Protection des données, une confiance à gagner

Loi sur la protection de la vie privée des consommateurs (LPVPC) – impact et préparation

Les données sont essentielles au fonctionnement de notre économie nationale et à la compétitivité des entreprises. L’évolution de leur valeur le prouve amplement.

En 2018, l’ensemble des données canadiennes était évalué à plus de 200 milliards $, et dans la même année, les entreprises canadiennes ont investi près de 40 milliards $ dans la collecte, le traitement et l’utilisation de l’information.1 Les données seront un élément indispensable à l’innovation future et au soutien de la reprise économique post-pandémie au Canada.

Mais tout le monde n’a pas la même confiance dans leur utilisation : 74 % des Canadiens pensent que leurs renseignements personnels sont moins bien protégés qu’il y a dix ans; et 71 % affirment être plus enclins à faire affaire avec une entreprise si celle-ci risque des pénalités financières sévères pour l’utilisation inappropriée des renseignements personnels.2

En réponse à ces préoccupations, le ministère de l’Innovation, des sciences et du développement économique a proposé une refonte de la loi canadienne sur la protection des renseignements personnels dans le secteur privé. Appelé Loi sur la protection de la vie privée des consommateurs (LPVPC), ce projet de loi a pour objectif une meilleure transparence et un contrôle accru des particuliers sur l’utilisation de leurs renseignements personnels.

La LPVPC accroît les exigences de protection de la vie privée existantes, en prévoit de nouvelles et impose des amendes parmi les plus élevées du monde : 5 % du chiffre d’affaires annuel mondial de l’entreprise.

Bien que la LPVPC soit morte au feuilleton en raison de l’élection fédérale, nous nous attendons à ce que la loi soit présentée à nouveau (ou qu’une nouvelle version soit présentée), ne serait-ce que parce que le Canada devra maintenir sa conformité avec le Règlement général sur la protection des données (RGPD) de l’Union européenne pour faciliter le commerce et l’échange de données. 

Mais qu’ils le soient par la LPVPC ou par une autre loi, ces changements prendront du temps et devraient être envisagés dès à présent. Car non seulement ils constituent une base essentielle qui aidera les entreprises à se conformer aux exigences, mais, surtout, ils amélioreront aussi l’expérience du client et la confiance nécessaire à l’utilisation de l’information collectée.

Le Canada amorce un virage critique en ce qui concerne l’économie des données et la confiance du consommateur.

Et si les entreprises moins préparées trouvent difficile de tirer une valeur des données dont elles disposent, elles pourront au moins gagner la confiance des consommateurs et ouvrir la voie à l’innovation.

« De notre point de vue, se préparer pour une loi comme la LPVPC ne se limite pas à protéger les données personnelles, c’est un enjeu horizontal pour des entreprises structurées verticalement. Il faut vraiment réfléchir à la structure de gouvernance et faire en sorte de réunir les équipes commerciale et juridique ainsi que celles responsables des technologies, de la gestion des données, de la sécurité et de la protection des renseignements personnels, car elles devront travailler ensemble pour arriver à un résultat adéquat. »

—Jordan Prokopy, associée, Cybersécurité et protection des renseignements personnels, leader nationale, Protection des renseignements personnels, PwC Canada

Notre sondage

Nous voulions connaître le niveau de prise de conscience des décideurs et leur avis sur l’impact de la LPVPC sur les entreprises canadiennes. Nous nous sommes donc adressés, au printemps 2021, à 100 responsables du domaine de la protection des données, issus de différents secteurs et d’entreprises de tailles diverses.

Nous nous sommes intéressés à trois aspects en particulier :

Voici les principaux résultats de notre sondage et les mesures que nous recommandons :

Une large majorité d’entreprises canadiennes se préparent déjà pour la LPVPC

À retenir

La majorité des répondants connaissent la LPVPC, la considèrent comme une priorité et s’y préparent. Si vous ne l’avez pas déjà fait, commencez à vous préparer aux changements dès maintenant.

95 % des répondants qui sont au courant de  la LPVPC la considèrent comme une priorité pour leur organisation, et 41 % la placent en tête de liste.

Il ressort de notre sondage que la LPVPC est connue de 85 % de nos répondants, dont 94 % affirment en savoir moyennement ou très bien les exigences. Et elle constitue une priorité, en dépit des urgences causées par la pandémie.

Les niveaux de préparation sont également très élevés. 88 % des répondants informés de la LPVPC ont déjà effectué une évaluation interne; 94 % ont déjà un plan de préparation général ou détaillé.

La majorité des entreprises canadiennes s’attendent un impact important sur le personnel, le chiffre d’affaires et l’exploitation

À retenir

Une majorité de répondants canadiens s’attendent à des conséquences importantes sur le chiffre d’affaires, le personnel et l’exploitation. Ne sous-estimez pas les efforts et les ressources dont vous aurez besoin pour votre préparation.

Presque unanimes, 79 % des répondants pensent qu’ils devront apporter des changements pour se conformer à la LPVPC et 44 % s’attendent à des changements importants.

Mais quels seront ces changements? Parmi ceux qui connaissent la LPVPC, un répondant sur cinq (21 %) s’attend à des coûts de 10 millions $ ou plus dans les trois prochaines années. Et 37 % de l’ensemble des répondants s’attendent à embaucher plus de 10 personnes à temps plein ou des sous-traitants sur la même période pour mettre leur programme en place.


Impact sur le chiffre d’affaires

% des répondants qui connaissent la LPVPC disent qu’elle aura un impact sur leur chiffre d’affaires; % s’attendent à un impact négatif.

Les exigences de la LPVPC qui, selon la majorité des répondants, auront une incidence sur l’exploitation sont la mobilité des données (87 %), le consentement (86 %) et la suppression des données (83 %). Celles qui auront l’impact le plus important sont les amendes (17 %) et le droit privé d’action (16 %).

Dans quelle mesure pensez-vous que les nouvelles exigences suivantes de la LPVPC auront un impact opérationnel sur votre organisation?
21 % des entreprises canadiennes prévoient dépenser 10 millions de dollars ou plus afin de se préparer à la LPVPC et 37 % prévoient embaucher 10 employés à temps plein
Dans quelle mesure pensez-vous que les nouvelles exigences suivantes de la LPVPC auront un impact opérationnel sur votre organisation?

Quels seront les plus grandes difficultés? Pour ceux qui ont déjà pris des mesures pour se conformer à la loi, les difficultés les plus importantes sont les coûts (12 %), l’état actuel de la gestion des données (12 %) et le manque de connaissances (11 %).


Tout commence en haut de l’échelle

% des répondants indiquent que, parmi leurs leaders, c’est le directeur des systèmes d’information qui consacre le plus de ressources au respect de la LPVPC, et % disent que c’est le directeur des données.

La majorité des entreprises canadiennes pensent pouvoir utiliser leur programme de protection existant pour leur préparation à la LPVPC – mais ce ne sera pas suffisant

À retenir

Une majorité des répondants comptent utiliser leur programme actuel de protection des renseignements personnels pour leur préparation à la LPVPC. Mais les exigences de la nouvelle loi sont plus larges et complexes; une bonne gestion des risques nécessitera la participation de toutes les branches et services de l’entreprise.

Près des trois-quarts (71 %) des répondants ont déjà un programme de protection des renseignements personnels et tous croient qu’il leur sera utile dans leur préparation à la LPVPC, quoique minimalement pour 25 % d’entre eux.

Les répondants envisagent divers outils pour leur conformité à la LPVPC, mais aucun consensus ne ressort sur la meilleure méthode à adopter. La sécurité de l’information est citée comme l’un des outils les plus utiles (46 %), suivi de la stratégie et gouvernance (37 %) puis du traitement des droits individuels, de la protection des données dès la conception et de la gestion du cycle de vie des données (32 % chaque).

En pensant à la gestion de la protection des données et à la conformité, lesquels des éléments suivants seront utiles à votre organisation pour se conformer à la LPVPC?
En pensant à la gestion de la protection des données et à la conformité, lesquels des éléments suivants seront utiles à votre organisation pour se conformer à la LPVPC?

Les stratégies de désidentification sont très utilisées

% des répondants déclarent désidentifier une part plus ou moins grande de leurs données pour se préparer à la LPVPC.

Mais les politiques et outils existants ne permettront de faire qu’un bout du chemin. Pour réellement comprendre, protéger et utiliser leurs données maintenant et dans l’avenir, les entreprises devront réunir leurs équipes de stratégie de gestion et de protection des données et leurs équipes de cybersécurité dans un projet commun.

Les prochaines étapes

Les changements dans la protection des données sont inévitables et la LPVPC contient certains éléments fondamentaux sur lesquels les entreprises canadiennes doivent travailler dès maintenant, et pas uniquement pour respecter la loi. Ces changements inspireront confiance à leurs clients concernant l’utilisation qu’elles feront de leur information, et elles pourront ainsi innover de façon responsable. 

Désormais, les entreprises devraient adopter une stratégie visant à gagner la confiance du consommateur au moyen d’un écosystème permettant de créer, d’utiliser, de partager et de supprimer les données de façon transparente et sécuritaire. Pour cela, il faut une approche intégrée réunissant quatre domaines clés : la gouvernance des données, la découverte des données, leur protection et leur minimisation.

L’expérience du RGPD l’a démontré. Les entreprises qui ont adopté une approche stratégique basée sur la confiance, par opposition à un simple respect des règles, ont pu en tirer profit. Investir dans ces domaines permet d’améliorer l’expérience client et d’inspirer suffisamment confiance pour tirer parti de la valeur des données et promouvoir l’innovation et le développement économique. Et cela sera essentiel à la reprise post-pandémie au Canada.

1 « La valeur des données au Canada : estimations expérimentales » Statistiques Canada, 10 juillet 2019, www150.statcan.gc.ca/n1/pub/13-605-x/2019001/article/00009-fra.htm.

2 « Sondage 2016 auprès des Canadiens sur la protection de la vie privée : Rapport final » Commissariat à la protection de la vie privée du Canada, décembre 2016, www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/recherche/consulter-les-travaux-de-recherche-sur-la-protection-de-la-vie-privee/2016/por_2016_12/.

Suivre PwC Canada

Contactez-nous

Jordan Prokopy

Jordan Prokopy

Leader nationale, Confiance dans les données et protection des renseignements personnels, PwC Canada

Tél. : +1 416 869 2384

Sajith Nair

Sajith Nair

Leader, Services gérés, PwC Canada

Tél. : +1 416 815 5185

Jennifer Johnson

Jennifer Johnson

Leader, Stratégie et transformation, PwC Canada

Tél. : +1 416 947 8966

Kathleen Champagne

Kathleen Champagne

Directrice générale, responsable de la protection des renseignements personnels, PwC Canada

Tél. : + 1 416 388 1385

Jessica Wiseman

Jessica Wiseman

Première directrice, Cybersécurité et protection des renseignements personnels, PwC Canada

Tél. : +1 403 509 7357

Masquer