autre des mesures suivantes? Base : n = 472; entreprises disposant d’une politique sur la protection des renseignements personnels. Ne sait pas : 2 % à 6 %; Ne s’applique pas : 1 % à 6 %.

Version textuelle de la figure 29
Figure 29 : Communication des pratiques de l’entreprise en matière de protection des renseignements personnels

Votre entreprise prend‑elle l’une ou l’autre des mesures suivantes?

  % des répondants
Expliquer comment les clients peuvent soulever leurs préoccupations concernant la protection de la vie privée 67 %
Indiquer clairement si la collecte, l’utilisation ou la communication des renseignements est une condition de service 62 %
Faire en sorte que les clients aient facilement accès à l’information sur la protection des renseignements personnels 60 %
Expliquer comment les clients peuvent demander l’accès à leurs renseignements personnels 59 %
Expliquer comment les clients peuvent déposer une plainte officielle concernant la protection de la vie privée 49 %
Promouvoir activement les pratiques de l’entreprise en matière de protection de la vie privée 49 %
Aviser les clients quand elle modifie sa politique sur la protection des renseignements personnels 47 %
Obtenir le consentement des clients quand elle modifie ses pratiques de protection de la vie privée 41 %

Il existe plusieurs variations régionales notables et, dans la mesure où une tendance se dégage, les variations séparent souvent le Québec du reste du pays. Les entreprises du Canada atlantique (67 %) et au Québec (62 %) sont plus susceptibles que celles de l’Ontario (33 %) et de l’ouest du Canada (38 %) d’obtenir le consentement de leurs clients avant de modifier leurs pratiques en matière de protection de la vie privée. Les entreprises du Québec (77 %) sont plus susceptibles que celles de l’ouest du Canada (54 %) de rendre accessibles les informations relatives à la protection des renseignements personnels et, par rapport à celles de l’Ontario (52 %), les entreprises du Québec (74 %) sont également plus susceptibles d’expliquer comment les clients peuvent demander l’accès à leurs renseignements personnels. En outre, les entreprises du Québec (85 %) sont les plus susceptibles d’expliquer comment les clients peuvent déposer une plainte officielle en matière de protection des renseignements personnels (contre 42 % des entreprises du Canada atlantique, 41 % de celles de l’Ontario et 47 % de celles de l’ouest du Canada).

Au fil du temps, la transparence vis-à-vis des pratiques des entreprises en matière de protection des renseignements personnels a fluctué, les variations les plus importantes d’une année à l’autre étant une baisse de la proportion d’entreprises qui expliquent comment les clients peuvent déposer une plainte officielle en matière de protection de la vie privée (de 60 % en 2022 à 49 % en 2023), qui font en sorte que leurs clients aient facilement accès à l’information sur la protection des renseignements personnels (de 70 % en 2022 à 60 % en 2023) et qui expliquent comment les clients peuvent demander l’accès à leurs renseignements personnels (de 69 % en 2022 à 59 % cette année). Les autres variations d’une année à l’autre n’ont pas dépassé 4 %.

Figure 30 : Communication des pratiques de l’entreprise en matière de protection des renseignements personnels [de 2019 à aujourd’hui]
figure 30

Q33A–H. Votre entreprise fait-elle ce qui suit? Base : entreprises disposant d’une politique sur la protection des renseignements personnels.

Version textuelle de la figure 30
Figure 30 : Communication des pratiques de l’entreprise en matière de protection des renseignements personnels [de 2019 à aujourd’hui]

Votre entreprise prend‑elle l’une ou l’autre des mesures suivantes?

  2023 (n=472) 2022 (n=479) 2019 (n=717)
Expliquer comment les clients peuvent soulever leurs préoccupations concernant la protection de la vie privée 67 % 71 % Aucune donnée comparable pour 2019
Indiquer clairement si la collecte, l’utilisation ou la communication des renseignements est une condition de service 62 % 62 % Aucune donnée comparable pour 2019
Faire en sorte que les clients aient facilement accès à l’information sur la protection des renseignements personnels 60 % 70 % 51 %
Expliquer comment les clients peuvent demander l’accès à leurs renseignements personnels 59 % 69 % Aucune donnée comparable pour 2019
Expliquer comment les clients peuvent déposer une plainte officielle concernant la protection de la vie privée 49 % 60 % Aucune donnée comparable pour 2019
Aviser les clients quand elle modifie sa politique sur la protection des renseignements personnels 47 % 43 % 36 %
Obtenir le consentement des clients quand elle modifie ses pratiques de protection de la vie privée 41 % 43 % 34 %

6. Gestion des risques d’atteinte à la vie privée

La présente section porte sur la manière dont les entreprises canadiennes gèrent les risques d’atteinte à la vie privée, y compris les atteintes à la protection des données.

Plus d’un tiers des entreprises disposent de politiques ou de procédures pour évaluer les risques d’atteinte à la vie privée.

Plus d’un tiers (37 %) des représentants des entreprises ont déclaré que leur entreprise avait mis en place des politiques ou des procédures pour évaluer les risques d’atteinte à la vie privée liés à leurs activités, y compris les risques d’atteinte liés au développement ou à l’utilisation de nouveaux produits, services ou technologies. Trente-sept pour cent des entreprises interrogées représentent une augmentation depuis 2022, alors que la proportion d’entreprises déclarant utiliser des politiques de gestion des risques est tombée à 33 % (contre 38 % en 2019).

Figure 31 : Politiques et procédures organisationnelles pour évaluer les risques d’atteinte à la vie privée [de 2019 à aujourd’hui]
figure 31

Q34. Votre entreprise compte-t-elle sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels? Base : tous les répondants.

Version textuelle de la figure 31
Figure 31 : Politiques et procédures organisationnelles pour évaluer les risques d’atteinte à la vie privée [de 2019 à aujourd’hui]
  L’entreprise a mis en place des politiques d’évaluation des risques d’atteinte à la vie privée
2019 (n=1 003) 38 %
2022 (n=751) 33 %
2023 (n=800) 37 %

% des répondants qui ont des politiques organisationnelles en place pour évaluer les risques d’atteinte à la vie privée

Les entreprises qui vendent uniquement aux consommateurs (47 %) sont plus susceptibles d’avoir mis en place des politiques et des procédures relatives aux risques d’atteinte à la vie privée que les entreprises qui ne vendent qu’aux entreprises (32 %) et que celles qui vendent aux consommateurs et aux entreprises (34 %). En outre, plus la taille de l’entreprise augmente, plus la probabilité d’avoir mis en place de telles politiques et procédures augmente, passant de 35 % chez les petites entreprises à 45 % chez les moyennes entreprises et à 59 % chez les grandes entreprises. Les entreprises qui recueillent des renseignements personnels auprès de mineurs (56 %) sont plus susceptibles que les autres (34 %) d’avoir mis en place des politiques ou des procédures d’évaluation des risques.

La moitié des répondants sont au moins un peu préoccupés par une atteinte à la protection des données.

On a invité les représentants d’entreprises à évaluer leur degré de préoccupation concernant une atteinte à la protection des données qui compromettrait les renseignements personnels de leurs clients. Avant de poser cette question aux représentants, on leur a fourni l’information suivante :

Les atteintes à la protection des données sont causées par une activité criminelle, un vol, du piratage ou l’erreur d’un employé, comme le fait de laisser un ordinateur portable ou un autre appareil portatif à un endroit inapproprié.

Les répondants sont partagés quant à leur degré de préoccupation face à une atteinte à la protection des données qui compromettrait des renseignements personnels de clients. Un peu plus de la moitié (52 %) des représentants d’entreprises sondés ont déclaré être au moins quelque peu préoccupés (notes de 3 à 7 sur une échelle de 7 points), dont un quart (26 %) qui sont très préoccupés (notes de 6 et 7). À l’inverse, presque autant de personnes (47 %) se sont déclarées peu préoccupées (scores de 1 et 2), dont près d’un tiers (32 %) qui ne sont pas du tout préoccupés par une atteinte à la protection des données.

Figure 32 : Degré de préoccupation concernant les atteintes à la protection des données
figure 32

Q35. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients? Base : n = 800; tous les répondants. Ne sait pas : 1 %.

Version textuelle de la figure 32
Figure 32 : Degré de préoccupation concernant les atteintes à la protection des données
  % des répondants
7 – Très préoccupé 20 %
6 6 %
5 10 %
4 7 %
3 9 %
2 15 %
1 – Pas du tout préoccupé 32 %

Les représentants des entreprises du Québec s’avèrent être les plus préoccupés par une atteinte à la protection des données : 42 %, contre 23 % pour les représentants du Canada atlantique et de l’Ontario, et 20 % pour ceux de l’ouest du pays.

La proportion de représentants d’entreprises très préoccupés par une atteinte à la protection des données continue de diminuer depuis le pic de 37 % enregistré en 2019.

Figure 33 : Degré de préoccupation concernant les atteintes à la protection des données [de 2011 à aujourd’hui]
figure 33

Les calculs nets sont basés sur des pourcentages non arrondis.

Q35. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients?

Version textuelle de la figure 33
Figure 33 : Degré de préoccupation concernant les atteintes à la protection des données [de 2011 à aujourd’hui]
  Très préoccupé (6 et 7)
2011 (n=1 006) 32 %
2013 (n=1 006) 24 %
2015 (n=1 016) 32 %
2017 (n=1 014) 28 %
2019 (n=1 003) 37 %
2022 (n=751) 28 %
2023 (n=800) 25 %
  Quelque peu préoccupé (de 3 à 5)
2011 (n=1 006) 23 %
2013 (n=1 006) 23 %
2015 (n=1 016) 23 %
2017 (n=1 014) 20 %
2019 (n=1 003) 19 %
2022 (n=751) 29 %
2023 (n=800) 27 %
  Pas du tout préoccupé (1 et 2)
2011 (n=1 006) 43 %
2013 (n=1 006) 50 %
2015 (n=1 016) 44 %
2017 (n=1 014) 50 %
2019 (n=1 003) 43 %
2022 (n=751) 41 %
2023 (n=800) 47 %

La plupart des entreprises sont au moins un peu préparées à réagir à une atteinte de la protection des données.

Plus de huit répondants sur dix (84 %) ont déclaré que leur entreprise était au moins quelque peu préparée à réagir à une atteinte à la protection de données touchant des renseignements personnels (notes de 3 à 7 sur une échelle de 7), dont près de la moitié (46 %) ont déclaré que leur entreprise était très bien préparée (notes de 6 et 7) à un tel événement. Quatorze pour cent estiment que leur entreprise n’est pas préparée à une atteinte de la protection des données (notes de 1 et 2).

Figure 34 : État de préparation des entreprises à réagir aux atteintes à la protection des données
figure 34

Q36. Dans quelle mesure votre entreprise est-elle prête à réagir à une atteinte à la protection des données touchant les renseignements personnels? Base : n = 800; tous les répondants. Ne sait pas : 3 %.

Version textuelle de la figure 34
Figure 34 : État de préparation des entreprises à réagir aux atteintes à la protection des données
  % des répondants
7 – Tout à fait prête à intervenir 30 %
6 16 %
5 20 %
4 11 %
3 6 %
2 2 %
1 – Pas du tout prête à réagir 11 %

Le degré de préparation suit la taille des entreprises. Sept grandes entreprises sur dix (71 %) seraient très bien préparées (notes de 6 et 7) à réagir à une atteinte à la protection des données, contre 48 % des moyennes entreprises et 45 % des petites entreprises. En outre, les entreprises qui utilisent l’IA (71 % contre 44 % de celles qui ne l’utilisent pas), celles qui ont pris des mesures pour se conformer aux lois sur la protection des renseignements personnels (51 % contre 24 % qui ne l’ont pas fait) et celles qui connaissent les ressources aux entreprises du Commissariat (55 % contre 38 % qui ne les connaissent pas) étaient plus susceptibles d’être très bien préparées à réagir.

La grande majorité des entreprises n’ont pas été confrontées à une atteinte à la protection des données.

La grande majorité des représentants d’entreprises (93 %) ont affirmé que leur entreprise n’a pas fait face à une atteinte qui a compromis les renseignements personnels de ses clients. La quantité d’atteintes à la protection des renseignements personnels signalées est demeurée constante au cours de la dernière décennie (4 % en 2013, 2019 et 2022 et 6 % en 2023).

Figure 35 : Atteintes à la protection des données [de 2013 à aujourd’hui]
figure 35

Q37. Votre entreprise a-t-elle déjà été confrontée à une atteinte qui a compromis les renseignements personnels de vos clients? Base : tous les répondants.

Version textuelle de la figure 35
Figure 35 : Atteintes à la protection des données [de 2013 à aujourd’hui]
  L’entreprise a mis en place des politiques d’évaluation des risques liés à la protection des renseignements personnels
2013 (n=1 006) 4 %
2019 (n=1 003) 4 %
2022 (n=751) 4 %
2023 (n=800) 6 %

% des entreprises ayant subi une atteinte à la protection des données

Presque toutes les entreprises qui ont subi une atteinte à la protection des données conservent un registre de ce qui a été perdu.

La quasi-totalité (94 %) des entreprises ayant subi une atteinte à la protection des données (n = 46)Note de bas de page 8 conserve un registre de toute atteinte touchant les renseignements personnels de leurs clients.

Figure 36 : Tenue d’un registre des atteintes à la protection des données
figure 36

Q38. Votre entreprise s’assure-t-elle de conserver un registre de toutes les atteintes à la protection des données touchant les renseignements personnels de vos clients? Base : n = 46, celles qui ont fait face à une atteinte à la protection des données. Ne sait pas : <1 %.

Version textuelle de la figure 36
Figure 36 : Tenue d’un registre des atteintes à la protection des données
  % des répondants
Conserve un registre de toutes les atteintes à la protection des données touchant les renseignements personnels de clients 94 %
Ne conserve pas de registre des atteintes à la protection des données touchant les renseignements personnels de clients 5 %

94 % des répondants déclarent que leur entreprise conserve un registre des atteintes à la protection des données

Annexes

Profil des entreprises qui ont répondu au sondage

Les tableaux suivants présentent les caractéristiques des entreprises canadiennes composant l’échantillon du sondage (au moyen des données pondérées) ainsi que celles des représentants des entreprises.

Type de client Pourcentage
Vend directement à des consommateurs 27 %
Vend directement à des entreprises 29 %
Vend directement à des consommateurs et à des entreprises 44 %
Région Pourcentage
Canada atlantique 7 %
Québec 19 %
Ontario 38 %
Prairies 7 %
Alberta 15 %
Colombie-Britannique 14 %
Nombre d’employés Pourcentage
1 employé (travailleur autonome) 14 %
De 2 à 4 employés 23 %
De 5 à 9 employés 24 %
De 10 à 19 employés 28 %
De 20 à 99 employés 11 %
100 employés et plus 1 %
Industrie/secteur Pourcentage
Secteur de la construction 12 %
Services professionnels, scientifiques et techniques 12 %
Commerce de détail 11 %
Autres services (à l’exception de l’administration publique) 9 %
Services d’hébergement et de restauration 7 %
Soins de santé et assistance sociale 6 %
Agriculture, foresterie, pêche et chasse 5 %
Commerce de gros 5 %
Transport et entreposage 5 %
Finances et assurances 5 %
Industrie de l’information et industrie culturelle 4 %
Secteur manufacturier 4 %
Services d’éducation 4 %
Arts, divertissements et loisirs 2 %
Industrie/secteur (suite) Pourcentage
Services administratifs, services de soutien, services de gestion des déchets et services d’assainissement 2 %
Services immobiliers et services de location et de location à bail 2 %
Autres 4 %
Poste du répondant Pourcentage
Propriétaire, président ou PDG 44 %
Directeur général ou autre gestionnaire 27 %
Administration 9 %
Directeur 4 %
Comptable ou aide-comptable 4 %
Autre titre 11 %

Questionnaire du sondage

Introduction

POINT DE CONTACT PRINCIPAL/CONTRÔLEUR :

Bonjour, je m’appelle [nom de l’intervieweur]. Préférez-vous que je continue en français ou en anglais? / Would you prefer that I continue in English or French? Pourrais-je parler à la personne au sein de votre entreprise qui connaît le mieux les types de renseignements personnels que vous recueillez au sujet de vos clients ainsi que la façon dont ces renseignements sont conservés et utilisés? Il pourrait s’agir du chef de la protection des renseignements personnels de votre entreprise, si ce poste existe.

SI LE CONTRÔLEUR LE DEMANDE :

Je vous appelle au nom de Phoenix SPI, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du commissaire à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.

  • SI LA PERSONNE EST DISPONIBLE, POURSUIVRE. RÉPÉTER L’INTRODUCTION, AU BESOIN.
  • SI ELLE N’EST PAS DISPONIBLE, FIXER LE MOMENT D’UN AUTRE APPEL.

RÉPONDANT 

Bonjour, je m’appelle [nom de l’intervieweur]. Je vous appelle au nom de Phoenix SPI, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du commissaire à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.

Ce sondage dure environ 15 minutes et est facultatif. Vos réponses resteront confidentielles et anonymes; le sondage est enregistré auprès du système de validation des sondages du Conseil de recherche et d’intelligence marketing canadien.

Puis-je poursuivre?

  • Oui, maintenant [CONTINUER]
  • Non, rappelez plus tard. Préciser la date et l’heure : Date : Time :
  • Refus [MERCI/RACCROCHER]

REMARQUE À L’INTENTION DE L’INTERVIEWEUR :

SI UN RÉPONDANT S’INTERROGE SUR LA LÉGITIMITÉ DU SONDAGE, DITES : Ce sondage est enregistré auprès du système de validation des sondages du Conseil de recherche et d’intelligence marketing canadien. Le numéro d’enregistrement est le suivant : INSÉRER. S’il est nécessaire d’obtenir une validation supplémentaire, proposez-leur d’envoyer par courriel la lettre d’information du CPVP.

Filtrage et renseignements généraux

  1. Lequel des énoncés suivants décrit le mieux votre entreprise? [LIRE LA LISTE ; ACCEPTER UNE SEULE RÉPONSE]
    • 01. Elle vend directement à des consommateurs et à d’autres entreprises/organisations*
    • 02. Elle vend directement à d’autres entreprises/organisations.**
    • 03. Elle vend directement à des consommateurs et à d’autres entreprises/organisations
    • 04. [NE PAS LIRE] Autre, veuillez préciser : [REMERCIER ET METTRE FIN À LA CONVERSATION]
    • 05. [NE PAS LIRE] Sans but lucratif [REMERCIER ET METTRE FIN À LA CONVERSATION]
    • 99. [NE PAS LIRE] Ne sait pas/refus [REMERCIER ET METTRE FIN À LA CONVERSATION]

    REMARQUES À L’INTENTION DE L’INTERVIEWEUR :

    * SI L’ON VOUS INTERROGE SUR LE CHOIX DE RÉPONSE (1) « CONSOMMATEURS », DITES : « IL S’AGIT D’UN INDIVIDU ET NON D’UNE ENTREPRISE OU D’UNE ORGANISATION » : Il s’agit d’un individu et non d’une entreprise ou d’une organisation.

    ** SI L’ON VOUS INTERROGE SUR LES « ORGANISATIONS », DITES : Cela comprend la vente aux gouvernements.

  2. Environ combien d’employés travaillent pour votre entreprise au Canada? Veuillez tenir compte des employés à temps partiel comme des équivalents temps plein. [NE PAS LIRE LA LISTE]
    • 01. Un (p. ex., travailleur autonome)
    • 02. 2-4
    • 03. 5-9
    • 04. 10-19
    • 05. 20-49
    • 06. 50-99
    • 07. 100-149
    • 08. 150-199
    • 09. 200-249
    • 10. 250-299
    • 11. 300-499
    • 12. 500-999
    • 13. 1000-4999
    • 14. Plus de 5000
    • 99. [NE PAS LIRE] Ne sait pas/refus [REMERCIER ET METTRE FIN À LA CONVERSATION]

Section 1. Renseignements personnels des clients

J’aimerais commencer par vous demander quels types de renseignements personnels votre entreprise recueille sur ses clients. Par renseignements personnels, j’entends des renseignements comme le nom d’un client, l’adresse électronique, les opinions, l’historique des achats ou les informations financières d’un client, comme sa carte de crédit ; il peut également s’agir de données biométriques, telles que les empreintes digitales ou vocales, de photos ou de vidéos, ainsi que de l’historique de clavardages ou des messages instantanés.

Tout d’abord,

  1. Que fait votre entreprise des renseignements personnels qu’elle recueille concernant ses clients? Elle les utilise...? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES]
    • 01. pour établir des profils de clients à des fins de marketing?
    • 02. pour personnaliser ses services ou produits?
    • 03. fournir des services aux clients — par exemple, recueillir une adresse électronique pour l’envoi d’une facture?
    • 04. pour l’analyse de données?
    • 05. pour former un système d’intelligence artificielle (IA*)?
    • 06. pour d’autres usages ; veuillez préciser :
    • 07. [NE PAS LIRE] Ne sait pas

    REMARQUE À L’INTENTION DE L’INTERVIEWEUR :

    * SI L’ON VOUS INTERROGE SUR L’« IA », DITES : L’IA est généralement considérée comme l’apprentissage automatique, au sens de la création d’un algorithme ou d’un modèle permettant de simuler des tâches nécessitant normalement une intelligence humaine. Lorsque nous parlons de « former un système d’IA », nous faisons référence au processus d’utilisation des données pour développer un algorithme ou un modèle.

  2. Comment votre entreprise conserve-t-elle les renseignements personnels de ses clients? Ces renseignements sont-ils… [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES]
    • 01. Stocké sur place en format papier?
    • 02. Stocké sur place en format électronique?
    • 03. Stocké hors site auprès d’un tiers, comme un service en nuage?
    • 04. entreposés au bureau à domicile d’un employé ou de l’employeur en format papier?
    • 05. entreposés au bureau à domicile d’un employé ou de l’employeur en format électronique?
    • 06. [DÉCLARATION SPONTANÉE] L’entreprise n’entrepose pas de renseignements personnels concernant ses clients
    • 07. [NE PAS LIRE] Ne sait pas
  3. Votre entreprise envoie-t-elle des renseignements personnels de ses clients à des entreprises situées en dehors du Canada à des fins de traitement, de stockage ou autres? [LIRE LA LISTE]
    • 01. Oui
    • 02. Non
    • 03. [NE PAS LIRE] Ne sait pas
  4. [SI Q5=01] Informez-vous vos clients que leurs renseignements personnels pourraient quitter le Canada? [LIRE LA LISTE]
    • 01. Oui
    • 02. Non
    • 03. [NE PAS LIRE] L’entreprise ne fournit ces renseignements que si on les lui demande.
    • 04. [NE PAS LIRE] Ne sait pas
  5. [SI Q6=01] Comment votre entreprise en informe-t-elle ses clients? Cela se fait-il par… [LIRE LA LISTE ; ACCEPTER TOUTES LES RÉPONSES APPLICABLES]
    • 01. l’accord sur les modalités de service?
    • 02. la politique de confidentialité de l’entreprise?
    • 03. le consentement exprès?
    • 04. d’une autre manière? [PRÉCISER]
    • 05. [NE PAS LIRE] Ne sait pas

Section 2 : Technologie

  1. Votre entreprise utilise-t-elle l’IA pour ses activités commerciales? [LIRE LA LISTE]
    • 01. Oui
    • 02. Non
    • 03. [NE PAS LIRE] Ne sait pas
  2. [SI Q8=01] De quelle manière votre entreprise utilise-t-elle l’IA dans ses activités commerciales? [NE PAS LIRE LA LISTE ; ACCEPTER LES RÉPONSES MULTIPLES]
    • 01. Service à la clientèle/robots conversationnels
    • 02. Marketing (publicité adaptée, services personnalisés, etc.)
    • 03. Prévisions des tendances/comportement des clients/demande
    • 04. Détection de fraudes
    • 05. Analyse vidéo/image
    • 06. Recrutement d’employés
    • 07. Applications liées aux ressources humaines
    • 08. Contrôle de la qualité
    • 09. Optimisation de la chaîne d’approvisionnement
    • 10. Analyse des données
    • 11. Autre [PRÉCISER]
    • 99. Ne sait pas
  3. [SI Q8=01] Votre entreprise utilise-t-elle l’IA pour accroître son efficacité, pour prendre des décisions ou pour ces deux objectifs?
    • 01. Accroître l’efficacité
    • 02. Prendre des décisions
    • 03. Les deux
    • 04. [DÉCLARATION SPONTANÉE] Ni l’un ni l’autre
    • 99. [DÉCLARATION SPONTANÉE] Ne sait pas
  4. [SI Q 10=02,03] Lorsque votre entreprise utilise l’IA pour prendre des décisions, un employé humain examine-t-il cette décision avant qu’elle ne soit prise par votre entreprise? [LIRE LA LISTE]
    • 01. Oui
    • 02. Non
    • 03. [NE PAS LIRE] Ne sait pas

    REMARQUE À L’INTENTION DE L’INTERVIEWEUR :

    * SI L’ON VOUS INTERROGE SUR L’« IA COMME AIDE À LA DÉCISION », DITES : Il s’agit par exemple d’utiliser l’IA dans le processus d’embauche d’un employé ou pour décider de l’approbation d’un prêt.

  5. [SI Q8=02, 03] Quelle est la probabilité que votre entreprise utilise l’IA pour ses activités commerciales au cours des cinq prochaines années? Est-ce très probable, assez probable, peu probable ou pas du tout probable?

Section 3 : Lois canadiennes sur la protection des renseignements personnels et conformité

La loi sur la protection de la vie privée du gouvernement fédéral, la Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE) établit des règles qui régissent la manière dont les entreprises engagées dans des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie-Britannique et au Québec, le secteur privé est régi par des lois provinciales, qui sont considérées comme similaires à la loi fédérale.

  1. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « pas du tout sensibilisée » et 7 signifie « très sensibilisée ».
  2. Votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels? [LIRE LA LISTE]
    • 01. Oui
    • 02. Non
    • 99. [NE PAS LIRE] Ne sait pas
  3. [SI Q14=01] Dans quelle mesure est-il difficile pour votre entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « extrêmement facile », 7, « extrêmement difficile ».
  4. Quelles difficultés, le cas échéant, [SI Q14=01 : votre entreprise a-t-elle rencontrées/SI Q 14=02,99 : pensez-vous que votre entreprise va rencontrer] pour se conformer aux lois canadiennes en matière de protection des renseignements personnels? [NE PAS LIRE LA LISTE ; ACCEPTER LES RÉPONSES MULTIPLES]
    • 01. Manque de ressources internes/l’entreprise n’a pas d’équipe affectée à la protection des renseignements personnels
    • 02. Manque de connaissances (non précisé)
    • 03. Manque de compréhension des lois en matière de protection des renseignements personnels
    • 04. Coût financier de la mise en conformité
    • 05. Manque de compétences techniques
    • 06. Difficulté d’intégrer les mesures de protection des renseignements personnels dans les systèmes ou processus déjà en place.
    • 07. Aucune raison particulière/cela semblait juste difficile
    • 08. Autre (préciser)
    • 99. Ne sait pas
  5. Votre entreprise a-t-elle déjà cherché de l’information sur ses responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels? [LIRE LA LISTE]
    • 01. Oui
    • 02. Non
    • 99. [NE PAS LIRE] Ne sait pas
  6. Si vous avez besoin d’information sur les responsabilités de votre entreprise en vertu des lois canadiennes sur la protection des renseignements personnels, où iriez-vous chercher cette information? [NE PAS LIRE LA LISTE ; ACCEPTER LES RÉPONSES MULTIPLES]
    • 01. Internet (non précisé)
    • 02. Google ou autres moteurs de recherche
    • 03. Gouvernement (non précisé)
    • 04. Gouvernement du Canada
    • 05. Gouvernements provinciaux ou territoriaux
    • 06. Commissaire à la protection de la vie privée du Canada ou Commissariat à la protection de la vie privée du Canada
    • 07. Le commissaire provincial ou territorial à la protection des renseignements personnels
    • 08. Association industrielle ou professionnelle
    • 09. Experts du secteur ou sociétés de conseil
    • 10. Consultation d’un expert en protection des renseignements personnels
    • 11. Autre (préciser)
    • 99. Ne sait pas
  7. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels? [LIRE LA LISTE]
    • 01. Oui
    • 02. Non
    • 03. [NE PAS LIRE] Ne connaît pas le Commissariat
    • 99. [NE PAS LIRE] Ne sait pas

    REMARQUE À L’INTENTION DE L’INTERVIEWEUR :

    Si l’on vous pose des questions sur le CPVP ou sur la manière de le joindre, veuillez partager le site web : priv.gc.ca.

  8. [SI Q19=01] Votre entreprise a-t-elle déjà utilisé l’une de ces ressources? [LIRE LA LISTE]
    • 01. Oui
    • 02. Non
    • 99. [NE PAS LIRE] Ne sait pas
  9. [SI Q19=02] Y a-t-il une raison particulière pour laquelle votre entreprise n’a jamais utilisé ces ressources? [NE PAS LIRE LA LISTE ; ACCEPTER LES RÉPONSES MULTIPLES]
    • 01. Absence de besoin (non précisé)
    • 02. Nous n’étions pas sûrs qu’ils seraient pertinents pour notre entreprise ou notre situation
    • 03. Notre entreprise dispose d’une équipe affectée à la protection des renseignements personnels
    • 04. Manque de confiance envers les ressources du CPVP
    • 05. Nous ne pensions pas qu’elles seraient utiles
    • 06. Nous n’avons pas besoin d’aide pour nous conformer à la loi
    • 07. Aucune raison particulière
    • 08. Autre (préciser)
    • 99. Ne sait pas

Section 4 : Pratiques de l’entreprise en matière de protection des renseignements personnels

  1. Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise? Veuillez utiliser une échelle de 1 à 7, où 1 signifie qu’il ne s’agit pas du tout d’un objectif important de l’entreprise, et 7 qu’il s’agit d’un objectif extrêmement important.

Maintenant, j’aimerais vous poser des questions sur les pratiques de votre entreprise en matière de protection de la vie privée.

  1. Dans votre entreprise, est-ce qu’une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient?
    • 01. Oui
    • 02. Non
    • 99. [NE PAS LIRE] Ne sait pas
  2. Votre entreprise a-t-elle élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels?
    • 01. Oui
    • 02. Non
    • 99. [NE PAS LIRE] Ne sait pas
  3. Votre organisation donne-t-elle régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels?
    • 01. Oui
    • 02. Non
    • 99. [NE PAS LIRE] Ne sait pas
  4. Y a‑t‑il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels?
    • 01. Oui
    • 02. Non
    • 99. [NE PAS LIRE] Ne sait pas
  5. Y a‑t‑il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate?
    • 01. Oui
    • 02. Non
    • 99. [NE PAS LIRE] Ne sait pas
  6. Votre entreprise prend-elle l’une des mesures suivantes pour protéger les renseignements personnels de ses clients et de ses employés? Veuillez répondre par Oui ou Non. [LIRE LES ÉLÉMENTS]
    1. Exige des mots de passe pour accéder aux comptes
    2. Utilise l’authentification multifactorielle
    3. Utilise l’authentification par empreintes vocales
    4. Crypte les communications
    5. Crypte les données stockées
    6. Contrôle l’accès des employés aux fichiers électronique

    CHOIX DE RÉPONSES :

    • 01. Oui
    • 02. Non
    • 98. [NE PAS LIRE] Ne s’applique pas
    • 99. [NE PAS LIRE] Ne sait pas
  7. Votre entreprise recueille-t-elle des renseignements personnels auprès de clients mineurs, c’est-à-dire âgés de moins de 18 ans? [LIRE LA LISTE]
    • 01. Oui
    • 02. Non
    • 03. [NE PAS LIRE] Ne sait pas
  8. [SI Q29=01] Lors de la collecte de renseignements auprès de mineurs, votre entreprise prend-elle l’une ou l’autre des mesures suivantes? Veuillez répondre par Oui ou Non. [LIRE LES ÉLÉMENTS]
    1. Vérifie l’âge
    2. Obtient le consentement des parents
    3. Explique les politiques et pratiques en matière de protection de la vie privée dans un langage simple et adapté à l’âge des personnes concernées
    4. Réalise des évaluations de l’impact sur la vie privée avant de lancer des produits ou des outils destinés aux jeunes
    5. Utilise par défaut des paramètres de confidentialité stricts, par exemple en désactivant automatiquement la géolocalisation
    6. Facilite la suppression par les jeunes de leur compte ou des renseignements qu’ils ont publiés

    CHOIX DE RÉPONSES :

    • 01. Oui
    • 02. Non
    • 98. [NE PAS LIRE] Ne s’applique pas
    • 99. [NE PAS LIRE] Ne sait pas

Section 5 : Politiques sur la protection des renseignements personnels

  1. Votre entreprise a-t-elle une politique sur la protection des renseignements personnels? [LIRE LA LISTE]
    • 01. Oui
    • 02. Non
    • 99. [NE PAS LIRE] Ne sait pas
  2. [SI Q31=01] Votre politique sur la protection des renseignements personnels explique‑t‑elle en langage clair ...? [LIRE LA LISTE]
    1. La façon dont votre entreprise recueille, utilise et communique les renseignements personnels de ses clients?
    2. Les renseignements personnels que votre entreprise recueille auprès de ses clients?
    3. Les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés ou communiqués?
    4. Avec quelles parties les renseignements personnels des clients seront-ils partagés?
    5. La durée de conservation des renseignements personnels de ses clients?
    6. Le risque de préjudice à la personne, le cas échéant, en cas d’atteinte à la protection des données?
    7. La façon dont votre entreprise détruit les renseignements personnels de ses clients lorsqu’elle n’en a plus besoin?

    CHOIX DE RÉPONSES :

    • 01. Oui
    • 02. Non
    • 98. [NE PAS LIRE] Ne s’applique pas
    • 99. [NE PAS LIRE] Ne sait pas

Toujours à propos de la collecte et de l’utilisation que fait votre entreprise des renseignements personnels…

  1. [SI Q31=01] Votre entreprise prend-elle l’une ou l’autre des mesures suivantes? [LIRE LA LISTE]
    1. Aviser les clients quand elle modifie sa politique de protection des renseignements personnels?
    2. Obtenir le consentement des clients quand elle modifie ses pratiques de protection de la vie privée?
    3. Indiquer clairement si la collecte, l’utilisation ou la communication des renseignements est une condition de service?
    4. Faire en sorte que vos clients aient facilement accès à l’information sur la protection des renseignements personnels?
    5. Expliquer comment les clients peuvent soulever leurs préoccupations concernant la protection de la vie privée ou poser des questions à ce sujet?
    6. Expliquer comment les clients peuvent demander l’accès à leurs renseignements personnels?
    7. Expliquer comment les clients peuvent déposer une plainte officielle concernant la protection de la vie privée?
    8. Fait activement la promotion des pratiques de votre entreprise en matière de protection de la vie privée?

    CHOIX DE RÉPONSES :

    • 01. Oui
    • 02. Non
    • 98. [NE PAS LIRE] Ne s’applique pas
    • 99. [NE PAS LIRE] Ne sait pas

Section 6 : Évaluation du risque et des atteintes

  1. Votre entreprise compte-t-elle sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels? Cela comprend l’évaluation des risques pour la vie privée liés au développement ou à l’utilisation de nouveaux produits, services ou technologies. [LIRE LA LISTE]
    • 01. Oui
    • 02. Non
    • 98. [NE PAS LIRE] Ne s’applique pas
    • 99. [NE PAS LIRE] Ne sait pas

    Les atteintes à la protection des données sont causées par une activité criminelle, un vol, du piratage ou l’erreur d’un employé, comme le fait de laisser un ordinateur portable ou un autre appareil portatif à un endroit inapproprié.

  2. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « pas du tout préoccupé » et 7, « très préoccupé ».
  3. Dans quelle mesure votre entreprise est-elle prête à réagir à une atteinte à la protection des données touchant les renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « n’est pas du tout prête à réagir » à une atteinte à la protection des données et 7 signifie « tout à fait prête à intervenir ».
  4. Votre entreprise a-t-elle déjà été confrontée à une atteinte qui a compromis les renseignements personnels de vos clients? [LIRE LA LISTE]
    • 01. Oui
    • 02. Non
    • 99. [NE PAS LIRE] Ne sait pas
  5. [SI Q37=01] Votre entreprise s’assure-t-elle de conserver un registre de toutes les atteintes à la protection des données touchant les renseignements personnels de vos clients?
    • 01. Oui
    • 02. Non
    • 99. [NE PAS LIRE] Ne sait pas

Section 7 : Profil organisationnel

Ces dernières questions n’ont qu’une visée statistique, et toutes les réponses sont confidentielles.

  1. Dans quelle industrie ou dans quel secteur exercez-vous des activités? Si votre entreprise exerce des activités dans plusieurs secteurs, veuillez indiquer le secteur principal. [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]
    • 01. Hébergement et restauration
    • 02. Services administratifs, services de soutien, services de gestion des déchets et services d’assainissement
    • 03. Agriculture, foresterie, pêche et chasse
    • 04. Arts, divertissements et loisirs
    • 05. Construction
    • 06. Services d’éducation
    • 07. Finances et assurances
    • 08. Soins de santé et assistance sociale
    • 09. Industrie de l’information et industrie culturelle
    • 10. Gestion de sociétés et d’entreprises
    • 11. Secteur manufacturier
    • 12. Extraction pétrolière et gazière
    • 13. Autres services (à l’exception de l’administration publique)
    • 14. Services professionnels, scientifiques et techniques
    • 15. Administration publique
    • 16. Services immobiliers et services de location et de location à bail
    • 17. Commerce de détail
    • 18. Transportation et entreposage
    • 19. Services publics
    • 20. Commerce de gros
    • 88. Autre. Veuillez préciser :
    • 99. Ne sait pas/Aucune réponse
  2. Quel est votre poste dans l’organisation? [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]
    • 01. Propriétaire, président ou PDG
    • 02. Directeur général ou autre gestionnaire
    • 03. Gestionnaire de la TI
    • 04. Administration
    • 05. Vice-président
    • 06. Analyste, agent ou coordonnateur en matière de protection des renseignements personnels
    • 07. Conseiller juridique ou avocat
    • 08. RH/Opérations
    • 88. Autre, préciser
    • 99. Ne sait pas/Aucune réponse

Ceci conclut le sondage.

Merci de votre temps et de vos commentaires, ils sont très appréciés.

Date de modification :