Bien comprendre les pratiques de gestion des renseignements personnels de votre entreprise et les bénéfices de l'adoption de bonnes pratiques en matière de protection de la vie privée

La présente allocution a été prononcée dans le cadre d’une série d’allocutions organisées pour la tournée pancanadienne des chambres de commerce

Le 27 avril 2016
London (Ontario)

Allocution prononcée par M. Brent Homan
Directeur général, Enquêtes liées à la LPRPDE

(Le texte prononcé fait foi)

Introduction

Je vous remercie de m’avoir offert l’occasion de vous parler aujourd’hui de la protection de la vie privée.

C’est un sujet sur lequel vous avez certainement été nombreux à vous pencher au cours des dernières années, compte tenu de la panoplie de nouvelles avancées technologiques et de possibilités d’utiliser à faible coût les renseignements à votre disposition pour aider votre entreprise à croître et à communiquer plus efficacement avec les clients.

Les médias sociaux et le courriel ont créé d’énormes possibilités de publicité ciblée et de communications directes. Les organisations de toutes tailles ont maintenant accès plus facilement que jamais aux mégadonnées et aux nouveaux modèles d’affaires liés à la marchandisation des renseignements personnels. Et si un mot peut qualifier l’incidence de l’innovation technologique sur la vie privée, c’est « révolutionnaire ». Les innovations historiques comme l’électricité et le téléphone ont été largement surpassées par l’accroissement de la capacité informatique, de la capacité de stockage des données et de la bande passante. En ce qui a trait aux coûts et à l’accessibilité, pensez qu’un gigaoctet de données coûtait 569 $ en 1992. Il coûte aujourd’hui bien moins qu’un cent.

Bien sûr, ces avancées ont entraîné une forte augmentation de la collecte, de l’utilisation et de la communication de renseignements personnels et, par le fait même, des défis et des risques.

Tout récemment, le Commissariat à la protection de la vie privée du Canada a appris qu’une entreprise des Territoires du Nord-Ouest utilisait Facebook pour montrer du doigt les mauvais payeurs. Nous sommes intervenus rapidement pour mettre fin à cette pratique. Ai-je besoin de vous expliquer pourquoi?

Comme le dit Spiderman, l’homme-araignée, « un grand pouvoir implique une grande responsabilité ». Les entreprises doivent d’abord savoir qu’elles sont assujetties à une loi, connaître leurs limites et agir de façon responsable.

En 2015, le Commissariat a présenté un ensemble de priorités liées à la vie privée pour orienter son travail au cours des cinq années suivantes. L’une de ces grandes priorités est l’économie des renseignements personnels, c’est-à-dire l’atteinte d’un juste équilibre entre la protection de la vie privée et les nouveaux modèles d’affaires novateurs qui tirent profit du commerce des renseignements personnels. Nous voulons favoriser la protection de la vie privée sans toutefois freiner l’innovation. En bout de ligne, nous gagnerons ainsi la confiance des gens en nous assurant qu’ils exercent encore un contrôle efficace sur ce qu’il advient de leurs renseignements personnels.

Avant d’établir nos priorités, nous avons effectué des recherches et consulté les intervenants. Il est alors apparu clairement que les petites entreprises, dans l’ensemble, ne connaissent peut-être pas très bien les obligations qui leur incombent en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques. La LPRPDE est la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada.

Selon une analyse des plaintes déposées auprès du Commissariat, plus du tiers des plaintes fermées en vertu de la LPRPDE mettent en cause des petites entreprises, le plus souvent des magasins de détail, des propriétaires d’immeubles, des agences immobilières, des agences de recouvrement, des agences de voyage, des cabinets d’avocats, des planificateurs financiers et des entreprises en ligne. Les principaux motifs de plainte sont l’envoi par courriel de renseignements personnels au mauvais destinataire, la collecte non nécessaire de renseignements sensibles, par exemple le numéro d’assurance sociale ou de permis de conduire, et le recours à la surveillance vidéo sans avis adéquat.

De plus, selon un sondage mené auprès de plus de 1 000 entreprises partout au Canada, plus l’entreprise est petite, moins elle est au courant de ses responsabilités en matière de protection de la vie privée. Les petites entreprises sont moins nombreuses à avoir recours au chiffrement ou même à utiliser des classeurs verrouillés pour protéger les renseignements de leurs clients. Certains répondants ont aussi admis ignorer qu’ils sont assujettis à la LPRPDE. Et vous savez quoi? Je le comprends. Ce n’est pas vraiment étonnant, si l’on considère qu’il s’agit d’entreprises et de secteurs qui ne recueillaient peut-être pas beaucoup de renseignements sur leurs clients par le passé. Mais la situation a changé.

Prenez le secteur de la restauration. Il y a dix ans, les restaurants consignaient les réservations dans un registre. Aujourd’hui, ils peuvent utiliser des applications développées par des tiers afin de gérer les réservations et de mettre en place des programmes de fidélisation. Heureusement, bon nombre des problèmes technologiques qu’ils rencontrent en matière de protection de la vie privée sont simples et n’exigent pas un grand savoir-faire technologique. Je reviendrai plus tard sur ce sujet.

La tournée des chambres de commerce a pour but de renverser la vapeur – non seulement en mettant l’accent sur les obligations des petites entreprises en matière de protection de la vie privée, mais aussi en leur expliquant pourquoi la protection des renseignements personnels de leurs clients constitue une bonne stratégie d’affaires.

Pour commencer, nous savons que les petites entreprises subissent une multitude de pressions en matière de conformité, qui s’ajoutent aux exigences opérationnelles quotidiennes. Comparativement aux grandes entreprises, un grand nombre d’entre vous disposez d’un effectif restreint pour régler tous ces problèmes. Mais nous savons par ailleurs que les Canadiens se préoccupent de plus en plus du respect de leur vie privée et qu’ils choisissent de faire affaire avec des organisations qui tiennent compte de ces préoccupations.

La vérité, c’est que les saines pratiques de protection de la vie privée sont bonnes pour les affaires. En fait, la protection des renseignements personnels, en plus des facteurs traditionnels comme le prix et la qualité, constitue de plus en plus un aspect important de la décision d’achat du consommateur – ce n’est pas très différent des répercussions environnementales et du caractère écologique d’un produit ou d’un service. Si les clients ont confiance dans les mesures que vous prenez pour protéger leur vie privée, ils pourraient fort bien décider de faire affaire avec vous.

Les obligations qui vous incombent en vertu de la LPRPDE

Alors, quelles sont vos obligations en vertu de la LPRPDE?

En quelques mots, la LPRPDE est une loi fédérale qui établit les règles régissant la collecte, l’utilisation, la communication, la conservation et le retrait des renseignements personnels. Elle s’applique à toutes les organisations du secteur privé qui exercent une activité commerciale, sauf en Colombie-Britannique, en Alberta et au Québec. Ces trois provinces ont adopté leur propre loi sur la protection des renseignements personnels dans le secteur privé, qui est considérée comme essentiellement similaire à la LPRPDE. Cela dit, dans ces provinces, la loi fédérale continue de s’appliquer i) aux entreprises qui effectuent des transactions interprovinciales ou internationales et ii) à toutes les organisations sous réglementation fédérale, par exemple les banques, les entreprises de télécommunications et les compagnies de transport.

La LPRPDE énonce 10 principes relatifs à l’équité dans le traitement de l’information que doivent respecter toutes les entreprises qui y sont assujetties. Ces principes sont expliqués dans la Trousse d’outils de la LPRPDE pour les entreprises. J’ai apporté quelques exemplaires de ce document pour les distribuer après mon allocution. Je n’expliquerai pas en détail chacun de ces principes, mais je m’attarderai à ceux qui sont particulièrement pertinents pour votre entreprise.

L’un de ces principes est l’obtention d’un consentement valable, généralement requis pour toute collecte, utilisation ou communication de renseignements personnels d’un individu. Pour que le consentement soit valable, votre client doit comprendre la nature, l’objet et les conséquences du consentement qu’il donne. C’est à vous qu’il revient en bout de ligne d’obtenir son consentement après lui avoir expliqué, de vive voix ou par écrit, les raisons de la collecte, de l’utilisation ou de la communication des renseignements personnels. C’est en quelque sorte un premier critère utile pour déterminer si vous allez trop loin. Si vous ne pouvez expliquer pourquoi vous recueillez les renseignements, vous ne devriez probablement pas les recueillir au départ.

Au moment de la collecte ou avant et dès le moment où elles décident d’utiliser à une autre fin des renseignements recueillis auparavant, les organisations devraient préciser les fins pour lesquelles les renseignements sont recueillis. Et n’oubliez pas que le consentement n’est pas une solution miracle! La demande de renseignements elle-même doit être considérée comme raisonnable. J’y reviendrai dans quelques instants.

Il est aussi bon de limiter la collecte de renseignements. Ne recueillez pas de renseignements dont vous n’avez pas besoin ou dont vous pourriez simplement avoir besoin plus tard. Par exemple, les renseignements inscrits sur le permis de conduire peuvent être une mine d’or pour les voleurs d’identité. C’est pourquoi vous pouvez demander à un client de vous montrer son permis de conduire pour confirmer son identité, mais vous ne devriez pas le photocopier systématiquement. Et vous ne devriez certainement pas consigner ce type de renseignements dans un registre qui sera laissé à la vue sur le comptoir de service. C’est le commissaire du Yukon qui m’a fait part de cette pratique quand je me suis rendu à Whitehorse il y a quelques mois.

La LPRPDE vous oblige aussi à prendre des mesures appropriées pour protéger les renseignements que vous recueillez. Vous devez protéger contre la perte ou le vol les renseignements personnels qui vous ont été confiés, peu importe que vous les ayez recueillis sur papier ou par voie électronique. Pour ce faire, vous pourriez choisir d’adopter des mesures très simples, par exemple utiliser un classeur verrouillé pour protéger les documents papier, réserver l’accès à certains employés et avoir recours à des mots de passe et au chiffrement pour protéger les données électroniques. La protection de la vie privée est une obligation dynamique et non statique. Il est donc important de passer en revue et de mettre à jour régulièrement vos mesures de sécurité.

Je voudrais par ailleurs préciser que la LPRPDE oblige les organisations à recueillir, à utiliser ou à communiquer des renseignements personnels uniquement à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. Mêmes s’ils comportent une part de subjectivité, j’aimerais maintenant citer quelques exemples de pratiques qui pourraient être considérées comme inappropriées.

Il y a quelques années, le Commissariat a conclu qu’il était inapproprié pour une entreprise de location avec option d’achat d’utiliser un logiciel espion pouvant subrepticement prendre des photos et recueillir des frappes pour retrouver des ordinateurs portables qui auraient été volés.

De même, nous avons conclu qu’il n’était pas acceptable pour une entreprise de surveiller les toilettes pour trouver le responsable du piètre état des toilettes des hommes. Et, enfin, dans une plainte déposée contre Bell l’an dernier, nous avons conclu qu’il ne serait pas indiqué d’utiliser l’information sur la cote de solvabilité pour créer le profil de clients afin d’envoyer des publicités ciblées.

C’est une question de gros bon sens. Il existe une technique toute simple pour vérifier si une mesure est appropriée. Mettez-vous à la place du client : la collecte des renseignements susciterait-elle chez vous un sentiment de crainte ou d’inconfort? Si la réponse est « oui », c’est un signe qu’elle ne serait pas appropriée!

Régler les problèmes pour ne pas nuire à votre réputation ou à votre chiffre d’affaires

En fin de compte, les problèmes d’atteinte à la vie privée peuvent entacher la réputation de votre entreprise et réduire votre marge de profit. Je vous ai parlé un peu plus tôt de la responsabilité en tant que principe relatif à l’équité dans le traitement de l’information. Vous êtes responsable de protéger les renseignements personnels que vous avez recueillis.

Cela signifie que vous devez intégrer des mesures de protection de la vie privée dans toutes les activités de votre entreprise et adopter des procédures et des politiques claires pour la collecte, l’utilisation et la communication des renseignements personnels. La meilleure façon d’y parvenir, c’est d’élaborer un programme de gestion de la protection de la vie privée couvrant tous les aspects du traitement des renseignements personnels qui vous sont confiés. Vous trouverez sur le site Web du Commissariat un document d’orientation expliquant la façon de concevoir ce type de programme et une feuille de conseils utiles pour les entreprises.

Pour commencer, donnez l’exemple. Les propriétaires et les dirigeants d’entreprises doivent souscrire à l’idée selon laquelle la protection de la vie privée est bonne pour les affaires s’ils veulent que les employés leur emboîtent le pas. Vous êtes les chefs de file. Ce qui est important pour vous le sera pour vos employés. Montrez que vous avez à cœur de protéger la vie privée en nommant un agent de la protection de la vie privée ou une personne chargée de régler les problèmes dans le domaine. Diffusez les coordonnées de cette personne afin que vos clients et vos employés puissent lui poser des questions.

Rappelez-vous que vos employés jouent un rôle essentiel. Donnez-leur une formation sur la protection de la vie privée. Si vos commis aux ventes ont pour consigne de demander l’adresse de courriel ou le code postal des clients au point de vente, assurez-vous qu’ils peuvent expliquer pourquoi vous recueillez cette information. Parce que certains clients leur poseront la question. Je vous le garantis.

Assumez la responsabilité des actions de vos employés. C’est très bien de se doter d’une politique de confidentialité, mais encore faut-il qu’elle soit respectée. Songez à réserver l’accès aux renseignements personnels aux seules personnes qui ont besoin de les connaître, surveillez qui a accès à certains systèmes contenant des données sensibles et offrez une formation supplémentaire au besoin. Ceux qui ne suivent pas les procédures devraient en subir les conséquences. Nous avons reçu plusieurs plaintes au sujet du furetage d’employés – c’est-à-dire des employés qui, peut-être par curiosité, consultent sans raison les renseignements d’un client (par exemple, un ami, un voisin, un parent ou une personne célèbre). Les employés doivent comprendre que c’est un problème grave susceptible d’entraîner des mesures disciplinaires.

Vous êtes aussi responsable de ce qu’il advient des renseignements personnels que vous communiquez à des tiers. Qu’il s’agisse de transmettre l’adresse d’un client au messager qui livre un produit, de stocker le dossier des achats d’un client dans un nuage ou de partager les données d’un client à des fins de marketing, il vous incombe de vous renseigner sur les mesures et les pratiques de protection de la vie privée des entrepreneurs avec lesquels vous faites affaire pour vous assurer qu’elles respectent vos normes. Vous pourriez aussi envisager d’ajouter une disposition dans un contrat avec un tiers pour l’obliger à protéger les renseignements personnels de vos clients, à les utiliser uniquement pour les fins convenues et à les détruire à la fin du contrat. Vous pourriez consulter un avocat ou un spécialiste de la protection de la vie privée pour vous aider.

Quoi qu’il en soit, vous devriez mettre en place des politiques sur la façon d’éliminer vos propres dossiers âgés. Le Commissariat a déjà reçu une plainte d’un individu dont les renseignements bancaires avaient été trouvés dans un bac de recyclage dans un stationnement souterrain. Il se trouve que deux employés chargés de nettoyer le bureau d’un ancien collègue avaient mis les documents au recyclage plutôt que dans la pile des documents à déchiqueter. La plainte a incité l’entreprise à revoir ses politiques d’élimination des documents et de fin d’emploi et à offrir une formation d’appoint aux employés.

Parlons maintenant des caméras. Si vos installations sont dotées de caméras de surveillance vidéo, vous devez en informer vos clients même si vous ne conservez pas les enregistrements – les images de personnes constituent clairement des renseignements personnels. Posez des affiches bien en vue pour signaler aux gens qu’ils sont filmés, ne dirigez pas les caméras directement vers les résidences, fournissez les coordonnées d’une personne-ressource au cas où les gens voudraient poser des questions sur la surveillance vidéo et soyez discret au sujet de l’endroit où vous regardez les images. Par exemple, les gestionnaires immobiliers ne devraient pas visionner l’enregistrement de surveillance dans le confort de leur salon!

Et le numéro d’assurance sociale (NAS) est un autre aspect important. Je vous conseille vivement de ne pas demander le NAS d’individus, car ce numéro est censé servir uniquement aux fins de la déclaration de revenus. On le demande souvent dans le secteur de l’hébergement, par exemple dans le cadre d’un contrat de location. Peu d’organisations sont tenues par la loi de recueillir le numéro d’assurance sociale. Ce numéro n’est pas nécessaire pour effectuer une vérification de solvabilité et les formulaires devraient indiquer clairement qu’il est facultatif. Les entreprises ne devraient jamais exiger le NAS comme condition pour fournir un service, à moins bien sûr qu’elles y soient tenues par la loi. Pour en savoir plus concernant le NAS, vous pouvez consulter le document d’orientation sur les pratiques exemplaires affiché sur notre site Web.

Vous devriez aussi établir un processus clair pour donner suite aux plaintes concernant les pratiques de traitement des renseignements personnels au sein de votre entreprise. En vous attaquant d’entrée de jeu et rapidement aux questions ou aux préoccupations dans le domaine, vous pourriez aider grandement à réduire le nombre de plaintes au Commissariat. Comme vous le savez certainement, les clients sont souvent mécontents de se faire ballotter lorsqu’ils essaient d’obtenir une réponse.

Bon nombre de plaintes reçues par le Commissariat sont liées au simple fait que les employés n’ont pu expliquer pourquoi les renseignements étaient nécessaires ou que personne au sein d’une entreprise ne veut entendre les préoccupations du plaignant. Vous pouvez corriger la situation. En vous assurant que vos employés peuvent expliquer les raisons pour lesquelles les renseignements sont recueillis, vous pourriez fort probablement éviter des enquêtes coûteuses. Selon une entreprise, le coût d’une enquête serait de l’ordre de 25 000 $. Le Commissariat a publié sur son site Web une feuille de conseils visant expressément à éviter les plaintes. Vous voudrez peut-être y jeter un coup d’œil.

Enfin, j’aimerais aborder un sujet qui revient constamment dans les médias : les atteintes à la vie privée. Vous avez tous entendu parler du site Web Ashley Madison, n’est-ce pas? Nous avons examiné) ce dossier dans le cadre d’une enquête conjointe avec les autorités de protection de la vie privée en Australie.

Pour dire les choses simplement, les atteintes à la vie privée sont ni plus ni moins des crises liées à la protection des renseignements personnels. Et en cas de crise, vous voudrez avoir des procédures en place. Cela dit, malgré tous vos efforts, les risques d’atteinte à la vie privée sont réels et il y a des atteintes. Il peut s’agir du vol de renseignements personnels par des pirates informatiques, de la perte d’une clé USB contenant des données sur les clients ou même, d’un ex-employé mécontent qui s’en va en emportant une boîte contenant des données sur les clients ou les listes de contacts.

Selon un sondage récent mené aux États-Unis, 90 % des atteintes à la vie privée ont une incidence sur les petites entreprises et le coût moyen en découlant peut se situer autour de 36 000 $. Il peut même atteindre à 50 000 $. Ce coût englobe les analyses judiciaires, la notification des clients et les frais de réparation. Mais il y a aussi des coûts non financiers élevés, entre autres les dommages à votre image de marque et à votre réputation, en plus de la mauvaise presse qui accompagne souvent les atteintes à la vie privée.

L’an dernier, des organisations du secteur privé ont déclaré de leur plein gré 92 atteintes au Commissariat. C’est un bond appréciable par rapport aux cinq dernières années. Environ 35 % de ces atteintes mettaient en cause des petites entreprises, soit une proportion similaire à celle des années précédentes. Comme vous le savez peut-être, la déclaration des atteintes dans le secteur privé se fait sur une base volontaire. Mais cela changera bientôt. En vertu d’une loi adoptée en juin 2015, les entreprises seront tenues de déclarer au Commissariat les atteintes graves et d’en aviser les personnes touchées.

Mais vous pouvez prendre des mesures afin de réduire les risques ou d’atténuer les dommages causés par les atteintes. Et le fait que l’on a été victime d’une atteinte ne signifie pas que l’on a enfreint les lois sur la protection des renseignements personnels.

Voyons les mesures que vous pouvez prendre. Pour commencer, testez votre technologie pour déceler les points faibles et assurez-vous que les bases de données ou les systèmes âgés ne sont pas vulnérables lorsque vous les modernisez. Des solutions offertes dans le commerce et des spécialistes de la sécurité peuvent vous aider dans le cas où, comme bien d’autres entreprises, vous n’avez pas de service des TI. Par ailleurs, vous devriez vous tenir au courant des atteintes survenues au sein de votre industrie, car les pirates emploient souvent les mêmes ruses contre plusieurs entreprises. Plus vous serez alerte, mieux vous serez en mesure d’éviter les mêmes pièges.

En suivant ce conseil et en vous préparant au pire, vous serez mieux outillé pour éviter le genre de problème qui pourrait coûter beaucoup d’argent à votre entreprise et miner sa crédibilité.

La LCAP et le cybermarketing

Avant de terminer, j’aimerais prendre quelques minutes pour parler de la Loi canadienne anti-pourriel, ou LCAP, qui attribue plusieurs responsabilités nouvelles aux entreprises. On nous pose souvent des questions à ce sujet.

La LCAP est entrée en vigueur le 1er juillet 2014. Le Commissariat à la protection de la vie privée du Canada, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et le Bureau de la concurrence en assurent conjointement l’application. Le Commissariat se concentre sur deux types d’infractions :

• la collecte d’adresses électroniques, généralement au moyen de programmes informatiques qui fouillent de façon automatique Internet pour y trouver des adresses de courriel afin de compiler des listes à des fins de marketing;
• la collecte de renseignements au moyen de logiciels malveillants ou espions.

Nous avons récemment annoncé la fin de notre première enquête menée en vertu de la LCAP. Elle visait une entreprise de formation installée au Québec qui recueillait des adresses électroniques, passait au crible les courriels et utilisait l’information sans le consentement des intéressés pour communiquer avec eux et leur vendre des produits ou des services. Par ailleurs, nous venons tous juste d’ouvrir notre premier dossier sur un logiciel espion.

Vous croyez que ce type de choses n’a aucune incidence sur votre entreprise et que vous ne devriez pas vous en préoccuper? Détrompez-vous. Permettez-moi de vous donner quelques conseils.

En ce qui concerne la collecte d’adresses électroniques, sachez que le consentement des intéressés est obligatoire pour compiler une liste de clients. Si vous retenez les services d’un tiers pour faire parvenir des courriels de marketing en votre nom, assurez-vous qu’il ne pratique pas la collecte d’adresses électroniques et qu’il a obtenu le consentement éclairé de chaque intéressé avant d’établir sa liste. Autrement, en utilisant la liste, vous contrevenez aux dispositions de la LCAP qui régissent la collecte d’adresses électroniques.

Ce que vous pouvez faire

Si vous achetez une liste d’adresses de courriel d’un vendeur pour faire du marketing électronique à l’interne, demandez-lui comment il a compilé la liste et assurez-vous qu’il n’a pas eu recours à la collecte d’adresses électroniques. Vous devriez aussi vous assurer que les auteurs de la liste ont obtenu le consentement des individus dont le nom y figure. Renseignez-vous sur les mesures prises pour s’assurer que les listes sont à jour, car les individus peuvent retirer en tout temps leur consentement à recevoir des messages commerciaux. Prévoyez cette mesure dans les contrats avec des tiers et faites les vérifications qui s’imposent.

Nos activités dans le cadre de l’application de la LCAP visent aussi les logiciels malveillants ou espions, qui peuvent être téléchargés et installés à distance sur des ordinateurs dans le but de recueillir des renseignements personnels. Ces programmes peuvent servir à recueillir à des fins de marketing des renseignements concernant la navigation sur le Web, ou être utilisés pour des motifs plus répréhensibles, comme la saisie des frappes d’un individu pour voler des mots de passe ou des numéros de carte de crédit. Certains logiciels agissant comme un virus sont conçus pour recueillir le carnet d’adresses électroniques d’une personne.

Conclusion

La technologie a ouvert la voie à tout un monde de possibilités nouvelles pour les entreprises et, de plus en plus, celles qui réussissent le mieux sont les entreprises qui trouvent de nouvelles façons novatrices de l’utiliser. C’est indéniable. La LPRPDE n’a pas pour objet de freiner l’innovation. La loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada vise à appuyer et à promouvoir le commerce électronique sûr et responsable. Mais les obligations imposées par la loi doivent être respectées. Vos employés s’y attendent, vos clients l’exigent et votre chiffre d’affaires s’effondrera si vous ne le faites pas.

Selon notre plus récent sondage d’opinion publique mené auprès des Canadiens, seulement 16 % des répondants estiment que les entreprises prennent très au sérieux leur obligation de protéger les renseignements personnels. Près d’un tiers ont affirmé avoir dû faire face aux conséquences néfastes d’une mauvaise utilisation, du partage ou de la perte de leurs renseignements personnels par une organisation.

La bonne nouvelle, c’est que 81 % des répondants ont affirmé qu’ils choisiraient de faire affaire avec une entreprise expressément parce qu’elle a de bonnes pratiques de protection des renseignements personnels.

Ces chiffres montrent que les Canadiens se préoccupent de leur vie privée et qu’ils choisissent de faire affaire avec des entreprises ayant adopté des pratiques de protection de la vie privée vigoureuses. Vous avez l’occasion de montrer que vous faites partie de ces entreprises.

En fin de compte, la protection de la vie privée est bonne pour les affaires. Le Commissariat à la protection de la vie privée du Canada est là pour vous aider.

Je répondrai avec plaisir à vos questions.