Sondage de 2023-2024 mené auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels

Résumé

Préparé pour le Commissariat à la protection de la vie privée du Canada

Nom du fournisseur : Phoenix SPI
Numéro du marché : CW2334458
Date d’attribution : 2023-10-18
Montant du marché : 72 252,20 $ (taxes applicables comprises)
Date de livraison : 2024-03-06

Numéro d’enregistrement : ROP No: 073-23

Pour plus d’information, veuillez écrire à l’adresse suivante : publications@priv.gc.ca.

This report is also available in English.

Sondage de 2023-2024 mené auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels
Rapport final

Préparé pour le Commissariat à la protection de la vie privée du Canada
Nom du fournisseur : Phoenix Strategic Perspectives Inc.
Mars 2024

Le présent rapport de recherche sur l’opinion publique présente les résultats d’un sondage téléphonique mené par Phoenix SPI pour le compte du Commissariat à la protection de la vie privée du Canada. Le sondage a été mené auprès de 800 représentants d’entreprises canadiennes, entre le 21 novembre et le 21 décembre 2023.

La présente publication peut être reproduite à des fins non commerciales seulement. Il faut cependant avoir obtenu au préalable l’autorisation écrite du Commissariat à la protection de la vie privée du Canada. Pour obtenir des renseignements supplémentaires sur le présent rapport, veuillez communiquer avec le Commissariat à la protection de la vie privée du Canada par courriel, à l’adresse suivante : publications@priv.gc.ca, ou par la poste, à l’adresse suivante :

Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec)  K1A 1H3

Numéro de catalogue : IP54-96/2024F-PDF

Numéro international normalisé du livre (ISBN) : 978-0-660-71663-3

Documents connexes (numéro d’enregistrement de la ROP : POR 073-23)
Numéro de catalogue (rapport final, anglais) : IP54-96/2024E-PDF
ISBN: 978-0-660-71662-6

Also available in English under the title: “2023-24 Survey of Canadian businesses on privacy-related issues”.

Résumé

Le Commissariat à la protection de la vie privée du Canada a retenu les services de Phoenix Strategic Perspectives (Phoenix SPI) afin de réaliser une étude quantitative auprès des entreprises canadiennes sur les enjeux liés à la protection des renseignements personnels.

But, objectifs et utilisation des résultats

Pour répondre à ses besoins en matière de renseignements, le Commissariat réalise tous les deux ans des sondages auprès des entreprises afin d’éclairer et d’orienter les efforts de sensibilisation. La présente recherche visait à recueillir des données sur le type de politiques et de pratiques de protection des renseignements personnels mises en œuvre par les entreprises; sur le respect de la loi par les entreprises; ainsi que sur la sensibilisation des entreprises à la protection des renseignements personnels et leurs approches en la matière. Les résultats du sondage permettront au Commissariat de fournir une orientation aux individus et aux organisations sur les enjeux liés à la protection des renseignements personnels et de renforcer ses efforts de sensibilisation auprès des petites entreprises, ce qui peut être un moyen efficace d’apporter des changements positifs en matière de protection des renseignements personnels.

Méthodologie

Un sondage téléphonique de 15 minutes a été réalisé auprès de 800 entreprises d’un bout à l’autre du Canada, entre le 21 novembre et le 21 décembre 2023. Les répondants ciblés étaient des décideurs de haut niveau ayant une connaissance des pratiques en matière de protection des renseignements personnels et de sécurité de leur entreprise ainsi que des responsabilités connexes. Les entreprises ont été divisées en fonction de leur taille, aux fins d’échantillonnage : petite (1 à 19 employés); moyenne (20 à 99 employés); et grande (100 employés et plus). Les résultats ont été pondérés selon la taille, le secteur et la région au moyen des données de Statistique Canada afin de veiller à ce qu’elles reflètent la distribution réelle des entreprises au Canada. Les résultats obtenus au moyen d’un échantillon de cette taille comportent une marge d’erreur de ± 3,5 %, 19 fois sur 20.

Principales constatations

La plupart des entreprises canadiennes sont sensibilisées aux responsabilités qui leur incombent en vertu des lois canadiennes sur la protection des renseignements personnels et ont pris des mesures pour s’assurer de respecter ces lois.

• Au total, 88 % des représentants d’entreprise ont déclaré que leur entreprise est au moins modérément sensibilisée à ses responsabilités en matière de protection des renseignements personnels, et près de la moitié d’entre elles (47 %) sont très sensibilisées à ces responsabilités. Depuis 2019, la proportion d’entreprises qui déclarent être très sensibilisées à ses responsabilités en matière de protection des renseignements personnels n’a pas cessé de diminuer, passant de 57 % en 2019 à 52 % en 2022, puis à 47 % cette année.
• Près des trois quarts des représentants d’entreprises sondés (76 %) ont affirmé que leur entreprise a pris des mesures pour s’assurer qu’elle respecte les lois canadiennes régissant la protection des renseignements personnels. Le pourcentage des entreprises qui respectent les lois n’a pas changé de manière importante depuis 2019, et il demeure plus élevé que les 66 % enregistrés en 2017. La probabilité de prendre des mesures pour assurer la conformité augmente avec la taille de l’entreprise, passant de 75 % pour les petites entreprises à 94 % pour les grandes.
• En tout, 93 % des entreprises qui ont pris des mesures pour se conformer aux lois canadiennes sur la protection des renseignements personnels ont estimé qu’il était modérément ou extrêmement facile de rendre conformes leurs pratiques en matière de traitement des renseignements personnels. La proportion d’entreprises qui ont estimé qu’il était extrêmement facile d’assurer leur conformité a augmenté de manière importante cette année, passant de 35 % en 2022 à 56 % en 2023.
• Peu de difficultés en matière de conformité ont été nommées : manque de connaissance (6 %) ou de compréhension des lois sur la protection des renseignements personnels (6 %), difficulté à intégrer les mesures de protection des renseignements personnels aux systèmes et aux processus déjà en place (5 %), manque de ressources internes ou d’une équipe affectée à la protection des renseignements personnels (4 %), manque de compétences techniques (2 %) et coût financier de la mise en conformité (2 %); ce qui souligne la facilité avec laquelle les entreprises étaient en mesure de se conformer aux lois canadiennes sur la protection des renseignements personnels.

La connaissance des entreprises à propos des renseignements et des outils du Commissariat a considérablement augmenté, mais seulement une entreprise sur quatre a utilisé ces ressources pour se conformer à ses obligations en matière de protection des renseignements personnels.

• Quatre représentants d’entreprises sondés sur dix (41 %, contre 33 % en 2022) savent que le Commissariat offre des renseignements et des outils aux entreprises pour les aider à assumer leurs obligations en matière de protection des renseignements personnels. Le pourcentage de représentants d’entreprise qui ont autodéclaré l’utilisation de ces ressources a augmenté cette année, passant de 17 % en 2013 à 26 % en 2023. Ce pourcentage demeure toutefois inférieur à celui des représentants sondés connaissant ces ressources. Ce fait peut s’expliquer notamment par l’absence de besoin, mentionnée par 31 % des représentants qui connaissaient les ressources du Commissariat, mais qui ont déclaré que leur entreprise ne les avait pas utilisées.

Au moins la moitié des entreprises canadiennes ont mis en œuvre la plupart des pratiques en matière de protection de la vie privée évaluées au moyen du sondage. Le pourcentage de mise en œuvre est pratiquement le même depuis 2022, année au cours de laquelle une baisse avait été signalée pour toutes les mesures. En plus d’assumer leurs obligations en matière de protection de la vie privée, de nombreuses entreprises ont également déclaré avoir pris des mesures pour protéger les renseignements personnels.

• Au moins la moitié des répondants ont affirmé que leur entreprise a mis en œuvre les pratiques de protection de la vie privée suivantes : nommer une personne responsable des questions liées à la protection de la vie privée et des renseignements personnels (56 %); mettre en place des procédures pour gérer les plaintes des clients concernant le traitement de leurs renseignements personnels (53 %) ainsi que pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels (50 %); et élaborer des politiques internes à l’intention du personnel qui expliquent les obligations en ce qui a trait à la protection des renseignements personnels (50 %). Exactement le tiers des répondants (33 %) ont indiqué que leur entreprise donne régulièrement au personnel une formation et de l’information sur la protection des renseignements personnels. La probabilité d’avoir mis en œuvre ces pratiques augmentait en fonction de la taille de l’entreprise et était la plus élevée parmi les grandes entreprises pour presque toutes les mesures.
• Nouveauté observée cette année : les entreprises ont été sondées sur les mesures de sécurité utilisées pour protéger les données de leurs clients et de leurs employés. Environ huit représentants d’entreprises sur dix ont déclaré que leur entreprise exigeait des mots de passe pour accéder aux comptes (83 %) et contrôlait l’accès des employés aux fichiers électroniques (79 %). Un peu plus de la moitié des répondants ont déclaré que leur entreprise utilisait l’authentification multifactorielle (53 %) et cryptait les données entreposées (49 %), tandis qu’un tiers d’entre elles (33 %) cryptaient ses communications.

Bon nombre d’entreprises disposent d’une politique sur la protection des renseignements personnels, mais elles sont moins nombreuses à déclarer en avoir une au fil des années. La plupart des entreprises qui disposent d’une politique de protection des renseignements personnels utilisent un langage clair pour expliquer leurs pratiques en matière de renseignements personnels des clients.

• Un peu plus de la moitié (55 %) des représentants d’entreprises sondés ont déclaré que leur entreprise disposait d’une telle politique. Au fil du temps, la proportion de ces entreprises a diminué, passant de 65 % en 2019 à 59 % en 2022, puis à 55 % cette année. La probabilité d’avoir mis en place une politique sur la protection des renseignements personnels est plus élevée chez les grandes entreprises. Près de neuf grandes entreprises sur dix (87 %) disposent d’une telle politique, contre deux tiers (67 %) des moyennes entreprises et environ la moitié (53 %) des petites entreprises.
• Les résultats de 2023 sont généralement cohérents avec ceux des années précédentes lorsqu’il s’agit de relever si les politiques sur la protection des renseignements personnels des entreprises sont rédigées en langage clair. La plupart de ces politiques expliquent en langage clair les éléments suivants : les fins auxquelles les renseignements personnels des clients sont recueillis, utilisés ou communiqués (85 %), la nature des renseignements personnels recueillis (81 %) et les méthodes utilisées par l’entreprise pour recueillir, utiliser et communiquer ces renseignements (80 %). En outre, un grand nombre de répondants ont déclaré que la politique de leur entreprise explique avec quelles parties les renseignements personnels seront partagés (70 %) et comment ils seront détruits (62 %), tandis qu’un peu plus de la moitié (55 %) déclarent que la politique de leur entreprise explique les risques de préjudice en cas d’atteinte à la protection des données. Le seul changement notable au fil du temps a été la proportion d’entreprises qui précisent, en langage clair, la durée de conservation des renseignements personnels de ses clients. Cette proportion est passée de 57 % en 2022 à 67 % en 2023.
• Aux représentants des entreprises qui ont déclaré que leur entreprise avait une politique sur la protection des renseignements personnels, on a également demandé si leur entreprise communiquait à ses clients différentes explications sur ses pratiques en matière de protection des renseignements personnels. Le changement le plus important d’une année à l’autre comprend une baisse de la proportion d’entreprises qui expliquent comment les clients peuvent déposer une plainte officielle en matière de protection de la vie privée (de 60 % en 2022 à 49 % en 2023), qui rendent l’information sur la protection des renseignements personnels facilement accessible (de 70 % en 2022 à 60 % en 2023) et qui expliquent comment les clients peuvent demander l’accès à leurs renseignements personnels (de 69 % en 2022 à 59 % cette année).

Peu d’entreprises ont été confrontées à une atteinte à la protection des données, mais la moitié d’entre elles sont prêtes à réagir à une atteinte touchant des renseignements personnels.

• Au total, 93 % des entreprises n’auraient pas été confrontées à une atteinte à la vie privée. Le nombre d’atteintes à la protection des données signalées est demeuré constant au cours de la dernière décennie (4 % en 2013, 2019 et 2022 et 6 % en 2023).
• Plus de huit répondants sur dix (84 %) ont déclaré que leur entreprise était au moins quelque peu préparée à réagir à une atteinte à la protection de données touchant des renseignements personnels, dont près de la moitié (46 %) ont déclaré que leur entreprise était tout à fait prête à intervenir.

Valeur du contrat

La valeur du contrat était de 72 252,20 $ (taxes applicables comprises).

Attestation de neutralité politique

À titre de cadre supérieure de Phoenix Strategic Perspectives, j’atteste que le rapport livré est entièrement conforme aux exigences en matière de neutralité politique du gouvernement du Canada énoncées dans la Politique de communication du gouvernement du Canada et à la Procédure de planification et d’attribution de marchés de services de recherche sur l’opinion publique. Plus précisément, ce rapport ne renferme pas d’information sur les intentions de vote, les préférences quant aux partis politiques, les positions des partis ou l’évaluation de la performance d’un parti politique ou de son chef.