Téléchargez le PDF
Les données sont essentielles au fonctionnement de notre économie nationale et à la compétitivité des entreprises. L’évolution de leur valeur le prouve amplement.
En 2018, l’ensemble des données canadiennes était évalué à plus de 200 milliards $, et dans la même année, les entreprises canadiennes ont investi près de 40 milliards $ dans la collecte, le traitement et l’utilisation de l’information.1 Les données seront un élément indispensable à l’innovation future et au soutien de la reprise économique post-pandémie au Canada.
Mais tout le monde n’a pas la même confiance dans leur utilisation : 74 % des Canadiens pensent que leurs renseignements personnels sont moins bien protégés qu’il y a dix ans; et 71 % affirment être plus enclins à faire affaire avec une entreprise si celle-ci risque des pénalités financières sévères pour l’utilisation inappropriée des renseignements personnels.2
En réponse à ces préoccupations, le ministère de l’Innovation, des sciences et du développement économique a proposé une refonte de la loi canadienne sur la protection des renseignements personnels dans le secteur privé. Appelé Loi sur la protection de la vie privée des consommateurs (LPVPC), ce projet de loi a pour objectif une meilleure transparence et un contrôle accru des particuliers sur l’utilisation de leurs renseignements personnels.
La LPVPC accroît les exigences de protection de la vie privée existantes, en prévoit de nouvelles et impose des amendes parmi les plus élevées du monde : 5 % du chiffre d’affaires annuel mondial de l’entreprise.
Bien que la LPVPC soit morte au feuilleton en raison de l’élection fédérale, nous nous attendons à ce que la loi soit présentée à nouveau (ou qu’une nouvelle version soit présentée), ne serait-ce que parce que le Canada devra maintenir sa conformité avec le Règlement général sur la protection des données (RGPD) de l’Union européenne pour faciliter le commerce et l’échange de données.
Mais qu’ils le soient par la LPVPC ou par une autre loi, ces changements prendront du temps et devraient être envisagés dès à présent. Car non seulement ils constituent une base essentielle qui aidera les entreprises à se conformer aux exigences, mais, surtout, ils amélioreront aussi l’expérience du client et la confiance nécessaire à l’utilisation de l’information collectée.
Le Canada amorce un virage critique en ce qui concerne l’économie des données et la confiance du consommateur.
Et si les entreprises moins préparées trouvent difficile de tirer une valeur des données dont elles disposent, elles pourront au moins gagner la confiance des consommateurs et ouvrir la voie à l’innovation.
« De notre point de vue, se préparer pour une loi comme la LPVPC ne se limite pas à protéger les données personnelles, c’est un enjeu horizontal pour des entreprises structurées verticalement. Il faut vraiment réfléchir à la structure de gouvernance et faire en sorte de réunir les équipes commerciale et juridique ainsi que celles responsables des technologies, de la gestion des données, de la sécurité et de la protection des renseignements personnels, car elles devront travailler ensemble pour arriver à un résultat adéquat. »
Nous voulions connaître le niveau de prise de conscience des décideurs et leur avis sur l’impact de la LPVPC sur les entreprises canadiennes. Nous nous sommes donc adressés, au printemps 2021, à 100 responsables du domaine de la protection des données, issus de différents secteurs et d’entreprises de tailles diverses.
Nous nous sommes intéressés à trois aspects en particulier :
La majorité des répondants connaissent la LPVPC, la considèrent comme une priorité et s’y préparent. Si vous ne l’avez pas déjà fait, commencez à vous préparer aux changements dès maintenant.
Il ressort de notre sondage que la LPVPC est connue de 85 % de nos répondants, dont 94 % affirment en savoir moyennement ou très bien les exigences. Et elle constitue une priorité, en dépit des urgences causées par la pandémie.
Les niveaux de préparation sont également très élevés. 88 % des répondants informés de la LPVPC ont déjà effectué une évaluation interne; 94 % ont déjà un plan de préparation général ou détaillé.
Une majorité de répondants canadiens s’attendent à des conséquences importantes sur le chiffre d’affaires, le personnel et l’exploitation. Ne sous-estimez pas les efforts et les ressources dont vous aurez besoin pour votre préparation.
Presque unanimes, 79 % des répondants pensent qu’ils devront apporter des changements pour se conformer à la LPVPC et 44 % s’attendent à des changements importants.
Mais quels seront ces changements? Parmi ceux qui connaissent la LPVPC, un répondant sur cinq (21 %) s’attend à des coûts de 10 millions $ ou plus dans les trois prochaines années. Et 37 % de l’ensemble des répondants s’attendent à embaucher plus de 10 personnes à temps plein ou des sous-traitants sur la même période pour mettre leur programme en place.
% des répondants qui connaissent la LPVPC disent qu’elle aura un impact sur leur chiffre d’affaires; % s’attendent à un impact négatif.
Les exigences de la LPVPC qui, selon la majorité des répondants, auront une incidence sur l’exploitation sont la mobilité des données (87 %), le consentement (86 %) et la suppression des données (83 %). Celles qui auront l’impact le plus important sont les amendes (17 %) et le droit privé d’action (16 %).
Quels seront les plus grandes difficultés? Pour ceux qui ont déjà pris des mesures pour se conformer à la loi, les difficultés les plus importantes sont les coûts (12 %), l’état actuel de la gestion des données (12 %) et le manque de connaissances (11 %).
% des répondants indiquent que, parmi leurs leaders, c’est le directeur des systèmes d’information qui consacre le plus de ressources au respect de la LPVPC, et % disent que c’est le directeur des données.
Une majorité des répondants comptent utiliser leur programme actuel de protection des renseignements personnels pour leur préparation à la LPVPC. Mais les exigences de la nouvelle loi sont plus larges et complexes; une bonne gestion des risques nécessitera la participation de toutes les branches et services de l’entreprise.
Près des trois-quarts (71 %) des répondants ont déjà un programme de protection des renseignements personnels et tous croient qu’il leur sera utile dans leur préparation à la LPVPC, quoique minimalement pour 25 % d’entre eux.
Les répondants envisagent divers outils pour leur conformité à la LPVPC, mais aucun consensus ne ressort sur la meilleure méthode à adopter. La sécurité de l’information est citée comme l’un des outils les plus utiles (46 %), suivi de la stratégie et gouvernance (37 %) puis du traitement des droits individuels, de la protection des données dès la conception et de la gestion du cycle de vie des données (32 % chaque).
% des répondants déclarent désidentifier une part plus ou moins grande de leurs données pour se préparer à la LPVPC.
Mais les politiques et outils existants ne permettront de faire qu’un bout du chemin. Pour réellement comprendre, protéger et utiliser leurs données maintenant et dans l’avenir, les entreprises devront réunir leurs équipes de stratégie de gestion et de protection des données et leurs équipes de cybersécurité dans un projet commun.
Les changements dans la protection des données sont inévitables et la LPVPC contient certains éléments fondamentaux sur lesquels les entreprises canadiennes doivent travailler dès maintenant, et pas uniquement pour respecter la loi. Ces changements inspireront confiance à leurs clients concernant l’utilisation qu’elles feront de leur information, et elles pourront ainsi innover de façon responsable.
Désormais, les entreprises devraient adopter une stratégie visant à gagner la confiance du consommateur au moyen d’un écosystème permettant de créer, d’utiliser, de partager et de supprimer les données de façon transparente et sécuritaire. Pour cela, il faut une approche intégrée réunissant quatre domaines clés : la gouvernance des données, la découverte des données, leur protection et leur minimisation.
L’expérience du RGPD l’a démontré. Les entreprises qui ont adopté une approche stratégique basée sur la confiance, par opposition à un simple respect des règles, ont pu en tirer profit. Investir dans ces domaines permet d’améliorer l’expérience client et d’inspirer suffisamment confiance pour tirer parti de la valeur des données et promouvoir l’innovation et le développement économique. Et cela sera essentiel à la reprise post-pandémie au Canada.
1 « La valeur des données au Canada : estimations expérimentales » Statistiques Canada, 10 juillet 2019, www150.statcan.gc.ca/n1/pub/13-605-x/2019001/article/00009-fra.htm.
2 « Sondage 2016 auprès des Canadiens sur la protection de la vie privée : Rapport final » Commissariat à la protection de la vie privée du Canada, décembre 2016, www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/recherche/consulter-les-travaux-de-recherche-sur-la-protection-de-la-vie-privee/2016/por_2016_12/.
Leader nationale, Confiance dans les données et protection des renseignements personnels, PwC Canada
Tél. : +1 416 869 2384
Directrice générale, responsable de la protection des renseignements personnels, PwC Canada
Tél. : + 1 416 388 1385
Première directrice, Cybersécurité et protection des renseignements personnels, PwC Canada
Tél. : +1 403 509 7357