Passer au contenu

ETHI Réunion de comité

Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.

Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

Publication du jour précédent Publication du jour prochain
Passer à la navigation dans le document Passer au contenu du document






Emblème de la Chambre des communes

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique


NUMÉRO 064 
l
1re SESSION 
l
42e LÉGISLATURE 

TÉMOIGNAGES

Le mardi 13 juin 2017

[Enregistrement électronique]

(1200)

[Traduction]

    Je suis heureux de présider cette réunion spéciale de notre Comité permanent. C'est notre réunion numéro 64. Nous avons l'immense plaisir d'accueillir M. Giovanni Buttarelli, de Rome, en Italie. Il est contrôleur et il va nous parler du Règlement général de la protection des données de l'Union européenne.
    Merci, monsieur, de vous être libéré pour nous. Comme vous le savez, le Canada procède à une révision de sa législation. Bien naturellement, de nombreuses personnes au Canada ont fait remarquer que l'accord commercial entre le Canada et l'Union européenne risque de soulever certains enjeux et de faire ressortir certaines solutions possibles auxquelles nous devrons nous attaquer pour bien harmoniser nos organismes commerciaux respectifs. Bienvenue à notre Comité.
    Je rappellerai aux membres du Comité de bien vouloir parler lentement. Je crois savoir, monsieur Buttarelli, que vous parlez couramment l'anglais. Est-ce exact?

[Français]

     Malheureusement, la langue de travail la plus utilisée au sein de notre institution est l'anglais.

[Traduction]

    Ne vous inquiétez pas — vous êtes mieux que moi.

[Français]

    Permettez-moi de m'adresser à vous en anglais.

[Traduction]

    Très bien.
    Chers collègues, vous voudrez bien utiliser une langue claire et concise. Monsieur Buttarelli, nous vous donnons la parole pour vos observations d'ouverture — je suis sûr que vous en avez — après quoi nous passerons aux questions. Merci beaucoup d'être des nôtres aujourd'hui.
    Tout le plaisir est pour moi. Monsieur le président, et mesdames et messieurs. Je suis ravi de votre aimable invitation à m'adresser à votre comité aujourd'hui. Vous m'en voyez très honoré.
    Je ne suis pas le législateur de l'UE. Je ne suis pas officiellement responsable de quelque constat d'adéquation. Je représente une institution indépendante, comme le commissaire à la protection de la vie privée du Canada. Mon institution a sa part de tous les devoirs et pouvoirs des autorités nationales de protection des données pour l'UE. Étant basée à Bruxelles, par contre, elle a aussi de l'influence en tant que conseiller spécial et premier conseiller du Conseil de l'Union européenne et du Parlement européen. Elle est mieux positionnée pour être utile.
    Le troisième point de mon mot de présentation a trait à nos excellents rapports de travail avec le commissaire à la protection de la vie privée du Canada. En termes généraux, nous avons toujours eu un partenariat stratégique très étroit et fructueux avec le Canada. Ainsi, nous avons aussi eu l'occasion de soumettre nos plaidoyers à la Cour européenne de justice au sujet du dossier passager canadien. Nous avons eu la chance d'interagir avec certains de nos collègues du Canada pour bien nous renseigner sur votre cadre juridique.
    Je suis très heureux de me mettre à votre disposition pour répondre aux questions que vous pourriez avoir au sujet du processus de révision et du contenu de la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE. J'ai travaillé de très près à la réforme des règles européennes sur la protection des données. Notre rôle est de conseiller les législateurs. Nous avons adopté de nombreuses opinions. Nous avons été en contact avec les rapporteurs et les contre-rapporteurs. Le processus a duré près d'une décennie, de la consultation initiale, à la proposition, et jusqu'aux très longues négociations. Nous travaillons aujourd'hui à la mise en oeuvre.
    Mon institution fera partie du nouveau Comité européen de la protection des données, le nouvel organe de l'UE qui remplacera le comité consultatif existant, le groupe de travail « article 29 » de la Commission européenne. Par ailleurs, le CEPD, le contrôleur européen de la protection des données, assurera aussi le secrétariat du comité. Donc, 20 membres de mon personnel seront délégués à temps plein à cette initiative.
    Nous investissons toutes nos énergies pour être prêts dès le premier jour, le 25 mai de l'an prochain. Le RGPD, le Règlement général sur la protection des données, adopté l'an dernier, puis publié le 4 mai dans le journal officiel, entre en vigueur en mai prochain. Aujourd'hui, rien n'empêche un responsable du traitement de lancer la mise en oeuvre effective, sauf que la mise en oeuvre intégrale, avec contrôle d'application, ne pourra commencer avant minuit le 24 mai l'an prochain lorsque tous nos collègues seront rassemblés pour la première réunion du Comité européen de la protection des données.
    Nous mettons aussi nos énergies dans les réformes complémentaires et nécessaires. Nous avons besoin, notamment en matière de confidentialité des communications électroniques, du règlement dit de protection des renseignements personnels électroniques, qui remplacera probablement la directive existante sur la même question. Nous avons plus ou moins la même approche pour le RGPD et la directive de 1995. Nous attendons également de nouvelles règles applicables à la grande galaxie des institutions et des organes de l'Union européenne assujettis à mon contrôle.
    Nous faisons le travail d'une génération, et la difficulté est de veiller à ce que chacun jouisse des nouveaux droits dans le monde en ligne. Je prédis que le RGPD sera en place pour au moins 15 ans, ce qui est plus d'une décennie.
(1205)
    Nous pouvons voir que nous aurons fait des lois non seulement pour les milléniaux, mais peut-être aussi pour les premiers Z, qui n'auront connu rien d'autre qu'un monde branché. Donc, le défi consiste à prendre en compte la montée renforcée dans le RGPD et la nouvelle montée comme celles concernant la protection de la vie privée dès la conception et par défaut, que l'on peut appeler les droits relatifs aux mégadonnées.
    Nous voulons vraiment être plus au courant des nouvelles technologies, être tournés vers l'avenir et être neutres, mettons, technologiquement parlant. Vous ne verrez pas de mesures législatives particulières sur les réseaux sociaux ou dans d'autres applications particulières, bien que les nouvelles règles sur le profilage, le droit à l'oubli et le taux de portabilité des données se veuillent horizontales.
    Je vois une continuité entre la législation actuelle et la législation future pour donner un sens aux droits et libertés existants et nouveaux pour les gens ordinaires et pour en accroître l'efficacité dans la pratique. Nous devrons délaisser les anciennes exigences et mettre davantage l'accent sur les protections de fond. Ainsi, il y a une convergence dans le monde quant à la façon de rédiger et d'appliquer ces règles, et je considère que le Canada en fait partie. Je constate un consensus croissant.
    Nous sommes aujourd'hui en mesure de mettre l'accent sur le transfert des données personnelles, qui est un facteur clé dans ce débat. Il vous intéressera peut-être de savoir ce qu'il y a de nouveau dans le RGPD par rapport à la directive et, bien sûr, je ne peux faire mieux que de citer Daniel Therrien, le commissaire fédéral, pour dire que le RGPD renferme certaines dispositions qui ne figuraient pas dans la directive et qui n'apparaissent pas non plus dans la LPRPDE: la portabilité, l'effacement, la protection dès la conception et la protection par défaut. Donc, nous devons analyser ensemble les différences entre la directive et la LPRPDE.
    Je suis heureux de répondre à vos questions au sujet des grandes différences entre la directive et le RGPD concernant le processus de détermination de l'adéquation de la LPRPDE en vertu du RGPD, bien que ni la directive actuelle ni le RGPD ne fixent de processus précis, mais nous savons quelle pourrait être l'approche.
    Je suppose que vous voudrez vérifier les critères de détermination de l'adéquation, ce qu'elle signifie après l'affaire Schrems, les droits numériques en Irlande, ce que signifie le jugement pour la Cour européenne de justice, et ce qu'est un niveau adéquat de protection des données personnelles qui soit essentiellement équivalent à celui de l'UE. Vous attendriez-vous à des consultations avec les autorités canadiennes, par exemple, pour l'évaluation de la nouvelle approche du Canada, s'il en est? Et les échéanciers? Plus particulièrement, quelles sont les incidences de l'arrêt Schrems qui ont été confirmées par la Cour de justice? Un des arrêts concerne le dossier passager canadien.
    Si l'approche est la bonne, nous pourrions nous attacher aux spécificités concernant soit la rétention des données soit la protection des enfants. De nombreuses sociétés voudraient vérifier, par exemple, que le consentement doit être recueilli de nouveau après l'entrée en vigueur du RGPD. Je pense que nous avons là suffisamment de matière pour un échange fructueux.
    Je ne voudrais pas abuser de votre temps, et il serait peut-être bien préférable d'entrer maintenant dans les détails en réponse à vos questions ou de nous attacher à des enjeux plus précis.
(1210)
    Merci beaucoup, monsieur Buttarelli.
    Nous avons normalement des séries de questions de divers députés des divers partis politiques. Notre première série de questions est une conversation de sept minutes.
    Notre premier député est M. Saini, pour environ sept minutes, s'il vous plaît.
    Bonsoir, monsieur Buttarelli, et comment aimez-vous Rome? Nous aurions pu venir vous voir.
    Il fait soleil, mais extrêmement chaud.
    Merci beaucoup de vos observations d'ouverture.
    Mes questions sont plutôt spécifiques. Je voudrais commencer par l'article 25 du RGPD, puisqu'il est question de protection adéquate.
    Surtout avec l'accent mis sur la signature récente de l'AECG, maintenant que vous avez le RGPD et que vous allez évaluer les régimes des autres pays au regard du vôtre, quel type de test appliquerez-vous? À quoi le test ressemblera-t-il? De quel type de processus s'agira-t-il? Y aura-t-il des listes de contrôle? Donnez-nous une idée de la façon dont vous évaluerez les règlements des autres pays sur la protection de la vie privée au regard du vôtre afin de nous aider à comprendre.
    C'est la question d'un million d'euros. Permettez-moi de dire tout d'abord que le règlement ne prévoit pas de processus pour exprimer [Note de la rédaction: inaudible] dans le RGPD. Nous devrions partir des critères. En premier lieu, les décisions d'adéquation existantes demeureront en vigueur jusqu'à ce qu'elles soient mises à jour ou abrogées. Il y a une ligne de continuité.
    En deuxième lieu, le RGPD clarifie beaucoup de choses au regard de la directive existante... Par exemple, la commission pourra maintenant adopter ces décisions d'adéquation également pour le secteur de l'application de la loi. Il est beaucoup plus clair que le nouveau RGPD permettra une détermination d'adéquation à l'égard d'un territoire particulier d'un pays tiers, voire d'un secteur particulier ou d'une industrie particulière — des conclusions d'adéquation partielle, donc.
     Bien que le RGPD prévoie une approche du rebus sic stantibus, un examen périodique de chaque constat d'adéquation, y compris des décisions existantes de la Commission européenne au moins tous les quatre ans, nous ne sommes pas pressés de mettre le Canada au haut de nos priorités pour les décisions. Vous devriez maintenant vérifier ce qu'il faut, au regard de la nouvelle liste détaillée de critères figurant désormais dans le RGPD pour l'évaluation de cette adéquation.
    Ma première recommandation avant d'entrer dans les détails est de comprendre que le chapitre 5 du RGPD est beaucoup moins pertinent qu'aujourd'hui. Aujourd'hui, nous appliquons la législation de l'Union européenne sur la protection des données — soit essentiellement les deux directives — aux sociétés établies dans un pays de l'Union européenne. Vous devez donc discuter de la mesure dans laquelle un responsable du traitement est établi ici.
    Le 25 mai de l'an prochain, le principe sera différent. Ce ne sera plus une combinaison de territorialité et d'établissement, mais un système basé sur le lieu où les services sont rendus. L'ensemble complet des dispositions du RGPD, y compris, mais pas exclusivement, celles concernant les transferts, sera totalement applicable aux responsables du traitement qui offrent des biens et des services à distance dans l'UE, ou le profilage à distance des personnes.
    Ainsi, si une société envisage d'avoir un traitement continu de données personnelles, non seulement dans un sens unique vers le Canada, il faudra prêter attention à l'ensemble complet de dispositions, et pas seulement au chapitre 5. Dans l'hypothèse où nous ne considérons qu'une dimension mineure, du transfert, nous devrons prêter attention à une deuxième approche importante. Le RGPD a été rédigé et préparé pour être adopté définitivement avant l'affaire Schrems, qui date du 6 octobre 2015, ce qui était trop tard pour changer le libellé.
    L'adéquation est un peu différente maintenant. Nous avons commencé dans les années 1970 avec les exigences d'équivalence essentielle. Dans la convention 108 de 1981, le système d'un autre pays devait être équivalent. La directive adoptée dans l'UE en 1995, donc 14 ans plus tard, mettait l'accent sur quelque chose d'un peu plus léger, c'est-à-dire de simplement adéquat. Nous avons ensuite des critères pour vérifier quand un pays ou un système ou un territoire offre un niveau adéquat de protection.
    Or, en raison du nouveau statut juridique de la Charte des droits fondamentaux du Traité de Lisbonne, qui est de facto la Constitution européenne, la Cour européenne de justice a dit que ces critères doivent être lus conjointement, avec la condition exprimée par la même cour dans l'affaire Schrems.
(1215)
    Elle dit que ce qui est adéquat est maintenant essentiellement l'équivalent.
    Vous avez produit la directive sur la police, dont nous n'avons pas parlé. Y a-t-il une liste de contrôle ou un test quelconque d'adéquation pour cela également? Je sais que c'est un élément très important de réglementation sur la protection de la vie privée actuellement dans l'Union européenne.
    Oui. Cette approche est très semblable et, de fait, l'adéquation s'appliquera également au secteur de l'application de la loi. Ce secteur peut être évalué dans deux domaines différents. Le premier est le traitement des données personnelles par des responsables du traitement du secteur privé. Le second est l'accessibilité des données pour les forces de police et les membres de la magistrature. Les États membres doivent mettre la directive en oeuvre d'une manière différente de celle prévue par la réglementation, pour le 6 mai de l'an prochain. Nous cherchons une approche cohérente pour empêcher les États membres de déroger à la bonne approche et d'introduire des détails, mettons, étranges.
(1220)
    Quand la directive sur la police sera-t-elle émise? Pensez-vous qu'elle sera prête l'an prochain?
    La directive sur la police est en vigueur. Mais, parce que c'est une directive et non pas un règlement, les États membres ont jusqu'au 6 mai de l'an prochain — donc 19 jours avant l'entrée en vigueur intégrale du RGPD — pour la transposer dans leur système national. C'est qu'elle a plus d'incidences pour le traitement national des données personnelles par les forces de police.
    Merci, monsieur Saini.
    Passons maintenant à M. Jeneroux, pour environ sept minutes.
    Merci pour la marge de manoeuvre, monsieur le président.
    Monsieur Buttarelli, je vous sais gré d'être des nôtres aujourd'hui. Merci d'avoir réussi à nous faire une place dans votre emploi du temps. Comme nous le savons ici, au Canada, les différences de fuseau horaire posent parfois des problèmes.
    Je voudrais vous entretenir un peu de notre commissaire à la protection de la vie privée. Depuis plusieurs années, il est question des pouvoirs de rendre des ordonnances qu'a le commissaire et qu'il ne voulait pas auparavant.
    Je comprends à l'examen de votre mandat de contrôleur européen de la protection des données, que vous avez le pouvoir de donner des avis aux institutions, de traiter des plaintes, et de mener des enquêtes.
    Pourriez-vous nous donner un peu plus de détails sur vos pouvoirs et dire s'ils comprennent des pouvoirs de rendre des ordonnances?
    C'est l'un des domaines où nous avons des nouveautés dans l'UE.
    En premier lieu, il y a trois arrêts importants de la Cour européenne de justice concernant l'indépendance des autorités de contrôle. Ils concernent l'Allemagne, la Hongrie et l'Australie. Dans les trois cas, la Cour a jugé que les pays violaient la directive existante et il y a des recommandations importantes aux législateurs pour l'indépendance et l'autonomie des autorités de contrôle.
    En second lieu, la Cour de justice a dit que l'exercice de tous les pouvoirs existant dans la directive 95/46/CE est essentiel pour accroître l'indépendance, et particulièrement le rôle consultatif, l'existence d'un solide rôle de contrôle. Ainsi donc, le règlement et la directive fixent une liste exhaustive de pouvoirs renforcés, un régime entièrement nouveau de postes budgétaires, des exigences pour les nominations, et la relation avec le gouvernement et les parlements concernés, selon le système juridique de chaque pays.
    Chaque APD, ou autorité de protection des données, devrait être dotée de pouvoirs considérables en matière de mises en garde, en vue de rappeler à l'ordre les responsables du traitement concernés. Une autre nouveauté a trait à l'application d'amendes administratives. Les États membres doivent désormais obligatoirement maintenir des autorités de contrôle indépendantes, ayant l'obligation et le pouvoir d'appliquer ces amendes là où il y a lieu. Les nouveautés ne se limitent pas à l'application, mais elles tiennent compte également des sept fonctions d'une APD énumérées par un éminent professeur canadien, Colin Bennett, avec Charles Raab, dans l'ouvrage qui énumère sept missions des APD, dont celle concernant la sensibilisation, en vue de créer également une culture de protection des données.
    En matière de collaboration plus poussée et de plus grande transparence, les APD devraient être sélectives dans l'exercice de leurs fonctions. Un des principaux piliers du nouveau règlement est la responsabilisation, ce qui signifie que chaque responsable du traitement privé ou public est appelé à aller au-delà du simple contrôle de conformité, et à avoir une politique interne pour démontrer qu'il se conforme dans la pratique, et à avoir une réponse à chaque besoin pressant, y compris l'affectation de ressources et de responsabilités. Nous aimerions traiter de façon plus responsable tous les responsables du traitement... en adultes, pourrions-nous dire. Par conséquent, les APD devraient être plus efficaces là où il y a lieu, et aussi plus sélectives et transparentes dans la définition de leurs priorités. Elles devraient publier un programme et être plus prévisibles, plus accessibles et plus protectrices.
    Donc, c'est une approche moins prescriptive, qui demande plus de consultation, une plus grande interaction avec les technologies nouvelles. C'est aussi dans la perspective d'accroître l'efficacité, dans la pratique, les nouvelles règles touchant l'accréditation, la certification, les sceaux et la protection de la vie privée dès la conception et par défaut.
(1225)
    Très bien, excellent.
    Parlons un peu du droit à l'oubli et du droit à l'effacement. Nous avons accueilli plusieurs témoins qui ont insisté là-dessus, particulièrement à la lumière de ce qui s'annonce avec le RGPD. Nous nous demandons ce que cela signifie et si nous devrions prescrire certaines choses ou laisser cette tâche au commissaire à la protection de la vie privée, qui a encore une étude en cours.
    Pourriez-vous nous donner votre interprétation des différences entre les deux, et peut-être faire une suggestion quant à l'avenir du droit à l'oubli et du droit à l'effacement dans la législation?
    Voici une question qui risque de vous déplaire. Permettez-moi de vous dire, en ma qualité de membre de la magistrature, que le Règlement général sur la protection des données, le RGPD, contient très peu d'éléments nouveaux sur le droit à l'oubli. Il n'en est pas spécifiquement question.
    Si vous interrogez le rapporteur de l'affaire Costeja González, il réagira furieusement en vous disant que rien dans le libellé du jugement ne mentionne le droit à l'oubli. Il dira qu'il ne s'agit en fait que du droit à être rayé de la liste. Il dira qu'il n'y a rien de nouveau dans le jugement de la Cour de justice, si ce n'est la possibilité pour les personnes concernées de s'adresser directement au moteur de recherche, plutôt que de communiquer avec d'autres responsables.
     Quant à la question qui sera prochainement soumise à la Cour de justice, nous y attachons une grande importance. Encore une fois, c'est une décision préliminaire qui vient du Conseil d'État, en France. Peu après les audiences de la cause de Costeja González, nous avons coordonné nos mesures d'exécution avec les mesures d'autres firmes DPA à l'échelle nationale, et nous avons ainsi déterminé les principes qui devront être définis.
     Google, Bing, et d'autres moteurs de recherche se sont entendus sur le principe. À l'examen des statistiques publiées par toutes ces sociétés, on constate qu'après avoir atteint un premier sommet, leur rythme de croissance est revenu à la normale. La grande majorité des demandes des personnes concernées sont correctement traitées, et quand elles sont acheminées aux autorités compétentes — un tribunal ou une firme DPA — les deux organisations en viennent à une conclusion identique à celle des moteurs de recherche.
    Il y a convergence dans l'approche pour déterminer les bonnes raisons dans l'intérêt du public de ne pas retirer l'information pertinente de la liste.
    Le sujet de désaccord concerne la portée territoriale de l'application de la règle. Les firmes DPA estiment qu'elle devrait être mondiale, mais les autorités françaises ont décidé de contester la décision devant la Cour de justice, faisant valoir que nous devrions également tenir compte des domaines.com. Google n'est pas de cet avis et c'est pourquoi nous attendons la conclusion du tribunal.
    Le RGPD ne fait aucunement référence au droit à l'oubli dans le Code civil, le Code pénal et les règles communes à tous les États membres. Je vois ici que, abstraction faite du RGPD, les choses se poursuivent comme à l'habitude.
(1230)
    D'accord, merci beaucoup.
    Passons maintenant à M. Blaikie pendant sept minutes environ, s'il vous plaît.
    Merci, monsieur Buttarelli de passer une partie de votre soirée avec nous.
    Pour revenir à la question que M. Sainié a soulevée précédemment, j'aimerais revenir à la question des dispositions du RGPD en matière d'adéquation. Pourriez-vous nous parler de l'utilisation à bon et à mauvais escient des données par les tiers que le test d'adéquation prévu dans le RGPD vise à empêcher.
    Les dispositions du RGPD sur le transfert de données s'appliquent à tous les contrôles des secteurs publics et privés, sans distinction. Nous disposons maintenant de nouveaux critères d'évaluation. Essentiellement, ils permettent de dire que ce devrait être une évaluation globale et non purement judiciaire.
    Les critères sont les suivants. Premièrement, il y a la primauté du droit qui nous oblige à examiner toutes les lois pertinentes en vigueur, tant générales que sectorielles, y compris — et c'est là un nouveau point très important — les secteurs qui touchent la sécurité publique, la sécurité nationale, la défense et le droit pénal. C'est pourquoi nous avons maintenant le cas sur les données du dossier passager, le DP, mais également les règles de conduite professionnelle et les mesures de sécurité auxquelles un pays tiers ou une organisation internationale doivent se conformer. Nous aimerions voir dans quelle mesure certains droits sont effectifs et applicables, de sorte que nous puissions avoir des recours administratifs et judiciaires pour les personnes concernées.
     Deuxièmement, il existe en fait, au moins une autorité de surveillance indépendante. Les conseils et l'assistance qu'elle offre en ce qui concerne les données sont fonction des ententes de coopération avec les autorités de contrôle d'autres pays, mais également des engagements internationaux qu'elles peuvent avoir conclus à titre d'organisation internationale.
    Le 11 janvier de cette année, la commission a adopté une stratégie de communication qui sera essentiellement axée sur le mandat de l'actuelle commission durant les deux prochaines années. Celle-ci a indiqué que, dans un premier temps, nous ouvrirons le dialogue là où il est nécessaire de le faire. Puis nous examinerons la possibilité d'établir des relations commerciales entre l'Union européenne et ce pays, de même que la possibilité de conclure des ententes de libre-échange ou de poursuivre les négociations. Enfin, nous nous pencherons sur les échanges de données à caractère personnel en provenance de l'Union européenne.
    Il y a un rôle de pionnier à jouer à cet égard, et le rôle de l'Amérique du Sud à ce chapitre est crucial; si un premier pays s'engage dans le domaine de la protection des renseignements personnels, les autres pourraient très bien lui emboîter le pas.
    Enfin, il y a toute cette relation politique avec les pays tiers.
    Nous nous concentrons sur la protection des données, mais pas seulement sur cela. Il n'existe aucun processus de demande d'adéquation, comme je l'ai dit, mais je peux décrire en détail les pratiques exemplaires observées au quotidien.
    Si je peux me permettre de m'immiscer dans la discussion, je suis curieux de savoir si vous avez une idée de la façon dont fonctionne l'Accord économique et commercial global récemment signé entre le Canada et l'Europe. Nous savons, par expérience, qu'au Canada où des lois adoptées dans l'intérêt public ont été jugées irrecevables par des tribunaux commerciaux internationaux en vertu de telles ententes.
    Se demande-t-on à votre bureau si certaines clauses du RGPD pourraient constituer une barrière commerciale non tarifaire en vertu de l'Accord économique et commercial global, l'AECG? Savez-vous comment les responsables du traitement fonctionnent et quels documents auraient préséance dans l'éventualité de conflits de ce genre?
(1235)
    En ce qui concerne la position de l'UE, et non seulement la position de mon institution, vous pouvez écouter le tout dernier discours sur l'état de l'Union du Président Juncker, dans lequel il a précisé que nous devons faire preuve de cohérence. En ce qui concerne le RGPD et les directives que j'ai mentionnées, l'Europe aimerait avoir une seule structure juridique cohérente et bien harmonisée afin que tout accord commercial, y compris celui que vous avez mentionné, ne s'écarte pas du système, mais au contraire, qu'il s'y conforme entièrement.
    La commission qui ne veut pas d'importantes dispositions sur la protection des données ou sur l'interprétation des ententes commerciales actuelles ou futures, envisage plutôt une lex specialis pour assurer la protection des données. Néanmoins, nous sommes tous conscients qu'il faut parfois résoudre certaines questions particulières, comme le principe de territorialité, ou la question des serveurs en nuage ou des secrets commerciaux.
    Quant aux obligations générales des responsables des données et des personnes concernées, l'idée est de tout intégrer dans le RGPD, et uniquement dans le RGPD.
    D'accord, et cela inclut non seulement les pays européens, mais également les pays en dehors de l'Europe.
    Oui.
    Nous avons publié un document qui recommande la modernisation des dispositions actuelles en vue de futures négociations — notamment dans la zone du GATT — à l'appui de l'approche que je viens de décrire.
    Ma dernière question, étant donné le peu de temps qui nous reste, est la suivante: Quel outil privilégieriez-vous? La signature du RGPD dans un cadre législatif similaire serait-elle la condition à d'éventuelles ententes commerciales avec l'Europe? Et quel mécanisme nous permettrait de renforcer cette approche au fil du temps?
    D'après la communication de la commission que j'ai mentionnée, les priorités pour cette année et le début de l'année prochaine sont le Japon et la Corée du Sud. Ces deux pays veulent signer des accords commerciaux et la question a été abordée lors de la réunion du G7, à Taormina. L'Europe est prête, mais Bruxelles a transmis un message dans lequel le pays se disait d'accord, mais dans la mesure où aucune disposition en matière de protection de données ne soit incluse; ces deux volets doivent fonctionner en parallèle, mais gardés séparés. En gros, l'approche privilégiée en matière de protection des données est d'aborder cette question séparément.
    D'accord. C'est bien.
    Merci, monsieur Blaikie.
    Pour notre dernier sept minutes de discussions, la parole est au député Erskine-Smith.
    Merci beaucoup.
    J'aimerais poser rapidement quelques questions, puis aborder certains concepts que vous avez soulevés dans un contexte élargi.
    Certains témoins du monde des affaires ont laissé entendre que le droit à l'effacement ou à l'oubli — je sais que cette notion porte différentes appellations — serait pour eux un processus très lourd. En revanche, des avocats sont venus témoigner pour nous dire que le droit à l'effacement était important, surtout pour les mineurs. L'un d'entre eux nous a dit qu'il fallait prévoir un droit à l'effacement pour les jeunes de 16 ans et moins.
    D'après votre expérience et compte tenu de votre rôle, pensez-vous qu'un droit à l'oubli, même s'il ne vise que les jeunes de moins de 16 ans, serait trop lourd à gérer pour le milieu des affaires?
    Oui, ce serait trop lourd.
    Nous aimerions savoir comment les choses vont évoluer. Des États membres ont proposé ce compromis. Certains pays en décideront peut-être autrement, mais le premier projet de loi présenté par l'UE en ce qui a trait aux institutions et aux organismes de l'UE abonde en ce sens.
    L'âge n'est pas le point central. De nombreux autres aspects doivent être soigneusement abordés, comme le mode de vérification. C'est l'un des points clés du plan d'action du groupe de travail « Article 29 » pour lequel d'importantes lignes directrices sont également prévues. Mon institution se penche également avec d'autres collègues sur un moyen d'exercer les droits des personnes concernées, et plus particulièrement sur la question des enfants et de l'effacement des données.
(1240)
    Nous avons également abordé la question touchant l'exercice de l'autorité. L'approche de M. Therrien, notre commissaire à la protection de la vie privée, se fonde actuellement sur le modèle de l'ombudsman. Bien sûr, d'autres pays, comme le Royaume-Uni, sont autorisés à exercer le droit d'imposer des amendes. Nous examinons actuellement la possibilité de recommander une solution de rechange au modèle de l'ombudsman.
    D'après votre expérience, pensez-vous que des pouvoirs semblables, autorisant l'imposition d'amendes aux sociétés, seraient utiles à notre commissaire?
    Nous n'avons jamais obligé des pays tiers à imiter l'Union européenne dans le passé, bien qu'il faille décourager les systèmes judiciaires inefficaces. J'ai réussi à persuader les législateurs qu'il ne fallait pas appliquer d'approche tot capita, tot sententiae en ce sens qu'ils devraient nécessairement établir un système de détection des infractions, quelles qu'elles soient.
    L'article 83 du RGPD stipule que, lorsqu'une sanction doit être imposée — comme des avertissements ou des réprimandes — les critères suivants doivent être observés, étant donné que l'exercice d'autres pouvoirs a été effectif. Il y a...
    Si je peux me permettre, à propos du pouvoir d'imposer des amendes actuellement en vigueur dans l'Union européenne, vous laissez entendre que, dans certains cas, ce pouvoir ne serait peut-être pas approprié et qu'il vaudrait mieux adopter une résolution sans amende.
    Il nous est déjà arrivé que des sociétés déclarées coupables par le commissaire défient la loi et que le commissaire ou la partie lésée soient obligés de s'adresser à un tribunal pour obtenir justice.
    Pensez-vous qu'il y aurait lieu d'améliorer notre approche fondée sur le modèle de l'ombudsman en autorisant l'imposition d'amendes?
    Je ne suis pas le mieux placé pour...
    D'accord, vous avez raison.
    Permettez-moi de dire que la vaste majorité des firmes DPA dans les États membres de l'Union européenne ne sont actuellement pas outillées pour imposer des sanctions. Selon une disposition du RGPD, les États membres peuvent, en fin de compte, décider que les DPA présentent un responsable devant le tribunal. Ce système pourrait être adopté dans un ou deux États membres. Mais votre approche fondée sur l'intervention d'un ombudsman semble beaucoup moins efficace.
    Il ne me reste qu'une minute trente environ.
    Nous n'avons pas beaucoup entendu parler de la transférabilité des données au Comité, bien qu'il s'agisse à mon avis d'un droit extrêmement important, surtout s'il est examiné sous l'angle de l'Internet des objets, et plus particulièrement en regard du choix des consommateurs, car ces derniers veulent pouvoir passer d'une société à une autre et apporter l'historique de leurs données et de leurs préférences avec eux.
    Peut-être pourriez-vous expliquer un peu plus en détail au comité en quoi consiste le droit à la transférabilité et nous donner certaines délimitations clés à propos du droit à la vie privée dès la conception ou par défaut. Nous appliquons ce concept que notre ancienne commissaire à la vie privée, Ann Cavoukian, a créé ici en Ontario, mais ce concept qui dépasse largement l'aspect juridique.
    Peut-être pourriez-vous nous parler de ces deux concepts.
    Les principes de protection de la vie privée dès la conception et de protection de la vie privée par défaut ne sont plus recommandés. Ils reposent maintenant sur des fondements juridiques et un énoncé clair des obligations respectives de chaque responsable. Ce qui veut dire que les systèmes doivent être conçus dans une approche conviviale et moins invasive. Les responsables ont des obligations, mais il existe un système pour que les concepteurs, les producteurs et les développeurs mettent ces principes en pratique.
    Le principe de protection de la vie privée par défaut signifie que dans le cas où différentes réglementations s'appliquent, il faudrait en premier lieu recourir à celle qui se rapproche le plus des droits de la personne concernée.
(1245)
    La transférabilité des données est également un nouveau concept du RGPD.
    La question de la transférabilité apporte moins d'éléments nouveaux que nous nous y attendions au départ. Cela veut dire que si je dois me tourner vers un autre fournisseur, aucune approche n'est préjudiciable dans la pratique. Le groupe de travail « Article 29 » a récemment adopté des lignes directrices qui semblent controversées en ce qui concerne l'interprétation de l'article 25 du RGPD. En effet, selon cette réglementation, la transférabilité ne concerne que les données fournies par l'entreprise. Or, nous savons, et l'expérience démontre, que bien d'autres données sont dans l'appareil ou sont accessibles au fournisseur ou au responsable, bien qu'elles n'aient pas été officiellement communiquées par la personne concernée. Il y a un vide juridique à cet égard et le groupe de travail « Article 29 » a décidé de considérer cet aspect comme faisant partie de la transférabilité.
    Merci beaucoup.
    Merci, monsieur Erskine-Smith
    Nous allons maintenant passer à la série de questions, et les discussions devraient durer cinq minutes. Nous commencerons par vous, monsieur Kelly.
    Je vous remercie de votre participation à notre réunion.
    Peut-être que notre discussion s'inscrira dans la même veine. Au début de votre intervention, vous avez mentionné les quatre secteurs que notre commissaire a relevés comme étant des secteurs où la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, la loi actuellement en vigueur, est peut-être déficiente. Vous avez relevé les préoccupations de notre commissaire à propos du droit à l'effacement, du droit à la vie privée par défaut et du droit à la vie privée dès la conception, mais quel était le quatrième? Le quatrième concernait la transférabilité. Est-ce bien l'autre sujet de préoccupation concernant la LPRPDE que notre commissaire a relevé?
    Oui, cette question revêt une grande importance, mais j'aimerais profiter de cette occasion pour attirer votre attention sur une récente prise de position du groupe de travail « Article 29 », selon laquelle notre opinion sur l'évaluation du commissaire ne sera pas fondée uniquement sur ces principes.
    Nous aimerions d'abord attirer votre attention sur les règles de base qui régissent la limitation de la protection des données, la qualité des données, la proportionnalité et la transparence — afin d'établir une norme sur la manière dont les personnes concernées sont effectivement informées — et des règles qui régissent la sécurité des données dans les bases de données et les systèmes, l'exercice des droits d'accès incompatibles — non seulement en ce qui touche la transférabilité — et sur une chose qui est particulièrement mise en lumière dans le RGPD, soit le transfert ultérieur de données. D'autres questions portant sur les données sensibles, le marketing direct et les décisions individuelles automatisées doivent faire l'objet de notre attention, mais je vous recommanderais de ne pas vous attarder outre mesure aux nouveautés dans le RGPD, comme le principe de protection des données dès la conception, le principe de protection des données par défaut, et le principe de la transférabilité.
    Bien sûr, ils contribueront à l'examen de l'évaluation actuelle par l'UE, mais nous avons du temps. On a demandé à la Commission européenne de présenter d'ici trois ans, soit en 2020, un compte rendu de la première ronde de mise en oeuvre du RGPD et de l'approche à privilégier en ce qui touche les conclusions actuelles en matière d'adéquation.
    Si je reviens à celle adoptée pour le Canada, je dois remonter à une opinion adoptée par le groupe de travail « Article 29 » en 1998, au document de travail WP12, plus précisément. Le défaut, la conception et la portabilité n'ont pas été pris en compte dans ce document, mais nous avons commencé à ce moment à tenir compte des conditions de surveillance, qui sont maintenant beaucoup plus pertinentes.
    Nous vous encourageons à privilégier une approche globale et non à reprendre chacune des règles, point par point. La question touchant le test d'adéquation comporte donc un important message que j'aimerais vous transmettre. En somme, il touche l'ensemble des droits à la vie privée, plus précisément en ce qui touche la mise en œuvre, l'applicabilité, la supervision...
(1250)
    Si je peux me permettre d'intervenir à nouveau, j'aimerais m'assurer que j'ai bien compris ce que vous venez de dire. Vous nous proposez de ne pas nous arrêter aux questions que notre commissaire a relevées, c'est-à-dire aux parties de la loi qui ne sont peut-être pas conformes.
    Non. Je ne voudrais pas déplaire à mon...
    Je croyais que c'était ce que vous aviez dit.
    Je serais en faveur d'une telle approche, bien sûr, mais l'UE évalue ces aspects autrement, les étudiants dans le cadre de l'analyse globale avec bien d'autres éléments, parfois plus essentiels.
    À titre de décideur subordonné à l'approche de l'UE, je dirais, par exemple, que les restrictions, les exceptions et les dérogations à l'application de la loi sont plus importantes que les principes à dessein et par défaut. Un membre de mon équipe participe à l'examen conjoint du bouclier de protection de la vie privée. Nous songeons bien sûr à la protection par défaut et à dessein ainsi qu'à la portabilité des données, mais l'application de la loi est au sommet de nos préoccupations. Cet aspect compte davantage, généralement parlant.
    Voilà ce que je voulais dire. Ensuite, je ne peux qu'espérer que vous voudrez bien harmoniser votre approche avec la nôtre dans la mesure du possible.
    Si je disposais de quelques minutes avec vous ou l'un de vos collègues, j'aimerais vous mettre à jour sur ce que font les autres pays et ce qui se passe dans 35 pays en plus des 109 qui se sont déjà dotés d'une nouvelle génération de règles de protection des données.
    Je présume que mon temps est écoulé
    Vous présumez juste, monsieur Kelly. Nous vous remercions.
    Ce sera donc au tour de M. Ehsassi.
    Merci, monsieur le président.
    Merci, monsieur Buttarelli, d'avoir pris le temps de nous accompagner aujourd'hui.
    Une question que nous n'avons pas encore abordée aujourd'hui est celle des décisions automatisées prises sur la base d’algorithmes.
    Auriez-vous l'obligeance de nous expliquer les dispositions du RGPD en la matière et la mesure dans laquelle cette question pose des inquiétudes?
    Vous faites allusion au constat d'adéquation?
    Oui, les décisions prises sur la base d'algorithmes.
    Bon.
    Nous n'avons pas trop de nouveautés de ce côté-là. Le RGPD ne mentionne pas l'intelligence artificielle, mais il existe une disposition qui donne suite à la directive actuelle, prévoyant la continuité. Il s'agit de l'article 22. « La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. » Il existe des exceptions, notamment si « la décision est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement » ou si « elle est fondée sur le consentement explicite des personnes concernées ». Ce qu'il faut, c'est que le législateur prévoie des mesures appropriées en cas de dérogation pour protéger les personnes concernées et leurs droits.
    Nous voyons que l'évaluation humaine est une constante dans le cadre du processus. Nous reconnaissons que le contrôleur peut prendre sa décision en s'inspirant largement d'un processus automatisé. La question est de savoir ce qui se passe à la fin, comment la décision est prise et la mesure dans laquelle il y a une contribution humaine. C'est un droit spécifique et le libellé marque clairement l'obligation de le respecter. Il s'agit maintenant de savoir dans quelle mesure nous pouvons rehausser les mesures de protection.
    Au chapitre de l'intelligence artificielle, sachez que nous avons publié sur notre site Web un document d'information important pour la dernière Conférence mondiale des commissaires à la protection des données et de la vie privée — qui a eu lieu à Marrakech — en vue d'aller au-delà du RGPD comme partie intégrante du débat sur l'intelligence artificielle par les personnes chargées de la protection des données, ainsi qu'une liste de questions pour une approche plus synchronisée des contrôleurs. Nous pouvons vous fournir l'hyperlien si jamais vous avez de la difficulté à retrouver notre page Web.
(1255)
    Merci.
    En me préparant pour votre intervention, j'ai eu l'occasion de vérifier votre site Web et j'ai remarqué que vous organisez beaucoup d'ateliers de sensibilisation et d'éducation.
    Pourriez-vous nous dire à quel point ces initiatives ont été importantes pour que les gens comprennent mieux leurs droits à la vie privée dans le domaine des communications numériques et si elles s'adressaient surtout aux entreprises ou au consommateur?
    Elles sont importantes. Laissez-moi vous parler un peu de mon expérience.
    Ayant été pendant 12 ans le secrétaire général d'une administration nationale de collecte de données dans mon pays d'origine, je peux dire que la sensibilisation et la protection des données sont plus qu'essentielles dans une culture de respect de la vie privée. On a beau être le meilleur analyste juridique, si on ne parvient pas à sensibiliser les gens à leurs droits et si on néglige de collaborer avec les contrôleurs dans le processus, on fait fausse route.
    Une nouveauté du RGPD concerne l'adoption de lignes directrices. Nous avons remplacé 25 des 47 dispositions légales, de sorte que le RGPD parle d'une nouvelle législation, adoptant des actes délégués par la Commission européenne avec un système souple d'orientation de la part des contrôleurs. Ces actes doivent être adoptés en suivant une démarche inclusive, en consultation active avec les contrôleurs de données. Le processus décisionnel du Comité européen de la protection des données sera donc très différent de celui suivi par les 29 groupes de travail actuels.
    Récemment, j'ai également commencé à m'efforcer de rendre la protection des données plus accessible. C'est extrêmement compliqué. Ce n'est pas simple d'un point de vue juridique. C'est horizontal et de nombreux secteurs sont touchés. Il faudrait rendre ce principe plus convivial dans la pratique. Il devrait y avoir non seulement des avertissements, mais aussi des initiatives proactives axées sur l'expérience expliquant leur application pratique.
    D'ici mai l'année prochaine, avec la Commission, nous participerons à une campagne de l'Union européenne pour sensibiliser les gens aux nouveaux droits de la personne concernée, mais aussi pour parler plus directement aux contrôleurs et à ceux qui traitent les données au sujet de la numérisation de la protection des données. Je voudrais insister davantage sur la mise en pratique de ce principe. Moins de « Pater Noster, Ave et Gloria » et plus de principes fondamentaux dans la pratique.
    Merci beaucoup.
    Je redonne la parole à M. Kelly.
    Merci.
    Pour en revenir à ma question antérieure, j'aimerais que vous nous indiquiez, aussi précisément que possible, les aspects pertinents de la LPRPDE. C'est ce que nous étudions maintenant. Je sais que notre Loi sur la protection des renseignements personnels et peut-être d'autres lois sont également des sujets de préoccupation pour la conformité ou la compatibilité avec le RGPD, mais c'est la LPRPDE qui nous occupe.
    Veuillez être aussi précis que possible. Y avez-vous trouvé des lacunes auxquelles nous devrions suppléer selon vous?
(1300)
    Je ne connais pas très bien la LPRPDE, mais je crois qu'elle s'applique exclusivement aux organisations du secteur privé. En principe, la loi s'applique seulement aux organisations qui sont réglementées au niveau fédéral, mais aussi à la divulgation de renseignements personnels par certaines organisations. Enfin, je crois comprendre qu'elle s'applique également à toutes les entreprises des territoires, car elles sont supputées relever du fédéral.
    Une question qu'on peut se poser c'est qu'en sera-t-il si une province adopte une loi sur la protection de la vie privée, même si elle est fondamentalement similaire? Ensuite, qu'en est-il des organismes gouvernementaux? Voudriez-vous vous contenter de suivre la ligne et vous en tenir au contexte concret des organisations du secteur privé ou bien y aurait-il intérêt à élargir le principe du constat d'adéquation en songeant à d'autres secteurs également?
    Je pense que nous allons surveiller les transferts de plus près que par le passé et accorder plus d'attention aux lois visant concrètement les données sensibles ainsi qu'au Règlement relatif à la confidentialité des correspondances électroniques privées qui sera bientôt appliqué. Il doit lui aussi entrer en vigueur le 25 mai prochain.
    Une réglementation est susceptible de peaufiner et de compléter les dispositions actuelles des règlements généraux sur le monde virtuel, de sorte que l'on aura des dispositions de fond, par exemple, sur les témoins, sur la protection de la confidentialité et sur les moteurs de recherche, notamment en ce qui a trait au consentement.
    J'ai eu un entretien avec votre commissaire fédéral sur la question du consentement telle qu'abordée dans le RGPD par rapport à la directive actuelle. L'une des principales préoccupations pour les contrôleurs, c'est de décider s'il faut obtenir un nouveau consentement de la personne concernée. Eh bien, cela dépend de si on veut oui ou non respecter l'esprit des dispositions futures. A-t-on vraiment obtenu une indication précise et éclairée des souhaits de la personne concernée? A-t-on explicitement consenti au traitement de données sensibles? Peut-on affirmer que pour les données autres que celles qui sont sensibles, le consentement est sans équivoque? Par conséquent, il faut établir ce qui constitue un consentement sans équivoque dans le monde virtuel.
    C'est extrêmement important, car si on ne peut plus travailler avec un consentement fiable, il faudra déterminer quel autre instrument juridique doit être obtenu, en veillant à faire la part des choses entre l'intérêt et l'intérêt légitime.
    Le groupe de travail chargé de l'article 29 dans sa version actuelle, a publié deux avis et un troisième sur la limitation de la finalité. Je pense qu'ils peuvent être considérés prioritaires désormais si l'on veut constater le degré d'efficacité de certaines protections ou garanties pour la personne concernée dans la pratique.
    Peut-être serait-il également pertinent de vous donner mon point de vue sur le profilage et les informations de masse...
(1305)
    Je ne tiens pas à vous couper la parole, mais le président me lance des regards et je crois que mon temps est écoulé.
    Nous pourrions peut-être reprendre le sujet ultérieurement.
    Monsieur Long.
    Monsieur Giovanni Buttarelli, nous vous sommes très reconnaissants du temps que vous consacrez ce soir à nous illustrer. Il n'y a aucun doute que nous pouvons beaucoup apprendre de vous.
    C'est réciproque. Moi aussi j'apprends de vous.
    C'est bien. Tant mieux si cela fonctionne dans les deux sens.
    Je tiens à vous parler du RGPD en ce qui concerne les enfants — les droits de l'enfant et la protection des enfants. Au cours des derniers mois, de nombreux témoins nous ont parlé de l'absence de dispositions de la LPRPDE pour protéger les enfants. Nous comparons notre loi à la COPPA des États-Unis et les dispositions qu'elle contient.
    Je voudrais apprendre de vous et comprendre le RGPD en ce qui se rapporte aux droits de l'enfant, au consentement, aux limites d'âge, ce genre de chose. Si vous pouviez nous parler de vos constatations, ce serait vivement apprécié.
    Nous avons dit dans plus d'un « Avis du CEPD » que c'est un domaine où nous sommes déçus, du moins en partie. Pour sa forme, le RGPD n'est pas l'instrument de mes rêves, mais c'est le meilleur que nous puissions faire aujourd'hui. Si nous devions recommencer le processus aujourd'hui, je doute que nous puissions y améliorer quelque chose.
    En ce qui concerne les enfants, le législateur a été moins ambitieux que prévu. Nous n'avons qu'un seul article dans le RGPD. Nous nous attendons à une nouvelle disposition concernant les services en ligne dans la directive sur la protection de la vie privée.
    Tout d'abord, l'âge de la majorité ne fait pas l'unanimité dans l'UE, mais on a fini par s'entendre pour dire que le traitement des données personnelles d'un enfant est licite à compter de l'âge de 16 ans révolus.
    Devrait-on étager l'approche? Par exemple, les enfants de 12 à 14 ans auraient besoin du consentement des parents; ceux de 14 à 16 ans pourraient nécessiter un peu moins. Est-ce que vous vous en tenez à l'âge de 16 ans?
    L'approche c'est que l'enfant doit avoir 16 ans révolus. Au-dessous de cet âge, le traitement n'est licite que dans la mesure où le parent responsable donne son consentement ou l'autorise.
    L'entente est reflétée dans la dernière phrase du paragraphe 1 de l'article 8 qui précise que les États membres peuvent autoriser un âge inférieur, à condition que ce ne soit pas inférieur à 13 ans.
    Bien.
    La question est de savoir comment raisonnablement vérifier que c'est bien le titulaire de la responsabilité parentale qui donne son consentement? Et que dire des moyens technologiques disponibles? Nous souffrons du lien entre la collecte de données et le reste du système juridique. Dans les États membres, outre les différences pour la question de savoir si un enfant est adulte ou non, nous avons des approches divergentes en matière de droit contractuel. C'est pourquoi le RGPD dit que le paragraphe en question « ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d'un contrat à l'égard d'un enfant » Ainsi, dans le milieu de travail, on peut avoir une approche différente à l'égard de la validité du contrat pertinent pour l'emploi et des règles relatives à la protection des données. Cela fait partie de nos contradictions.
(1310)
    En fait, j'ai été étonné de vous entendre dire que vous étiez déçu des dispositions prises pour les enfants. Est-ce cela fait l'unanimité dans l'UE? Qu'est-ce qui s'est produit pour que vous vous disiez déçu? Qu'est-ce qui est allé de travers?
    Nous l'avons dit dans deux « Avis » officiels et je ne suis donc pas en train de réinventer la roue. Nous en sommes là à cause des difficultés à réglementer, du point de vue de la protection des données, un problème beaucoup plus vaste et il s'agit peut-être d'accélérer le processus. Le législateur a surtout cherché à s'inspirer des conseils des autorités chargées de la protection des données. Je crains donc que nous continuions à travailler en suivant une approche flexible. Il appartiendra peut-être aux autorités de collecte de données de cerner des moyens fiables d'empêcher que le contenu soit divulgué librement et de définir les mesures de sauvegarde et autres méthodes pertinentes pour l'âge et les besoins de vérification.
    Merci beaucoup.
    Ce sera enfin au tour de M. Blaikie pour trois minutes.
    Je voudrais juste m'enquérir sur la prise de décisions algorithmique et s'il y a lieu, la mesure dans laquelle il est question de transparence dans le RGPD dans les cas où les processus décisionnels sont confiés à des algorithmes. Le RGPD prévoit-il que les gens ont le droit d'avoir une idée de la façon dont ces algorithmes fonctionnent et que ces décisions sont prises une fois à l'intérieur de la boîte noire, pour ainsi dire?
    Il existe deux approches dans le RGPD. La première, que j'ai déjà mentionnée, porte sur le droit de ne pas être soumis à certaines décisions, sauf s'il existe des garanties. La deuxième concerne la transparence et nous avons beaucoup de nouveautés à ce chapitre. Il s'agit d'un domaine où les options de données... seront équipées d'informations et de formes plus transparentes, intelligibles, concises et facilement accessibles. Il est évident qu'il faut utiliser un langage clair. C'est un autre domaine où les enfants sont considérés côté transparence — j'ai oublié de le mentionner tout à l'heure.
    Ces articles sur la transparence ne concernent pas spécifiquement les modalités de traitement, mais en les considérant de manière globale, vous comprendrez que dans le cas de certaines modalités de traitement que vous avez mentionnées, la transparence devrait être renforcée et s'avérer efficace dans la pratique. Ces dispositions sont essentiellement conçues pour l'orientation des responsables de la protection des données. Certaines portent sur les icônes lisibles à la machine et les icônes normalisées, mais je doute qu'elles se rapportent au cas que vous avez mentionné.
    Merci beaucoup.
    Merci, monsieur Blaikie.
    Il ne nous reste que quelques minutes pour les députés qui n'ont pas encore eu l'occasion de parler.
    Monsieur Dubourg, si vous avez des questions à poser, vous avez la parole.

[Français]

    Merci, monsieur le président.
    Buon pomeriggio, mister Buttarelli.
    Je vous ai entendu au tout début. Je sais que vous parlez français. Je voudrais donc vous poser une ou deux questions concernant le règlement général sur la protection des données.
    Cela vous va-t-il? Je peux continuer?
(1315)

[Traduction]

    Oui, je vous en prie.

[Français]

    D'accord.
    Je vous remercie.
    Je voudrais vous poser des questions en ce qui concerne les pouvoirs. Vous savez bien qu'ici — de par vos discussions, entre autres, avec M. Therrien —, le milieu universitaire et le public en général sont d'accord pour donner plus de pouvoirs au commissaire à la protection de la vie privée, alors que les entreprises parlent davantage de collaboration.
    Nous savons que, de votre côté, vous avez ce pouvoir, même celui d'imposer des amendes. On a vu que, dans votre pays d'origine, l'Italie, on a imposé à WhatsApp une amende de 4,5 millions de dollars.
    Dites-nous comment ce pouvoir est dissuasif dans une situation de ce genre. Pensez-vous plutôt qu'on devrait continuer à procéder en collaboration avec les entreprises au lieu d'imposer des pénalités?

[Traduction]

    Les deux approches ne sont pas contradictoires. La responsabilisation est la bonne approche que nous demandons, sans que cela ne veuille dire qu'il faut se contenter de respecter la loi. Nous en demandons davantage désormais et permettez donc que je vous parle un instant comme le magistrat que je suis.
    Lors d'un procès où il s'agirait de déterminer la mesure dans laquelle le contrôleur s'est montré proactif, je verrais d'un meilleur oeil qu'il ait commis des erreurs tout en étant très dynamique sur le plan opérationnel. Il ne s'agit pas d'insister sur la moindre petite erreur. Je voudrais considérer le tout, mais je serais prêt à adopter l'approche recommandée. Il nous faut une approche dissuasive.
    Sachez qu'on nous bombarde de questions partout dans le monde. Que je sois à Silicon Valley ou en Afrique ou en Amérique du Sud, la première question est la même partout. Qu'en est-il des amendes?
    Nous savons qu'elles sont très rigoureuses.
    Je conseillerais aux législateurs de clarifier le lien entre les amendes administratives et le droit pénal. C'est un autre domaine. Nous devons clarifier le principe non bis in idem, ou allons-nous appliquer des amendes dans tous les pays à l'égard d'un même contrôleur? En adoptant les critères pour décider si une amende doit être appliquée, nous devons considérer les recours envisagés par la personne concernée, savoir s'il a agi de manière juste et dynamique à l'égard d'une violation de sécurité, s'il a informé les personnes après une violation et cherché à réduire les dommages causés. En définitive, la protection des données coûte beaucoup et tous les efforts doivent être pris en compte lors de la prise de décision.
    Voilà pourquoi je défendrais cette approche, un système où des amendes doivent être appliquées au besoin, mais pas nécessairement dans tous les cas. L'approche espagnole dite tot capita, tot sententiae est loin de me passionner. S'il y a ne serait-ce qu'une violation mineure, il n'y a pas d'appel possible et la sanction est inévitablement appliquée.
    Considérons le tout, car autrement, nous risquons d'assimiler les amendes à un poste budgétaire, d'où leur multiplication subséquente. Ce qu'il nous faut c'est considérer la position des petites et moyennes entreprises et soupeser soigneusement les critères déterminant la gravité de l'infraction et les ramifications d'une approche à plus grande échelle. Nous ne saurions traiter toutes les infractions de la même manière. Il nous faut donc une approche très dynamique qui manie la carotte et le bâton.
(1320)

[Français]

     Je voudrais vous poser une dernière question.
    Vous avez parlé de big picture. Toutefois, comment devrait-on faire pour évaluer la situation en vue d'imposer ces pénalités? Doit-on commencer, par exemple, par établir la négligence, ou bien se rendre jusqu'à l'extrême, et prouver qu'il y a eu illégalité? Comment donc peut-on se sortir de cette situation?

[Traduction]

    Si vous m'accordez 20 secondes pour trouver l'article 83, je pense que c'est là une de ces heureuses dispositions où nous n'avons aucune excuse parce que nous avons eu amplement l'occasion d'y réfléchir. Je vous cite les paragraphes pertinents:
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi;

b) le fait que la violation a été commise délibérément ou par négligence;

c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;

d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en oeuvre en vertu des articles 25 et 32;

e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;
    Un autre point important réside dans le degré de coopération établi avec l'autorité de contrôle en vue d'atténuer les éventuels effets négatifs. Combien de personnes sont concernées? Qu'en est-il des catégories de données à caractère personnel concernées par la violation? Un contrôleur de données a-t-il pris les devants pour avouer la violation à l'autorité de contrôle? Comment l'autorité a-t-elle pris connaissance de la violation? Agit-on de manière conforme aux codes de conduite? Tient-on compte d'autres circonstances, tels que les avantages financiers obtenus du fait de la violation?
    Tous ces critères peuvent être appliqués à quatre catégories de violations. Nous ne pouvons pas traiter toutes les violations de la même façon. En plus des critères que je viens d'énumérer, nous devons également considérer la gravité des diverses violations pour montrer que nous sommes raisonnables et crédibles. Sinon, les gens ne comprendraient pas.
    Nous devons éviter un système où les amendes ne sont qu'un poste budgétaire pour une grande société. Nous devons augmenter le montant des amendes quand il le faut, en fonction de l'argent et de l'énergie que le contrôleur a consacrés à l'affaire.

[Français]

    Grazie tanto, mister Buttarelli.

[Traduction]

    Votre italien est meilleur que mon français.

[Français]

    No, no, è una parola al giorno.

[Traduction]

    Merci beaucoup, chers collègues.
    Voilà qui couvre pratiquement toutes les questions que nous voulions vous poser, monsieur Buttarelli. Nous tenons à vous remercier sincèrement du temps et des efforts que vous nous avez consacrés. Notre comité se fait un devoir de transmettre ses recommandations au gouvernement quand il s'agit de modifier nos lois tout en veillant à respecter les accords que nous devons honorer également. Votre aide nous a été indispensable. Nous vous remercions beaucoup de votre temps. Nous espérons que vous resterez disponible au cas où nous aurions d'autres questions.
    Oui, je le resterai. Comme j'ai dit, je suis très honoré. Demain, je comparais devant le Sénat de ce pays. J'espère avoir un auditoire aussi qualifié que celui que j'ai connu aujourd'hui.
    Inutile d'ajouter que mon bureau et moi-même nous demeurons à votre disposition pour toute précision pertinente et pour fournir de la documentation et satisfaire votre curiosité autant que possible.
     Merci beaucoup pour votre attention. Permettez-moi de souligner que je suis impressionné par le haut degré de conscience et de compétence que vous déployez. J'ai rencontré beaucoup de politiciens dans ma carrière et ce n'est pas toujours le cas. Je vous dis donc chapeau!
    Vous êtes trop aimable. Nous apprécions vos commentaires et nous vous remercions de nouveau pour le temps que vous nous avez consacré. J'espère que nous resterons en communication à l'avenir.
(1325)
    Merci et bonne journée.
    Pareillement.
    Chers collègues, nous allons prendre une pause pendant quelques minutes. Il y a des aspects concernant nos travaux dont nous devons discuter à huis clos.
    Que ceux et celles qui peuvent rester dans la salle y restent. Quant aux autres, je vous demanderais de bien vouloir quitter la salle aussitôt que possible. Merci.
    [La séance se poursuit à huis clos.]
Explorateur de la publication
Explorateur de la publication
ParlVU