ETHI Réunion de comité

     Je déclare maintenant la réunion ouverte.

    Soyez les bienvenus à la 143^e réunion du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique.

    Conformément à l'article 108(3)h) du Règlement et à la motion adoptée par le Comité, le mardi 29 octobre 2024, le Comité reprend son étude des atteintes à la vie privée à l'Agence du revenu du Canada.

    Je souhaite d'abord souhaiter la bienvenue à nos invités d'aujourd'hui.

    Nous accueillons, du Commissariat à la protection de la vie privée du Canada, M. Philippe Dufresne, commissaire à la protection de la vie privée, ainsi que Mme Isabelle Gervais, sous-commissaire, Secteur de la conformité.

    Monsieur le commissaire, nous vous accordons jusqu'à dix minutes pour présenter votre déclaration d'ouverture. Allez-y, je vous prie.

    Je vous remercie.

     Merci, monsieur le président.

    Mesdames et messieurs les membres du Comité, je vous remercie de m'avoir invité à venir vous parler de ce sujet d'une importance cruciale.

    Au cours de la dernière décennie, on a constaté une forte augmentation des atteintes à la sécurité des données, tant sur le plan de l'ampleur que de la complexité et de la gravité. Comme elles détiennent des renseignements personnels sensibles, les institutions gouvernementales sont des cibles de choix.

    Pour assurer la protection des renseignements personnels, les organisations fédérales, y compris mon organisation, le Commissariat à la protection de la vie privée du Canada, doivent continuellement s'adapter à un contexte de menaces en constante évolution.

    Dès février 2024, nous avons présenté un rapport spécial au Parlement contenant nos conclusions sur une enquête sur un incident de bourrage d'identifiants survenu en 2020 qui a eu une incidence sur l'Agence du revenu du Canada, l'ARC, ainsi que sur Développement social Canada, EDSC.

    Au cours des dernières étapes de cette enquête, nous avons appris qu'il y avait eu d'autres incidents de fraudes relatifs à la PCU que l'ARC n'avait pas signalés au Commissariat à la protection de la vie privée, le CPVP. Ces incidents remontent à 2020, et ont affecté jusqu'à 15 000 individus. Nous avons décrit la nature de ces incidents dans notre rapport spécial, et nous allons effectuer un suivi auprès de l'ARC.

    Les recommandations du CPVP dans le cadre de cette enquête comprenaient l'amélioration des cadres de communication et de prise de décisions afin de faciliter une réponse rapide aux attaques et l'élaboration de processus complets d'intervention en cas d'incident afin de prévenir, de détecter, de contenir et d'atténuer les atteintes futures. L'ARC et EDSC ont convenu de mettre en œuvre ces recommandations.

    Le 9 mai 2024, le CPVP a pris connaissance d'un rapport d'atteinte de la vie privée de l'ARC, couvrant rétroactivement les incidents de mai 2020 à novembre 2023, qui englobaient 31 393 incidents distincts. L'équipe d'intervention en cas d'atteinte à la vie privée du CPVP a régulièrement rencontré l'ARC depuis pour en savoir plus sur la réponse de l'ARC à la situation et pour être tenue au courant des mesures que l'ARC prend pour réagir aux atteintes, pour aviser et pour atténuer les risques envers la population canadienne.

    Les discussions ont porté sur le rapport d'atteinte, mais aussi sur le rapport de conclusions d'enquête de février 2024, puisqu'ils sont tous les deux liés. En effet, l'Agence du revenu du Canada a confirmé que, sur les 31 393 incidents signalés, environ 15 000 concernaient des cas de fraudes liées à la PCU mentionnés dans notre rapport spécial au Parlement.

    Dans le cadre de ces discussions, le 25 octobre 2024, l'Agence du revenu du Canada a avisé le Commissariat qu'elle avait évalué rétrospectivement environ 3 200 autres atteintes importantes survenues en 2023 et 2024.

    Cet automne, l'ARC a demandé et, en fin de compte, obtenu une exception auprès du Conseil du Trésor, afin de pouvoir signaler au Secrétariat du Conseil du Trésor et à mon bureau les cas individuels d'utilisation non autorisée de renseignements sur les contribuables par une tierce partie sur une base trimestrielle, plutôt que dans un délai de sept jours, pour des raisons opérationnelles.

    J'ai indiqué au Secrétariat du Conseil du Trésor que, même si j'appuyais cette exception, j'avais recommandé qu'elle soit d'une durée limitée de douze mois; que l'ARC soit tenue d'aviser rapidement les personnes touchées et de leur fournir des renseignements, du soutien et des conseils; et que les rapports d'atteinte à la vie privée comprennent des détails supplémentaires, y compris la manière dont les individus touchés ont été avisés et le moment où elles l'ont été, ainsi que les mesures supplémentaires prises par l'ARC pour améliorer les mesures de protection des renseignements personnels.

    Le 29 octobre 2024, à la suite de la réception d'une plainte, j'ai lancé une enquête officielle. Cette enquête permettra de déterminer si l'ARC a respecté ses obligations en vertu de la Loi sur la protection des renseignements personnels, et si elle a utilisé des mesures de protection adéquates.

    Les atteintes à la vie privée à l'ARC, révélées dans l'enquête précédente sur le bourrage de justificatifs d'identité, font ressortir le risque pour les renseignements personnels, et l'importance qu'il faut accorder au traitement et à l'atténuation de toutes les atteintes, notamment les cyberincidents.

    Mon bureau communique régulièrement avec les institutions fédérales en leur fournissant des conseils et en les aidant à évaluer les répercussions sur la vie privée des nouveaux programmes et technologies, en faisant le suivi de la réponse aux incidents d'atteinte à la vie privée. Chaque activité de mobilisation et de conformité joue un rôle important dans le soutien et l'avancement de la protection de la vie privée dans l'ensemble du gouvernement du Canada, ce qui est de plus en plus complexe et incontournable à l'ère numérique.

     Le Commissariat fournit des conseils et des orientations aux organisations pour les aider à composer avec les risques en cas d'atteinte, à atténuer ces risques ainsi qu'à prévenir, à contenir et à signaler les atteintes. Ils sensibilisent aussi les organisations à l'importance d'informer les personnes touchées.

    Dans l'ensemble, les atteintes à la sécurité des données sont l'une des principales menaces qui pèsent sur les renseignements personnels. Durant l'exercice 2023‑2024, qui s'est terminé le 31 mars 2024, le Commissariat a reçu plus de 350 rapports de cyberincidents dont la vaste majorité, soit plus de 90 %, provenait d'organisations du secteur privé.

    Cette année, j'ai lancé des enquêtes sur d'autres atteintes importantes à la vie privée. Il s'agit notamment de l'atteinte à la sécurité des données de la société Ticketmaster qui a touché plus d'un demi-million de Canadiens, ainsi que d'une enquête internationale menée en collaboration avec l'un de mes principaux homologues, le commissaire à l’information du Royaume-Uni, sur l'atteinte à la sécurité des données de 23andMe, qui concernait des banques de données génétiques.

    Nous savons que ce type d'incidents peuvent se produire même lorsque des organisations ont mis en place des mesures de protection. C'est pourquoi une intervention efficace en cas d'atteinte est également essentielle pour atténuer les répercussions sur les Canadiens et préserver la confiance dans leurs institutions.

    Compte tenu de l'importance de ces risques et des répercussions potentielles qu'ils peuvent avoir sur les personnes, les exigences en matière de déclaration des atteintes en temps opportun doivent devenir une obligation légale en vertu de la Loi sur la protection des renseignements personnels plutôt qu'une exigence de la politique du Secrétariat du Conseil du Trésor, comme c'est le cas actuellement.

    En 2023, le CPVP a réussi à obtenir des fonds supplémentaires temporaires dans le cadre du budget de 2023 pour faire face aux violations. Bien que notre demande portait sur un financement temporaire pour une période de deux ans, je crois qu'un financement permanent est nécessaire, car les cyberincidents constituent une préoccupation majeure tant pour les entreprises que pour les particuliers.

    Dans un monde numérique où les risques sont plus élevés que jamais, il est essentiel d'investir dans la protection de la vie privée. La protection de la vie privée doit être intégrée dans l'ensemble des programmes et des services gouvernementaux.

     Nous devons aussi poursuivre nos efforts pour moderniser les lois canadiennes en matière de protection des renseignements personnels, autant celle qui régit le secteur privé que la Loi sur la protection des renseignements personnels, qui a été adoptée avant l'arrivée d'Internet.

    Je salue par ailleurs le travail constant et précieux de ce comité à cet égard, notamment son rapport sur l'utilisation, par le gouvernement fédéral, d'outils technologiques permettant d'extraire des données sur des appareils mobiles et des ordinateurs, ainsi que son rapport, publié aujourd'hui même, sur l'encadrement des plateformes de médias sociaux afin d'assurer la protection de la vie privée et la sécurité en ligne.

    Nous devons aussi veiller à ce que le Commissariat dispose de ressources suffisantes, étant donné l'environnement de données de plus en plus complexe.

    Ces questions resteront une priorité pour nous, et j'ai hâte de lire le rapport du Comité sur l'étude en cours et bien d'autres.

    Je vous remercie de votre attention. Je serai heureux de répondre à vos questions.

     Merci, monsieur Dufresne.

    Nous allons commencer par M. Chambers.

    Avant cela, nous avons commencé la réunion il y a une demi-heure. S'il n'y a pas d'objection de la part du Comité, je vais remettre le chronomètre à zéro, comme nous le faisons normalement, au début de l'heure, afin d'accorder six minutes à M. Villemure et à M. Green. Cela devrait nous mener à environ 17 h 30. Je m'attends à ce que nous terminions le premier tour. Le Comité déterminera ce qu'il veut faire à partir de là.

    Monsieur Chambers, vous avez six minutes.

    Merci, monsieur le président.

    Monsieur le commissaire, madame la sous-commissaire, merci de comparaître devant le Comité. Je vous remercie de votre réponse sur deux ou trois questions au sujet desquelles j'ai personnellement communiqué avec votre bureau, y compris celle-ci.

    Nous avons eu un peu de confusion au sujet de l'échéancier lorsque nous avons reçu les fonctionnaires de l'ARC. Si je vous comprends bien, pouvez-vous confirmer à quel moment vous avez été mis au courant du nombre d'atteintes remontant à 2020? Était-ce bien le 9 mai?

    C'est à ce moment-là que nous avons reçu l'avis officiel de ces atteintes. La politique du Conseil du Trésor exige qu'un avis officiel soit donné à mon bureau dans les sept jours suivant la date à laquelle l'organisation en a été informée. Dans ce cas-ci, il est clair que cela ne s'est pas produit, car certains de ces incidents remontent à 2020.

    De toute évidence, il y a eu beaucoup de retard. Les fonctionnaires de l'ARC ont reconnu qu'ils étaient au courant de ces atteintes à la vie privée. En fait, de nombreux témoignages indiquent que la ministre a été informée dans plusieurs cas, mais que les atteintes à la vie privée en question n'ont pas été signalées en temps opportun. Vous ai-je bien compris? En octobre, les fonctionnaires de l'ARC ont demandé au Conseil du Trésor de ne pas signaler les atteintes dans un délai de sept jours. Ils veulent davantage de temps, et souhaitent pouvoir intervenir sur une base trimestrielle, n'est-ce pas?

    Oui, pour certains d'entre eux, c'est exact. Ils ont déterminé que c'était difficile pour eux sur le plan opérationnel. Ils ont demandé cette exception. Comme je l'ai indiqué, j'étais prêt à l'appuyer sous certaines conditions.

    Les trois mois et les sept jours ne changeront peut-être pas grand-chose, mais les sept jours et les trois ans dont nous parlons dans ce cas-ci sont très préoccupants. Encore une fois, si c'est pour des raisons opérationnelles précises et pour une durée précise, c'est une autre question. Nous avons mené une enquête sur la CléGC, dont nous avons fait rapport en février. À ce moment, nous avions déjà des préoccupations majeures quant au fait d'être avisés et d'obtenir des réponses à temps.

    C'est une préoccupation, et pas seulement pour l'ARC. C'est pourquoi cela devrait être une obligation légale.

    Il s'agit d'un très bon conseil.

    Pensez-vous qu'il y a un problème de reddition de comptes au sein du ministère quant à savoir qui est responsable des exigences en matière de rapports et de reddition de comptes au sein de l'ARC? J'essaie simplement de comprendre comment, d'une part, un ministère pourrait reconnaître qu'il savait que ce type d'incident se produisait en temps réel, mais, d'autre part, il pourrait ne pas en aviser adéquatement ou ne pas suivre les règles.

    Ce que nous entendons, c'est que les ministères s'efforcent d'aviser les individus concernés, et c'est une bonne chose. C'est important, et il faut contenir la brèche. Je ne connais pas les raisons pour lesquelles nous n'avons pas été avisés officiellement avant la date limite, mais ce que je sais, c'est que c'est une préoccupation. Si nous ne sommes pas avisés à temps, nous ne pouvons pas fournir des conseils et des directives à temps, ce qui augmente le risque pour la population canadienne.

    Je sais également que si quelque chose est exigé par la loi, il y a une plus grande probabilité qu'elle soit respectée que si elle est simplement exigée par une politique ou une directive.

    Dans le cadre de votre enquête, allez-vous examiner les activités qui ont donné lieu à l'atteinte? Nous avons entendu des rapports contradictoires sur la question de savoir s'il s'agissait d'une tierce partie ou si c'était du côté du ministère. Est-ce une piste que vous comptez explorer?

    Nous voulons comprendre ce qui s'est passé. Nous voulons comprendre si les mesures étaient suffisantes. Nous devons connaître le contexte. S'il y a des tierces parties qui ont été impliquées dans cette situation, nous allons nous pencher là-dessus. Si cela soulève des questions en vertu de la loi sur la protection des renseignements personnels du secteur privé ou du secteur public, nous y répondrons et verrons si nous devons modifier la portée de la plainte.

    Notre position est que si le gouvernement passe des marchés avec des tiers du secteur privé, il a l'obligation de s'assurer que ses partenaires tiers fournissent une protection adéquate.

    Quelles obligations le ministère a-t-il d'aviser la population des atteintes potentielles ou des risques pour ses propres... S'il s'agit d'une tierce partie en particulier ou d'un cas semblable? Dans ce cas-ci, le public n'a pas été avisé du tout. Je reconnais que certaines personnes ont été contactées, mais le grand public n'a pas été mis au courant non plus.

    Il y a en fait trois catégories.

    Vous avisez les personnes parce que vous devez les protéger et vous devez vous assurer qu'elles peuvent se protéger elles-mêmes. Vous devez aviser l'organisme de réglementation, c'est-à-dire mon bureau. Enfin, il faut aviser le Conseil du Trésor et d'autres.

    Cependant, la question d'aviser le public devient alors une question de confiance. Comment vous assurez-vous que le public ne l'apprend pas dans les médias tout en tenant compte du fait que les personnes peuvent aussi l'apprendre dans les médias? En fait, je pense qu'il en a été question dans un témoignage précédent.

    Il y a aussi un ombudsman des contribuables, et il y a une charte des contribuables, et l'un des principes est également que les contribuables soient informés rapidement s'il y a des stratagèmes de fraude et ainsi de suite, encore une fois, parce que c'est important pour la confiance et pour gérer le niveau de stress des individus concernés.

    Vous sentez-vous habilité? Votre bureau a-t-il les pouvoirs nécessaires pour formuler des recommandations sur les processus internes et la reddition de comptes?

    De plus, je reconnais cette exemption du Conseil du Trésor, et je vais l'appeler une exemption, mais si vous venez de traverser une période très difficile où vous n'avez pas fait de déclaration, j'ai un peu de mal à imaginer que la réponse à cette question soit de donner à l'entité plus de temps pour faire une déclaration. On pourrait penser que ce serait en fait l'inverse, et crois que ce serait plutôt logique.

    C'est exact, même si je pense qu'il y a quelque chose à dire sur le fait de reconnaître qu'il est difficile de répondre à une exigence, d'expliquer pourquoi et de demander une exception. Je pense que c'est mieux que d'enfreindre la loi, de ne rien faire et de ne rien dire. Je pense qu'il s'agit d'un élément très important.

    Pour répondre à votre question, oui, notre enquête se penchera là-dessus. Nous formulerons des recommandations, comme nous l'avons fait dans le cadre de l'enquête précédente. Nos recommandations précédentes comprenaient l'amélioration de la communication et de la reddition de comptes. Dans ce cas précédent, nous avons constaté que des ministères se relancent constamment la balle au lieu de prendre leurs responsabilités et de s'attaquer réellement au problème.

    Merci beaucoup.

    Je vous remercie.

    Je vais maintenant donner la parole à Mme Shanahan pour six minutes.

    Madame Shanahan, vous pouvez y aller, je vous prie.

    Merci beaucoup, monsieur le président.

    Je tiens à vous remercier, monsieur le commissaire à la protection de la vie privée, d'être ici, et je tiens à vous dire à quel point nous apprécions votre travail et à quel point votre travail devient important.

    Je pense que c'est quelque chose dont je me souviens lorsque j'ai rencontré pour la première fois le commissaire qui occupait votre poste il y a sept ou huit ans, dans le contexte d'un comité et de cette vague idée de protection de la vie privée, mais maintenant, nous comprenons très bien ce que cela signifie. Il s'agit des renseignements personnels d'un individu qui peuvent être utilisés par d'autres, des acteurs malveillants, pour frauder soit les personnes elles-mêmes, soit d'autres entités.

    C'est là que nous commençons à comprendre qu'il n'y a pas qu'un seul type d'atteinte à la vie privée, alors corrigez-moi si je me trompe: quels sont les différents types d'atteintes à la vie privée que nous pouvons voir? À quoi ressemblent-ils? Veuillez vous reporter à celui de l'ARC.

    Nous pouvons voir différentes situations. Il pourrait s'agir d'un employé qui espionne. Quelqu'un examine des renseignements qui ne lui appartiennent pas. Ils n'y ont pas droit. Il n'y a pas suffisamment de sécurité autour de cela. Nous avons également vu, dans le cadre de l'enquête, du bourrage d'identifiants. Quelqu'un découvre votre mot de passe, et vous utilisez ce même mot de passe pour de nombreux comptes et appareils.

    L'ont-ils appris de l'ARC, ou l'ont-ils appris de citoyens innocents, d'une façon ou d'une autre?

    Il pourrait y avoir un certain nombre de facteurs. On pourrait se retrouver dans une situation où ils l'apprennent de particuliers, de fournisseurs tiers ou d'autres sources. Ensuite, il est réutilisé.

    Cela ne vient pas de l'ARC.

    Nous examinons la nature de cet incident en ce moment. Est-ce l'ARC qui a en quelque sorte divulgué les mots de passe des gens à de mauvais acteurs? Est-ce bien ce que nous envisageons?

    Ce n'est pas ce qu'il semble être, à ce stade.

    Nous allons enquêter et tirer nos conclusions. Il s'agit d'une situation où il semble que des mots de passe ont été obtenus ailleurs, puis utilisés pour avoir accès à certains des appareils.

    J'ai des préoccupations au sujet du système Mon dossier. Je m'y fie. De nombreux membres de la famille le font. C'est le cas de bon nombre de mes électeurs.

    Avez-vous des raisons d'être préoccupés par le système Mon dossier de l'ARC, où les gens peuvent aller en ligne et voir leurs renseignements fiscaux?

    Dans le cadre de notre enquête subséquente, nous examinerons toutes les circonstances, et ferons les recommandations nécessaires.

    L'un des grands problèmes que nous avons eus dans notre enquête précédente était l'authentification des utilisateurs et le manque d'authentification multifactorielle. C'est parce que la sensibilité et le risque ont été évalués comme étant trop faibles. C'est l'une des tendances que nous observons. Ce n'est pas seulement dans ce cas-ci, mais aussi dans d'autres cas. On a l'impression que les préjudices causés aux personnes ne sont pas traités comme ils devraient l'être. Ils m'ont dit que nous gaspillons nos ressources.

    C'est un cas où nous n'étions pas d'accord. Nous avons dit que ces situations sont évaluées en fonction d'un risque de niveau 2. Nous l'évaluons en fonction d'un risque de niveau 3. En fait, si un fraudeur vous vole 1 000 dollars, vous pouvez tomber malade. On peut être stressé à ce sujet. On peut se retrouver dans des situations majeures; endettement, recours devant les tribunaux, et ainsi de suite. Nous avons constaté qu'il s'agit d'un risque de niveau 3. Si vous le traitez comme un risque de niveau 3, vous allez mettre en place des mesures de protection de niveau 3, dont notamment l'authentification multifactorielle.

    Il est fascinant de constater le niveau de complexité des nouvelles méthodes de détection des fraudes.

    Prenons par exemple le cas de l'authentification multifactorielle. L'usager n'a qu'à entrer son mot de passe, puis à saisir un code qu'il reçoit instantanément sur son ordinateur, sa tablette ou son téléphone intelligent. Gratuit, simple, rapide et efficace. Il s'agit donc d'un pas dans la bonne direction, et je m'en félicite.

    Quelqu'un pourrait mettre la main sur les renseignements ou le mot de passe d'un contribuable et créer une fausse déclaration de revenus. N'est-ce pas ce dont nous parlons? Il faut du temps à l'ARC pour déterminer s'il s'agit bel et bien d'une déclaration de revenus frauduleuse. Je rappelle que la date butoir pour soumettre une déclaration de revenus est le 30 avril. Il y a le temps de traitement. Ensuite, il y a la manière et le moment de communiquer avec les contribuables.

    Est-ce que ce sont les cas que vous avez observés?

    L'ARC demeure en contact avec les contribuables canadiens, et continue de leur fourniture des renseignements pertinents en temps réel.

    D'accord.

    Néanmoins, il y a toujours la question de savoir si c'est bien le contribuable qui a produit cette déclaration de revenus. Ils prennent une mesure de leur côté. Je pense que quiconque a eu affaire à l'ARC sait qu'elle est très minutieuse dans sa façon de procéder.

    Cela n'expliquerait-il pas le retard dans le signalement du nombre à votre bureau et la raison pour laquelle ils ont besoin de plus de temps?

    Je pense que le temps commence à s'écouler lorsqu'on se rend compte qu'il y a eu une atteinte à la vie privée et un risque réel de préjudice important.

    Les agents de l'ARC ont communiqué avec les contribuables, qui sont après tous les principaux intéressés

    Il est vrai que, lors de l'étape secondaire et d'autres étapes, les agents des l'ARC mettent la population en garde contre ce type de stratagèmes. Nous observons en effet que le même modus operandi se répète.

    Diriez-vous que votre bureau a été en contact avec des fonctionnaires de l'ARC pendant cette période? Essayaient-ils de déterminer s'il s'agissait d'un cas isolé ou s'il s'agissait bel et bien des dizaines de milliers de cas qui se sont avérés?

    Monsieur Dufresne, le temps est écoulé, mais je vais vous laisser répondre rapidement.

    Nous avons communiqué avec l'ARC dans le contexte de cette enquête et depuis, mais nous n'avons reçu l'avis officiel d'atteinte à la sécurité qu'en mai. Nos échanges ont été courtois et enrichissants, mais ce qui nous préoccupe, c'est le retard à fournir cette réponse officielle et ces détails conformément à la politique.

    Je vous remercie.

     Monsieur Villemure, je vous cède la parole pour six minutes.

    Merci beaucoup, monsieur le président.

    Je remercie également M. Dufresne et Mme Gervais d'être parmi nous.

    Mes collègues ont posé beaucoup de questions sur le fonctionnement. Ils se sont intéressés au « comment ». Pour ma part, j'aimerais parler du « pourquoi ».

    D'entrée de jeu, vous avez mentionné que c'était une question de confiance.

    Sur le plan philosophique, on dit que la confiance est la non-nécessité de faire la preuve. Or, dans les cas d'atteinte à la vie privée, on doit faire la preuve chaque fois. On peut donc conclure à un manque de confiance.

    Est-ce le premier incident survenu à l'Agence du revenu dont vous êtes au courant?

     Non. Comme je l'ai dit, les résultats d'une enquête menée sur des atteintes à la vie privée de 34 000 personnes par l'intermédiaire du système de la CléGC ont été publiés au mois de février 2024.

    Dans ce contexte, nous avons fait plusieurs recommandations et constaté plusieurs choses, notamment que nous n'avions pas suffisamment évalué le niveau de risque à l'Agence du revenu et au sein des organismes gouvernementaux.

    Cela posait alors un problème. Il faut comprendre l'importance et l'incidence de telles atteintes sur les gens. Ce n'est pas quelque chose de conceptuel. Des fraudes s'élevant à des milliers de dollars engendrent du stress et peuvent avoir des répercussions sur la santé. Elles ont aussi une incidence sur notre temps de travail, parce qu'il faut ensuite procéder à des recouvrements, entre autres.

    Ayant constaté que la sécurité n'avait pas été adéquate, nous avons recommandé qu'elle soit augmentée au moyen d'évaluations multifactorielles.

    Nous avons aussi trouvé des problèmes de communication entre certains décideurs et certains ministères. Nous avons ensuite formulé plusieurs recommandations, qui ont toutes été acceptées. Je dois donc dire que la collaboration avec l'Agence a été excellente pendant ce temps, et elle l'est toujours.

    Néanmoins, une situation a donné lieu à une atteinte et il faut apporter les correctifs nécessaires.

    Selon vous, les problèmes liés aux renseignements personnels sont-ils en hausse au sein des entités gouvernementales?

    On observe une hausse en général. On constate que le nombre de tentatives augmente et que les répercussions sont plus graves. Selon les statistiques de l'année dernière, même si le nombre d'incidents est à peu près le même, deux fois plus de Canadiens ont été touchés. L'an dernier, ce nombre atteignait 12 millions, alors que, cette année, il s'établissait à 25 millions.

    On observe donc que les gouvernements et les ministères sont des cibles de choix. Au Commissariat, plusieurs enquêtes sont en cours, dont l'une porte sur les atteintes à la vie privée au ministère des Affaires étrangères. Une autre aussi porte sur les services de relocalisation fournis à des fonctionnaires ayant subi une atteinte importante.

    Cette tendance s'observe aussi ailleurs dans le monde.

     Vous dites avoir formulé des recommandations qui ont toutes été acceptées, ce qui est une bonne chose.

    La collaboration entre entités gouvernementales est-elle bonne, en général?

    La collaboration entre nous et les entités est bonne. Nous tenons d'ailleurs régulièrement des réunions avec l'Agence du Revenu sur les atteintes à la vie privée et les problèmes connexes.

     Notre enquête globale sur les incidents survenus de 2020 à 2023 a révélé que c'est entre les ministères eux-mêmes que la collaboration laissait parfois à désirer. Les représentants d'un certain ministère pouvaient dire que la responsabilité ne leur incombait pas, que c'était Services partagés, par exemple, qui en était responsable, ou encore le Conseil du Trésor ou l'Agence du Revenu. Dans notre rapport, nous avons précisé que le travail en vase clos posait un problème.

     Pour les citoyens, que le ministère responsable du problème soit l'un ou l'autre n'a pas d'importance. Ils font affaire avec le gouvernement et ont besoin de solutions. Une de nos recommandations portait justement sur ce sujet.

    Cependant, nous constatons encore, comme je l'ai dit, que les avis officiels sur les atteintes nous parviennent encore malheureusement trop tard et que la période de sept jours prévue dans la politique du Conseil du Trésor n'est pas respectée.

     Je suis content de savoir que la collaboration y est mais, pour ce qui est du travail en vase clos, c'est malheureux. Nous en avons souvent parlé. En effet, le citoyen fait affaire avec le gouvernement.

    Le professeur André Lareau, qui a comparu devant ce comité, a parlé de l'ombudsman et de la Charte des droits du contribuable. Il a dit que, malheureusement, le fardeau de la preuve reposait généralement sur le citoyen. De plus, le droit de s'adresser à l'ombudsman est inutile, parce qu'il est vide. Ce sont de bons outils, mais ils ne semblent pas fonctionner.

     Auriez-vous un commentaire à formuler sur la question, qui permettrait de renforcer cette idée?

    Le citoyen peut en effet s'adresser à l'ombudsman des contribuables, M. François Boileau, lequel est d'ailleurs un excellent collègue. Toutefois, ce dernier n'a pas de pouvoir d'ordonnance. Je suis d'accord pour que l'ombudsman n'ait qu'un pouvoir de recommandation, mais un tel pouvoir n'est pas aussi efficace que celui d'émettre des ordonnances officielles. Le pouvoir de recommandation est persuasif et important. La recommandation est souvent suivie, mais elle ne l'est pas toujours. Si elle ne l'est pas, le recours devient plus compliqué, lorsqu'il y en a un.

    Cependant, l'ombudsman a produit un rapport sur la Charte des droits du contribuable et sur la communication avec les contribuables, ainsi qu'un rapport très important sur l'importance des communications, justement.

     Je voyais le parallèle lorsque vous avez affirmé qu'un blâme pouvait être donné au moyen d'un règlement. Or ce n'est pas légal. Il ne s'agit que d'une directive. La logique est la même, dans la mesure où on a un pouvoir de réglementation, mais pas de pouvoir de sanction.

    Tantôt, vous avez parlé des niveaux de risque. On lit souvent « atteintes graves », par exemple. Pourriez-vous nous expliquer ce qu'impliquent les divers niveaux?

    Parlez-vous des divers niveaux d'atteinte, par exemple quand je parlais des niveaux 2 et 3?

    Oui, c'est exact.

    Dans notre rapport, nous avons fait état de la méthodologie utilisée par le gouvernement, selon laquelle il s'agissait du niveau de risque et du niveau de vérification requis.

    Dans ce cas précis, les ministères avaient considéré qu'il s'agissait du niveau 2, ce qui exigeait certaines vérifications, mais pas la vérification multifactorielle. C'est ce qui avait permis cette atteinte. Nous avons dit, dans notre rapport, que l'atteinte de niveau 3 est en lien avec des situations qui causent des torts modérés, tant sur le plan financier que sur celui de la santé. Nous y avons indiqué que, à notre avis, la perte potentielle de milliers de dollars pour un individu pouvait certainement avoir un impact considérable, par exemple sur la santé; les gens vivent du stress et sont en détresse. Sur le plan financier, des gens pouvaient voir leur salaire saisi, et devaient entamer des démarches par la suite.

    Vous serait-il possible de nous fournir ce détail?

    Monsieur Villemure, votre temps de parole est écoulé.

    Monsieur Green, vous avez six minutes, je vous en prie.

    Merci.

    Monsieur le président, je tiens simplement à souligner que je suis sur un serveur parlementaire, et on me dit que mon Internet est lent, alors si j'ai un problème, ce n'est certainement pas parce que je n'utilise pas la technologie appropriée.

    Il y a des coupures de son. J'entends votre voix, mais la transmission vidéo laisse à désirer.

    D'accord. Est‑ce que le son coupe toujours?

    Le son fonctionne, mais la vidéo fige un peu.

    Voyons comment les choses vont se passer, monsieur Green, et nous déciderons par la suite. D'accord?

    Je ferai de mon mieux. Si le son est bon, je vais simplement continuer.

    Oui. Allez‑y.

    Monsieur Dufresne, je vais vous poser des questions assez directes.

    Beaucoup de questions ont été posées au sujet des répercussions sur les consommateurs. Ce qui me préoccupe, en fait, c'est que vous tardez à informer adéquatement le Parlement.

    Comment justifiez-vous votre décision de reporter l'inclusion des 31 468 atteintes substantielles à la vie privée à la prochaine période de rapport?

    Nous avons été informés de la moitié de ces 30 000 cas. Nous avons donc pris connaissance de 15 000 cas à la fin de notre enquête sur l'affaire CléGC, et nous avons présenté un rapport spécial au Parlement à ce sujet en février 2024. Ces 15 000 cas ont été rendus publics et ont été inclus dans ce rapport, lequel a ensuite été intégré dans notre rapport annuel au Parlement.

    Ce que nous n'avons pas inclus, c'est le fait que nous avons reçu un avis officiel à ce sujet de la part du ministère, et c'est parce que nous n'avons pas reçu l'avis officiel durant l'exercice financier. L'année de l'avis officiel était postérieur à la période dont nous faisons état dans notre rapport annuel, et c'est pourquoi ce chiffre ne figurait pas dans ces statistiques.

    Compte tenu de l'ampleur de ces atteintes, pourquoi n'a‑t‑on fait aucun effort pour fournir un rapport provisoire ou supplémentaire au Parlement?

    Nous avons inséré notre rapport spécial au Parlement dans notre rapport annuel. Les renseignements relatifs à cette enquête majeure sur l'ARC, y compris le fait qu'il y a eu 15 000 atteintes supplémentaires pour lesquelles nous avons reçu un avis tardif, faisaient partie de notre rapport annuel. Cependant, les renseignements mis à jour que nous avons ensuite reçus après la fin de cette période n'ont pas été inclus parce qu'ils ne faisaient pas partie de cet exercice financier.

    Pourquoi ne pas fournir un autre rapport adéquat? Ne convenez-vous pas que 15 000 atteintes substantielles à la vie privée sont, en fait, d'importance capitale pour l'obligation de rendre des comptes au Parlement?

    Le rapport annuel a été déposé au Parlement en juin. Le Parlement a ajourné ses travaux, puis en septembre, nous en apprenions davantage sur la situation. Bien sûr, nous avons reçu la plainte en octobre, et nous l'avons annoncée immédiatement.

    De mon point de vue, à titre de membre du Comité, je travaille avec vous depuis de nombreuses années. Je trouve inquiétant que nous, du moins les députés de l'opposition, ne recevions pas l'information en temps opportun.

    Vous avez mentionné, je crois, dans votre déclaration préliminaire que, compte tenu de l'ampleur des risques et des répercussions que peuvent avoir une atteinte sur les gens, le signalement en temps opportun des atteintes doit être une obligation légale prévue dans la Loi sur la protection des renseignements personnels, plutôt qu'une exigence de la politique du Secrétariat du Conseil du Trésor.

    Ne convenez-vous pas que le même devoir de franchise et la même exigence juridique qu'un mécanisme de signalement dans le contexte de notre comité contribueraient à faire en sorte que ces questions importantes soient communiquées correctement?

    Je suis tout à fait d'accord, et nous allons examiner comment nous pouvons nous améliorer à cet égard. Cette affaire a fait l'objet d'un rapport au Parlement en juin. Nous en avons appris davantage sur la situation par la suite, et environ un mois après la reprise des travaux de la Chambre, nous avons annoncé le lancement de notre enquête à ce sujet, mais nous allons certainement y réfléchir à l'avenir.

    Oui, je vous dirais que nous ne pouvons nous occuper que des renseignements dont nous disposons. Le parti au pouvoir a l'information, mais pas l'opposition. Nous comptons sur vous, à titre d'arbitre indépendant, pour assurer ce genre de surveillance, en partenariat avec notre comité, afin de nous aider à exercer cette surveillance.

    Quand pouvons-nous nous attendre, à l'avenir, à ce que vous soyez en mesure de nous fournir des recommandations ou des pistes de réflexion ou de nous faire part des leçons apprises sur cet écart observé dans les rapports, c'est‑à‑dire le laps de temps entre la prise de connaissance des atteintes, ce que vous avez appelé le cycle financier, l'absence d'un rapport provisoire et, bien sûr, le dépôt de votre rapport annuel?

    Je pense certainement que cela fera partie du rapport que nous publierons dans le cadre de notre enquête sur cette affaire, parce que nous prenons soin de préciser, comme nous l'avons fait dans le précédent rapport sur le système CléGC, le moment où nous avons été informés, les circonstances, le moment où la plainte a été déposée...

    Permettez-moi de vous poser une question plus directe à ce sujet, car nous sommes peut-être en avance sur vous dans ce dossier, étant donné que nous menons cette étude en ce moment même.

    Quelles sont les trois réflexions que vous pouvez offrir au Comité, en guise de recommandations pour notre étude actuelle, afin de nous donner l'assurance que le Comité recevra, en temps opportun, des rapports qui nous donneront des renseignements complets sur ces types d'atteintes substantielles à la vie privée?

    Voici un peu mes réflexions préliminaires: si nous examinons l'enquête sur le système CléGC en 2020, cette affaire a été rendue publique par le Conseil du Trésor. Nous avons donc lancé une enquête dès que le ministère a rendu publique cette situation. Je crois que c'est probablement la solution préférée à ce stade‑ci, mais nous allons certainement réfléchir à la façon optimale de coordonner le tout entre les ministères, mon bureau et votre comité.

    Comme je l'ai dit, nous publions des rapports annuels. Nous déposons, de temps à autre, des rapports spéciaux au Parlement. Nous examinerons tous ces outils et mécanismes, mais je dirais, en guise de réflexions préliminaires, que le ministère concerné devrait rendre publiques ces atteintes pour la gouverne des Canadiens.

    Seriez-vous d'accord pour dire que les retards nuisent à notre capacité d'exercer une surveillance parlementaire en temps opportun?

    Je pense que tout retard a une incidence sur la surveillance, quelle qu'elle soit. Il est donc certain que plus l'information est communiquée tôt, mieux c'est.

    Merci beaucoup.

    Merci, monsieur le président.

    Merci, monsieur Green.

    Voilà qui conclut notre premier tour de table. Nous allons passer à la deuxième série de questions de cinq minutes, et je donne la parole à M. Caputo.

    Allez‑y, monsieur Caputo. Vous avez cinq minutes.

    Merci beaucoup, monsieur le président.

    Je vous remercie tous les deux d'être ici aujourd'hui pendant deux heures pour répondre aux questions.

    Je suis relativement nouveau au Comité, alors je n'ai pas les connaissances de certains de mes collègues. Je vais vous poser quelques questions, mais pardonnez-moi si je m'en tiens à des sujets d'ordre général pour me familiariser avec le dossier.

    La ministre a comparu devant nous le 21 novembre. Vous avez vu son témoignage, n'est‑ce pas?

    Oui.

    Y a‑t‑il quelque chose sur lequel vous n'étiez pas d'accord dans le témoignage de la ministre?

    Comme je l'ai dit, j'estime que mon bureau devrait être avisé dans les sept jours suivant ces incidents, à moins qu'une exception ne soit accordée. C'est, à mon avis, un point essentiel. Je n'ai rien entendu à ce sujet. Je ne sais pas s'il s'agit d'un point de désaccord, mais c'est quelque chose qui, selon moi, devrait être une obligation légale.

    La ministre devrait prendre des mesures pour faire son travail et vous aviser lorsqu'il y a des atteintes assez graves.

    Eh bien, je pense que cela vaut pour tous les ministères. Je crois fermement que c'est ce qui s'impose. Il faut en faire une obligation légale. Nous pourrons ainsi donner des conseils plus rapidement et plus efficacement.

    La réalité, c'est qu'en cas d'atteinte à la vie privée, il ne devrait pas être nécessaire d'adopter une loi pour obliger un ministre à informer le commissaire à la protection de la vie privée que quelque chose de grave s'est produit. Nous pouvons certainement nous entendre là‑dessus.

    En tout cas, c'est ce que j'espère. Je voudrais bien que ce soit le cas, mais l'expérience montre le contraire. Dans la pratique, nous ne recevons pas ces avis officiels à l'intérieur du délai de sept jours.

    Ce que je trouve décevant, monsieur le commissaire, c'est l'impression que j'ai eue en écoutant le témoignage de la ministre: nous avons fait tout ce que nous pouvions. Il n'y a rien à voir ici. Ce problème relève de quelqu'un d'autre ou est attribuable à quelque chose d'autre.

    Souscrivez-vous à cette évaluation? Êtes-vous d'accord pour dire que c'est ainsi que la ministre a dépeint les choses?

    Je pense que le témoignage se passe d'explications. Ce que je dis, c'est que je comprends que les ministères subissent beaucoup de pressions, mais ces notifications sont importantes. Si la Loi sur la protection des renseignements personnels en faisait une obligation légale, assortie d'un délai, je pense que nous verrions une plus grande conformité dans ces notifications.

    Si j'ai bien compris, dans votre rapport de conclusions, vous avez formulé plusieurs recommandations que l'ARC a accepté de mettre en œuvre. L'ARC utilisait-elle des pratiques exemplaires à ce moment‑là pour prévenir ce genre d'atteintes à la vie privée?

    C'était l'une des questions de fond de l'enquête. L'ARC estimait que oui. En fin de compte, nous avons constaté que les pratiques n'étaient pas suffisantes. Nous en avons discuté dans notre rapport spécial, en mentionnant certains des conseils préliminaires et des préoccupations soulevées.

    Nous n'avons certainement pas observé de situations de mauvaise foi ou quoi que ce soit de ce genre, mais il y a un désaccord sur le niveau de risque, l'importance et les mesures à prendre en l'occurrence. Dans notre rapport, nous avons formulé des recommandations visant à rehausser ces processus de sécurité.

    Malheureusement, l'incompétence ne repose pas sur la mauvaise foi. Une personne peut être incompétente même si elle n'essaie pas délibérément de l'être.

    J'ai trouvé très intéressant ce que vous venez de dire, à savoir que l'ARC croyait faire un assez bon travail. Ai‑je raison de dire — et je paraphrase — que son travail laissait à désirer et que l'existence de ces 31 000 atteintes en est justement le résultat ou le corollaire? Est‑il juste de dire cela?

    Eh bien, il y aura un deuxième rapport sur cette autre situation, mais nous avons constaté, dans le premier rapport, qu'il y avait une sous-évaluation de la gravité de ces atteintes pour les gens, d'où le manque de protection. Nous avons fait des commentaires et des recommandations à ce sujet. Nous avons également constaté des lacunes en matière d'échange d'information et de reddition de comptes. Nous avons formulé un certain nombre de recommandations pour améliorer les processus.

    Encore une fois, d'après ce que je déduis ici, et ce n'est que mon interprétation sommaire, l'ARC et la ministre pensaient faire un bon travail. Or, ce n'était pas le cas. En fin de compte, il y a eu des atteintes à la vie privée. Vous leur avez maintenant dit quoi faire pour régler ce problème et éviter qu'une telle situation ne se reproduise.

    Merci, monsieur le président.

    Merci, monsieur Caputo.

    Monsieur Housefather, vous avez cinq minutes. Allez‑y.

    Merci, monsieur le président.

    J'imagine, monsieur Dufresne, que c'est votre travail de dire constamment aux organismes du gouvernement ce qu'ils ne font pas assez bien et de leur proposer des mesures correctives à prendre. Est‑ce exact?

    Oui.

    Chaque fois que vous signalez des lacunes, vous ne les insultez pas nécessairement en leur disant qu'ils font un travail lamentable et que c'est la faute de leur ministre, n'est‑ce pas?

    C'est exact.

    Je vous remercie. Je tenais simplement à corriger ce que M. Caputo avait dit.

    Permettez-moi de revenir à l'authentification multifactorielle, qui est, à mon avis, une question très importante. J'ai lu votre analyse de février. De toute évidence, l'authentification multifactorielle devrait être la mesure la plus évidente que l'ARC devrait prendre. L'ARC a‑t‑elle maintenant fait ce qui s'imposait — d'après ce que je retiens de votre rapport — pour intégrer l'authentification multifactorielle là où il le faut?

    Oui. Je pense qu'il lui reste encore un peu de temps pour mettre en œuvre certaines des recommandations que nous avons formulées. Mme Gervais pourra me corriger, mais l'authentification multifactorielle a été mise en place. Cette question est maintenant réglée.

    C'est très bien.

    D'après l'évaluation que vous avez faite en utilisant le niveau 3 plutôt que le niveau 2, savez-vous s'il y a actuellement d'autres ministères qui sous-estiment la gravité des problèmes pour les Canadiens lorsque des renseignements personnels sont égarés?

    Avez-vous envoyé une lettre à tout le monde pour dire qu'il faut utiliser l'authentification multifactorielle, en fonction d'une évaluation révisée?

    Lorsque nous avons déposé notre rapport spécial sur l'affaire CléGC en février 2024, nous nous sommes penchés sur l'ARC, EDSC et d'autres. Ce rapport spécial vise, en partie, à envoyer un message à tous les ministères et à l'ensemble du gouvernement pour leur dire que ce sont là les leçons qu'ils devraient tous retenir.

    Tout ministère qui applique ce cadre devrait l'examiner en coordination avec le Conseil du Trésor et apporter les ajustements nécessaires. Je m'attends à ce que tous les ministères prennent note de cette décision et la mettent en œuvre.

    Savez-vous si d'autres ministères ont communiqué de façon proactive avec vous au sujet de ce rapport et ont dit qu'ils allaient maintenant procéder à l'authentification multifactorielle?

    Nous sommes en contact avec EDSC et l'ARC. Je ne sais pas si d'autres ministères nous ont avisés qu'ils allaient prendre cette mesure. Encore une fois, je m'attends à ce qu'ils le fassent, parce que nous avons rendu publique cette conclusion, en énonçant nos attentes à l'égard du gouvernement.

    Madame Gervais, voulez-vous ajouter quelque chose?

    J'allais ajouter très rapidement que, dans le cadre de l'enquête sur l'affaire CléGC, 23 autres organismes qui utilisaient le système CléGC ont également été interrogés. Ils auraient donc été très bien informés. Ces 23 organismes sont énumérés dans notre rapport.

    Je vous remercie.

     A-t-on envisagé de faire parvenir une lettre à tous ces ministères pour leur poser la question, faire un suivi, parler du rapport de février, leur demander s'ils ont réalisé l'importance de la situation et entamé le processus permettant de s'assurer que l'information est protégée?

     Oui, nous pourrions certainement considérer cela. Lors de nos discussions avec eux, des améliorations des processus et des communications relatives aux processus ont été mentionnées.

     Nous allons donc faire un suivi pour nous assurer que c'est bel et bien fait et que, de façon conforme, les gens sont avisés.

    Excellent.

    En ce qui concerne l'autre point que je voulais soulever... À la lecture du rapport, il me semble que le problème ne réside pas forcément dans les systèmes informatiques eux-mêmes, bien qu'ils puissent être compromis en l'absence de mesures comme l'authentification multifactorielle. Si de tels incidents surviennent, c'est plutôt parce que des gens volent les renseignements personnels d'autrui sur le Web clandestin et créent de nouveaux comptes pour eux. Les fraudeurs ont accès aux comptes existants des gens en utilisant l'information que ces derniers ont diffusée. C'est différent, par exemple, des autres problèmes liés aux chevaux de Troie et à d'autres failles du système lui-même.

    J'ai lu que les États-Unis étaient aux prises avec un tel problème il y a environ neuf ans. Depuis, les entreprises privées qui travaillent avec le fisc lui communiquent de l'information afin de collaborer à la protection des renseignements de tout le monde. Le Canada ne semble pas avoir emboîté le pas.

    Est‑ce une solution que vous avez recommandée à l'ARC, et devrions-nous modifier nos lois pour permettre à ces entreprises et à l'ARC d'échanger des renseignements afin de créer un meilleur système qui est plus sécurisé dans l'ensemble?

    J'ai besoin d'une réponse assez brève, si vous n'y voyez pas d'inconvénient, monsieur Dufresne.

    Je pense que nous avons formulé nos recommandations pour la situation faisant l'objet de notre enquête, et nous ferons d'autres recommandations, le cas échéant, dans le cadre de la prochaine enquête.

    Merci à vous deux.

    Monsieur Villemure, vous avez deux minutes et demie.

    Selon vous, le télétravail a-t-il contribué à la situation entourant l'Agence du revenu et un manque de supervision directe a-t-il pu être en cause?

    Nous n'avons pas fait ce constat jusqu'à maintenant dans le cadre de notre enquête. Lors de la future enquête, nous verrons si cela ressort. Nos constatations ont porté sur l'évaluation du risque et sur le temps pris pour détecter le problème ou contenir l'atteinte. Nous avons trouvé de l'information, des communications, et nous avons observé une approche qui était possiblement en vase clos.

    Pour ce qui est de savoir si le télétravail a joué un rôle dans cette situation, nous n'avons pas abordé celle-ci dans cette optique. Cela dit, si le télétravail contribue à créer une situation en vase clos, cela nous préoccupe. En effet, on nous a fait part de l'importance que les parties prenantes communiquent entre elles, de la reddition de comptes et d'une approche d'équipe. Il est moins important de déterminer quels ministères sont en cause que d'obtenir de bons résultats pour les Canadiens.

     C'est peut-être la conséquence du télétravail, sans que ce soit le télétravail lui-même qui soit le problème.

    L'Agence du revenu du Canada estime que ses systèmes n'ont pas été compromis, que les fraudeurs ont mis la main sur des renseignements sur le Web invisible. C'est ce qu'elle a affirmé.

    Est-ce crédible?

     Je ne me prononcerai pas là-dessus.

    L'enquête que nous menons permettra de vérifier ces choses, et nous rédigerons ensuite un rapport.

     L'Agence du revenu du Canada a dit qu'elle aurait dû mettre en place un processus de signalement.

    N'est-il pas un peu tard pour faire ce genre de constat?

    Dans le monde dans lequel on vit, aujourd'hui, les renseignements personnels sont compromis. Évidemment, le droit à la vie privée est un droit fondamental. En entendant cela de la part de l'Agence, je me dis que cela aurait dû être fait avant.

    Comme nous l'avons fait dans notre rapport précédent, lorsque nous enquêtons sur une situation, nous vérifions ce qui s'est passé, et nous faisons des recommandations.

    Dans notre rapport de février, nous n'avons pas hésité à faire plusieurs recommandations sur ce que nous voyions comme étant les lacunes. Nous allons faire la même chose dans ce cas-ci, le cas échéant.

     D'accord.

    Dans votre mot d'ouverture, vous mentionniez l'utilisation du télégramme et des médias sociaux, en particulier.

    Comme je ne connais pas ce versant de la chose, pouvez-vous m'expliquer le rôle que joue le télégramme?

    Je ne crois pas avoir mentionné le mot « télégramme ».

    Bon, j'ai dû le lire ailleurs.

    Cela dit, les médias sociaux jouent-ils un rôle dans ce genre de situation? Cela a-t-il des répercussions, des conséquences?

     Ce qui nous intéresse, c'est quand les ministères utilisent des médias sociaux et font appel à des fournisseurs et que de l'information est publiée sur les médias sociaux.

    C'est le genre de situation qui a déjà fait l'objet d'une enquête. Ce n'était pas en lien avec l'Agence du revenu du Canada, mais avec Home Depot. L'information était diffusée sur Facebook, et les gens obtenaient un reçu électronique au lieu d'un reçu imprimé. Cette optique était présente, dans ce cas.

     Je me rends compte que j'ai fait erreur lorsque j'ai parlé de télégramme.

    Merci, monsieur Dufresne.

    Merci beaucoup, monsieur Villemure.

    Monsieur Green, vous avez deux minutes et demie.

    Merci beaucoup.

    Monsieur Dufresne, vous avez mentionné qu'il incombe au Secrétariat du Conseil du Trésor de donner avis des cas d'atteintes substantielles. Je suis sur le site Web du Secrétariat. Je ne vois aucune annonce importante concernant l'atteinte à la sécurité des données à l'ARC. Pouvez-vous nous dire où cette information aurait été rendue publique?

    J'ai eu du mal à vous entendre, monsieur Green, mais je pense, si je vous ai bien compris, que votre question porte sur l'annonce faite par le Conseil du Trésor en 2020 au sujet de l'atteinte à la sécurité du système CléGC. C'était une déclaration du...

    Je suis désolé. Je crois que vous avez dit que, dans votre rapport, vous aviez signalé les 15 000 atteintes substantielles supplémentaires. Cette information aurait été transmise au Conseil du Trésor. On peut donc supposer que le Conseil du Trésor en a informé le public. Est‑ce exact?

    Dans notre rapport spécial au Parlement, nous avons mentionné les 15 000 cas dont nous avions été informés à la fin de cette enquête. Ce rapport spécial a été déposé au Parlement; c'est donc du domaine public.

    Vous arrive‑t‑il de donner des conférences de presse? Comment communiquez-vous avec le public lorsque de gros incidents comme celui‑ci se produisent? Votre rôle consiste‑t‑il simplement à déposer un rapport, que nous devons ensuite rendre public? Quel est votre mandat pour informer la population?

    Eh bien, de temps en temps, nous tenons des conférences de presse. Dans ce cas‑ci, nous ne l'avons pas fait. Il n'y a pas de pratique établie quant à...

    Pouvez-vous nous donner un exemple d'atteinte à la vie privée ayant fait l'objet d'une conférence de presse?

    Nous avons tenu des conférences de presse pour présenter notre enquête sur Home Depot en ce qui concerne la communication de renseignements figurant sur les reçus électroniques. Nous avons également tenu une conférence de presse pour notre rapport spécial sur notre enquête concernant Aylo, le propriétaire du site pornographique MindGeek.

    Pourquoi l'avez-vous fait pour ces affaires‑là, et pas pour l'ARC?

    Nous avons produit ces deux rapports spéciaux en février 2024. Nous en avons fait rapport parallèlement à une autre enquête, que nous aurions normalement présentée dans un rapport annuel. Il s'agissait d'une nouvelle pratique en vertu de la Loi sur la protection des renseignements personnels...

    Comment avez-vous signalé cet incident?

    Les dispositions législatives relatives au secteur public prévoient davantage de conférences de presse.

    Comment l'avez-vous signalé?

    Pardon?

    Comment l'avez-vous signalé en février lors d'une conférence de presse?

    Nous avons signalé les cas du secteur privé au moyen de conférences de presse parce que les dispositions législatives relatives au secteur public me donnent le pouvoir de rendre publics les détails d'une affaire si j'estime qu'il y a un intérêt public à le faire. Dans le secteur privé...

    Est‑ce aussi le cas pour le secteur public?

    Excusez-moi, monsieur?

    Nous avons du mal à vous entendre, monsieur Green. Parlez un peu plus fort si vous le pouvez, s'il vous plaît, rapidement.

    Nous avons dépassé le temps imparti, mais je vous donne une chance.

    J'aimerais juste savoir s'il y a la même consigne pour les organismes de la Couronne ou les ministères du secteur public.

    Pour le secteur public, c'est plus restreint. Les dispositions législatives relatives au secteur public disent que je dois garder la confidentialité, sauf si je présente un rapport spécial au Parlement ou un rapport annuel au Parlement. La loi me donne plus de latitude lorsqu'il s'agit du secteur privé. C'est pour cette raison que nous avons tenu des conférences de presse relativement aux dispositions législatives qui touchent le secteur privé. Pour le secteur public, nous présentons des rapports au Parlement.

    D'accord.

    J'ai accordé beaucoup plus de temps pour cette question, parce que je pensais qu'il était important que M. Dufresne y réponde.

    Monsieur Chambers, je vous donne la parole pour cinq minutes.

    Merci, monsieur le président.

    Monsieur le commissaire, je voulais simplement revenir sur une recommandation de mon collègue, M. Housefather, que j'ai trouvée fort sensée. Il s'agissait de faire des comparaisons avec ce qui se passe aux États-Unis, en particulier avec le service fiscal, l'IRS, et l'étroite coordination que ce dernier a avec l'industrie pour repérer les trous dans la digue, en parler et tenter de les colmater, si vous voulez, et pour mettre fin à ce que j'appellerais ces « prises de contrôle de comptes » ou autre... les atteintes à la vie privée en général. Pareille coordination ne semble pas exister ici.

    Pensez-vous qu'il serait de votre ressort de faire des recommandations au gouvernement pour qu'il explore les possibilités de travailler avec des tiers pour résoudre ces problèmes?

    Je pense que oui, et nous avons fait des recommandations par le passé en ce qui concerne l'utilisation par le secteur public de prestataires de services du secteur privé ainsi que sur certains paramètres connexes. Ce à quoi vous faites référence, c'est la coordination, la participation et le partenariat avec le secteur privé et peut-être avec d'autres organismes. Je pense qu'il est tout à fait de mon ressort de formuler des recommandations sur les meilleures pratiques qu'il y aurait lieu d'adopter.

    Pour m'aider à comprendre, si l'atteinte de la vie privée qui s'est produite dans ces 31 000 cas était le résultat des politiques d'une entreprise individuelle et que cette dernière savait que cela s'est produit, elle aurait l'obligation de vous signaler cette atteinte, n'est‑ce pas?

    Les organisations du secteur privé ont effectivement l'obligation de nous signaler les atteintes à la vie privée.

    C'est exact. À ce propos, est‑ce qu'une organisation du secteur privé vous a rapporté cette atteinte particulière?

    Je vais m'enquérir de... À propos d'une organisation du secteur privé...

    À propos de la brèche à l'ARC...

    Non, personne ne l'a fait.

    D'accord.

    L'ARC dit qu'il s'agit d'une tierce partie et l'entreprise en question dit qu'elle n'est pas au courant. Or, si l'entreprise en question a l'obligation de signaler ces atteintes à la vie privée, il serait logique de penser que c'est une autre tierce partie malveillante qui a eu accès à ces renseignements. Est‑ce exact?

    Je ne veux pas me perdre en conjectures, parce que nous allons enquêter sur tout cela. Ce sera l'occasion pour nous d'aller au fond des choses.

    Cela me semble raisonnable. Nous attendons vos recommandations avec impatience.

    Étant donné l'importance que les Canadiens accordent à cette question, pensez-vous que le Comité devrait faire des recommandations ou que l'ARC devrait envisager d'apporter des modifications à sa structure de rémunération et de rémunération au rendement en ce qui concerne la protection des renseignements personnels?

    Je pense que tous les outils qui peuvent améliorer la protection des renseignements personnels sont bons. Les outils de gestion du rendement sont de bons outils, parce qu'ils incitent les cadres à rester vigilants. Je serais donc favorable à une telle démarche.

    D'accord, merci.

    Dans le cadre général de la protection des renseignements personnels, au sujet de laquelle j'ai déjà écrit à votre bureau, ma question est peut-être légèrement différente, mais j'estime qu'elle porte sur le même sujet. Comme je n'ai pas eu l'occasion de vous en parler, je vais vous la poser. Pensez-vous qu'il soit dans l'intérêt public que les membres du Parlement, en tant que législateurs, et le public comprennent parfaitement combien de particuliers ont reçu des détails privés, personnels et confidentiels au sujet des personnes dont les comptes bancaires ont été gelés lors de l'invocation de la Loi sur les mesures d'urgence?

    Est‑ce que vous demandez s'il est dans l'intérêt public de...

    Pour savoir jusqu'où ces renseignements ont pu aller...

    Je pense qu'il y a des situations où le moment ne s'y prête pas, parce que vous voulez que l'organisation protège les renseignements, donc il y a des situations où vous allez attendre un peu avant de rendre quelque chose public.

     En fin de compte, je pense qu'il s'agit d'une leçon apprise...

    C'est bien. Je veux en venir à cela parce que le gouvernement prétend qu'il a envoyé ces détails très privés — y compris les condamnations antérieures et les numéros de plaque d'immatriculation — à 50 organismes. Certains de ces organismes, en particulier la Commission des valeurs mobilières de l'Ontario et l'Association canadienne des courtiers de fonds mutuels, ont ensuite envoyé ces renseignements à des milliers de personnes, mais nous ne savons même pas jusqu'où ces renseignements ont pu aller.

    J'essaie simplement de comprendre. Pour moi, il serait logique que nous connaissions les processus qui ont conduit à cela, et que nous sachions jusqu'où et à quelle échelle... Je voulais simplement savoir si vous croyez que le public a le droit de savoir et si le Parlement a le droit de savoir.

    Il est important de savoir jusqu'où est allée l'atteinte et quelle a été l'ampleur de la diffusion des renseignements. Cela a‑t‑il été fait de manière appropriée? Y avait‑il des raisons valables de le faire, et y avait‑il des protections contractuelles ou autres qui s'appliquaient? C'est ce que nous allons examiner dans le cadre de notre enquête.

    Merci beaucoup de votre témoignage.

    Merci, monsieur Chambers et monsieur Dufresne.

    Je vais maintenant donner la parole à Mme Khalid, pour cinq minutes.

    Merci beaucoup, monsieur le président, et merci au commissaire et à la sous-commissaire d'être là aujourd'hui. Nous vous en sommes très reconnaissants.

    Je voudrais simplement apporter une précision. H&R Block a précédemment déclaré dans un communiqué qu'il n'y avait aucune preuve qu'elle était responsable de l'atteinte. Le cabinet fiscal a déclaré qu'une enquête interne complète avait conclu qu'aucun de ses systèmes de données, de ses systèmes informatiques ou de ses systèmes de sécurité n'avait été compromis. H&R Block a déclaré qu'à sa connaissance, aucun de ses clients n'avait été touché par cette atteinte.

    Avez-vous des informations qui le confirmeraient?

    Je ne peux pas en parler, car nous avons lancé une enquête à ce sujet. C'est ce que nous allons examiner.

    Vous allez faire toute la lumière sur l'origine exacte de l'atteinte. C'est bien cela?

    Oui, c'est ce que nous allons faire.

    À l'ère du numérique, la nature des actes répréhensibles est différente. À bien des égards, plus nous sommes publics, plus nous essayons de trouver un équilibre entre la sensibilisation du public et la lutte contre les crimes au moment où ils se produisent. Les changements sont si rapides que la technologie évolue.

    Où se situe, selon vous, l'équilibre entre la protection et la sensibilisation du public?

    Je pense que c'est un équilibre. Les organismes doivent travailler ensemble. D'où l'importance d'avoir une notification précoce et de réunir tous les acteurs clés autour de la table, y compris mon bureau et le Centre canadien pour la cybersécurité. Il est important de tenir compte de tous ces différents points de vue et de porter les leçons apprises à l'attention des parlementaires et des Canadiens.

    Il existe de nombreux conseils sur la façon de changer ses mots de passe et sur l'importance de se soucier de ce genre de choses. En fin de compte, nous voulons que les organisations disposent de mécanismes de protection des renseignements personnels très rigoureux afin de réduire la charge qui pèse sur les particuliers.

    Quelle devrait être, selon vous, la nature de cette relation? Qui est responsable en dernier ressort?

    En fin de compte, ce sont les ministères, les gouvernements et les organisations du secteur privé qui contrôlent l'information qui sont responsables. Ils ont des obligations légales aux termes de la Loi sur la protection des renseignements personnels. Ils ont des obligations légales aux termes de la loi qui porte sur la protection des renseignements personnels dans le secteur privé. Dans le secteur privé, ces obligations comprennent le fait d'avertir les organismes de réglementation, la recherche de points de vue, de conseils et de meilleures pratiques.

    Nous constatons que le secteur public et le secteur privé sont conscients de ce problème. Les gens voient le coût de ces incidents et les torts qu'ils font. Nous devons faire plus pour mieux réussir.

    Je vous remercie.

    Récemment, le gouvernement a organisé un sommet sur le vol de voitures, un sommet lors duquel on a abordé un grand nombre de ces questions. Il a par exemple été question du fait que le recours de plus en plus fréquent aux technologies numériques dans les véhicules facilitait la tâche aux voleurs. Le fait de réunir l'ensemble de l'industrie, les différents ordres de gouvernement et la police a permis d'accomplir des progrès vraiment importants.

     Selon vous, qui devrait être présent à la table si nous devions avoir une discussion de ce type sur la protection des renseignements personnels, en particulier en ce qui concerne l'atteinte dont nous parlons aujourd'hui?

    Assurez-vous d'avoir des experts, comme le Centre canadien pour la cybersécurité. Assurez-vous d'avoir l'organisme de réglementation — dans mon cas, mon bureau. Veillez à ce que nous soyons consultés. Veillez à ce que nous soyons mis à contribution dès le début. C'est pour cette raison que j'ai recommandé que des évaluations des facteurs relatifs à la vie privée soient réalisées et qu'elles deviennent une obligation légale. Ces évaluations doivent se faire publiquement, car elles renforceront la confiance.

    Il y a un rôle à jouer au‑delà de nos secteurs. Je travaille en étroite collaboration avec le Bureau de la concurrence, le CRTC et la Commission du droit d'auteur. Partout où il y a des points communs, la collaboration en partenariat sera toujours bénéfique.

    Enfin, pouvez-vous nous aider à comprendre comment diffèrent les relations que les ministères, les organismes et les agences ont avec vous?

    Leurs obligations sont similaires en ce sens qu'ils ont tous l'obligation de protéger les renseignements personnels qu'ils détiennent et que les Canadiens leur confient. Ils doivent s'assurer d'avoir des mesures de protection adéquates. Ils doivent veiller à collaborer avec mon bureau et avec le Conseil du Trésor afin de présenter des rapports en temps opportun et de donner suite aux recommandations.

     Il s'agit d'une obligation importante, car il en va de la confiance des Canadiens. Ces atteintes à la vie privée ont des conséquences considérables pour les Canadiens.

    Merci beaucoup, monsieur le commissaire.

     Ce sont là toutes les questions que j'avais à poser.

    Merci, madame Khalid et monsieur Dufresne.

    Nous allons faire le point.

    Je suis heureux que vous ayez soulevé la question de H&R Block, car elle n'avait pas encore été abordée. Je suis également heureux d'entendre, monsieur Dufresne, qu'ils font partie de l'enquête, parce qu'ils ont été impliqués dans cette affaire. En fait, la motion adoptée par le Comité visait à faire venir H&R Block ici pour répondre aux questions. Comme le savent les membres du Comité, nous avons reçu une correspondance de leur part nous informant qu'ils avaient mené leur propre enquête interne et qu'ils avaient conclu qu'ils n'étaient pas responsables du problème. J'attends avec impatience votre rapport sur cette question pour voir si H&R Block a été impliqué et si les renseignements personnels des Canadiens n'ont pas été compromis aussi à cause de ses mécanismes.

    Le présent tour de questions consiste en des séries de six minutes. Cela nous amènera à 17 h 30 environ. Je vais laisser au Comité le soin de décider s'il veut prolonger la séance après cette heure.

    Monsieur Barrett, nous vous écoutons. Vous avez six minutes.

    En 2020, vous avez fait plusieurs recommandations au gouvernement. Croyez-vous que le gouvernement les suit?

    Oui, je le crois. Certaines d'entre elles ont une période de mise en œuvre de 12 mois. J'ai l'impression que le gouvernement est en bonne voie pour les respecter.

    La mise en œuvre de l'une de ces recommandations aurait-elle permis d'éviter l'atteinte qui s'est produite?

    L'enquête en cours va se pencher sur cette question, alors je ne peux pas me prononcer là‑dessus.

    Pensez-vous que les atteintes à la vie privée devraient être immédiatement portées à l'attention des Canadiens?

    Il y a des situations où nous devons garder certaines choses confidentielles parce que nous souhaitons nous y attaquer. Il faut éviter les débordements et veiller à ce que les initiateurs de la menace n'aient pas l'information. Il faut faire la part des choses.

    Il est bien sûr important que mon bureau soit informé promptement et que la discussion sur le bien-fondé d'une communication publique ait lieu dès que possible.

    Un article de presse à ce sujet dit ceci:

    Le scénario que vous avez décrit, monsieur, consistait à aider à contenir la menace, à prendre de possibles mesures et à informer votre bureau sur‑le‑champ, avant même d'informer les Canadiens. Cela ressemble à un gouvernement qui ne protège pas les Canadiens, mais qui se protège lui-même des critiques des Canadiens qui ont potentiellement été victimes de sa négligence — en fait, qui ont probablement été victimes de sa négligence.

    Pensez-vous qu'il est acceptable que la ministre ait caché cette information aux Canadiens?

    Je pense que mon bureau aurait dû être prévenu plus tôt qu'il ne l'a été. Je pense qu'il est bénéfique pour les Canadiens d'avoir l'information le plus tôt possible. Dans certaines circonstances, il peut être nécessaire de maintenir la confidentialité plus longtemps. Je vous renvoie à la situation de 2020, lorsque le Conseil du Trésor a fait une annonce publique à ce sujet afin que les Canadiens soient au courant de ce qui s'était passé.

    C'est exact.

     Dans ce cas‑ci, ce n'est pas ce qui est arrivé. Ils ont littéralement préparé un plan pour limiter les dégâts et n'ont pas informé les Canadiens dont les renseignements personnels étaient utilisés par des fraudeurs et des criminels pour réaliser illégalement des gains financiers.

     N'y a‑t‑il pas une obligation éthique et morale pour un ministre, agissant au nom de la Couronne, d'informer les Canadiens?

    Aux termes des meilleures pratiques, je voudrais que des notifications soient envoyées à mon bureau, et je voudrais que des notifications soient envoyées...

    Cela ne s'est pas produit. Votre bureau n'a pas été prévenu.

    Nous avons été prévenus, mais tardivement. Nous avons été prévenus...

    Quantifiez cela.

    Nous étions censés être informés sept jours après que le ministère ait eu connaissance de l'incident. Nous avons été prévenus en mai 2024.

    Combien de jours plus tard?

    Certaines de ces brèches remontent à 2020. Nous parlons de beaucoup, beaucoup de jours.

    Poursuivez votre réponse.

    Je pense que l'information publique est importante pour que des leçons puissent être tirées. Le Conseil du Trésor a fait une annonce publique en 2020 sur l'affaire CléGC. Nous avons mené une enquête. Nous avons publié nos recommandations. Ce sont des déclarations et des conclusions publiques qui ont alimenté le débat public et qui ont permis de tirer des conclusions.

     Encore une fois, sous réserve de certaines dispositions en matière de confidentialité — qui peuvent être légitimes pendant un certain temps —, ces choses‑là devraient être rendues publiques.

    Les Canadiens qui ont été escroqués perdraient à juste titre confiance dans l'institution gouvernementale en général.

    De plus, dans ce cas, l'Agence du revenu du Canada dispose de pouvoirs extraordinaires et d'un accès extraordinaire, et peut être le vecteur par lequel des individus se retrouvent en prison ou condamnés à des amendes, voient leurs salaires saisis et se voient imposer de lourdes pénalités. Cette organisation — cette ministre — a préféré mentir par omission aux Canadiens. Les Canadiens étaient censés croire que tout allait bien, parce qu'on ne leur avait pas dit le contraire.

     Le fait de cacher cette information aux Canadiens cause‑t‑il un préjudice irréparable à l'institution gouvernementale?

    Ce que nous avons souligné dans notre rapport précédent, c'est que ces atteintes ont des répercussions sur les Canadiens. Elles peuvent causer du stress. Vous avez parlé de la saisie-arrêt. Il peut y avoir des situations dans lesquelles les gens doivent recourir à des mesures très pénibles.

    Il faut faire le maximum pour les Canadiens dans ces circonstances, en les informant, en les avertissant et en les protégeant, et en tirant des leçons de tout cela.

    Pour le temps qu'il me reste, monsieur le président, je voudrais donner l'avis de motion suivant:

    Je vous remercie, monsieur Barrett. L'avis de motion a été donné. Votre temps de parole est épuisé.

    Monsieur Fisher, vous avez six minutes. Allez‑y, monsieur.

    Merci, monsieur le président.

    Je remercie les témoins de leur présence. J'ai bien aimé leurs réponses très ciblées. Étant donné que tout le monde n'a pas une compréhension approfondie de la situation, cela nous a beaucoup aidés.

    Certaines des choses que j'ai griffonnées ici pourront sembler ne pas être dans un ordre précis. Ce sont des choses qui ont été dites au cours de vos interventions d'aujourd'hui.

    Qu'est‑ce que le « bourrage d'identifiants »?

    Il y a bourrage d'identifiants lorsque quelqu'un se sert de mots de passe obtenus d'autres sources. Les acteurs malveillants les utilisent pour accéder à des sites Web et à des portails. C'est une pratique qui sert essentiellement à accéder à des renseignements.

    De toute évidence, nous savons que les atteintes à la protection des données sont de plus en plus fréquentes. Je pense que vous parliez du fait que votre bureau doit s'adapter en permanence. Vous avez parlé d'un financement ponctuel et de la nécessité de pérenniser cette adaptation.

    Pouvez-vous m'expliquer comment votre bureau s'adapte continuellement à l'augmentation des atteintes à la protection des données?

    Nous avons présenté ces demandes de financement au Parlement, et nous avons obtenu un financement temporaire. Nous continuerons d'exercer des pressions pour que ce financement devienne permanent, car ces atteintes ne diminuent pas. Nous examinons actuellement les processus en place au sein du CPVP. L'une de mes trois priorités stratégiques est de protéger et de promouvoir la vie privée en ayant un effet maximal. Nous examinons donc nos structures, et nous nous demandons si nous consacrons suffisamment de ressources au travail du commissariat en matière de conformité, y compris à la protection contre les atteintes à la vie privée. Nous demandons davantage de ressources permanentes.

    Nous examinons également notre structure et notre fonctionnement à l'interne, et nous examinons nos connaissances technologiques. Nous disposons d'un laboratoire technologique, et nous y développons continuellement nos compétences. Nous travaillons avec des partenaires internationaux et nationaux, c'est-à-dire les commissaires à la protection de la vie privée des provinces et des territoires, et de nos partenaires internationaux. J'ai indiqué que j'avais lancé une enquête sur 23andMe, en collaboration avec mon collègue, le commissaire britannique. Il s'agit d'une enquête sur une autre grave atteinte à la vie privée.

    Nous tirons parti des compétences de chaque intervenant du secteur. Nous apprenons les uns des autres. Les atteintes à la vie privée et la cybersécurité sont des thèmes dont nous discutons de plus en plus fréquemment au sein de la communauté de la protection de la vie privée, ici au Canada et dans le monde entier.

    Je vous remercie de vos réponses.

     Vous avez parlé de certaines de vos recommandations concernant l'amélioration des communications, des plans d'intervention en cas d'incident et la reddition de comptes.

    Comment les procédures et les méthodes de signalement ont-elles été modifiées à la suite de ces événements — ou l'ont-elles été?

    Les mesures ont été modifiées à la suite des recommandations que nous avons formulées dans le cadre de cette enquête.

    L'ARC et EDSC ont pris des mesures. Ils ont mis en place une authentification multifactorielle. Ils se sont employés à améliorer leurs processus, leurs évaluations et leurs cadres de communication. Certains éléments de ces recommandations étaient assortis d'un délai de six mois, d'autres d'un délai de 12 mois. Leur mise en oeuvre n'est donc pas achevée dans tous les cas, mais elle est en bonne voie. C'est ce que nous voulons voir lorsque nous formulons des recommandations. Dans le cas présent, les ministères ont accepté nos recommandations et reconnu qu'ils devaient les mettre en œuvre. C'est ce que nous voulons voir.

    Nous verrons quels seront les résultats de la prochaine enquête. S'il y a encore des lacunes, il y aura d'autres recommandations, et nous nous attendons à la même collaboration et au même respect des règles.

    L'authentification multifactorielle a été évoquée par M. Housefather, et je pense que quelques autres personnes l'ont également mentionnée. Si l'authentification multifactorielle avait été présente, cela aurait-il permis d'éviter cette atteinte particulière ou cette série d'atteintes?

    L'enquête que nous avons menée sur la CléGC en 2020 a révélé que, dans de nombreux cas, elle aurait fourni une protection supplémentaire, ce qui aurait permis de prévenir l'atteinte. Sans cette protection, il est trop facile d'avoir accès aux données.

    C'est drôle; chaque fois que je dois ouvrir une session sur un site qui met en oeuvre l'authentification multifactorielle, je gémis et me plains de la procédure supplémentaire que je dois suivre, mais après cette conversation et après la réunion d'aujourd'hui sur l'éthique, je serai beaucoup plus disposé à envisager cette étape supplémentaire d'utilisation de l'authentification multifactorielle, compte tenu de certaines des observations que vous avez formulées.

    Quelles améliorations supplémentaires, qui n'ont pas été évoquées aujourd'hui, souhaiteriez-vous voir apportées pour permettre aux différents organismes gouvernementaux de mieux coordonner leurs efforts de protection des renseignements confidentiels des Canadiens?

    Il y a un certain nombre de mesures que nous aimerions leur voir prendre.

     J'ai parlé du signalement des atteintes. Nous devons considérer ces signalements comme une obligation légale en vertu de la Loi sur la protection des renseignements personnels.

    Il faut que mon commissariat ait le pouvoir de rendre des ordonnances. C'est un pouvoir dont je ne jouis pas pour l'instant, et cela entraîne d'éventuels retards. Si un ministère approuve les recommandations, le système fonctionne, mais si ce n'est pas le cas, nous devons aller devant les tribunaux, ce qui occasionne des retards et des coûts.

    Je souhaite que les évaluations des facteurs relatifs à la vie privée soient rendues obligatoires, au lieu de faire simplement partie de la politique du Conseil du Trésor, car ces évaluations font également partie de la solution à ce problème. Ce sont des évaluations précoces des risques liés aux nouveaux programmes et aux nouveaux outils. Elles sont donc importantes.

    Nous voulons que la nécessité et la proportionnalité soient des exigences de la Loi sur la protection des renseignements personnels. Ce n'est pas le cas en ce moment, mais ce sont des exigences pour le secteur privé. Les normes de protection pour le secteur public et le secteur privé devraient être semblables.

    De même, il doit y avoir une collaboration entre les différents commissariats. L'un des défis actuels de la loi canadienne sur la protection des renseignements personnels, c'est que je ne peux pas mener une enquête conjointe avec mon collègue, le commissaire de la concurrence du Canada, alors que je peux le faire avec la FTC des États-Unis. C'est là une lacune du système. Nous avons besoin d'une plus grande collaboration, y compris pour lutter contre les atteintes à la vie privée.

    D'accord. Votre temps de parole est écoulé.

     Je vous remercie, monsieur Dufresne.

     Monsieur Villemure, vous avez la parole pour six minutes.

     Merci beaucoup, monsieur le président.

    Beaucoup de choses ont été dites, et je ne vous ferai pas répéter ce que vous avez dit jusqu'à maintenant. Cependant, je vais revenir à mon premier point.

    Ce qui m'intrigue énormément, dans des situations comme celle-là, c'est les raisons pour lesquelles cela s'est produit et continue de se produire. Je comprends qu'il y a davantage d'utilisateurs, d'applications, de plateformes, etc. En matière d'éthique, on dit souvent qu'un changement apporté à la structure sans qu'on se soit occupé de la culture est voué à l'échec. Pourquoi ces choses continuent-elles de se produire?

    Elles vont continuer de se produire. Que pourrait-on faire pour améliorer la situation?

    Je crois que la contribution de votre comité, par ses rapports et ses recommandations, ainsi que la contribution de mon commissariat, par ses enquêtes et ses recommandations, sont importantes. D'ailleurs, de notre côté aussi, nous regardons de près les communications publiques et les outils conviviaux.

    Il faut renforcer l'importance de la protection de la vie privée non seulement de façon générale, mais aussi dans le contexte plus particulier des atteintes. On a parfois tendance à voir cela comme une question très technique. Effectivement, on n'aime pas avoir des mots de passe compliqués ni des authentifications multifacteurs. Cependant, il faut comprendre pourquoi c'est important. Dans le monde dans lequel nous vivons, beaucoup d'information est transmise sur plusieurs plateformes; il faut donc acquérir le réflexe de se dire que, quand l'information est compromise, cela a un impact majeur sur les gens.

    Ce sont des leçons que nous pouvons déjà tirer de notre premier rapport. Nous avons dit aux responsables qu'ils sous-estimaient l'impact que cela a sur les gens. Nous leur avons aussi dit que, lorsque le problème survient, il ne faut pas pointer du doigt un ministère ou un autre. Nous formons une équipe et il faut trouver des solutions.

     Je reviens souvent à l'éducation à la protection de la vie privée. Je dirais même que la population n'a pas nécessairement une grande littératie quant à la vie privée et qu'il y aurait encore là une mission d'éducation à remplir.

    Il me semble qu'on peut préférer avoir une loi plutôt qu'une directive, mais il demeure que ce serait une mesure servant à réparer les torts plutôt qu'à prévenir les atteintes sur le plan de la culture. Je pose souvent la même question à la commissaire à l'information: le gouvernement a-t-il une culture d'opacité ou de transparence? Elle me répond qu'il a une culture d'opacité.

    Dans cette affaire, la transparence n'était pas au rendez-vous non plus et je trouve cela préoccupant, parce que cela empêche d'avoir une culture d'imputabilité.

     Je pense qu'une de vos recommandations, dans le rapport que vous venez de déposer aujourd'hui, concerne la littératie en matière de vie privée, et je l'appuie. Outiller les gens est très important. Avec mes collègues des provinces et des territoires, je discute de l'idée selon laquelle il devrait y avoir des cours obligatoires sur la vie privée à l'école. Cela devrait faire partie des étapes de l'apprentissage. Plus on peut outiller les gens, mieux c'est.

    Toutefois, je pense aussi qu'il ne faut pas déresponsabiliser les organisations. Il ne s'agit donc pas seulement d'outiller les gens. Il faut aussi que les organisations rendent la protection de la vie privée le plus facile possible pour les gens.

     Ce dernier point m'interpelle beaucoup. J'ai retenu du témoignage de la ministre, quand elle est venue ici, que le fardeau de démontrer quoi que ce soit était sur les épaules de l'utilisateur. Par conséquent, au nom de la responsabilisation, l'organisation se désengage, ce que je trouve inacceptable. La littératie est certainement nécessaire, mais cela ne déresponsabilise pas l'autre partie.

    Ce que vous dites sur les cours obligatoires à l'école me fait penser à l'époque où il y avait des cours d'économie familiale. On en rit aujourd'hui, mais c'était important à l'époque. Il me semble que des cours sur l'importance de la protection de la vie privée comme droit fondamental devraient être obligatoires.

     Je suis d'accord avec vous. Nos partenaires internationaux et nous avons fait un rapport, cet été, sur les pratiques trompeuses en matière de témoins de connexion et de formulaires de consentement. Nous avons constaté que ces pratiques étaient très répandues. On utilise un langage complexe et des outils de psychologie pour pousser les gens à faire des choix qui ne sont pas bons pour eux et qui vont les faire révéler trop d'informations.

    Il faut donc mieux outiller les gens pour qu'ils puissent reconnaître de telles pratiques et les contester. Les organisations doivent aussi continuer de fournir leur part d'efforts pour qu'il soit facile, pour les individus, de protéger leur vie privée. Ce ne sera peut-être jamais facile, mais il faut que ce soit plus facile qu'en ce moment.

     Il me semble que je passe une grande partie de mes soirées à gérer des paramètres et à décocher des cases. S'il y en a trop, le citoyen moyen se tanne. S'il ne comprend pas ce qu'il fait, il se tanne aussi. Je pense qu'il faut d'abord comprendre ce qu'on veut protéger. Le moyen n'est peut-être pas le bon, mais il reste qu'il y a beaucoup de pratiques trompeuses. Je pense encore que les gens, après un certain temps, se fatiguent de décocher des cases.

     Tout à fait. D'ailleurs, dans notre enquête sur Home Depot, on a établi que, quand les gens demandaient un reçu par courriel au lieu d'un reçu imprimé, l'information était communiquée à Meta. Or ce n'était pas du tout indiqué aux clients à la caisse. Une des réponses de l'entreprise a été que c'était dans leurs politiques sur leur site Web et que les clients pouvaient y trouver cette information. Nous leur avons dit que ce n'était pas acceptable de mettre un tel fardeau sur le dos des gens et que cela ne faisait pas partie des attentes raisonnables des gens de devoir faire des recherches poussées là-dessus avant de donner leur consentement. Ce genre de pratique entraîne une fatigue du consentement.

    Récemment, nous avons eu gain de cause contre Facebook dans notre dossier sur ses pratiques en matière de consentement. La Cour d'appel fédérale a souligné que les textes sur lesquels les pratiques de consentement de Facebook étaient fondées étaient souvent plus longs qu'une nouvelle d'Alice Munro. C'est complexe et cela ne permet pas aux utilisateurs de comprendre à quoi ils consentent.

     De plus, c'est souvent rédigé en langage juridique.

    Oui, c'est exact.

    Merci beaucoup.

    Merci, messieurs Villemure et Dufresne.

    On m'a dit qu'il n'y aurait pas d'autres questions de la part du Parti conservateur et du Parti libéral. L'intervention de M. Green va donc être la dernière intervention de cette séance.

     Monsieur Green, vous avez la parole pendant six minutes. Menez cette intervention à bien.

    Wow. Je vais le faire. Je ne sais pas si cela deviendra un slogan conservateur, mais...

    Des voix: Oh, oh!

    Cela ne pose pas de problème. Veuillez conclure.

    Merci.

    Monsieur Dufresne, vous avez mentionné que le mandat de divulgation publique n'est pas le même pour les entreprises privées que pour les organismes publics ou les ministères. Pourquoi en est-il ainsi?

    En ce qui concerne le secteur public, en vertu de la Loi sur la protection des renseignements personnels, je suis tenu de garder confidentielles les informations que j'ai reçues dans le cadre de mon mandat, à moins que je ne les rende publiques dans un rapport annuel ou un rapport spécial au Parlement. Il y a donc une limite à la divulgation. En vertu de la loi relative au secteur privé, je dois également préserver la confidentialité des informations, mais la loi m'autorise à les rendre publiques si j'estime qu'il est dans l'intérêt du public de le faire. C'est le pouvoir que nous utilisons régulièrement pour rendre publiques des questions relatives au secteur privé, y compris en organisant des conférences de presse. Voilà donc la pratique.

    En fait, la pratique du CPVP consistait à rendre publiques toutes les plaintes du secteur public une fois par an au moyen de notre rapport annuel. J'ai décidé de modifier cette pratique cette année, car j'estimais qu'il était trop long d'attendre une année entière avant de rendre ces informations publiques. Voilà pourquoi nous avons commencé à rédiger des rapports spéciaux, y compris sur ce dossier, pour divulguer ces informations au Parlement et les rendre publiques. De plus, j'approuve l'idée d'organiser davantage de conférences de presse, et elles devraient aussi avoir lieu.

    Je vous suis reconnaissant de vos réponses. Je vais me réapproprier mon temps, car il est limité.

    Vous avez décrit votre mandat. Par conséquent, dans le cadre de votre mandat, vous suivez les règles en vigueur. Je voudrais vous poser la question suivante, étant donné que le gouvernement actuel prétend vouloir instaurer une culture de la transparence: ne serait-il pas utile d'accorder la même attention à la divulgation des atteintes à la vie privée, qu'elles émanent du secteur privé ou du secteur public? À votre avis, quel est l'avantage que la divulgation ne fasse pas partie de votre mandat dans les deux cas, c'est-à-dire pour le secteur public et le secteur privé?

    Il n'y a aucun avantage. Je suis tout à fait d'accord avec vous, monsieur Green. C'est un aspect de la Loi sur la protection des renseignements personnels qui devrait être modifié. Nous demandons depuis longtemps que des modifications soient apportées à la Loi sur la protection des renseignements personnels. Cette loi existe depuis 40 ans. Cela devrait absolument faire partie des modifications.

    Entre-temps, j'ai commencé à utiliser cet outil spécial qu'est le rapport spécial au Parlement, et nous allons réfléchir à la possibilité d'en faire davantage, notamment en organisant des conférences de presse.

    En termes quasi juridiques — mon collègue a parlé de mensonge « par omission » —, je vous dirais qu'il s'agit d'une absence de divulgation substantielle. Le public a le droit de savoir quand des atteintes à la vie privée se produisent, qu'elles soient causées par des tiers privés comme H&R Block ou par un organisme comme l'ARC. Comme nous l'avons entendu dire, ces atteintes ont de profondes répercussions sur les Canadiens, sur les personnes impliquées dans des allégations de fraude potentielle et sur les personnes qui n'auraient plus accès à leur Supplément de revenu garanti ou à leur Sécurité de la vieillesse. Il s'agit d'une question importante, et je suis heureux de vous entendre recommander, devant notre comité, que nous ajoutions cela à votre mandat.

    Vous avez également mentionné votre pouvoir de rendre des ordonnances. Pouvez-vous nous en dire plus à ce sujet et nous expliquer pourquoi il est important d'exiger une divulgation complète et d'éviter l'obstruction de la part de ce que j'appellerais des ministères belliqueux?

    Je suis désolé; je n'ai pas entendu la dernière partie de votre question.

     Je suis désolé, monsieur Green. J'ai arrêté le chronomètre.

    Il y a un peu de bavardage ici et là dans la salle. Je veux que M. Dufresne entende clairement les paroles de M. Green.

     Monsieur Green...

    Quelque chose lié à son microphone ne va pas; il est comme en sourdine. Je l'ai déjà signalé à la greffière.

    Monsieur Green, veuillez répéter la question que vous posez à M. Dufresne. Ensuite, je mettrai le chronomètre en marche. Allez-y, monsieur.

    Je vous remercie, monsieur le président. Je vais parler un peu plus fort. Cela aidera peut-être.

    Je suis heureux d'entendre que vous demandez qu'on donne suite à cette recommandation. Vous avez également mentionné l'importance de disposer de pouvoirs plus étendus, de pouvoirs d'ordonnance. En cas de sabotage administratif ou de refus de coopérer à vos enquêtes de la part des ministères, si votre commissariat disposait de pouvoirs plus étendus, cela lui permettrait de faire rapport plus rapidement. Pouvez-vous nous expliquer pourquoi c'est très important?

    C'est important, parce que, dans de nombreuses situations, nous avons constaté que nous recevons ces signalements en retard, comme c'est le cas ici. Cela crée le type de situations que nous avons vues ici. Cela nous empêche de donner des conseils et de travailler avec les organisations à un stade précoce. S'il s'agissait d'une obligation légale, je suis convaincu que les institutions du secteur public s'y conformeraient davantage. C'est une obligation légale pour les organisations du secteur privé, et ce devrait être une obligation légale pour les organisations du secteur public.

    Dans cet esprit, pensez-vous que vous avez le pouvoir d'imposer des sanctions ou des mesures de dissuasion adéquates, qu'elles soient de nature administrative ou autre, aux personnes qui ne respectent pas les règles ou qui récidivent? Votre commissariat a-t-il suffisamment de pouvoirs pour assurer une véritable responsabilisation?

    Non, parce que, tant pour le secteur privé que pour le secteur public, je n'ai pas le pouvoir de rendre des ordonnances ou la capacité d'imposer des amendes. Ce sont là des recommandations que nous avons faites au Parlement pour le secteur public et le secteur privé. Ces mesures sont proposées pour le secteur privé dans le projet de loi C-27. J'aimerais certainement que ces pouvoirs figurent dans un prochain projet de loi sur la protection des renseignements personnels dans le secteur public.

    Vous avez mentionné les recommandations qui ont découlé de la débâcle de la CléGC de 2020 et de votre étude à ce sujet. Vous avez indiqué que certaines d'entre elles avaient permis de réaliser des progrès. À votre avis, y a-t-il des recommandations qui n'ont pas été suivies et qui ont pu conduire à des lacunes persistantes dans l'administration de la protection des renseignements personnels dans le cadre de la dernière atteinte commise par l'ARC?

    Cela fera partie des éléments que nous évaluerons dans le cadre de l'enquête pour déterminer ce qui s'est passé et si les recommandations que nous avons formulées dans notre rapport sur la CléGC ont eu un effet. Quand ces recommandations ont-elles été mises en œuvre, et ces atteintes se sont-elles produites avant ou après la mise en oeuvre de l'authentification multifactorielle et des améliorations apportées au processus et à la vérification, par exemple? Cela fera certainement partie des conclusions que nous tirerons dans le cadre de cette enquête à venir.

    Voilà qui met fin à mes questions.

    Je vous remercie beaucoup, monsieur Dufresne, de vous être joint à nous.

    Je remercie également le Comité de s'être démené pour gérer mes problèmes informatiques. J'espère pouvoir résoudre ces problèmes avant notre prochaine réunion.

    Je vous remercie de votre attention.

    Je vous remercie, monsieur Green.

    Cela met fin à nos séries de questions.

    Monsieur Dufresne et madame Gervais, au nom du Comité, j'aimerais vous remercier d'avoir pris le temps de vous joindre à nous aujourd'hui. Je sais que nous avons eu quelques difficultés la dernière fois, mais nous sommes parvenus à bon port cette fois-ci.

    Monsieur Dufresne, vous devriez peut-être vous installer ici, car vous reviendrez témoigner mardi au sujet du problème lié à TikTok. Je vous remercie de vous être libéré pour participer à deux réunions du Comité consécutives.

    Cela conclut la réunion d'aujourd'hui. Je tiens à remercier tout le monde, y compris la greffière et les analystes.

    Je signale aux membres du Comité que vous avez reçu un courriel de la greffière concernant les questions qui ont été posées à Twitter, ou X. Ce courriel devrait se trouver dans votre boîte de réception en ce moment même. Gardez un œil sur ce courriel.

     Merci à tous et bon week-end.

    La séance est levée.