Sondage de 2023-2024 mené auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels
Rapport final
Préparé pour le Commissariat à la protection de la vie privée du Canada
Nom du fournisseur : Phoenix SPI
Numéro de contrat : CW2334458
Date d’attribution : 2023-10-18
Valeur du contrat : 72 252,20 $ (taxes applicables comprises)
Date de livraison : 2024-03-06
Numéro d’enregistrement : ROP No: 073-23
Pour plus d’information, veuillez écrire à l’adresse suivante : publications@priv.gc.ca.
This report is also available in English.
Sondage de 2023-2024 mené auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels
Rapport final
Préparé pour le Commissariat à la protection de la vie privée du Canada
Nom du fournisseur : Phoenix Strategic Perspectives Inc.
Mars 2024
Le présent rapport de recherche sur l’opinion publique présente les résultats d’un sondage téléphonique mené par Phoenix SPI pour le compte du Commissariat à la protection de la vie privée du Canada. Le sondage a été mené auprès de 800 représentants d’entreprises canadiennes, entre le 21 novembre et le 21 décembre 2023.
La présente publication peut être reproduite à des fins non commerciales seulement. Il faut cependant avoir obtenu au préalable l’autorisation écrite du Commissariat à la protection de la vie privée du Canada. Pour obtenir des renseignements supplémentaires sur le présent rapport, veuillez communiquer avec le Commissariat à la protection de la vie privée du Canada par courriel, à l’adresse suivante : publications@priv.gc.ca, ou par la poste, à l’adresse suivante :
Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec) K1A 1H3
Numéro de catalogue : IP54-96/2024F-PDF
Numéro international normalisé du livre (ISBN) : 978-0-660-71663-3
Documents connexes (numéro d’enregistrement de la ROP : POR 073-23)
Numéro de catalogue (rapport final, anglais) : IP54-96/2024E-PDF
ISBN : 978-0-660-71662-6
Also available in English under the title: “2023-24 Survey of Canadian businesses on privacy-related issues”.
Liste des figures
- Figure 1 : Utilisation des renseignements personnels des clients recueillis par les entreprises
- Figure 2 : Méthodes utilisées par les entreprises pour conserver les renseignements personnels
- Figure 3 : Circulation transfrontalière des renseignements personnels des clients
- Figure 4 : Utilisation de l’IA pour les activités commerciales
- Figure 5 : Utilisation de l’IA dans les activités commerciales
- Figure 6 : Usage que font les entreprises de l’IA
- Figure 7 : Probabilité que l’entreprise utilise l’IA pour ses activités commerciales au cours des cinq prochaines années
- Figure 8 : Sensibilisation des entreprises à l’égard de leurs responsabilités aux termes des lois sur la protection des renseignements personnels
- Figure 9 : Sensibilisation des entreprises à l’égard de leurs responsabilités aux termes des lois sur la protection des renseignements personnels [de 2011 à aujourd’hui]
- Figure 10 : Respect des lois canadiennes régissant la protection des renseignements personnels
- Figure 11 : Degré de difficulté éprouvé à se conformer aux lois canadiennes régissant la protection des renseignements personnels
- Figure 12 : Respect des lois canadiennes régissant la protection des renseignements personnels [de 2011 à aujourd’hui]
- Figure 13 : Difficultés rencontrées ou anticipées à se conformer aux lois canadiennes régissant la protection des renseignements personnels
- Figure 14 : Recherche d’information sur les responsabilités en matière de protection des renseignements personnels
- Figure 15 : Sources d’information sur les responsabilités en matière de protection des renseignements personnels
- Figure 16 : Connaissance des ressources offertes par le Commissariat à la protection de la vie privée du Canada [de 2011 à aujourd’hui]
- Figure 17 : Utilisation des ressources offertes par le Commissariat à la protection de la vie privée du Canada [de 2011 à aujourd’hui]
- Figure 18 : Raisons de ne pas utiliser les ressources offertes par le Commissariat à la protection de la vie privée du Canada
- Figure 19 : Importance accordée à la protection des renseignements personnels des clients
- Figure 20 : Importance nette accordée à la protection des renseignements personnels des clients [de 2011 à aujourd’hui].
- Figure 21 : Mesures prises pour gérer les obligations des entreprises en matière de protection des renseignements personnels
- Figure 22 : Mesures prises pour gérer les obligations des entreprises en matière de protection des renseignements personnels [de 2013 à aujourd’hui]
- Figure 23 : Mesures prises pour protéger les renseignements personnels
- Figure 24 : Collecte de renseignements personnels auprès de clients mineurs
- Figure 25 : Mesures prises lors de la collecte de renseignements personnels auprès de mineurs
- Figure 26 : Utilisation de politiques sur la protection des renseignements personnels [de 2019 à aujourd’hui]
- Figure 27 : Communications selon la politique sur la protection des renseignements personnels
- Figure 28 : Communications selon la politique sur la protection des renseignements personnels [de 2017 à aujourd’hui]
- Figure 29 : Communication des pratiques de l’entreprise en matière de protection des renseignements personnels
- Figure 30 : Communication des pratiques de l’entreprise en matière de protection des renseignements personnels [de 2019 à aujourd’hui]
- Figure 31 : Politiques et procédures organisationnelles pour évaluer les risques d’atteinte à la vie privée [de 2019 à aujourd’hui]
- Figure 32 : Degré de préoccupation concernant les atteintes à la protection des données
- Figure 33 : Degré de préoccupation concernant les atteintes à la protection des données [de 2011 à aujourd’hui]
- Figure 34 : État de préparation des entreprises à réagir aux atteintes à la protection des données
- Figure 35 : Atteintes à la protection des données [de 2013 à aujourd’hui]
- Figure 36 : Tenue d’un registre des atteintes à la protection des données
Résumé
Le Commissariat à la protection de la vie privée du Canada a retenu les services de Phoenix Strategic Perspectives (Phoenix SPI) afin de réaliser une étude quantitative auprès des entreprises canadiennes sur les enjeux liés à la protection des renseignements personnels.
But, objectifs et utilisation des résultats
Pour répondre à ses besoins en matière de renseignements, le Commissariat réalise tous les deux ans des sondages auprès des entreprises afin d’éclairer et d’orienter les efforts de sensibilisation. La présente recherche visait à recueillir des données sur le type de politiques et de pratiques de protection des renseignements personnels mises en œuvre par les entreprises; sur le respect de la loi par les entreprises; ainsi que sur la sensibilisation des entreprises à la protection des renseignements personnels et leurs approches en la matière. Les résultats du sondage permettront au Commissariat de fournir une orientation aux individus et aux organisations sur les enjeux liés à la protection des renseignements personnels et de renforcer ses efforts de sensibilisation auprès des petites entreprises, ce qui peut être un moyen efficace d’apporter des changements positifs en matière de protection des renseignements personnels.
Méthodologie
Un sondage téléphonique de 15 minutes a été réalisé auprès de 800 entreprises d’un bout à l’autre du Canada, entre le 21 novembre et le 21 décembre 2023. Les répondants ciblés étaient des décideurs de haut niveau ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes. Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage : petite (1 à 19 employés); moyenne (20 à 99 employés); et grande (100 employés et plus). Les résultats ont été pondérés selon la taille, le secteur et la région au moyen des données de Statistique Canada afin de veiller à ce qu’elles reflètent la distribution réelle des entreprises au Canada. Les résultats obtenus au moyen d’un échantillon de cette taille comportent une marge d’erreur de ± 3,5 %, 19 fois sur 20.
Principales constatations
La plupart des entreprises canadiennes sont sensibilisées aux responsabilités qui leur incombent en vertu des lois canadiennes sur la protection des renseignements personnels et ont pris des mesures pour s’assurer de respecter ces lois.
- Au total, 88 % des représentants d’entreprise ont déclaré que leur entreprise est au moins modérément sensibilisée à ses responsabilités en matière de protection des renseignements personnels, et près de la moitié d’entre elles (47 %) sont très sensibilisées à ces responsabilités. Depuis 2019, la proportion d’entreprises qui déclarent être très sensibilisées à ses responsabilités en matière de protection des renseignements personnels n’a pas cessé de diminuer, passant de 57 % en 2019 à 52 % en 2022, puis à 47 % cette année.
- Près des trois quarts des représentants d’entreprises sondés (76 %) ont affirmé que leur entreprise a pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels. Le pourcentage des entreprises qui respectent les lois n’a pas changé de manière importante depuis 2019, et il demeure plus élevé que les 66 % enregistrés en 2017. La probabilité de prendre des mesures pour assurer la conformité augmente avec la taille de l’entreprise, passant de 75 % pour les petites entreprises à 94 % pour les grandes.
- En tout, 93 % des entreprises qui ont pris des mesures pour se conformer aux lois canadiennes sur la protection des renseignements personnels ont estimé qu’il était modérément ou extrêmement facile de rendre conformes leurs pratiques en matière de traitement des renseignements personnels. La proportion d’entreprises qui ont estimé qu’il était extrêmement facile d’assurer leur conformité a augmenté de manière importante cette année, passant de 35 % en 2022 à 56 % en 2023.
- Peu de difficultés en matière de conformité ont été nommées : manque de connaissance (6 %) ou de compréhension des lois sur la protection des renseignements personnels (6 %), difficulté à intégrer les mesures de protection des renseignements personnels aux systèmes et aux processus déjà en place (5 %), manque de ressources internes ou d’une équipe affectée à la protection des renseignements personnels (4 %), manque de compétences techniques (2 %) et coût financier de la mise en conformité (2 %); ce qui souligne la facilité avec laquelle les entreprises étaient en mesure de se conformer aux lois canadiennes sur la protection des renseignements personnels.
La connaissance des entreprises à propos des renseignements et des outils du Commissariat a considérablement augmenté, mais seulement une entreprise sur quatre a utilisé ces ressources pour se conformer à ses obligations en matière de protection des renseignements personnels.
- Quatre représentants d’entreprises sondés sur dix (41 %, contre 33 % en 2022) savent que le Commissariat offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels. Le pourcentage de représentants d’entreprise qui ont autodéclaré l’utilisation de ces ressources a augmenté cette année, passant de 17 % en 2013 à 26 % en 2023. Ce pourcentage demeure toutefois inférieur à celui des représentants sondés connaissant ces ressources. Ce fait peut s’expliquer notamment par l’absence de besoin, mentionnée par 31 % des représentants qui connaissaient les ressources du Commissariat, mais qui ont déclaré que leur entreprise ne les avait pas utilisées.
Au moins la moitié des entreprises canadiennes ont mis en œuvre la plupart des pratiques en matière de protection de la vie privée évaluées au moyen du sondage. Le pourcentage de mise en œuvre est pratiquement le même depuis 2022, année au cours de laquelle une baisse avait été signalée pour toutes les mesures. En plus d’assumer leurs obligations en matière de protection de la vie privée, de nombreuses entreprises ont également déclaré avoir pris des mesures pour protéger les renseignements personnels.
- Au moins la moitié des répondants ont affirmé que leur entreprise a mis en œuvre les pratiques de protection de la vie privée suivantes : nommer une personne responsable des questions liées à la protection de la vie privée et des renseignements personnels (56 %); mettre en place des procédures pour gérer les plaintes des clients concernant le traitement de leurs renseignements personnels (53 %) ainsi que pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels (50 %); et élaborer des politiques internes à l’intention du personnel qui expliquent les obligations en ce qui a trait à la protection des renseignements personnels (50 %). Exactement le tiers des répondants (33 %) ont indiqué que leur entreprise donne régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels. La probabilité d’avoir mis en œuvre ces pratiques augmentait en fonction de la taille de l’entreprise et était la plus élevée parmi les grandes entreprises pour presque toutes les mesures.
- Nouveauté observée cette année : les entreprises ont été sondées sur les mesures de sécurité utilisées pour protéger les données de leurs clients et de leurs employés. Environ huit représentants d’entreprises sur dix ont déclaré que leur entreprise exigeait des mots de passe pour accéder aux comptes (83 %) et contrôlait l’accès des employés aux fichiers électroniques (79 %). Un peu plus de la moitié des répondants ont déclaré que leur entreprise utilisait l’authentification multifactorielle (53 %) et cryptait les données entreposées (49 %), tandis qu’un tiers d’entre elles (33 %) cryptaient ses communications.
Bon nombre d’entreprises disposent d’une politique sur la protection des renseignements personnels, mais elles sont moins nombreuses à déclarer en avoir une au fil des années. La plupart des entreprises qui disposent d’une politique de protection des renseignements personnels utilisent un langage clair pour expliquer leurs pratiques en matière de renseignements personnels des clients.
- Un peu plus de la moitié (55 %) des représentants d’entreprises sondés ont déclaré que leur entreprise disposait d’une telle politique. Au fil du temps, la proportion de ces entreprises a diminué, passant de 65 % en 2019 à 59 % en 2022, puis à 55 % cette année. La probabilité d’avoir mis en place une politique sur la protection des renseignements personnels est plus élevée chez les grandes entreprises. Près de neuf grandes entreprises sur dix (87 %) disposent d’une telle politique, contre deux tiers (67 %) des moyennes entreprises et environ la moitié (53 %) des petites entreprises.
- Les résultats de 2023 sont généralement cohérents avec ceux des années précédentes lorsqu’il s’agit de relever si les politiques sur la protection des renseignements personnels des entreprises sont rédigées en langage clair. La plupart de ces politiques expliquent en langage clair les éléments suivants : les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés ou communiqués (85 %), la nature des renseignements personnels recueillis (81 %) et les méthodes utilisées par l’entreprise pour recueillir, utiliser et communiquer ces renseignements (80 %). En outre, un grand nombre de répondants ont déclaré que la politique de leur entreprise explique avec quelles parties les renseignements personnels seront partagés (70 %) et comment ils seront détruits (62 %), tandis qu’un peu plus de la moitié (55 %) déclarent que la politique de leur entreprise explique les risques de préjudice en cas d’atteinte à la protection des données. Le seul changement notable au fil du temps a été la proportion d’entreprises qui précisent, en langage clair, la durée de conservation des renseignements personnels de ses clients. Cette proportion est passée de 57 % en 2022 à 67 % en 2023.
- Aux représentants des entreprises qui ont déclaré que leur entreprise avait une politique sur la protection des renseignements personnels, on a également demandé si leur entreprise communiquait à ses clients différentes explications sur ses pratiques en matière de protection des renseignements personnels. Le changement le plus important d’une année à l’autre comprend une baisse de la proportion d’entreprises qui expliquent comment les clients peuvent déposer une plainte officielle en matière de protection de la vie privée (de 60 % en 2022 à 49 % en 2023), qui rendent l’information sur la protection des renseignements personnels facilement accessible (de 70 % en 2022 à 60 % en 2023) et qui expliquent comment les clients peuvent demander l’accès à leurs renseignements personnels (de 69 % en 2022 à 59 % cette année).
Peu d’entreprises ont été confrontées à une atteinte à la protection des données, mais la moitié d’entre elles sont prêtes à réagir à une atteinte touchant des renseignements personnels.
- Au total, 93 % des entreprises n’auraient pas été confrontées à une atteinte à la vie privée. Le nombre d’atteintes à la protection des données signalées est demeuré constant au cours de la dernière décennie (4 % en 2013, 2019 et 2022 et 6 % en 2023).
- Plus de huit répondants sur dix (84 %) ont déclaré que leur entreprise était au moins quelque peu préparée à réagir à une atteinte à la protection de données touchant des renseignements personnels, dont près de la moitié (46 %) ont déclaré que leur entreprise était tout à fait prête à intervenir.
Valeur du contrat
La valeur du contrat était de 72 252,20 $ (taxes applicables comprises).
Attestation de neutralité politique
À titre de cadre supérieure de Phoenix Strategic Perspectives, j’atteste que le rapport livré est entièrement conforme aux exigences en matière de neutralité politique du gouvernement du Canada énoncées dans la Politique de communication du gouvernement du Canada et à la Procédure de planification et d’attribution de marchés de services de recherche sur l’opinion publique. Plus précisément, ce rapport ne renferme pas d’information sur les intentions de vote, les préférences quant aux partis politiques, les positions des partis ou l’évaluation de la performance d’un parti politique ou de son chef.
Document original a été signé par
Alethea Woods
Présidente
Phoenix Strategic Perspectives Inc.
Introduction
La société Phoenix Strategic Perspectives Inc. (Phoenix SPI) a été mandatée par le Commissariat à la protection de la vie privée du Canada afin de mener une recherche sur l’opinion publique (ROP) auprès d’entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels.
Contexte
À titre de défenseur du droit à la vie privée des Canadiens, le Commissariat est autorisé à enquêter sur les plaintes et à mener des vérifications en vertu de deux lois fédérales, à publier de l’information sur les pratiques de traitement des renseignements personnels dans les secteurs public et privé et à effectuer de la recherche sur les enjeux liés à la protection des renseignements personnels.
Mandaté par le Parlement pour agir à titre d’ombudsman et de gardien de la vie privée au Canada, le Commissariat est chargé de faire respecter la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui s’applique aux activités commerciales dans les provinces de l’Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Le Québec, l’Alberta et la Colombie-Britannique possèdent leur propre loi sur la protection des renseignements personnels applicable au secteur privé. Toutefois, même dans ces provinces, la LPRPDE s’applique aux entreprises du secteur privé sous réglementation fédérale ainsi qu’aux renseignements personnels obtenus dans le cadre d’activités interprovinciales et internationales.
But et objectifs de la recherche
Compte tenu de son mandat, le Commissariat doit comprendre dans quelle mesure les entreprises connaissent les enjeux liés à la protection des renseignements personnels et savoir quel type de politiques et de pratiques en la matière elles ont mis en place. Le Commissariat doit également évaluer la conformité à la loi. Pour ce faire, il est également important que le Commissariat comprenne le niveau de sensibilisation des entreprises à la protection des renseignements personnels et leurs approches en la matière.
La présente recherche vise à permettre de mieux comprendre la mesure dans laquelle les entreprises connaissent les exigences et les enjeux liés à la protection des renseignements personnels. Elle vise aussi à en savoir plus sur les types de politiques et de pratiques en la matière adoptées par les entreprises et à déterminer les besoins en information de ces dernières dans ce domaine. Les résultats du sondage serviront à éclairer et à orienter les efforts déployés par le Commissariat pour sensibiliser les entreprises.
Méthodologie
Un sondage téléphonique de 15 minutes a été réalisé auprès de 800 entreprises d’un bout à l’autre du Canada, entre le 21 novembre et le 21 décembre 2023. Les répondants ciblés étaient des décideurs de haut niveau ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes. Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage : petite (de 1 à 19 employés); moyenne (de 20 à 99 employés) et grande (100 employés et plus). L’échantillon provient de la société Dun & Bradstreet (D&B Canada). Les entrevues ont été réalisées au moyen d’une technologie d’entrevues téléphoniques assistées par ordinateur. Les résultats ont été pondérés selon la taille, le secteur et la région au moyen des données de Statistique Canada afin de veiller à ce qu’elles reflètent la distribution réelle des entreprises au Canada. Les résultats obtenus au moyen d’un échantillon de cette taille comportent une marge d’erreur de ± 3,5 %, 19 fois sur 20.
Le tableau ci-dessous présente des renseignements sur la répartition finale des appels pour le sondage, ainsi que les taux de réponse connexes. La formule utilisée pour calculer le taux de réponse [TR] est la suivante : [TR=UR/(NR+UNR+UR)]. Ainsi, le taux de réponse correspond au nombre d’unités répondantes [UR], divisé par le nombre de cas non résolus [NR] plus le nombre de répondants potentiels qui n’ont pas répondu [UNR] – ménages et répondants combinés – plus le nombre d’unités répondantes [UR].
| Répartition finale des appels | Total |
|---|---|
| Nombre total de tentatives d’appel | 12 598 |
| Répondants non admissibles – non valides | 2 226 |
| Non résolu (NR) | 5 759 |
|
Aucune réponse/répondeur |
5 759 |
| Répondants potentiels – unités non répondantes (UNR) | 5 365 |
|
Barrière linguistique |
74 |
|
Impossibilité de réaliser l’entrevue téléphonique (maladie ou décès) |
91 |
|
Rappel (répondant non disponible) |
1 722 |
|
Refus |
3 473 |
|
Interruption |
128 |
| Répondants potentiels – unités répondantes (UR) | 938 |
|
Entrevues réalisées |
800 |
|
Non admissible (à but non lucratif) |
127 |
|
Non admissible (ignore combien l’entreprise compte d’employés) |
11 |
| Taux de réponse (TR) | 8 % |
Notes aux lecteurs
- Les résultats sont comparés à ceux de sondages semblables menés en 2011, 2013, 2015, 2017, 2019 et 2022.
- Sauf indication contraire, tous les résultats sont exprimés en pourcentages. Il est possible que la somme des pourcentages ne corresponde pas toujours à 100 % en raison de l’arrondissement des nombres et des questions pour lesquelles de multiples réponses étaient permises.
- Parfois, le nombre de répondants change dans le rapport parce qu’on a posé des questions à des sous-échantillons de la population du sondage. Les lecteurs devraient en être conscients et faire preuve de prudence lorsqu’ils interprètent des résultats obtenus auprès d’un plus petit nombre de répondants.
- Les tailles des bases indiquées dans les graphiques correspondent au nombre réel de répondants à qui la question a été posée, le cas échéant.
- Les différences entre les sous-groupes sont décrites dans le rapport. Lorsqu’on ne fait pas mention de variations entre les sous-groupes, il est présumé qu’aucune variation importante n’est à noter.
- Si une catégorie ou plus d’un sous-groupe n’est pas mentionné dans l’explication des variations entre les sous-groupes (par exemple, si seulement deux régions parmi quatre sont comparées), on peut conclure que seules les catégories en question présentaient des variations considérables.
- On ne fait mention que des variations entre les sous-groupes qui sont statistiquement significatives à un niveau de confiance de 95 % et qui se rapportent à un échantillon de sous-groupes d’une taille supérieure à n = 30 ou qui s’inscrivent dans un modèle ou une tendance.
- Le questionnaire du sondage est fourni en annexe au présent rapport.
Conclusions détaillées
1. Renseignements personnels des clients
La présente section traite de la manière dont les entreprises canadiennes utilisent et conservent les renseignements personnels qu’elles recueillent auprès de leurs clients.
La plupart des entreprises utilisent les renseignements personnels qu’elles recueillent pour fournir des services.
Plus de huit représentants d’entreprise sondés sur dix (84 %) ont affirmé que leur entreprise utilise les renseignements qu’elle recueille sur ses clients pour fournir un service. Cela pourrait consister, par exemple, à recueillir une adresse de courriel pour envoyer une facture. L’utilisation des renseignements personnels des clients pour fournir un service a augmenté de façon constante, passant de 63 % en 2019 à 84 % cette année. Depuis 2022, près d’un quart (23 %) des répondants ont déclaré que leur entreprise utilisait ces renseignements pour personnaliser ses services ou ses produits. Quinze pour cent (15 %) des représentants ont déclaré que leur entreprise utilise les renseignements personnels de ses clients à des fins d’analyse de données (15 %) et 15 % (contre 11 % en 2022) pour établir des profils de clients à des fins de marketing. Ils sont moins nombreux à déclarer que leur entreprise utilise ces renseignements pour la facturation ou le traitement des paiements (5 %) et pour l’entraînement d’un système d’intelligence artificielle (IA) (1 %).
Q3. Que fait votre entreprise des renseignements personnels qu’elle recueille concernant ses clients? Les utilisez-vous pour…? Réponses multiples acceptées. Base : tous les répondants. *Nouvelles catégories cette année.
Version textuelle de la figure 1
Figure 1 : Utilisation des renseignements personnels des clients recueillis par les entreprises
| 2019 (n=1 003) | 2022 (n=751) | 2023 (n=800) | |
|---|---|---|---|
| Pour entraîner un système d’intelligence artificielle (IA)* | ‑ | ‑ | 1 % |
| Pour la facturation/le traitement des paiements | 7 % | 7 % | 5 % |
| Pour établir des profils de clients à des fins de marketing | 10 % | 11 % | 15 % |
| Pour l’analyse de données* | ‑ | ‑ | 15 % |
| Pour personnaliser les services ou produits | 30 % | 22 % | 23 % |
| Pour fournir des services aux clients | 63 % | 77 % | 84 % |
Les entreprises qui vendent leurs services ou leurs produits à d’autres entreprises ou à la fois à des entreprises et à des consommateurs étaient beaucoup plus susceptibles que celles qui les vendent uniquement à des consommateurs de signaler qu’elles utilisent les renseignements personnels de leurs clients pour fournir un service (94 % et 89 % respectivement, contre 63 % pour les entreprises qui vendent directement à des consommateurs).
De nombreuses entreprises stockent les renseignements personnels sur place, en format électronique.
Les entreprises canadiennes ont affirmé utiliser diverses méthodes pour conserver les renseignements personnels de leurs clients. Comme les années précédentes, le stockage sur place en format électronique est en tête de liste, mentionné par 68 % des représentants d’entreprises sondés (contre 62 % en 2022). Après le stockage sur place suit le stockage hors site auprès d’un tiers, comme un service nuagiqueNote de bas de page 1. En effet, 41 % des représentants d’entreprises ont déclaré avoir recours à cette façon de faire, qui a d’ailleurs considérablement augmenté cette année, passant de 27 % en 2022 à 41 % en 2023. Enfin, presque autant de répondants (38 %; pratiquement inchangé par rapport à 41 % en 2022) ont déclaré que leur entreprise stocke ces renseignements sur place, en format papier.
En plus de stocker les renseignements sur place ou chez un tiers, un certain nombre d’entreprises ont affirmé que ces renseignements étaient entreposés en format électronique (15 %) ou papier (7 %) au bureau au domicile d’un employé ou de l’employeur.
Q4. Comment votre entreprise conserve-t-elle les renseignements personnels de ses clients? Les renseignements sont-ils…? Réponses multiples acceptées. Base : tous les répondants.
Version textuelle de la figure 2
Figure 2 : Méthodes utilisées par les entreprises pour conserver les renseignements personnels
| 2019 (n=1 003) | 2022 (n=751) | 2023 (n=800) | |
|---|---|---|---|
| L’entreprise n’entrepose pas de renseignements personnels concernant ses clients | 5 % | 6 % | 6 % |
| Entreposés au bureau à domicile d’un employé ou de l’employeur en format papier | 0 % Aucune donnée comparable pour 2019 | 7 % | 7 % |
| Entreposés au bureau à domicile d’un employé ou de l’employeur en format électronique | 0 % Aucune donnée comparable pour 2019 | 18 % | 15 % |
| Stockés sur place en format papier | 49 % | 41 % | 38 % |
| Stockés hors site auprès d’un tiers, comme un service en nuage | 21 % | 27 % | 41 % |
| Stockés sur place en format électronique | 72 % | 62 % | 68 % |
Les entreprises de l’ouest du Canada (79 %) sont les plus susceptibles de stocker les renseignements personnels de leurs clients sur place, en format électronique. En outre, la probabilité de stocker des données sur place en format électronique augmente avec la taille de l’entreprise : 48 % des entreprises à propriétaire unique et 74 % des entreprises comptant 20 employés ou plus. Les grandes entreprises (17 %) et les petites entreprises (15 %) sont plus susceptibles que les moyennes entreprises (7 %) de stocker les renseignements personnels de leurs clients au bureau au domicile d’un employé ou de l’employeur en format électronique.
La probabilité de recourir au stockage hors site auprès d’un tiers, comme un service infonuagique, était plus élevée au Canada atlantique (57 %), en Ontario (45 %) et dans l’ouest du Canada (43 %) qu’au Québec (24 %), ainsi que parmi les entreprises qui vendent uniquement aux entreprises (47 %) ou aux entreprises et aux consommateurs (45 %) par rapport à celles qui vendent exclusivement aux consommateurs (28 %). Le recours à des services d’entreposage par des tiers tend également à être plus important dans les entreprises en activité dans des industries ou des secteurs clés de l’économieNote de bas de page 2, comme les services professionnels, scientifiques et techniques, les finances et les assurances, les industries de l’information et de la culture, ainsi que les arts, les divertissements et les loisirs.
Un très faible nombre d’entreprises envoient des renseignements sur leurs clients en dehors du Canada.
Trois pour cent des représentants d’entreprises sondés ont déclaré que leur entreprise envoyait les renseignements personnels de leurs clients à des entreprises situées en dehors du Canada à des fins de traitement, de stockage ou autres. La grande majorité (95 %) ne le fait pas.
Q5. Votre entreprise envoie-t-elle des renseignements personnels de ses clients à des entreprises situées en dehors du Canada à des fins de traitement, de stockage ou autres? Base : n = 800; tous les répondants. Ne sait pas : 2 %.
Version textuelle de la figure 3
Figure 3 : Circulation transfrontalière des renseignements personnels des clients
| % des répondants | |
|---|---|
| L’entreprise envoie des renseignements personnels de ses clients à des entreprises situées en dehors du Canada | 3 % |
| L’entreprise n’envoie pas de renseignements personnels de ses clients à des entreprises situées en dehors du Canada | 95 % |
3 % des entreprises envoient des renseignements sur leurs clients à l’étranger
Parmi les entreprises qui envoient les renseignements personnels de leurs clients en dehors du Canada (n = 26)Note de bas de page 3, les deux tiers (67 %) des représentants d’entreprises sondés ont déclaré que leur entreprise informe les clients que leurs renseignements personnels peuvent quitter le Canada. Les autres entreprises ne le font pas ou le répondant ne le sait pas. Les entreprises qui informent leurs clients (n = 13) Note de bas de page 2 utilisent le plus souvent une politique de confidentialité de l’entreprise pour en informer les clients, suivie d’un accord sur les modalités de services et, enfin, d’un consentement exprès.
2. Technologie
Utilisation limitée de l’IA pour les activités commerciales
Six pour cent des représentants d’entreprises sondés ont déclaré que leur entreprise utilisait l’intelligence artificielle (IA) dans le cadre de ses activités commerciales. Toutefois, la grande majorité (93 %) ne le fait pas.
Q8. Votre entreprise utilise-t-elle l’IA pour ses activités commerciales? Base : n = 800; tous les répondants. Je ne sais pas : 1 %
Version textuelle de la figure 4
Figure 4 : Utilisation de l’IA pour les activités commerciales
| % des répondants | |
|---|---|
| L’entreprise utilise l’IA dans le cadre de ses activités commerciales | 6 % |
| L’entreprise n’utilise pas l’IA dans le cadre de ses activités commerciales | 93 % |
6 % des entreprises utilisent l’IA dans le cadre de leurs activités commerciales
Amélioration des activités commerciales – principale utilisation de l’IA
Parmi les entreprises qui utilisent l’IA pour leurs activités commerciales (n = 39)Note de bas de page 4, la majorité (61 %) le fait pour améliorer ses activités.
Q9. De quelle manière votre entreprise utilise-t-elle l’IA dans ses activités commerciales? Réponses multiples acceptées Base : n = 39; celles qui utilisent l’IA dans leurs activités commerciales. Ne sait pas : <1 %.
Version textuelle de la figure 5
Figure 5 : Usage de l’IA dans les activités commerciales
| % des répondants | |
|---|---|
| Recrutement d’employés | 6 % |
| Analyse des données | 7 % |
| Service à la clientèle/robots conversationnels | 16 % |
| Marketing | 20 % |
| Amélioration des activités commerciales | 61 % |
Quatre entreprises sur dix utilisent l’IA pour accroître l’efficacité et prendre des décisions
Quatre répondants sur dix (41 %) qui ont déclaré que leur entreprise utilise l’IA dans ses activités commerciales ont indiqué qu’elle le fait pour accroître l’efficacité et prendre des décisionsNote de bas de page 5. Presque autant (39 %) ont déclaré que leur entreprise utilise l’IA pour accroître l’efficacité, et non pas pour prendre des décisions. Peu d’entreprises utilisent actuellement l’IA pour prendre des décisions, mais pas pour accroître leur efficacité. Un peu plus d’un représentant d’entreprise sondé sur dix (12 %) a déclaré que son entreprise utilise l’IA dans ses activités commerciales, mais à aucune de ces fins.
Q10. Votre entreprise utilise-t-elle l’IA pour accroître son efficacité, pour prendre des décisions ou pour ces deux objectifs? Base : n = 39; celles qui utilisent l’IA dans leurs activités commerciales. Ne sait pas : <1 %.
Version textuelle de la figure 6
Figure 6 : Usage que font les entreprises de l’IA
| % des répondants | |
|---|---|
| Aucun | 12 % |
| Les deux | 41 % |
| Prendre des décisions | 9 % |
| Accroître l’efficacité | 39 % |
Un quart des entreprises qui n’utilisent pas l’IA sont assez ou très susceptibles de le faire dans les cinq prochaines années.
Près d’un quart des répondants qui ont déclaré que leur entreprise n’utilisait pas encore l’IA (n = 761) ont indiqué qu’il était assez (16 %) ou très (7 %) probable que leur entreprise utilise l’IA pour ses activités commerciales au cours des cinq prochaines années. En revanche, un peu plus des trois quarts des répondants ont déclaré qu’il était peu (26 %) ou pas du tout (51 %) probable que leur entreprise utilise l’IA au cours des cinq prochaines années.
Q12. Quelle est la probabilité que votre entreprise utilise l’IA pour ses activités commerciales au cours des cinq prochaines années? Base : n = 761; celles qui n’utilisent pas actuellement l’IA pour leurs activités commerciales. Ne sait pas : <1 %.
Version textuelle de la figure 7
Figure 7 : Probabilité que l’entreprise utilise l’IA pour ses activités commerciales au cours des cinq prochaines années
| % des répondants | |
|---|---|
| Pas du tout probable | 51 % |
| Peu probable | 26 % |
| Assez probable | 16 % |
| Très probable | 7 % |
3. Lois canadiennes sur la protection des renseignements personnels et conformité
La présente section porte sur les résultats du sondage en ce qui a trait à la sensibilisation des entreprises à l’égard de leurs responsabilités en vertu des lois sur la protection des renseignements personnels. Les questions figurant dans cette section ont été précédées de la description suivante des lois canadiennes régissant la protection des renseignements personnels.
La loi sur la protection des renseignements personnels du gouvernement fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), établit des règles qui régissent la manière dont les entreprises engagées dans des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie-Britannique et au Québec, le secteur privé est régi par des lois provinciales, qui sont considérées comme similaires à la loi fédérale.
De nombreuses entreprises sont très sensibilisées à leurs responsabilités aux termes des lois sur la protection des renseignements personnels.
Près de la moitié des représentants d’entreprises (47 %) ont indiqué que leur entreprise est très sensibilisée aux responsabilités qui lui incombent aux termes des lois canadiennes régissant la protection des renseignements personnels (notes de 6 ou 7 sur une échelle de 7). Des représentants interrogés, 41 % ont dit que leur entreprise est modérément sensibilisée à ces responsabilités (notes de 3 à 5). Au total, la majorité (88 %) des entreprises sondées sont au moins quelque peu sensibilisées à leurs responsabilités en matière de protection des renseignements personnels. Peu d’entre elles (12 %) ont estimé que le degré de sensibilisation de leur entreprise à cet égard est faible (note de 1 ou 2).
Q13. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? Base : n = 800; tous les répondants. Ne sait pas : 1 %.
Version textuelle de la figure 8
Figure 8 : Sensibilisation des entreprises à l’égard de leurs responsabilités aux termes des lois sur la protection des renseignements personnels
| % des répondants | |
|---|---|
| 7 – Très sensibilisée | 28 % |
| 6 | 19 % |
| 5 | 25 % |
| 4 | 9 % |
| 3 | 7 % |
| 2 | 5 % |
| 1 – Pas du tout sensibilisée | 7 % |
Le niveau de sensibilisation était plus élevé dans les entreprises du Québec (65 %) que dans celles du Canada atlantique (36 %), de l’Ontario (45 %) et de l’ouest du Canada (43 %), et il augmente avec la taille de l’entreprise, passant de 45 % dans les petites entreprises à 77 % dans les grandesNote de bas de page 6. En outre, la sensibilisation était plus élevée chez les entreprises qui ont pris des mesures pour s’assurer qu’elles respectent les lois canadiennes régissant la protection des renseignements personnels (58 % contre 11 % de celles qui ne l’ont pas fait), qui recueillent des renseignements personnels auprès de mineurs (69 % contre 45 % de celles qui ne le font pas), qui ont une politique sur la protection des renseignements personnels (59 % contre 31 % de celles qui n’en ont pas) et qui connaissent les ressources aux entreprises du Commissariat (65 % contre 35 % de celles qui ne les connaissent pas).
La proportion de représentants d’entreprises qui déclarent que leur entreprise est très sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada continue de diminuer par rapport au record de 57 % observé en 2019. Cette année, 47 % des répondants (soit une baisse de 5 %) estiment que leur entreprise est très sensibilisée à ses responsabilités en matière de protection des renseignements personnels, alors que ce chiffre était de 52 % en 2022.
Les calculs nets sont basés sur des pourcentages non arrondis.
Q13. Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada?
Version textuelle de la figure 9
Figure 9 : Sensibilisation des entreprises à l’égard de leurs responsabilités aux termes des lois sur la protection des renseignements personnels [de 2011 à aujourd’hui]
| Très sensibilisée (6 et 7) | |
|---|---|
| 2011 (n=1 006) | 31 % |
| 2013 (n=1 016) | 45 % |
| 2015 (n=1 016) | 43 % |
| 2017 (n=1 014) | 44 % |
| 2019 (n=1 003) | 57 % |
| 2022 (n=751) | 52 % |
| 2023 (n=800) | 47 % |
| Quelque peu sensibilisée (de 3 à 5) | |
|---|---|
| 2011 (n=1 006) | 47 % |
| 2013 (n=1 016) | 42 % |
| 2015 (n=1 016) | 39 % |
| 2017 (n=1 014) | 38 % |
| 2019 (n=1 003) | 33 % |
| 2022 (n=751) | 33 % |
| 2023 (n=800) | 41 % |
| Pas du tout sensibilisée (1 et 2) | |
|---|---|
| 2011 (n=1 006) | 19 % |
| 2013 (n=1 016) | 12 % |
| 2015 (n=1 016) | 17 % |
| 2017 (n=1 014) | 14 % |
| 2019 (n=1 003) | 9 % |
| 2022 (n=751) | 11 % |
| 2023 (n=800) | 11 % |
Les trois quarts des entreprises ont pris des mesures pour respecter les lois régissant la protection des renseignements personnels.
Près des trois quarts des représentants d’entreprises sondés (76 %) ont affirmé que leur entreprise a pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels. Le pourcentage des entreprises qui respectent les lois n’a pas changé de manière importante depuis 2019 et il demeure plus élevé que les 66 % signalés en 2017.
Q14. Votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels? Base : tous les répondants.
Version textuelle de la figure 10
Figure 10 : Respect des lois canadiennes régissant la protection des renseignements personnels
| % des entreprises qui ont pris des mesures pour respecter les lois | |
| 2017 (n=1 014) | 66 % |
| 2019 (n=1 003) | 77 % |
| 2022 (n=751) | 74 % |
| 2023 (n=800) | 76 % |
La probabilité de prendre des mesures pour s’assurer de respecter les lois augmente en fonction de la taille de l’entreprise, passant de 75 % pour les petites entreprises à 94 % pour les grandes. En outre, elle était plus élevée parmi les entreprises qui utilisent actuellement l’IA dans leurs activités commerciales (99 % contre 75 % de celles qui ne l’utilisent pas), qui recueillent des renseignements personnels auprès de mineurs (91 % contre 75 % de celles qui n’en recueillent pas), qui disposent d’une politique sur la protection des renseignements personnels (92 % contre 55 % de celles qui n’en ont pas) et qui connaissent les ressources aux entreprises du Commissariat (90 % contre 67 % de celles qui ne les connaissent pas).
La plupart des entreprises ont estimé qu’il était au moins assez facile de se conformer aux lois.
Parmi les entreprises qui ont pris des mesures pour respecter les lois canadiennes sur la protection des renseignements personnels (n = 623), plus de neuf entreprises sur dix (93 %) ont trouvé qu’il était moyennement facile (notes de 3 à 5 sur une échelle de 7) ou extrêmement facile (notes de 1 et 2) de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels. Très peu de représentants (5 %) ont affirmé que leur entreprise avait éprouvé de grandes difficultés (notes de 6 et 7) à se conformer aux lois dans ce domaine.
Q15. Dans quelle mesure est-il difficile pour votre entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels? Base : n = 623; celles qui ont pris des mesures pour se conformer aux lois canadiennes sur la protection des renseignements personnels. Ne sait pas : 2 %.
Version textuelle de la figure 11
Figure 11 : Degré de difficulté éprouvé à se conformer aux lois canadiennes régissant la protection des renseignements personnels
| % des répondants | |
|---|---|
| 7 – Extrêmement difficile | 4 % |
| 6 | 2 % |
| 5 | 12 % |
| 4 | 12 % |
| 3 | 13 % |
| 2 | 19 % |
| 1 – Extrêmement facile | 36 % |
Les petites entreprises (57 %) sont plus susceptibles de trouver qu’il est facile de se conformer aux lois canadiennes sur la protection des renseignements personnels que les entreprises de taille plus grande (46 % des entreprises de 20 à 99 employés et 42 % des entreprises de 100 employés ou plus).
La proportion d’entreprises qui trouvent extrêmement facile de rendre leurs pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels a augmenté de façon significative cette année, pour atteindre un sommet de 56 % (contre 35 % en 2022 et 37 % en 2019).
Les calculs nets sont basés sur des pourcentages non arrondis.
Q15. Dans quelle mesure est-il difficile pour votre entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels?
Version textuelle de la figure 12
Figure 12 : Respect des lois canadiennes régissant la protection des renseignements personnels [de 2011 à aujourd’hui]
| Extrêmement facile (1 et 2) | |
|---|---|
| 2011 (n=1 006) | 28 % |
| 2013 (n=1 006) | 31 % |
| 2017 (n=719) | 33 % |
| 2019 (n=797) | 37 % |
| 2022 (n=584) | 35 % |
| 2023 (n=623) | 56 % |
| Moyennement facile (de 3 à 5) | |
|---|---|
| 2011 (n=1 006) | 61 % |
| 2013 (n=1 006) | 56 % |
| 2017 (n=719) | 56 % |
| 2019 (n=797) | 55 % |
| 2022 (n=584) | 59 % |
| 2023 (n=623) | 37 % |
| Extrêmement difficile (6 et 7) | |
|---|---|
| 2011 (n=1 006) | 4 % |
| 2013 (n=1 006) | 6 % |
| 2017 (n=719) | 8 % |
| 2019 (n=797) | 6 % |
| 2022 (n=584) | 4 % |
| 2023 (n=623) | 5 % |
Peu de difficultés ont été cernées en ce qui concerne la conformité aux lois en matière de protection des renseignements personnels.
Près des deux tiers (64 %) des représentants des entreprises ont déclaré que leur entreprise n’avait pas rencontré ou ne s’attendait pas à rencontrer de difficultés particulières à se conformer aux lois canadiennes en matière de protection des renseignements personnels. Lorsque, dans une question ouverte, on leur a demandé de préciser les difficultés rencontrées ou anticipées, ces répondants ont expliqué que la conformité « semblait ou semble difficile », sans l’être. Par ailleurs, 16 % des répondants ont déclaré ne pas être au courant de l’existence de telles difficultés.
Les difficultés précisées comprenaient le manque de connaissance (6 %) ou de compréhension des lois en matière de protection des renseignements personnels (6 %), la difficulté d’intégrer les mesures de protection des renseignements personnels dans les systèmes ou processus déjà en place (5 %), le manque de ressources internes ou d’une équipe affectée à la protection des renseignements personnels (4 %), le manque de compétences techniques (2 %) et le coût financier de la mise en conformité (2 %).
Q16. Quelles difficultés, le cas échéant, votre entreprise a-t-elle rencontrées/pensez-vous que votre entreprise va rencontrer pour se conformer aux lois canadiennes en matière de protection des renseignements personnels? Réponses multiples acceptées. Base : n = 800; tous les répondants.
Version textuelle de la figure 13
Figure 13 : Difficultés rencontrées ou anticipées à se conformer aux lois canadiennes régissant la protection des renseignements personnels
| % des répondants | |
|---|---|
| Ne sait pas | 16 % |
| Aucune raison particulière/cela semblait juste difficile | 64 % |
| Autre | 3 % |
| Coût financier de la mise en conformité | 2 % |
| Manque de compétences techniques | 2 % |
| Manque de ressources internes/l’entreprise n’a pas d’équipe affectée à la protection des renseignements personnels | 4 % |
| Difficulté d’intégrer les mesures de protection des renseignements personnels | 5 % |
| Manque de compréhension des lois en matière de protection des renseignements personnels | 6 % |
| Manque de connaissances (non précisé) | 6 % |
La moitié des répondants ont cherché de l’information sur leurs responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels.
La moitié (49 %) des entreprises ont cherché de l’information sur leurs responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels. Quarante-quatre pour cent ne l’ont pas fait (7 % des représentants d’entreprises sondés ne savaient pas si leur entreprise avait recherché ce type d’information).
Q17. Votre entreprise a-t-elle déjà cherché de l’information sur ses responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels? Base : n = 800; tous les répondants.
Version textuelle de la figure 14
Figure 14 : Recherche d’information sur les responsabilités en matière de protection des renseignements personnels
| % des répondants | |
|---|---|
| Oui, l’entreprise a cherché de l’information | 49 % |
| Non, l’entreprise n’a pas cherché de l’information | 44 % |
| Ne sait pas | 7 % |
49 % des répondants ont cherché de l’information sur leurs responsabilités aux termes des lois canadiennes sur la protection des renseignements personnels
Par rapport aux entreprises du Canada atlantique (30 %), celles du Québec (53 %) et de l’Ontario (52 %) sont plus susceptibles d’avoir cherché de l’information sur leurs responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels. En outre, la probabilité de chercher de l’information augmente avec la taille de l’entreprise, de 47 % chez les petites entreprises à 72 % chez les grandes. Elle augmente également avec la connaissance des responsabilités en matière de protection des renseignements personnels : de 15 % chez les entreprises qui ne sont pas sensibilisées à ces responsabilités à 63 % chez celles qui y sont très sensibilisées. Les entreprises qui utilisent actuellement l’IA (86 % contre 46 % de celles qui ne l’utilisent pas), qui ont pris des mesures pour se conformer aux lois sur la protection des renseignements personnels (60 % contre 12 % de celles qui ne l’ont pas fait) et qui connaissent les ressources du Commissariat aux entreprises (57 % contre 43 % de celles qui ne les connaissent pas) sont plus susceptibles d’avoir cherché de l’information sur les lois canadiennes en matière de protection des renseignements personnels.
L’Internet, suivi du gouvernement, est la principale source d’information.
Si les entreprises avaient besoin d’information sur leurs responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels, selon les représentants interrogés, les principales sources d’information qu’elles utiliseraient seraient Internet (30 %) et le gouvernement du Canada (27 %), suivies de Google ou d’autres moteurs de recherche en ligne (23 %). Outre le gouvernement du Canada, 10 % des représentants ont indiqué qu’ils se tourneraient vers le gouvernement, sans préciser de quel ordre de gouvernement, tandis que 7 % ont mentionné leur gouvernement provincial ou territorial; 4 %, le Commissariat à la protection de la vie privée du Canada et 1 %, leur commissaire à la protection de la vie privée provincial ou territorial.
En plus d’Internet et des gouvernements, 8 % des représentants ont déclaré qu’ils demanderaient des informations à un collègue, à leur entreprise ou à leur siège social; 7 %, à leur association industrielle ou professionnelle; 5 %, à des experts du secteur ou à des sociétés de conseil; 4 %, à d’autres types de professionnels, comme des comptables ou des avocats, et 2 %, à un expert en protection des renseignements personnels.
Q18. Si vous avez besoin d’information sur les responsabilités de votre entreprise en vertu des lois canadiennes sur la protection des renseignements personnels, où iriez-vous chercher cette information? Réponses multiples acceptées. Base : n = 800; tous les répondants. Ne sait pas : 4 %.
Version textuelle de la figure 15
Figure 15 : Sources d’information sur les responsabilités en matière de protection des renseignements personnels
| % des répondants | |
|---|---|
| Autre | 3 % |
| Commissaire provincial ou territorial à la protection des renseignements personnels | 1 % |
| Expert en protection des renseignements personnels | 2 % |
| Autre professionnel | 4 % |
| Commissaire ou Commissariat à la protection de la vie privée du Canada | 4 % |
| Experts du secteur ou sociétés de conseil | 5 % |
| Associations industrielle ou professionnelle | 7 % |
| Gouvernements provinciaux ou territoriaux | 7 % |
| Collègue, entreprise ou siège social | 8 % |
| Gouvernement (non précisé) | 10 % |
| Google ou autres moteurs de recherche | 23 % |
| Gouvernement du Canada | 27 % |
| Internet (non précisé) | 30 % |
Quatre représentants sondés sur dix connaissent les ressources du Commissariat.
Quatre représentants d’entreprises sondés sur dix (41 %) ont affirmé que leur entreprise sait que le Commissariat offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels. La connaissance des ressources aux entreprises du Commissariat a considérablement augmenté depuis 2021, alors qu’un tiers (33 %) des répondants connaît ces ressources.
Q19. Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels? Base : n = 800; tous les répondants.
Version textuelle de la figure 16
Figure 16 : Connaissance des ressources offertes par le Commissariat à la protection de la vie privée du Canada [de 2011 à aujourd’hui]
| % des répondants connaissant les outils et les renseignements offerts par le Commissariat | |
|---|---|
| 2011 (n=1 006) | 40 % |
| 2013 (n=1 006) | 41 % |
| 2015 (n=1 016) | 41 % |
| 2017 (n=1 014) | 44 % |
| 2019 (n=1 003) | 36 % |
| 2022 (n=751) | 33 % |
| 2023 (n=800) | 41 % |
La probabilité que les entreprises sachent que le Commissariat met à leur disposition des renseignements et des outils pour les aider à se conformer aux lois canadiennes sur la protection des renseignements personnels augmente avec la taille de l’entreprise, passant de 40 % des petites entreprises à 59 % des grandes entreprises. Cette probabilité augmente également avec le degré de sensibilisation aux responsabilités en matière de protection des renseignements personnels, passant de 24 % des entreprises n’étant pas sensibilisées à ces responsabilités à 56 % de celles qui y sont très sensibilisées. Les entreprises qui ont pris des mesures pour se conformer à leurs obligations en matière de protection des renseignements personnels sont également plus au courant de l’offre de renseignements et d’outils du Commissariat (48 % contre 19 % de celles qui n’en ont pas prises).
Une entreprise sur quatre a utilisé les ressources du Commissariat.
Parmi les répondants qui connaissaient les ressources du Commissariat (n = 335), un sur quatre (26 %) a déclaré que son entreprise avait utilisé les renseignements et les outils que le Commissariat offre aux entreprises pour les aider à se conformer à ses obligations en matière de protection des renseignements personnels. En comparaison à il y a dix ans, le pourcentage d’entreprises qui ont autodéclaré avoir utilisé les renseignements et les outils du Commissariat a considérablement augmenté, passant de 17 % en 2013 à 26 % en 2023.
Q20. Votre entreprise a-t-elle déjà utilisé l’une de ces ressources? Base : ceux qui connaissent les outils et les renseignements du Commissariat.
Version textuelle de la figure 17
Figure 17 : Utilisation des ressources offertes par le Commissariat à la protection de la vie privée du Canada [de 2011 à aujourd’hui]
| % des répondants ayant utilisé les outils et les renseignements offerts par le Commissariat | |
|---|---|
| 2011 (n=448) | 19 % |
| 2013 (n=427) | 17 % |
| 2023 (n=335) | 26 % |
L’utilisation des ressources du Commissariat augmente avec la taille de l’entreprise, passant de 22 % des petites entreprises à 54 % des grandes.
L’absence de besoin est la principale raison pour laquelle les ressources du Commissariat ne sont pas utilisées.
Parmi les répondants qui connaissent les ressources du Commissariat mais qui ne les ont pas utilisées (n = 405), la principale raison invoquée est l’absence de besoin. Trois répondants sur dix (31 %) ont mentionné qu’ils n’en avaient pas besoin; 9 %, qu’ils n’avaient pas besoin d’aide pour se conformé à la loi, et 3 %, que leur entreprise disposait d’une équipe affectée à la protection des renseignements personnels. Après l’absence de besoin, deux répondants sur dix (21 %) ont indiqué le manque de sensibilisation ou de connaissance à l’égard des ressources; 8 %, être incertains que les ressources seraient pertinentes, et 3 %, qu’ils ne pensaient pas qu’elles seraient utiles.
D’autres n’ont pas donné de raison particulière pour n’avoir jamais utilisé les ressources du Commissariat : 18 % ont déclaré qu’il n’y avait pas de raison particulière, et 11 % ne savaient pas pourquoi leur entreprise n’avait pas utilisé les renseignements et les outils du Commissariat.
Q21. Y a-t-il une raison particulière pour laquelle votre entreprise n’a jamais utilisé ces ressources? Réponses multiples acceptées. Base : n = 405, ceux qui connaissent les ressources du Commissariat, mais qui ne les ont pas utilisées.
Version textuelle de la figure 18
Figure 18 : Raisons de ne pas utiliser les ressources offertes par le Commissariat à la protection de la vie privée du Canada
| % des répondants | |
|---|---|
| Ne sait pas | 11 % |
| Autre | 4 % |
| Ne pensait pas qu’elles seraient utiles | 3 % |
| Notre entreprise dispose d’une équipe affectée à la protection des renseignements personnels | 3 % |
| Incertitude qu’elles seraient pertinentes | 8 % |
| N’a pas besoin d’aide pour se conformer à la loi | 9 % |
| Aucune raison particulière | 18 % |
| Méconnaissance de l’option ou manque de connaissance | 21 % |
| Absence de besoin (non précisé) | 31 % |
4. Pratiques de l’entreprise en matière de protection des renseignements personnels
La présente section fait état des procédures et des politiques adoptées par les entreprises pour protéger les renseignements personnels qu’elles recueillent à propos de leurs clients.
Huit répondants sur dix accordent une grande importance à la protection des renseignements personnels des clients.
La grande majorité des répondants (94 %) ont affirmé que leur entreprise considère la protection des renseignements personnels des clients comme étant au moins modérément importante. Plus précisément, huit représentants d’entreprise sur dix (80 %) ont indiqué que leur entreprise considérait la protection des renseignements personnels des clients comme étant très importante (notes de 6 et 7 sur une échelle de 7); près de sept répondants sur dix (69 %) ont affirmé qu’il s’agissait d’un objectif organisationnel extrêmement important; et 14 % des entreprises considèrent que cet objectif est d’une importance modérée. Parallèlement, 6 % des représentants des entreprises ont affirmé que la protection des renseignements personnels des clients n’est pas un objectif organisationnel important pour leur entreprise (notes de 1 et 2).
Q22. Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise? Base : n = 800; tous les répondants. Je ne sais pas : 1 %
Version textuelle de la figure 19
Figure 19 : Importance accordée à la protection des renseignements personnels des clients
| % des répondants | |
|---|---|
| 7 – Extrêmement important | 69 % |
| 6 | 11 % |
| 5 | 10 % |
| 4 | 3 % |
| 3 | 2 % |
| 2 | 1 % |
| 1 – Pas du tout important | 5 % |
Les moyennes (91 %) et les grandes (92 %) entreprises sont plus susceptibles que les petites (78 %) d’accorder une grande importance (notes de 6 et 7) à la protection des renseignements personnels de leurs clients. En outre, les entreprises qui utilisent actuellement l’IA (100 % contre 78 % de celles qui ne l’utilisent pas), qui ont pris des mesures pour se conformer aux lois canadiennes sur la protection des renseignements personnels (88 % contre 50 % de celles qui ne l’ont pas fait) et qui recueillent des renseignements auprès de mineurs (94 % contre 78 % de celles qui ne le font pas) sont également plus susceptibles de considérer cet aspect comme très important.
La proportion d’entreprises qui accordent de l’importance à la protection des renseignements personnels des clients reste élevée et pratiquement inchangée depuis 2019 : 81 % en 2019, 79 % en 2022 et 80 % en 2023.
Les calculs nets sont basés sur des pourcentages non arrondis.
Q22. Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise?
Version textuelle de la figure 20
Figure 20 : Importance nette accordée à la protection des renseignements personnels des clients [de 2011 à aujourd’hui]
| Très grande importance (6 et 7) | |
|---|---|
| 2011 (n=1 006) | 62 % |
| 2013 (n=1 003) | 70 % |
| 2015 (n=1 016) | 67 % |
| 2017 (n=1 014) | 68 % |
| 2019 (n=1 003) | 81 % |
| 2022 (n=751) | 79 % |
| 2023 (n=800) | 80 % |
| Importance modérée (de 3 à 5) | |
|---|---|
| 2011 (n=1 006) | 26 % |
| 2013 (n=1 006) | 20 % |
| 2015 (n=1 016) | 21 % |
| 2017 (n=1 014) | 19 % |
| 2019 (n=1 003) | 12 % |
| 2022 (n=751) | 13 % |
| 2023 (n=800) | 14 % |
| Faible importance (1 et 2) | |
|---|---|
| 2011 (n=1 006) | 12 % |
| 2013 (n=1 006) | 9 % |
| 2015 (n=1 016) | 11 % |
| 2017 (n=1 014) | 9 % |
| 2019 (n=1 003) | 6 % |
| 2022 (n=751) | 5 % |
| 2023 (n=800) | 5 % |
Au moins la moitié des entreprises ont mis en œuvre la plupart des pratiques de protection de la vie privée.
On a demandé aux représentants si leur entreprise avait mis en place une série de pratiques de protection de la vie privée. Au moins la moitié des répondants sondés ont affirmé que leur entreprise a mis en œuvre les pratiques suivantes en matière de protection de la vie privée : désigner un responsable de la protection des renseignements personnels (56 %), mettre en place des procédures pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate (53 %) ainsi que pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels (50 %), et élaborer des politiques internes à l’intention du personnel qui expliquent les obligations en ce qui a trait à la protection des renseignements personnels (50 %). Exactement le tiers des répondants (33 %) ont indiqué que leur entreprise fournit régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels.
Une certaine tendance veut que la probabilité d’avoir mis en œuvre de nombreuses pratiques augmente avec la taille de l’entreprise. Les variations régionales sont limitées. Les entreprises de l’ouest du Canada (54 %) étaient plus susceptibles que celles du Québec (40 %) d’avoir des politiques internes à l’intention du personnel, et les entreprises de l’Ontario (59 %) étaient plus susceptibles que celles du Canada atlantique (37 %) et du Québec (45 %) d’avoir des procédures en place pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate.
En outre, les entreprises qui connaissent les ressources offertes par le Commissariat pour les aider à assumer leurs obligations en matière de protection des renseignements personnels sont plus susceptibles que les entreprises qui ne les connaissent pas d’avoir mis en place toutes ces mesures de protection des renseignements personnels. Les entreprises qui recueillent des renseignements personnels auprès de mineurs étaient plus susceptibles que celles qui ne le font pas d’avoir des politiques internes à l’intention de leur personnel qui expliquent les obligations en ce qui a trait à la protection des renseignements personnels (74 % contre 47 %), de fournir régulièrement à son personnel une formation et de l’information en la matière (58 % contre 29 %) et d’avoir des procédures en place pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels (75 % contre 47 %) ainsi que pour gérer les plaintes des clients concernant le traitement de leurs renseignements personnels (72 % contre 51 %).
Q23 à Q27. Base : n = 800; tous les répondants. Ne sait pas : 3 % à 4 %.
Version textuelle de la figure 21
Figure 21 : Mesures prises pour gérer les obligations des entreprises en matière de protection des renseignements personnels
| % des répondants | |
|---|---|
| Désigner un responsable de la protection des renseignements personnels | 56 % |
| Avoir des procédures en place pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate | 53 % |
| Avoir des politiques internes à l’intention du personnel qui expliquent les obligations en ce qui a trait à la protection des renseignements personnels | 50 % |
| Avoir des procédures en place pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels | 50 % |
| Fournir régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels | 33 % |
Le pourcentage de mise en place de ces mesures de protection des renseignements personnels est pratiquement le même depuis 2022, année au cours de laquelle une baisse avait été signalée pour toutes les mesures. À l’époque, on avait pris en considération le contexte de la pandémie mondiale de COVID-19 dans la diminution de la proportion d’entreprises déclarant avoir mis en place ces pratiques, en émettant l’hypothèse que la pandémie avait pu avoir une incidence sur les résultats de l’enquête. Les résultats de cette année suggèrent que le déclin enregistré entre 2019 et en 2022 pourrait être une tendance, plutôt qu’un événement isolé influencé par la pandémie.
Version textuelle de la figure 22
Figure 22 : Mesures prises pour gérer les obligations des entreprises en matière de protection des renseignements personnels [de 2013 à aujourd’hui]
| 2023 (n=800) | 2022 (n=751) | 2019 (n=1 003) | 2017 (n=1 014) | 2015 (n=1 016) | 2013 (n=1 006) | |
|---|---|---|---|---|---|---|
| Désigner un responsable de la protection des renseignements personnels | 56 % | 57 % | 62 % | 59 % | 57 % | 58 % |
| Avoir des procédures en place pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate | 53 % | 51 % | 58 % | 51 % | 50 % | 51 % |
| Avoir des politiques internes à l’intention du personnel qui expliquent les obligations en ce qui a trait à la protection des renseignements personnels | 50 % | 51 % | 55 % | 50 % | 50 % | 51 % |
| Avoir des procédures en place pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels | 50 % | 51 % | 60 % | 47 % | Aucune donnée comparable pour 2013 ou 2015 | |
| Fournir régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels | 33 % | 34 % | 39 % | 37 % | 32 % | 34 % |
Mise en œuvre inégale des mesures de protection des renseignements personnels
En ce qui concerne la protection des renseignements personnels des clients et des employés, environ huit représentants d’entreprises sur dix ont déclaré que leur entreprise exigeait des mots de passe pour accéder aux comptes (83 %) et contrôlait l’accès des employés aux fichiers électroniques (79 %). Un peu plus de la moitié des répondants ont déclaré que leur entreprise utilise l’authentification multifacteur (53 %) et crypte les données stockées (49 %) pour protéger les renseignements des clients et des employés. Suivent les entreprises qui cryptent les communications dans une proportion d’exactement un tiers. Très peu d’entreprises (4 %) utilisent l’authentification par empreintes vocales.
Seulement la mise en œuvre deux mesures varient selon les régions : l’authentification multifacteur et le cryptage des communications. Dans les deux cas, les entreprises situées au Québec étaient moins susceptibles que celles situées ailleurs au pays d’avoir mis en œuvre chacune de ces mesures de sécurité. Plus précisément, 39 % des entreprises au Québec utiliseraient l’authentification multifacteur, contre 58 % des entreprises de l’Ontario et de l’ouest du Canada, et 20 % crypteraient les communications, contre 48 % des entreprises de l’Ontario.
De plus, des variations en fonction de la taille de l’entreprise étaient évidentes pour plusieurs de ces mesures, les petites entreprises étant moins susceptibles que les grandes d’exiger des mots de passe (81 %), d’utiliser l’authentification multifacteur (52 %) et de contrôler l’accès des employés aux fichiers électroniques (77 %).
Q28A–F. Votre entreprise prend-elle l’une des mesures suivantes pour protéger les renseignements personnels de ses clients et de ses employés? Base : n = 800; tous les répondants. Ne sait pas : 0 % à 7 %. Ne s’applique pas : 4 % à 6 %.
Version textuelle de la figure 23
Figure 23 : Mesures prises pour protéger les renseignements personnels
| % des répondants | |
|---|---|
| Exiger des mots de passe pour accéder aux comptes | 83 % |
| Contrôler l’accès des employés aux fichiers électroniques | 79 % |
| Utiliser une authentification multifacteur | 53 % |
| Crypter les données stockées | 49 % |
| Crypter les communications | 33 % |
| Utiliser l’authentification par empreintes vocales | 4 % |
Une entreprise sur dix recueille des renseignements personnels auprès de clients mineurs.
Environ un représentant d’entreprise sur dix (12 %) a déclaré que son entreprise recueillait des renseignements personnels auprès de clients âgés de moins de 18 ans. La plupart des entreprises (88 %) ne recueillent pas de renseignements personnels auprès de mineurs.
Q29. Votre entreprise recueille-t-elle des renseignements personnels auprès de clients mineurs, c’est-à-dire âgés de moins de 18 ans? Base : n = 800; tous les répondants. Ne sait pas : <1 %.
Version textuelle de la figure 24
Figure 24 : Collecte de renseignements personnels auprès de clients mineurs
| % des répondants | |
|---|---|
| Recueille des renseignements personnels auprès de clients mineurs | 12 % |
| Ne recueille pas de renseignements personnels auprès de clients mineurs | 88 % |
12 % des répondants déclarent que leur entreprise recueille des renseignements personnels auprès de clients mineurs
Les entreprises du Canada atlantique (24 %) sont plus susceptibles de recueillir des renseignements personnels auprès de mineurs que les entreprises situées ailleurs au pays (10 % des entreprises de l’Ontario et 9 % de celles de l’ouest du Canada). De même, les entreprises qui vendent uniquement aux consommateurs (23 %) sont beaucoup plus susceptibles que celles qui vendent aux entreprises et aux consommateurs (12 %) de recueillir des renseignements personnels auprès de mineurs. Les grandes entreprises (20 % contre 11 % des petites entreprises) et les entreprises qui ont pris des mesures pour se conformer à leurs obligations en matière de protection des renseignements personnels (14 % contre 3 % de celles qui ne l’ont pas fait) sont également plus susceptibles de recueillir des renseignements auprès de mineurs.
En outre, les entreprises en activité dans les industries ou secteurs économiques suivantsNote de bas de page 7 ont tendance à être plus susceptibles de recueillir des renseignements personnels auprès de mineurs : les services d’éducation, les services sociaux ainsi que les finances et les assurances.
Les entreprises mettent en œuvre diverses pratiques lorsqu’elles recueillent des renseignements personnels auprès de mineurs
La majorité des représentants sondés qui ont déclaré que leur entreprise recueille des renseignements personnels auprès de mineurs (n = 67) vérifie l’âge (82 %), explique les politiques et les pratiques en matière de protection des renseignements personnels dans un langage simple et adapté à l’âge (73 %) et obtient le consentement des parents (69 %) lorsqu’elle recueille des renseignements auprès de mineurs. Dans des proportions moindres ou similaires, les entreprises permettent aux jeunes de supprimer facilement leur compte ou les renseignements qu’ils ont publiés (30 %), utilisent par défaut des paramètres de confidentialité stricts, par exemple en désactivant automatiquement la géolocalisation (29 %) et réalisent des évaluations des facteurs relatifs à la vie privée avant de lancer des produits ou des outils destinés aux jeunes (27 %).
Q30A-F. Lors de la collecte de renseignements auprès de mineurs, votre entreprise prend-elle l’une ou l’autre des mesures suivantes? Base : n = 67; celles qui recueillent des renseignements auprès de mineurs. Ne sait pas : 0 % à 8 %. Ne s’applique pas : 5 % à 46 %.
Version textuelle de la figure 25
Figure 25 : Mesures prises lors de la collecte de renseignements personnels auprès de mineurs
| % des répondants | |
|---|---|
| Vérifier l’âge | 82 % |
| Expliquer les politiques et les pratiques en matière de protection de la vie privée dans un langage simple et adapté à l’âge des personnes concernées | 73 % |
| Obtenir le consentement des parents | 69 % |
| Faciliter la suppression par les jeunes de leur compte ou de leurs renseignements | 30 % |
| Utiliser par défaut des paramètres de confidentialité stricts | 29 % |
| Réaliser des évaluations des facteurs relatifs à la vie privée avant de lancer des produits ou des outils destinés aux jeunes | 27 % |
5. Politiques sur la protection des renseignements personnels
Cette section est axée sur le contenu des politiques sur la protection des renseignements personnels des entreprises.
La majorité des entreprises sondées ont mis en œuvre une politique sur la protection des renseignements personnels.
Un peu plus de la moitié (55 %) des représentants d’entreprises sondés ont déclaré que leur entreprise disposait d’une telle politique. Au fil du temps, la proportion de ces entreprises a diminué, passant d’un maximum de 65 % en 2019 à 59 % en 2022, puis à 55 % cette année. En 2022, le contexte de la pandémie mondiale de COVID-19 avait été pris en considération dans la diminution de la proportion d’entreprises déclarant disposer d’une politique sur la protection des renseignements personnels. Plus précisément, il était raisonnable de supposer que les responsabilités en matière de protection des renseignements personnels n’étaient pas au premier rang des préoccupations des entreprises préoccupées par les répercussions de la pandémie sur leurs activités. Les résultats de cette année suggèrent que le déclin des politiques sur la protection des renseignements personnels pourrait être une tendance, plutôt qu’un événement isolé influencé par la pandémie.
Q31. Votre entreprise a-t-elle une politique sur la protection des renseignements personnels? Base : tous les répondants.
Version textuelle de la figure 26
Figure 26 : Utilisation de politiques sur la protection des renseignements personnels [de 2019 à aujourd’hui]
| % des répondants qui ont une politique sur la protection des renseignements personnels | |
|---|---|
| 2019 (n=1 003) | 65 % |
| 2022 (n=751) | 59 % |
| 2023 (n=800) | 55 % |
Les entreprises établies dans les provinces de l’Atlantique (65 %), en Ontario (62 %) et dans l’Ouest canadien (57 %) sont plus susceptibles que les entreprises du Québec (36 %) de disposer d’une politique sur la protection des renseignements personnels. En outre, plus la taille de l’entreprise augmente, plus la probabilité de disposer d’une politique sur la protection des renseignements personnels augmente. La moitié (53 %) des petites entreprises disposent d’une telle politique, contre deux tiers (67 %) des moyennes entreprises et près de neuf grandes entreprises sur dix (87 %). Les entreprises qui utilisent l’IA (78 %) sont plus susceptibles que celles qui ne l’utilisent pas (54 %) d’avoir une politique sur la protection des renseignements personnels, tout comme les entreprises qui recueillent des renseignements auprès de mineurs (82 % contre 52 % de celles qui ne le font pas) et les entreprises qui connaissent les ressources du Commissariat mises à leur disposition pour les aider à respecter leurs obligations en matière de protection des renseignements personnels (68 % contre 46 % de celles qui ne les connaissent pas).
Les politiques sur la protection des renseignements personnels des entreprises comportent des niveaux variables d’information en langage clair.
Parmi les entreprises qui disposent d’une politique sur la protection des renseignements personnels (n = 472), la plupart ont affirmé disposer d’une politique qui explique en langage clair les éléments suivants : les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés ou communiqués (85 %); les renseignements personnels qui sont recueillis (81 %) et la façon dont ces renseignements sont recueillis, utilisés et communiqués (80 %). En outre, sept entreprises sur dix (70 %) expliquent en langage clair avec quelles parties les renseignements personnels recueillis seront communiqués, deux tiers (67 %) indiquent la durée de conservation des renseignements et six entreprises sur dix (62 %) expliquent comment elles détruisent les renseignements personnels de leurs clients. Un peu plus de la moitié (55 %) des entreprises ont déclaré que leur politique explique en langage clair les risques de préjudice en cas d’atteinte à la protection des données.
Q32A-G. Votre politique sur la protection des renseignements personnels explique-t-elle en langage clair...? Base : n = 472; entreprises disposant d’une politique sur la protection des renseignements personnels. Ne sait pas : 3 % à 9 %; Ne s’applique pas : 3 % à 6 %.
Version textuelle de la figure 27
Figure 27 : Communications selon la politique sur la protection des renseignements personnels
Votre politique sur la protection des renseignements personnels explique‑t‑elle en langage clair ce qui suit?
| 2023 (n=472) | |
|---|---|
| Les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués | 85 % |
| Les renseignements personnels qui sont recueillis | 81 % |
| La façon dont les renseignements personnels sont recueillis, utilisés ou communiqués | 80 % |
| Les parties avec lesquelles les renseignements personnels des clients seront partagés | 70 % |
| La durée de conservation des renseignements personnels que l’entreprise détient sur ses clients | 67 % |
| La façon dont votre entreprise détruit les renseignements personnels de ses clients | 62 % |
| Le risque de préjudice en cas d’atteinte | 55 % |
Les entreprises du Québec sont plus susceptibles que celles de l’Ontario ou de l’ouest du Canada d’utiliser dans leur politique sur la protection des renseignements personnels un langage clair pour préciser la durée de conservation des renseignements personnels de leurs clients (87 % contre 63 % et 64 %, respectivement) et sur la façon dont elles détruisent ces renseignements (85 % contre 55 % et 60 %, respectivement).
Les résultats de 2023 sont généralement cohérents avec ceux des années précédentes lorsqu’il s’agit de savoir si les politiques sur la protection des renseignements personnels des entreprises sont rédigées en langage clair. Le seul changement notable au fil du temps a été la proportion d’entreprises qui précisent, en langage clair, la durée de conservation des renseignements personnels de ses clients. Cette proportion est passée de 57 % en 2022 à 67 % en 2023. Toutes les autres variations d’une année à l’autre n’ont pas dépassé 4 %.
Q32. Votre politique sur la protection des renseignements personnels explique-t-elle en langage clair...? Base : n = 472; entreprises disposant d’une politique sur la protection des renseignements personnels.
Version textuelle de la figure 28
Figure 28 : Communications selon la politique sur la protection des renseignements personnels [de 2017 à aujourd’hui]
Votre politique sur la protection des renseignements personnels explique‑t‑elle en langage clair ce qui suit?
| 2023 (n=472) | 2022 (n=473) | 2019 (n=717) | 2017 (n=486) | |
|---|---|---|---|---|
| Les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués | 85 % | 84 % | 82 % | 95 % |
| La façon dont les renseignements personnels sont recueillis, utilisés ou communiqués | 80 % | 83 % | 84 % | Aucune donnée comparable pour 2017 |
| Les renseignements personnels qui sont recueillis | 81 % | 78 % | 80 % | 92 % |
| Les parties avec lesquelles les renseignements personnels des clients seront partagés | 70 % | 72 % | 70 % | 75 % |
| La façon dont votre entreprise détruit les renseignements personnels de ses clients | 62 % | 66 % | Aucune donnée comparable pour 2017 et 2019 | |
| La durée de conservation des renseignements personnels que l’entreprise détient sur ses clients | 67 % | 57 % | Aucune donnée comparable pour 2017 et 2019 | |
| Le risque de préjudice en cas d’atteinte | 55 % | 51 % | 52 % | 52 % |
Les communications proactives sur les pratiques en matière de protection des renseignements personnels varient.
Il a été demandé aux représentants des entreprises qui ont déclaré que leur entreprise avait une politique sur la protection des renseignements personnels (n = 472) si leur entreprise communiquait à ses clients différentes explications sur ses pratiques en matière de protection des renseignements personnels. Exactement les deux tiers (67 %) ont dit que leur entreprise explique comment les clients peuvent soulever une préoccupation ou poser une question sur la protection de la vie privée. Environ six entreprises sur dix indiquent clairement si la collecte, l’utilisation ou la communication des renseignements est une condition de service (62 %), font en sorte que leurs clients aient facilement accès à l’information sur la protection des renseignements personnels (60 %) et expliquent comment les clients peuvent demander l’accès à leurs renseignements personnels (59 %).
Un peu moins de la moitié des entreprises expliquent comment les clients peuvent déposer une plainte officielle concernant la protection de la vie privée (49 %), font activement la promotion de leurs pratiques en matière de protection de protection de la vie privée (49 %) et avisent les clients des changements apportés à leur politique de protection des renseignements personnels (47 %). Quatre répondants sur dix (41 %) ont affirmé que leur entreprise obtient le consentement des clients quand elle modifie ses pratiques de protection de la vie privée.
Q33A–H. Votre entreprise prend-elle l’une ou l’autre des mesures suivantes? Base : n = 472; entreprises disposant d’une politique sur la protection des renseignements personnels. Ne sait pas : 2 % à 6 %; Ne s’applique pas : 1 % à 6 %.
Version textuelle de la figure 29
Figure 29 : Communication des pratiques de l’entreprise en matière de protection des renseignements personnels
Votre entreprise prend‑elle l’une ou l’autre des mesures suivantes?
| % des répondants | |
|---|---|
| Expliquer comment les clients peuvent soulever leurs préoccupations concernant la protection de la vie privée | 67 % |
| Indiquer clairement si la collecte, l’utilisation ou la communication des renseignements est une condition de service | 62 % |
| Faire en sorte que les clients aient facilement accès à l’information sur la protection des renseignements personnels | 60 % |
| Expliquer comment les clients peuvent demander l’accès à leurs renseignements personnels | 59 % |
| Expliquer comment les clients peuvent déposer une plainte officielle concernant la protection de la vie privée | 49 % |
| Promouvoir activement les pratiques de l’entreprise en matière de protection de la vie privée | 49 % |
| Aviser les clients quand elle modifie sa politique sur la protection des renseignements personnels | 47 % |
| Obtenir le consentement des clients quand elle modifie ses pratiques de protection de la vie privée | 41 % |
Il existe plusieurs variations régionales notables et, dans la mesure où une tendance se dégage, les variations séparent souvent le Québec du reste du pays. Les entreprises du Canada atlantique (67 %) et au Québec (62 %) sont plus susceptibles que celles de l’Ontario (33 %) et de l’ouest du Canada (38 %) d’obtenir le consentement de leurs clients avant de modifier leurs pratiques en matière de protection de la vie privée. Les entreprises du Québec (77 %) sont plus susceptibles que celles de l’ouest du Canada (54 %) de rendre accessibles les informations relatives à la protection des renseignements personnels et, par rapport à celles de l’Ontario (52 %), les entreprises du Québec (74 %) sont également plus susceptibles d’expliquer comment les clients peuvent demander l’accès à leurs renseignements personnels. En outre, les entreprises du Québec (85 %) sont les plus susceptibles d’expliquer comment les clients peuvent déposer une plainte officielle en matière de protection des renseignements personnels (contre 42 % des entreprises du Canada atlantique, 41 % de celles de l’Ontario et 47 % de celles de l’ouest du Canada).
Au fil du temps, la transparence vis-à-vis des pratiques des entreprises en matière de protection des renseignements personnels a fluctué, les variations les plus importantes d’une année à l’autre étant une baisse de la proportion d’entreprises qui expliquent comment les clients peuvent déposer une plainte officielle en matière de protection de la vie privée (de 60 % en 2022 à 49 % en 2023), qui font en sorte que leurs clients aient facilement accès à l’information sur la protection des renseignements personnels (de 70 % en 2022 à 60 % en 2023) et qui expliquent comment les clients peuvent demander l’accès à leurs renseignements personnels (de 69 % en 2022 à 59 % cette année). Les autres variations d’une année à l’autre n’ont pas dépassé 4 %.
Q33A–H. Votre entreprise fait-elle ce qui suit? Base : entreprises disposant d’une politique sur la protection des renseignements personnels.
Version textuelle de la figure 30
Figure 30 : Communication des pratiques de l’entreprise en matière de protection des renseignements personnels [de 2019 à aujourd’hui]
Votre entreprise prend‑elle l’une ou l’autre des mesures suivantes?
| 2023 (n=472) | 2022 (n=479) | 2019 (n=717) | |
|---|---|---|---|
| Expliquer comment les clients peuvent soulever leurs préoccupations concernant la protection de la vie privée | 67 % | 71 % | Aucune donnée comparable pour 2019 |
| Indiquer clairement si la collecte, l’utilisation ou la communication des renseignements est une condition de service | 62 % | 62 % | Aucune donnée comparable pour 2019 |
| Faire en sorte que les clients aient facilement accès à l’information sur la protection des renseignements personnels | 60 % | 70 % | 51 % |
| Expliquer comment les clients peuvent demander l’accès à leurs renseignements personnels | 59 % | 69 % | Aucune donnée comparable pour 2019 |
| Expliquer comment les clients peuvent déposer une plainte officielle concernant la protection de la vie privée | 49 % | 60 % | Aucune donnée comparable pour 2019 |
| Aviser les clients quand elle modifie sa politique sur la protection des renseignements personnels | 47 % | 43 % | 36 % |
| Obtenir le consentement des clients quand elle modifie ses pratiques de protection de la vie privée | 41 % | 43 % | 34 % |
6. Gestion des risques d’atteinte à la vie privée
La présente section porte sur la manière dont les entreprises canadiennes gèrent les risques d’atteinte à la vie privée, y compris les atteintes à la protection des données.
Plus d’un tiers des entreprises disposent de politiques ou de procédures pour évaluer les risques d’atteinte à la vie privée.
Plus d’un tiers (37 %) des représentants des entreprises ont déclaré que leur entreprise avait mis en place des politiques ou des procédures pour évaluer les risques d’atteinte à la vie privée liés à leurs activités, y compris les risques d’atteinte liés au développement ou à l’utilisation de nouveaux produits, services ou technologies. Trente-sept pour cent des entreprises interrogées représentent une augmentation depuis 2022, alors que la proportion d’entreprises déclarant utiliser des politiques de gestion des risques est tombée à 33 % (contre 38 % en 2019).
Q34. Votre entreprise compte-t-elle sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels? Base : tous les répondants.
Version textuelle de la figure 31
Figure 31 : Politiques et procédures organisationnelles pour évaluer les risques d’atteinte à la vie privée [de 2019 à aujourd’hui]
| L’entreprise a mis en place des politiques d’évaluation des risques d’atteinte à la vie privée | |
|---|---|
| 2019 (n=1 003) | 38 % |
| 2022 (n=751) | 33 % |
| 2023 (n=800) | 37 % |
% des répondants qui ont des politiques organisationnelles en place pour évaluer les risques d’atteinte à la vie privée
Les entreprises qui vendent uniquement aux consommateurs (47 %) sont plus susceptibles d’avoir mis en place des politiques et des procédures relatives aux risques d’atteinte à la vie privée que les entreprises qui ne vendent qu’aux entreprises (32 %) et que celles qui vendent aux consommateurs et aux entreprises (34 %). En outre, plus la taille de l’entreprise augmente, plus la probabilité d’avoir mis en place de telles politiques et procédures augmente, passant de 35 % chez les petites entreprises à 45 % chez les moyennes entreprises et à 59 % chez les grandes entreprises. Les entreprises qui recueillent des renseignements personnels auprès de mineurs (56 %) sont plus susceptibles que les autres (34 %) d’avoir mis en place des politiques ou des procédures d’évaluation des risques.
La moitié des répondants sont au moins un peu préoccupés par une atteinte à la protection des données.
On a invité les représentants d’entreprises à évaluer leur degré de préoccupation concernant une atteinte à la protection des données qui compromettrait les renseignements personnels de leurs clients. Avant de poser cette question aux représentants, on leur a fourni l’information suivante :
Les atteintes à la protection des données sont causées par une activité criminelle, un vol, du piratage ou l’erreur d’un employé, comme le fait de laisser un ordinateur portable ou un autre appareil portatif à un endroit inapproprié.
Les répondants sont partagés quant à leur degré de préoccupation face à une atteinte à la protection des données qui compromettrait des renseignements personnels de clients. Un peu plus de la moitié (52 %) des représentants d’entreprises sondés ont déclaré être au moins quelque peu préoccupés (notes de 3 à 7 sur une échelle de 7 points), dont un quart (26 %) qui sont très préoccupés (notes de 6 et 7). À l’inverse, presque autant de personnes (47 %) se sont déclarées peu préoccupées (scores de 1 et 2), dont près d’un tiers (32 %) qui ne sont pas du tout préoccupés par une atteinte à la protection des données.
Q35. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients? Base : n = 800; tous les répondants. Ne sait pas : 1 %.
Version textuelle de la figure 32
Figure 32 : Degré de préoccupation concernant les atteintes à la protection des données
| % des répondants | |
|---|---|
| 7 – Très préoccupé | 20 % |
| 6 | 6 % |
| 5 | 10 % |
| 4 | 7 % |
| 3 | 9 % |
| 2 | 15 % |
| 1 – Pas du tout préoccupé | 32 % |
Les représentants des entreprises du Québec s’avèrent être les plus préoccupés par une atteinte à la protection des données : 42 %, contre 23 % pour les représentants du Canada atlantique et de l’Ontario, et 20 % pour ceux de l’ouest du pays.
La proportion de représentants d’entreprises très préoccupés par une atteinte à la protection des données continue de diminuer depuis le pic de 37 % enregistré en 2019.
Les calculs nets sont basés sur des pourcentages non arrondis.
Q35. Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients?
Version textuelle de la figure 33
Figure 33 : Degré de préoccupation concernant les atteintes à la protection des données [de 2011 à aujourd’hui]
| Très préoccupé (6 et 7) | |
|---|---|
| 2011 (n=1 006) | 32 % |
| 2013 (n=1 006) | 24 % |
| 2015 (n=1 016) | 32 % |
| 2017 (n=1 014) | 28 % |
| 2019 (n=1 003) | 37 % |
| 2022 (n=751) | 28 % |
| 2023 (n=800) | 25 % |
| Quelque peu préoccupé (de 3 à 5) | |
|---|---|
| 2011 (n=1 006) | 23 % |
| 2013 (n=1 006) | 23 % |
| 2015 (n=1 016) | 23 % |
| 2017 (n=1 014) | 20 % |
| 2019 (n=1 003) | 19 % |
| 2022 (n=751) | 29 % |
| 2023 (n=800) | 27 % |
| Pas du tout préoccupé (1 et 2) | |
|---|---|
| 2011 (n=1 006) | 43 % |
| 2013 (n=1 006) | 50 % |
| 2015 (n=1 016) | 44 % |
| 2017 (n=1 014) | 50 % |
| 2019 (n=1 003) | 43 % |
| 2022 (n=751) | 41 % |
| 2023 (n=800) | 47 % |
La plupart des entreprises sont au moins un peu préparées à réagir à une atteinte de la protection des données.
Plus de huit répondants sur dix (84 %) ont déclaré que leur entreprise était au moins quelque peu préparée à réagir à une atteinte à la protection de données touchant des renseignements personnels (notes de 3 à 7 sur une échelle de 7), dont près de la moitié (46 %) ont déclaré que leur entreprise était très bien préparée (notes de 6 et 7) à un tel événement. Quatorze pour cent estiment que leur entreprise n’est pas préparée à une atteinte de la protection des données (notes de 1 et 2).
Q36. Dans quelle mesure votre entreprise est-elle prête à réagir à une atteinte à la protection des données touchant les renseignements personnels? Base : n = 800; tous les répondants. Ne sait pas : 3 %.
Version textuelle de la figure 34
Figure 34 : État de préparation des entreprises à réagir aux atteintes à la protection des données
| % des répondants | |
|---|---|
| 7 – Tout à fait prête à intervenir | 30 % |
| 6 | 16 % |
| 5 | 20 % |
| 4 | 11 % |
| 3 | 6 % |
| 2 | 2 % |
| 1 – Pas du tout prête à réagir | 11 % |
Le degré de préparation suit la taille des entreprises. Sept grandes entreprises sur dix (71 %) seraient très bien préparées (notes de 6 et 7) à réagir à une atteinte à la protection des données, contre 48 % des moyennes entreprises et 45 % des petites entreprises. En outre, les entreprises qui utilisent l’IA (71 % contre 44 % de celles qui ne l’utilisent pas), celles qui ont pris des mesures pour se conformer aux lois sur la protection des renseignements personnels (51 % contre 24 % qui ne l’ont pas fait) et celles qui connaissent les ressources aux entreprises du Commissariat (55 % contre 38 % qui ne les connaissent pas) étaient plus susceptibles d’être très bien préparées à réagir.
La grande majorité des entreprises n’ont pas été confrontées à une atteinte à la protection des données.
La grande majorité des représentants d’entreprises (93 %) ont affirmé que leur entreprise n’a pas fait face à une atteinte qui a compromis les renseignements personnels de ses clients. La quantité d’atteintes à la protection des renseignements personnels signalées est demeurée constante au cours de la dernière décennie (4 % en 2013, 2019 et 2022 et 6 % en 2023).
Q37. Votre entreprise a-t-elle déjà été confrontée à une atteinte qui a compromis les renseignements personnels de vos clients? Base : tous les répondants.
Version textuelle de la figure 35
Figure 35 : Atteintes à la protection des données [de 2013 à aujourd’hui]
| L’entreprise a mis en place des politiques d’évaluation des risques liés à la protection des renseignements personnels | |
|---|---|
| 2013 (n=1 006) | 4 % |
| 2019 (n=1 003) | 4 % |
| 2022 (n=751) | 4 % |
| 2023 (n=800) | 6 % |
% des entreprises ayant subi une atteinte à la protection des données
Presque toutes les entreprises qui ont subi une atteinte à la protection des données conservent un registre de ce qui a été perdu.
La quasi-totalité (94 %) des entreprises ayant subi une atteinte à la protection des données (n = 46)Note de bas de page 8 conserve un registre de toute atteinte touchant les renseignements personnels de leurs clients.
Q38. Votre entreprise s’assure-t-elle de conserver un registre de toutes les atteintes à la protection des données touchant les renseignements personnels de vos clients? Base : n = 46, celles qui ont fait face à une atteinte à la protection des données. Ne sait pas : <1 %.
Version textuelle de la figure 36
Figure 36 : Tenue d’un registre des atteintes à la protection des données
| % des répondants | |
|---|---|
| Conserve un registre de toutes les atteintes à la protection des données touchant les renseignements personnels de clients | 94 % |
| Ne conserve pas de registre des atteintes à la protection des données touchant les renseignements personnels de clients | 5 % |
94 % des répondants déclarent que leur entreprise conserve un registre des atteintes à la protection des données
Annexes
Profil des entreprises qui ont répondu au sondage
Les tableaux suivants présentent les caractéristiques des entreprises canadiennes composant l’échantillon du sondage (au moyen des données pondérées) ainsi que celles des représentants des entreprises.
| Type de client | Pourcentage |
|---|---|
| Vend directement à des consommateurs | 27 % |
| Vend directement à des entreprises | 29 % |
| Vend directement à des consommateurs et à des entreprises | 44 % |
| Région | Pourcentage |
|---|---|
| Canada atlantique | 7 % |
| Québec | 19 % |
| Ontario | 38 % |
| Prairies | 7 % |
| Alberta | 15 % |
| Colombie-Britannique | 14 % |
| Nombre d’employés | Pourcentage |
|---|---|
| 1 employé (travailleur autonome) | 14 % |
| De 2 à 4 employés | 23 % |
| De 5 à 9 employés | 24 % |
| De 10 à 19 employés | 28 % |
| De 20 à 99 employés | 11 % |
| 100 employés et plus | 1 % |
| Industrie/secteur | Pourcentage |
|---|---|
| Secteur de la construction | 12 % |
| Services professionnels, scientifiques et techniques | 12 % |
| Commerce de détail | 11 % |
| Autres services (à l’exception de l’administration publique) | 9 % |
| Services d’hébergement et de restauration | 7 % |
| Soins de santé et assistance sociale | 6 % |
| Agriculture, foresterie, pêche et chasse | 5 % |
| Commerce de gros | 5 % |
| Transport et entreposage | 5 % |
| Finances et assurances | 5 % |
| Industrie de l’information et industrie culturelle | 4 % |
| Secteur manufacturier | 4 % |
| Services d’éducation | 4 % |
| Arts, divertissements et loisirs | 2 % |
| Industrie/secteur (suite) | Pourcentage |
|---|---|
| Services administratifs, services de soutien, services de gestion des déchets et services d’assainissement | 2 % |
| Services immobiliers et services de location et de location à bail | 2 % |
| Autres | 4 % |
| Poste du répondant | Pourcentage |
|---|---|
| Propriétaire, président ou PDG | 44 % |
| Directeur général ou autre gestionnaire | 27 % |
| Administration | 9 % |
| Directeur | 4 % |
| Comptable ou aide-comptable | 4 % |
| Autre titre | 11 % |
Questionnaire du sondage
Introduction
POINT DE CONTACT PRINCIPAL/CONTRÔLEUR :
Bonjour, je m’appelle [nom de l’intervieweur]. Préférez-vous que je continue en français ou en anglais? / Would you prefer that I continue in English or French? Pourrais-je parler à la personne au sein de votre entreprise qui connaît le mieux les types de renseignements personnels que vous recueillez au sujet de vos clients ainsi que la façon dont ces renseignements sont conservés et utilisés? Il pourrait s’agir du chef de la protection des renseignements personnels de votre entreprise, si ce poste existe.
SI LE CONTRÔLEUR LE DEMANDE :
Je vous appelle au nom de Phoenix SPI, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du commissaire à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.
- SI LA PERSONNE EST DISPONIBLE, POURSUIVRE. RÉPÉTER L’INTRODUCTION, AU BESOIN.
- SI ELLE N’EST PAS DISPONIBLE, FIXER LE MOMENT D’UN AUTRE APPEL.
RÉPONDANT
Bonjour, je m’appelle [nom de l’intervieweur]. Je vous appelle au nom de Phoenix SPI, une entreprise de recherche sur l’opinion publique. Nous effectuons un sondage pour le compte du commissaire à la protection de la vie privée du Canada afin de mieux comprendre les besoins et les pratiques des entreprises canadiennes en ce qui concerne les lois sur la protection des renseignements personnels.
Ce sondage dure environ 15 minutes et est facultatif. Vos réponses resteront confidentielles et anonymes; le sondage est enregistré auprès du système de validation des sondages du Conseil de recherche et d’intelligence marketing canadien.
Puis-je poursuivre?
- Oui, maintenant [CONTINUER]
- Non, rappelez plus tard. Préciser la date et l’heure : Date : Time :
- Refus [MERCI/RACCROCHER]
REMARQUE À L’INTENTION DE L’INTERVIEWEUR :
SI UN RÉPONDANT S’INTERROGE SUR LA LÉGITIMITÉ DU SONDAGE, DITES : Ce sondage est enregistré auprès du système de validation des sondages du Conseil de recherche et d’intelligence marketing canadien. Le numéro d’enregistrement est le suivant : INSÉRER. S’il est nécessaire d’obtenir une validation supplémentaire, proposez-leur d’envoyer par courriel la lettre d’information du CPVP.
Filtrage et renseignements généraux
- Lequel des énoncés suivants décrit le mieux votre entreprise? [LIRE LA LISTE ; ACCEPTER UNE SEULE RÉPONSE]
- 01. Elle vend directement à des consommateurs et à d’autres entreprises/organisations*
- 02. Elle vend directement à d’autres entreprises/organisations.**
- 03. Elle vend directement à des consommateurs et à d’autres entreprises/organisations
- 04. [NE PAS LIRE] Autre, veuillez préciser : [REMERCIER ET METTRE FIN À LA CONVERSATION]
- 05. [NE PAS LIRE] Sans but lucratif [REMERCIER ET METTRE FIN À LA CONVERSATION]
- 99. [NE PAS LIRE] Ne sait pas/refus [REMERCIER ET METTRE FIN À LA CONVERSATION]
REMARQUES À L’INTENTION DE L’INTERVIEWEUR :
* SI L’ON VOUS INTERROGE SUR LE CHOIX DE RÉPONSE (1) « CONSOMMATEURS », DITES : « IL S’AGIT D’UN INDIVIDU ET NON D’UNE ENTREPRISE OU D’UNE ORGANISATION » : Il s’agit d’un individu et non d’une entreprise ou d’une organisation.
** SI L’ON VOUS INTERROGE SUR LES « ORGANISATIONS », DITES : Cela comprend la vente aux gouvernements.
- Environ combien d’employés travaillent pour votre entreprise au Canada? Veuillez tenir compte des employés à temps partiel comme des équivalents temps plein. [NE PAS LIRE LA LISTE]
- 01. Un (p. ex., travailleur autonome)
- 02. 2-4
- 03. 5-9
- 04. 10-19
- 05. 20-49
- 06. 50-99
- 07. 100-149
- 08. 150-199
- 09. 200-249
- 10. 250-299
- 11. 300-499
- 12. 500-999
- 13. 1000-4999
- 14. Plus de 5000
- 99. [NE PAS LIRE] Ne sait pas/refus [REMERCIER ET METTRE FIN À LA CONVERSATION]
Section 1. Renseignements personnels des clients
J’aimerais commencer par vous demander quels types de renseignements personnels votre entreprise recueille sur ses clients. Par renseignements personnels, j’entends des renseignements comme le nom d’un client, l’adresse électronique, les opinions, l’historique des achats ou les informations financières d’un client, comme sa carte de crédit ; il peut également s’agir de données biométriques, telles que les empreintes digitales ou vocales, de photos ou de vidéos, ainsi que de l’historique de clavardages ou des messages instantanés.
Tout d’abord,
- Que fait votre entreprise des renseignements personnels qu’elle recueille concernant ses clients? Elle les utilise...? [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES]
- 01. pour établir des profils de clients à des fins de marketing?
- 02. pour personnaliser ses services ou produits?
- 03. fournir des services aux clients — par exemple, recueillir une adresse électronique pour l’envoi d’une facture?
- 04. pour l’analyse de données?
- 05. pour former un système d’intelligence artificielle (IA*)?
- 06. pour d’autres usages ; veuillez préciser :
- 07. [NE PAS LIRE] Ne sait pas
REMARQUE À L’INTENTION DE L’INTERVIEWEUR :
* SI L’ON VOUS INTERROGE SUR L’« IA », DITES : L’IA est généralement considérée comme l’apprentissage automatique, au sens de la création d’un algorithme ou d’un modèle permettant de simuler des tâches nécessitant normalement une intelligence humaine. Lorsque nous parlons de « former un système d’IA », nous faisons référence au processus d’utilisation des données pour développer un algorithme ou un modèle.
- Comment votre entreprise conserve-t-elle les renseignements personnels de ses clients? Ces renseignements sont-ils… [LIRE LA LISTE. ACCEPTER TOUTES LES RÉPONSES APPLICABLES]
- 01. Stocké sur place en format papier?
- 02. Stocké sur place en format électronique?
- 03. Stocké hors site auprès d’un tiers, comme un service en nuage?
- 04. entreposés au bureau à domicile d’un employé ou de l’employeur en format papier?
- 05. entreposés au bureau à domicile d’un employé ou de l’employeur en format électronique?
- 06. [DÉCLARATION SPONTANÉE] L’entreprise n’entrepose pas de renseignements personnels concernant ses clients
- 07. [NE PAS LIRE] Ne sait pas
- Votre entreprise envoie-t-elle des renseignements personnels de ses clients à des entreprises situées en dehors du Canada à des fins de traitement, de stockage ou autres? [LIRE LA LISTE]
- 01. Oui
- 02. Non
- 03. [NE PAS LIRE] Ne sait pas
- [SI Q5=01] Informez-vous vos clients que leurs renseignements personnels pourraient quitter le Canada? [LIRE LA LISTE]
- 01. Oui
- 02. Non
- 03. [NE PAS LIRE] L’entreprise ne fournit ces renseignements que si on les lui demande.
- 04. [NE PAS LIRE] Ne sait pas
- [SI Q6=01] Comment votre entreprise en informe-t-elle ses clients? Cela se fait-il par… [LIRE LA LISTE ; ACCEPTER TOUTES LES RÉPONSES APPLICABLES]
- 01. l’accord sur les modalités de service?
- 02. la politique de confidentialité de l’entreprise?
- 03. le consentement exprès?
- 04. d’une autre manière? [PRÉCISER]
- 05. [NE PAS LIRE] Ne sait pas
Section 2 : Technologie
- Votre entreprise utilise-t-elle l’IA pour ses activités commerciales? [LIRE LA LISTE]
- 01. Oui
- 02. Non
- 03. [NE PAS LIRE] Ne sait pas
- [SI Q8=01] De quelle manière votre entreprise utilise-t-elle l’IA dans ses activités commerciales? [NE PAS LIRE LA LISTE ; ACCEPTER LES RÉPONSES MULTIPLES]
- 01. Service à la clientèle/robots conversationnels
- 02. Marketing (publicité adaptée, services personnalisés, etc.)
- 03. Prévisions des tendances/comportement des clients/demande
- 04. Détection de fraudes
- 05. Analyse vidéo/image
- 06. Recrutement d’employés
- 07. Applications liées aux ressources humaines
- 08. Contrôle de la qualité
- 09. Optimisation de la chaîne d’approvisionnement
- 10. Analyse des données
- 11. Autre [PRÉCISER]
- 99. Ne sait pas
- [SI Q8=01] Votre entreprise utilise-t-elle l’IA pour accroître son efficacité, pour prendre des décisions ou pour ces deux objectifs?
- 01. Accroître l’efficacité
- 02. Prendre des décisions
- 03. Les deux
- 04. [DÉCLARATION SPONTANÉE] Ni l’un ni l’autre
- 99. [DÉCLARATION SPONTANÉE] Ne sait pas
- [SI Q 10=02,03] Lorsque votre entreprise utilise l’IA pour prendre des décisions, un employé humain examine-t-il cette décision avant qu’elle ne soit prise par votre entreprise? [LIRE LA LISTE]
- 01. Oui
- 02. Non
- 03. [NE PAS LIRE] Ne sait pas
REMARQUE À L’INTENTION DE L’INTERVIEWEUR :
* SI L’ON VOUS INTERROGE SUR L’« IA COMME AIDE À LA DÉCISION », DITES : Il s’agit par exemple d’utiliser l’IA dans le processus d’embauche d’un employé ou pour décider de l’approbation d’un prêt.
- [SI Q8=02, 03] Quelle est la probabilité que votre entreprise utilise l’IA pour ses activités commerciales au cours des cinq prochaines années? Est-ce très probable, assez probable, peu probable ou pas du tout probable?
Section 3 : Lois canadiennes sur la protection des renseignements personnels et conformité
La loi sur la protection de la vie privée du gouvernement fédéral, la Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE) établit des règles qui régissent la manière dont les entreprises engagées dans des activités commerciales doivent protéger les renseignements personnels. En Alberta, en Colombie-Britannique et au Québec, le secteur privé est régi par des lois provinciales, qui sont considérées comme similaires à la loi fédérale.
- Dans quelle mesure votre entreprise est-elle sensibilisée à ses responsabilités aux termes des lois sur la protection des renseignements personnels du Canada? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « pas du tout sensibilisée » et 7 signifie « très sensibilisée ».
- Votre entreprise a-t-elle pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels? [LIRE LA LISTE]
- 01. Oui
- 02. Non
- 99. [NE PAS LIRE] Ne sait pas
- [SI Q14=01] Dans quelle mesure est-il difficile pour votre entreprise de rendre ses pratiques de traitement des renseignements personnels conformes aux lois canadiennes régissant la protection des renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « extrêmement facile », 7, « extrêmement difficile ».
- Quelles difficultés, le cas échéant, [SI Q14=01 : votre entreprise a-t-elle rencontrées/SI Q 14=02,99 : pensez-vous que votre entreprise va rencontrer] pour se conformer aux lois canadiennes en matière de protection des renseignements personnels? [NE PAS LIRE LA LISTE ; ACCEPTER LES RÉPONSES MULTIPLES]
- 01. Manque de ressources internes/l’entreprise n’a pas d’équipe affectée à la protection des renseignements personnels
- 02. Manque de connaissances (non précisé)
- 03. Manque de compréhension des lois en matière de protection des renseignements personnels
- 04. Coût financier de la mise en conformité
- 05. Manque de compétences techniques
- 06. Difficulté d’intégrer les mesures de protection des renseignements personnels dans les systèmes ou processus déjà en place.
- 07. Aucune raison particulière/cela semblait juste difficile
- 08. Autre (préciser)
- 99. Ne sait pas
- Votre entreprise a-t-elle déjà cherché de l’information sur ses responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels? [LIRE LA LISTE]
- 01. Oui
- 02. Non
- 99. [NE PAS LIRE] Ne sait pas
- Si vous avez besoin d’information sur les responsabilités de votre entreprise en vertu des lois canadiennes sur la protection des renseignements personnels, où iriez-vous chercher cette information? [NE PAS LIRE LA LISTE ; ACCEPTER LES RÉPONSES MULTIPLES]
- 01. Internet (non précisé)
- 02. Google ou autres moteurs de recherche
- 03. Gouvernement (non précisé)
- 04. Gouvernement du Canada
- 05. Gouvernements provinciaux ou territoriaux
- 06. Commissaire à la protection de la vie privée du Canada ou Commissariat à la protection de la vie privée du Canada
- 07. Le commissaire provincial ou territorial à la protection des renseignements personnels
- 08. Association industrielle ou professionnelle
- 09. Experts du secteur ou sociétés de conseil
- 10. Consultation d’un expert en protection des renseignements personnels
- 11. Autre (préciser)
- 99. Ne sait pas
- Saviez-vous que le Commissariat à la protection de la vie privée du Canada offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels? [LIRE LA LISTE]
- 01. Oui
- 02. Non
- 03. [NE PAS LIRE] Ne connaît pas le Commissariat
- 99. [NE PAS LIRE] Ne sait pas
REMARQUE À L’INTENTION DE L’INTERVIEWEUR :
Si l’on vous pose des questions sur le CPVP ou sur la manière de le joindre, veuillez partager le site web : priv.gc.ca.
- [SI Q19=01] Votre entreprise a-t-elle déjà utilisé l’une de ces ressources? [LIRE LA LISTE]
- 01. Oui
- 02. Non
- 99. [NE PAS LIRE] Ne sait pas
- [SI Q19=02] Y a-t-il une raison particulière pour laquelle votre entreprise n’a jamais utilisé ces ressources? [NE PAS LIRE LA LISTE ; ACCEPTER LES RÉPONSES MULTIPLES]
- 01. Absence de besoin (non précisé)
- 02. Nous n’étions pas sûrs qu’ils seraient pertinents pour notre entreprise ou notre situation
- 03. Notre entreprise dispose d’une équipe affectée à la protection des renseignements personnels
- 04. Manque de confiance envers les ressources du CPVP
- 05. Nous ne pensions pas qu’elles seraient utiles
- 06. Nous n’avons pas besoin d’aide pour nous conformer à la loi
- 07. Aucune raison particulière
- 08. Autre (préciser)
- 99. Ne sait pas
Section 4 : Pratiques de l’entreprise en matière de protection des renseignements personnels
- Dans quelle mesure la protection des renseignements personnels est-elle importante pour votre entreprise? Veuillez utiliser une échelle de 1 à 7, où 1 signifie qu’il ne s’agit pas du tout d’un objectif important de l’entreprise, et 7 qu’il s’agit d’un objectif extrêmement important.
Maintenant, j’aimerais vous poser des questions sur les pratiques de votre entreprise en matière de protection de la vie privée.
- Dans votre entreprise, est-ce qu’une personne a été nommée responsable des questions liées à la protection de la vie privée et des renseignements personnels que votre entreprise détient?
- 01. Oui
- 02. Non
- 99. [NE PAS LIRE] Ne sait pas
- Votre entreprise a-t-elle élaboré et documenté des politiques internes à l’intention du personnel qui expliquent les obligations que vous impose la loi en ce qui a trait à la protection des renseignements personnels?
- 01. Oui
- 02. Non
- 99. [NE PAS LIRE] Ne sait pas
- Votre organisation donne-t-elle régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels?
- 01. Oui
- 02. Non
- 99. [NE PAS LIRE] Ne sait pas
- Y a‑t‑il des procédures en place dans votre entreprise pour répondre aux demandes de vos clients concernant l’accès à leurs renseignements personnels?
- 01. Oui
- 02. Non
- 99. [NE PAS LIRE] Ne sait pas
- Y a‑t‑il des procédures en place dans votre entreprise pour gérer les plaintes des clients qui considèrent que leurs renseignements personnels ont été traités de façon inadéquate?
- 01. Oui
- 02. Non
- 99. [NE PAS LIRE] Ne sait pas
- Votre entreprise prend-elle l’une des mesures suivantes pour protéger les renseignements personnels de ses clients et de ses employés? Veuillez répondre par Oui ou Non. [LIRE LES ÉLÉMENTS]
- Exige des mots de passe pour accéder aux comptes
- Utilise l’authentification multifactorielle
- Utilise l’authentification par empreintes vocales
- Crypte les communications
- Crypte les données stockées
- Contrôle l’accès des employés aux fichiers électronique
CHOIX DE RÉPONSES :
- 01. Oui
- 02. Non
- 98. [NE PAS LIRE] Ne s’applique pas
- 99. [NE PAS LIRE] Ne sait pas
- Votre entreprise recueille-t-elle des renseignements personnels auprès de clients mineurs, c’est-à-dire âgés de moins de 18 ans? [LIRE LA LISTE]
- 01. Oui
- 02. Non
- 03. [NE PAS LIRE] Ne sait pas
- [SI Q29=01] Lors de la collecte de renseignements auprès de mineurs, votre entreprise prend-elle l’une ou l’autre des mesures suivantes? Veuillez répondre par Oui ou Non. [LIRE LES ÉLÉMENTS]
- Vérifie l’âge
- Obtient le consentement des parents
- Explique les politiques et pratiques en matière de protection de la vie privée dans un langage simple et adapté à l’âge des personnes concernées
- Réalise des évaluations de l’impact sur la vie privée avant de lancer des produits ou des outils destinés aux jeunes
- Utilise par défaut des paramètres de confidentialité stricts, par exemple en désactivant automatiquement la géolocalisation
- Facilite la suppression par les jeunes de leur compte ou des renseignements qu’ils ont publiés
CHOIX DE RÉPONSES :
- 01. Oui
- 02. Non
- 98. [NE PAS LIRE] Ne s’applique pas
- 99. [NE PAS LIRE] Ne sait pas
Section 5 : Politiques sur la protection des renseignements personnels
- Votre entreprise a-t-elle une politique sur la protection des renseignements personnels? [LIRE LA LISTE]
- 01. Oui
- 02. Non
- 99. [NE PAS LIRE] Ne sait pas
- [SI Q31=01] Votre politique sur la protection des renseignements personnels explique‑t‑elle en langage clair ...? [LIRE LA LISTE]
- La façon dont votre entreprise recueille, utilise et communique les renseignements personnels de ses clients?
- Les renseignements personnels que votre entreprise recueille auprès de ses clients?
- Les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés ou communiqués?
- Avec quelles parties les renseignements personnels des clients seront-ils partagés?
- La durée de conservation des renseignements personnels de ses clients?
- Le risque de préjudice à la personne, le cas échéant, en cas d’atteinte à la protection des données?
- La façon dont votre entreprise détruit les renseignements personnels de ses clients lorsqu’elle n’en a plus besoin?
CHOIX DE RÉPONSES :
- 01. Oui
- 02. Non
- 98. [NE PAS LIRE] Ne s’applique pas
- 99. [NE PAS LIRE] Ne sait pas
Toujours à propos de la collecte et de l’utilisation que fait votre entreprise des renseignements personnels…
- [SI Q31=01] Votre entreprise prend-elle l’une ou l’autre des mesures suivantes? [LIRE LA LISTE]
- Aviser les clients quand elle modifie sa politique de protection des renseignements personnels?
- Obtenir le consentement des clients quand elle modifie ses pratiques de protection de la vie privée?
- Indiquer clairement si la collecte, l’utilisation ou la communication des renseignements est une condition de service?
- Faire en sorte que vos clients aient facilement accès à l’information sur la protection des renseignements personnels?
- Expliquer comment les clients peuvent soulever leurs préoccupations concernant la protection de la vie privée ou poser des questions à ce sujet?
- Expliquer comment les clients peuvent demander l’accès à leurs renseignements personnels?
- Expliquer comment les clients peuvent déposer une plainte officielle concernant la protection de la vie privée?
- Fait activement la promotion des pratiques de votre entreprise en matière de protection de la vie privée?
CHOIX DE RÉPONSES :
- 01. Oui
- 02. Non
- 98. [NE PAS LIRE] Ne s’applique pas
- 99. [NE PAS LIRE] Ne sait pas
Section 6 : Évaluation du risque et des atteintes
- Votre entreprise compte-t-elle sur des politiques ou des procédures pour évaluer les risques liés à la protection des renseignements personnels? Cela comprend l’évaluation des risques pour la vie privée liés au développement ou à l’utilisation de nouveaux produits, services ou technologies. [LIRE LA LISTE]
- 01. Oui
- 02. Non
- 98. [NE PAS LIRE] Ne s’applique pas
- 99. [NE PAS LIRE] Ne sait pas
Les atteintes à la protection des données sont causées par une activité criminelle, un vol, du piratage ou l’erreur d’un employé, comme le fait de laisser un ordinateur portable ou un autre appareil portatif à un endroit inapproprié.
- Dans quelle mesure êtes-vous préoccupé par une atteinte à la protection des données, qui compromettrait les renseignements personnels de vos clients? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « pas du tout préoccupé » et 7, « très préoccupé ».
- Dans quelle mesure votre entreprise est-elle prête à réagir à une atteinte à la protection des données touchant les renseignements personnels? Veuillez utiliser une échelle de 1 à 7, où 1 signifie « n’est pas du tout prête à réagir » à une atteinte à la protection des données et 7 signifie « tout à fait prête à intervenir ».
- Votre entreprise a-t-elle déjà été confrontée à une atteinte qui a compromis les renseignements personnels de vos clients? [LIRE LA LISTE]
- 01. Oui
- 02. Non
- 99. [NE PAS LIRE] Ne sait pas
- [SI Q37=01] Votre entreprise s’assure-t-elle de conserver un registre de toutes les atteintes à la protection des données touchant les renseignements personnels de vos clients?
- 01. Oui
- 02. Non
- 99. [NE PAS LIRE] Ne sait pas
Section 7 : Profil organisationnel
Ces dernières questions n’ont qu’une visée statistique, et toutes les réponses sont confidentielles.
- Dans quelle industrie ou dans quel secteur exercez-vous des activités? Si votre entreprise exerce des activités dans plusieurs secteurs, veuillez indiquer le secteur principal. [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]
- 01. Hébergement et restauration
- 02. Services administratifs, services de soutien, services de gestion des déchets et services d’assainissement
- 03. Agriculture, foresterie, pêche et chasse
- 04. Arts, divertissements et loisirs
- 05. Construction
- 06. Services d’éducation
- 07. Finances et assurances
- 08. Soins de santé et assistance sociale
- 09. Industrie de l’information et industrie culturelle
- 10. Gestion de sociétés et d’entreprises
- 11. Secteur manufacturier
- 12. Extraction pétrolière et gazière
- 13. Autres services (à l’exception de l’administration publique)
- 14. Services professionnels, scientifiques et techniques
- 15. Administration publique
- 16. Services immobiliers et services de location et de location à bail
- 17. Commerce de détail
- 18. Transportation et entreposage
- 19. Services publics
- 20. Commerce de gros
- 88. Autre. Veuillez préciser :
- 99. Ne sait pas/Aucune réponse
- Quel est votre poste dans l’organisation? [NE PAS LIRE LA LISTE. ACCEPTER UNE SEULE RÉPONSE]
- 01. Propriétaire, président ou PDG
- 02. Directeur général ou autre gestionnaire
- 03. Gestionnaire de la TI
- 04. Administration
- 05. Vice-président
- 06. Analyste, agent ou coordonnateur en matière de protection des renseignements personnels
- 07. Conseiller juridique ou avocat
- 08. RH/Opérations
- 88. Autre, préciser
- 99. Ne sait pas/Aucune réponse
Ceci conclut le sondage.
Merci de votre temps et de vos commentaires, ils sont très appréciés.
- Date de modification :