ETHI Réunion de comité

    La séance est ouverte. Nous avons le quorum pour entendre des témoignages.

    Conformément à l'ordre de renvoi du 25 avril 2006 et à l'article 29 de la Loi sur la protection des renseignements personnels et les documents électroniques, nous entreprenons l'examen de cette loi.

    Je veux rappeler aux membres du comité que l'article 29 contient deux paragraphes. Le premier paragraphe prévoit qu'un comité de la Chambre des communes fera l'examen de l'application de la Partie 1. Le deuxième paragraphe prévoit qu'un comité examinera les dispositions de la Partie 1 ainsi que les conséquences de son application en vue de la présentation d'un rapport au Parlement où seront consignées ses conclusions ainsi que ses recommandations quant aux modifications de la Partie 1 ou de ses modalités d'application. Ainsi, l'article prévoit un examen très étendu de la Partie 1.

    J'espère que les témoins d'aujourd'hui seront en mesure de nous parler des fondements historiques de notre examen de la Partie 1, mais non des autres parties de la loi.

    Ceci dit, je ne veux pas passer mon temps à répéter le long titre de la loi, alors, j'aimerais que nous nous entendions sur une façon de prononcer, en anglais, l'acronyme « PIPEDA ». J'ai entendu des gens prononcer « PIPEDA » et d'autres « PIPEDA ». Je vais demander aux fonctionnaires du ministère de nous donner une certaine orientation, et alors, peut-être que le comité sera en mesure de s'entendre sur une prononciation. Nous allons ensuite encourager tous nos témoins à prononcer cet acronyme de la même manière, et à partir de maintenant, personne n'aura plus à utiliser le titre de la loi au long.

    Après ces remarques d'ouverture, permettez-moi d'accueillir nos témoins d'aujourd'hui.

    Du ministère de l'Industrie, nous accueillons M. Michael M. Binder, sous-ministre adjoint, Spectre, technologies de l'information et télécommunications; M. Richard Simpson, directeur général, commerce électronique; Mme Danièle Chatelois, analyste de la politique sur la vie privée, direction de la politique sur le commerce électronique, direction générale sur le commerce électronique; et Mme Alexia Taschereau, avocate principale.

    Je souhaite la bienvenue à tous nos témoins.

    Monsieur Binder, je crois que c'est vous qui allez faire la déclaration d'ouverture. Vous avez la parole.

    Merci, monsieur le président. Il me fait plaisir d'être ici aujourd'hui pour discuter de cette loi.

    Vous m'avez déjà probablement posé la question la plus difficile de cet après-midi. La réponse, c'est que nous prononçons l'acronyme « PIPEDA », mais moi aussi j'ai entendu toutes sortes de variations. Il vous appartient de décider si vous voulez adopter notre prononciation.

    Vous vous demandez peut-être pourquoi Industrie Canada est responsable de ce texte législatif particulier. Laissez-moi vous dire que nous avons commencé à nous intéresser à l'économie numérique il y a longtemps. Nous avons prévu la création de bases de données et du commerce électronique, l'ensemble de l'économie numérique qui accompagne Internet. Nous avons pensé qu'il devrait y avoir des règles d'engagement assez raisonnables et claires dans le marché, dans ce qu'on appelle l'économie numérique, particulièrement en direct. C'est la raison pour laquelle nous avons présenté ce projet de loi il y a longtemps, après de nombreuses années au cours desquels nous avons tenté d'obtenir un consensus sur ce que devraient être les dispositions de ce texte législatif particulier.

    Comme vous le savez, beaucoup de gens de l'extérieur sont impatients de comparaître devant vous pour partager avec vous leur avis sur la façon dont fonctionne ce texte législatif, et peut-être, pour vous faire des suggestions d'améliorations; il est toujours possible d'améliorer les choses.

    Avec votre permission, j'aimerais que Richard Simpson vous présente un jeu de diapositives. Je crois que vous en avez tous des copies. Dans ce jeu de diapositives, nous tentons de décrire cette loi et ses dispositions. Après cela, peut-être que nous pourrons entreprendre la discussion.

    Comme il compte 22 pages, peut-on vraiment parler d'un « petit » jeu de diapositives?

    Une bonne partie de ce matériel est destinée à être apportée pour lecture. Nous allons faire un survol très rapide.

    Mais non, vous n'avez pas besoin de le survoler très rapidement. Cela fait maintenant cinq ans et nous avons été chargés d'examiner la loi. Je sais qu'elle suscite beaucoup d'intérêt. Nous n'essayons aucunement de vous bousculer, mais nous voulons laisser du temps pour des questions et pour la discussion avec les membres du comité.

    Je remarque que le jeu de diapositives est imprimé sur du papier épais, alors ce n'est pas vraiment aussi épais que cela.

    S'il vous plaît, veuillez continuer.

    Richard.

    Merci. Bon après-midi.

    Vous avez des copies du document que nous allons utiliser pour faire un survol de la loi.

    Je vais m'arrêter très brièvement, comme vous l'avez laissé entendre, monsieur le président, sur chacune des diapositives individuelles. N'hésitez pas à m'interrompre si vous voulez poser une question sur un point particulier.

    Si vous regardez la première diapositive, qui montre la taille du cybermarché sous forme de tableau, le point principal à retenir, c'est que la protection des renseignements personnels est un élément central du cadre juridique régissant l'économie mondiale en réseau.

    La diapositive suivante vous donne une brève chronologie du travail qui est en cours depuis un certain nombre d'années dans le domaine de la protection des renseignements personnels, ici au Canada et à l'échelle internationale. Certaines des dates clés sont 1984, année où l'Organisation de coopération et de développement économiques, l'OCDE, a publié des Lignes directrices sur la protection de la vie privée et les flux transfrontières de données de caractère personnel. C'est une étape très importante, parce qu'elle a été le fondement des lois sur la protection des renseignements personnels dans de nombreux pays, y compris le Canada et de nombreux pays membres de l'Union européenne.

    La deuxième date importante est 1996, année où le Code type sur la protection des renseignements personnels de la CSA a été publié. Vous allez voir dans un instant que cela est un élément central de la législation canadienne en matière de renseignements personnels et du régime de protection des droits à la vie privée au Canada, de façon générale.

    Les autres dates, en réalité, font état de la mise en oeuvre graduelle de la LPRPDE. Elle est entrée en vigueur initialement en janvier 2001. Elle a été étendue au secteur de la santé en 2002, mais elle n'est entrée en vigueur intégralement qu'en 1994.

    La LPRPDE comporte deux parties principales, comme l'indique la diapositive 4, et comme vous l'avez déjà indiqué, monsieur le président. La Partie 1 précise les obligations en matière de protection des renseignements personnels en vertu de la loi. Les Parties 2 à 5 contiennent la partie qui traite des documents électroniques, et contient de nombreuses dispositions qui permettent une utilisation plus efficace des technologies électroniques au sein de l'administration du gouvernement fédéral. Elle modifie la Loi sur la preuve au Canada, la Loi sur les textes réglementaires et d'autres lois, et contient un certain nombre de dispositions qui permettent aux ministères du gouvernement d'utiliser les techniques du commerce et des affaires électroniques dans leur fonctionnement quotidien.

    La Partie 1, concernant la protection des renseignements personnels, établit les règles que doit respecter le secteur privé en matière de protection des renseignements personnels. Si vous regardez l'énoncé sommaire de l'objet de la Partie 1, sur la diapositive 5, vous pouvez voir que la Partie 1 établit les règles de base régissant « la collecte, l'utilisation et la communication des renseignements personnels ». Vous allez entendre cette expression assez souvent. Les différentes règles régissant la collecte, l'utilisation et la communication des renseignements personnels sont définies assez clairement dans la loi.

    La loi établit un équilibre entre deux considérations centrales qui sont contenues dans cet énoncé d'objet: la nécessité de protéger le droit à la vie privée des personnes et le besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. Cela reflète véritablement la réalité du monde des affaires où les renseignements personnels sont utilisés de manière courantes par les consommateurs, les entreprises et d'autres organismes qui pratiquent le commerce, ce qui est encore plus vrai dans le cas de l'univers cybernétique.

    Dans la diapositive 6, nous avons essayé de décrire les caractéristiques principales de la LPRPDE. Premièrement, elle s'applique uniquement aux renseignements personnels et uniquement aux renseignements personnels qui sont utilisés à des fins commerciales. C'est très important pour ce qui est de définir le domaine et la portée de la loi.

    Deuxièmement, une caractéristique très importante, c'est que la loi repose sur un code établi par le secteur privé. Il s'agit d'une initiative d'autoréglementation prise par l'Association canadienne de normalisation. Elle repose sur le Code type pour la protection des renseignements personnels de la CSA qui, comme je l'ai mentionné, a été adopté avant que la loi entre en vigueur. Elle est neutre sur le plan technologique, bien qu'elle porte beaucoup sur la façon dont les technologies électroniques utilisent et manipulent maintenant les renseignements personnels et les données de façon générale. Elle s'applique aux renseignements personnels sous toutes les formes, électroniques ou non. Elle s'applique à l'ensemble du marché; par conséquent, elle a une portée étendue sur le marché et ne s'applique pas uniquement à des secteurs particuliers. Elle n'est pas basée sur le droit criminel et son application, mais elle est appliquée par l'entremise du Commissaire à la protection de la vie privée du Canada et de la Cour fédérale.

    Il y a d'autres caractéristiques clés. Il est tout aussi important de savoir à quoi la LPRPDE ne s'applique pas. Elle ne s'applique pas aux activités non commerciales et aux renseignements non personnels. Il existe beaucoup de données sous forme électronique et non électronique qui ne sont pas des renseignements personnels et ils ne sont pas touchés par la loi. Elle ne s'applique pas aux établissements gouvernementaux assujettis à la Loi sur la protection des renseignements personnels. Il s'agit d'une loi différente; je sais qu'elle relève du mandat du présent comité, mais elle est différente des règles de la LPRPDE. Elle ne s'applique pas aux dossiers des employés dans le secteur privé réglementé par les autorités provinciales. Et il y a un certain nombre d'autres domaines qui ne sont pas assujettis à la loi.

    Les exigences et les obligations essentielles en vertu de la loi, comme l'indique la diapositive 8, sont précisées dans les articles 3 à 5 de la loi, mais les obligations réelles sont décrites dans l'Annexe 1 qui est, comme je l'ai dit, le Code type sur la protection des renseignements personnels de la CSA. Le paragraphe 5(3) ajoute un critère additionnel lié au caractère raisonnable. Beaucoup de gens viendront vous parler de cette question.

    Le Code type, l'Annexe 1 de la loi, comporte dix principes de base. Je ne vais pas décrire en détail ces principes pour vous, mais je pense que probablement le premier, parmi les principes égaux figurant sur cette liste, est le consentement. Toutes les lois sur la protection des renseignements personnel, non seulement au Canada, mais également dans de nombreux autres pays, sont fondées sur le principe du consentement.

    Il y a également un certain nombre de principes — détermination des fins, limitation de la collecte, limitation de l'utilisation — qui soulignent véritablement la nécessité de définir les fins et les limites de l'utilisation des renseignements personnels lorsqu'ils sont recueillis. Il s'agit en quelque sorte d'un ensemble de principes appariés à l'exigence du consentement.

    Il y a un certain nombre de dispositions concernant l'accès aux renseignements pour garantir le la fiabilité et l'exactitude des renseignements qui sont conservés sur une personne.

    Si vous me permettez d'interrompre, monsieur le président, il a fallu environ dix ans pour obtenir un consensus de toutes les parties —- le secteur privé, les consommateurs et le gouvernement — pour en arriver à ces dix commandements de la protection des renseignements personnels. Je dois vous dire que c'est là le point central pour comprendre les grandes questions de politique qui sont englobées dans cette loi particulière.

    La diapositive 9 indique que la loi contient un certain nombre d'exemptions à l'exigence de consentement, précisées dans l'article 7, et également, au droit des personnes à avoir accès à leurs renseignements personnels, précisées dans l'article 9, et on trouve une énumération de ces exceptions sous forme de points centrés.

    Les responsabilités et les pouvoirs de la Commissaire à la protection de la vie privée, décrits dans la diapositive 10, sont conformes au rôle d'ombudsman que la loi lui confie. La Commissaire à la protection de la vie privée n'a pas l'autorité de prendre des ordonnances exécutoires. Elle fait enquête sur les plaintes qu'elle reçoit ou agit de son propre chef. Elle a un certain nombre d'autres pouvoirs, y compris le pouvoir de vérification. Elle publie un rapport annuel qui est déposé au Parlement, comme vous le savez, puisqu'elle est une mandataire du Parlement, et elle a un certain nombre de responsabilités pour ce qui est de faire connaître la loi et d'éduquer le public en matière de protection des renseignements personnels. La façon dont les responsabilités de la Commissaire à la protection de la vie privée sont appliquées constitue un élément très important de la loi.

    La diapositive 11 indique que la Cour fédérale agit comme point d'appui pour la Commissaire à la protection de la vie privée en ce qui concerne un certain nombre de responsabilités, allant jusqu'à la nécessité de traiter d'un appel interjeté par un plaignant ou par la Commissaire à la protection de la vie privée sur une conclusion particulière. Elle a également certains autres pouvoirs, comme vous pouvez le voir sur la diapositive 12. Lorsque les questions sont référées à la Cour fédérale, il y a certains pouvoirs de la Cour peut utiliser pour prendre des mesures contre les organismes qui violent la loi. Mais vous pouvez voir que le nombre de points indiqués ici indiquent clairement que ces mesures concernent un comportement intentionnel et délibéré visant à enfreindre la loi, comme entraver l'action de la commissaire dans une vérification ou une enquête, plutôt qu'un exercice régulier du pouvoir par la Cour.

    Dans la diapositive 13, la LPRPDE établit...

    Veuillez m'excuser de vous interrompre.

    Pour en revenir à la diapositive 12, « En vertu de la LPRPDE, sont des infractions », article 28. Vous avez un point centré « Prendre une mesure contre un employé qui est un dénonciateur. » Ces petits points centrés en dessous des points centrés plus gros servent à faire une ventilation des infractions, n'est-ce pas?

    C'est exact, il s'agit d'infractions qui sont prévues expressément dans la loi et pour lesquelles la Cour peut prendre des mesures.

    Merci.

    La diapositive 13 établit les responsabilités du gouverneur en conseil. Certaines d'entre elles sont très importantes pour le fonctionnement de la loi. Un de ces pouvoirs est de prendre des règlements pour préciser les organismes d'enquête. Un certain nombre d'étapes ont été franchies au cours des dernières années pour reconnaître les organismes du secteur privé qui, en raison de la responsabilité aux yeux de la loi ou du droit, doivent faire enquête et, par conséquent, doivent recueillir et communiquer des renseignements personnels.

    Un deuxième pouvoir de réglementation est de préciser les renseignements auxquels le public a accès. Ce sont des mesures dont nous pouvons parler en plus grand détail. Elles sont toutes comprises dans les règlements qui ont été distribués aux membres du comité. Vous pouvez trouver dans ces dernières la définition pratique de renseignements auxquels le public a accès ainsi que tous nos règlements concernant les organismes d'enquête.

    Le gouverneur en conseil peut également, par décret, assujettir des mandataires de Sa Majesté du chef du Canada à la loi. Il s'agissait en réalité d'une mesure administrative, monsieur le président, prise en 1998 pour s'assurer que certaines sociétés d'État qui n'étaient pas assujetties à la Loi sur la protection des renseignements personnels sont assujetties à la LPRPDE. C'était pour s'assurer qu'il n'y a pas de sociétés d'État fédérales qui ne sont pas assujetties aux règles régissant la protection des renseignements personnels dans un domaine ou dans l'autre.

    Le second pouvoir est d'exempter de l'application de la loi les organismes qui sont assujettis à des lois provinciales sur la protection de la vie privée essentiellement similaires. Je crois que la politique publiée dans la Gazette du Canada en août 2002 sur cette question se trouve également dans votre documentation.

    Essentiellement similaires, si l'on regarde la diapositive 14 — et il vaut peut-être la peine de s'arrêter un instant sur cette question — était un moyen que le Parlement a mis en place pour aligner les lois fédérales et provinciales régissant la protection des renseignements personnels autour d'un ensemble unique de règles fondamentales pour la protection des données. Ces règles seraient constituées du Code type de la CSA et elles s'appliqueraient à l'ensemble de l'économie.

    Dans l'alinéa 26(2)(b), vous pouvez voir un pouvoir par lequel le gouverneur en conseil peut exclure de l'application de cette loi un organisme assujetti à des lois provinciales considérées comme « essentiellement similaires ». Dans ce cas, le régime provincial en vigueur pour la protection des renseignements personnels s'appliquerait dans cette province, plutôt que la loi fédérale.

    Les critères établis pour définir ce qui est « essentiellement similaire » doivent intégrer le Code de la CSA — ces 10 principes — pour assurer une surveillance indépendante et efficace, et pour limiter la collecte, l'utilisation et la communication de renseignements personnels à des fins qui sont appropriées ou légitimes.

    Vous pouvez voir au bas de la diapositive que quatre provinces disposent à l'heure actuelle de lois provinciales substantiellement similaires et, par conséquent, ces provinces sont exemptés de l'application de la LPRPDE: le Québec en 2003; l'Alberta et la Colombie-Britannique en 2004 et l'Ontario, en ce qui concerne la Loi sur la protection des renseignements personnels sur la santé, en 2005. Alors, quatre lois ont été reconnues comme étant essentiellement similaires.

    Essentiellement, le but de cette mesure est de permettre aux provinces qui choisissent de légiférer en matière de protection des renseignements personnels de le faire, tout en permettant à la loi fédérale de s'appliquer dans les provinces qui décident de ne pas légiférer en cette matière.

    Comme je l'ai dit, la loi sur la protection des renseignements personnels du Québec a été reconnue comme étant essentiellement similaire en 2003. Cependant, la province de Québec a indiqué qu'elle allait contester le caractère constitutionnel de la Partie 1 de la LPRPDE, en ce qui concerne la clarification des pouvoirs du gouvernement fédéral en matière de commerce en lien avec la compétence provinciale en matière de propriété et de droits civils. Bien que certains documents aient été déposés, monsieur le président, la cour n'a toujours pas entendu le renvoi constitutionnel. Nous nous attendons à ce que cela se fasse plus tard, vers la fin de 2007.

    Monsieur Simpson, est-ce que quelqu'un va parler de cette question? Cela fait trois ans. C'est beaucoup de temps avant qu'une décision soit rendue dans un renvoi.

    C'est exact.

    Des documents ont été déposés. La cour a demandé que des affidavits soient déposés avant le... j'oublie quelle était la date originale. Initialement, l'affidavit fédéral a été déposé au début de 2005, je pense. Ou était-ce plus tôt? Oui, c'était en mars 2005. Cette mesure a ensuite été suivie par une demande d'affidavit adressée à la province de Québec, qui a déposé son affidavit en juillet 2006, et nous avons déposé un affidavit en 2006.

    Vous avez raison de penser au long délai qui s'est écoulé depuis le renvoi initial. Je pense que cette situation est attribuable en partie au fait qu'essentiellement, dans la province de Québec, les affaires continuent, étant donné que sa loi a été reconnue comme étant essentiellement similaire. Le commissaire provincial à la protection des renseignements personnels n'exerce pas une autorité comme auparavant au sein de la province. C'est principalement le temps qu'il a fallu à certaines des parties au litige pour réunir le matériel nécessaire.

    Oui, et on nous a informés, monsieur le président, qu'ils ont demandé une autre prolongation.

    C'est exact.

    Et de qui parlons-nous, monsieur Binder?

    Du gouvernement du Québec.

    Le ministère de la Justice.

    Le ministère de la Justice.

    Est-ce que le mémoire fédéral est terminé?

    Oui, il est terminé.

    Alors, le délai n'est pas attribuable au gouvernement fédéral.

    Non.

    Très bien, merci.

    Nous pouvons mettre notre affidavit à la disposition du comité, si vous le désirez. C'est une assez bonne lecture, je dois dire, sur l'histoire de la législation en matière de protection des renseignements personnels au Canada.

    Dans la diapositive suivante, diapositive 16...

    Je suis désolé, monsieur Simpson. Encore une fois, veuillez m'excuser. Nous étions au milieu de la diapositive 15, dans un point centré qui se lit comme suit : « confirmera la capacité du gouvernement fédéral d'exercer ses pouvoirs en matière de réglementation du commerce ». Voulez-vous dire que le gouvernement fédéral espère que la décision confirmera...?

    Vraiment, nous voulions dire dans le sens de clarifier le pouvoir du gouvernement fédéral en ce qui a trait au commerce par rapport à la compétence provinciale en matière de propriété et de droits civils.

    Si le gouvernement du Québec n'approuvait pas l'affidavit du gouvernement fédéral, toute la base sur laquelle repose la LPRPDE, d'après votre deuxième diapositive, s'effondrerait.

    C'est exact.

    La diapositive 16 indique, comme devrait le savoir le comité, que plusieurs modifications ont été apportées à la loi initiale depuis 2001. Elles sont décrites ici. La plupart d'entre elles découlent d'exigences en matière de sécurité publique à la suite des événements du 11 septembre, mais il y a également eu une révision qui est liée à la Loi sur la protection des fonctionnaires dénonciateurs d'actes répréhensibles, laquelle sera modifiée par la Loi fédérale sur la responsabilité, qui est maintenant devant le Parlement, comme vous le savez.

    Cela nous amène à l'examen parlementaire lui-même et, si c'est utile, monsieur le président, nous pouvons partager avec vous et les autres membres du comité certaines des choses que nous avons entendues au cours des consultations informelles que nous avons menées au cours des dernières années, au fur et à mesure que la date de l'examen approchait. Ces observations sont décrites très brièvement dans les quelques diapositives qui suivent.

    Globalement, les consultations que nous avons entreprises confirment que la communauté de la protection des renseignements personnels croit essentiellement que la loi fonctionne très bien. Vous allez voir deux citations tirées de nos consultations, une de l'Association canadienne de la technologie d'information et l'autre de l'Association des banquiers canadiens, qui le confirment.

    Quelques modifications mineures ont été proposées au cours de ces consultations et certaines questions ont été portées à notre attention concernant la situation de la protection des renseignements personnels au Canada, et non pas uniquement de la LPRPDE au sens strict. Le sommaire sous forme de capsules de ces observations se trouve dans les diapositives 20 et 21.

    Monsieur Simpson, veuillez m'excuser encore une fois. Juste pour que le compte rendu soit clair, vous avez dit -- notre attaché de recherche vient juste de me chuchoter à l'oreille -- que la communauté de la protection des renseignements personnels trouve que la loi fonctionne bien. Vouliez-vous dire la communauté de la protection des renseignements personnels, ou vouliez-vous dire la communauté des affaires, ou vouliez-vous dire les deux?

    Non, nous voulons dire les deux. Certainement qu'il y a un appui très solide de la part de la communauté des affaires. Lorsque nous parlerons des pouvoirs de la Commissaire à la protection de la vie privée, vous verrez que dans la communauté de la protection des renseignements personnels, de façon générale, la communauté des affaires donne un appui très important au rôle actuel de la Commissaire à la protection de la vie privée, et vous allez entendre de la part d'autres membres de la communauté de la protection des renseignements personnels que même si la loi constitue une bonne base pour la protection des renseignements personnels au Canada, ils aimerait que l'on accorde certains pouvoirs accrus à la Commissaire à la protection de la vie privée. Vous allez entendre parler de ces questions, je pense, lorsque vous aller appeler d'autres personnes à témoigner.

    La plupart des commentaires concernaient l'amélioration de la loi, plutôt que de dire simplement ce qui ne fonctionnait pas, mais il y a des opinions différentes sur ce à quoi devrait ressembler les commentaires.

    Absolument.

    Comme je l'ai dit, si vous allez à la diapositive 20, une des questions clés est le rôle et les pouvoirs de la Commissaire à la protection de la vie privée. Vous allez entendre la commissaire elle-même très prochainement et elle va certainement vous en parler.

    Une autre question qui a été portée à notre attention est appelée par certaines personnes le flux transfrontalier de données. Il s'agit, en fait, de la dimension internationale de la protection de la vie privée et de la nécessité d'examiner les problèmes entourant la sous-traitance et la délocalisation croissantes du traitement des données et, par conséquent, des renseignements personnels. Mais il y a un certain nombre de problèmes d'ordre technique et de définition qui ont été soulevées. L'Association du Barreau canadien a présenté un certain nombre de suggestions à cet égard.

    Si on regarde la diapositive 21, pour continuer avec certains des sujets dont vous allez entendre parler d'après ce que nous avons attendu, la relation entre employé et employeur et le fait que les renseignements personnels ont une dynamique différente dans une relation employeur-employée que dans le domaine commercial est certainement un problème qui sera soulevé. Il y a eu des demandes visant à supprimer la protection des renseignements personnels dans le cas des courriels des employés et des numéros de télécopieur, et cela est lié à la définition de renseignements personnels et à la question de savoir si, oui ou non, c'est comme un numéro de téléphone et que vous devez protéger les adresses de courriel. Ne s'agit-il pas d'un renseignement de contact, tout comme un numéro de téléphone?

    En ce qui concerne les fusions et les acquisitions, vous allez certainement entendre des témoins concernant le besoin d'avoir une certaine souplesse en termes de diligence raisonnable. Encore une fois, vous allez probablement entendre des points de vue différents sur cette question.

    Il y a eu de nombreuses suggestions concernant la définition de produit du travail comme étant quelque chose de distinct des renseignements personnels. Il s'agit d'une question technique qui a une certaine importance dans un certain nombre de secteurs de l'économie, et nous pouvons en parler davantage si les membres du comité le désirent.

    Il s'agit très vraisemblablement des sujets dont il sera davantage question, en commençant par la Commissaire à la protection de la vie privée, qui a des points de vue sur certains de ces sujets. Comme mot de la fin, le bilan final pour ainsi dire, la dernière diapositive fait état de certaines louanges ou de certains témoignages sur le régime de protection des renseignements personnels en vigueur au Canada qui a reçu une note très élevée par la communauté des affaires au niveau international, comme vous allez le constater dans ces citations. Certains d'entre vous ont lu l'article paru dans The Globe and Mail il y a deux ou trois semaines qui traitait d'une étude réalisée par Privacy International, groupe international qui milite en faveur d'une meilleure protection des renseignements personnels dans un certain nombre de pays. Parmi la trentaine de pays examinés, le Canada et l'Allemagne obtiennent les meilleures notes en ce qui concerne la protection des renseignements personnels. Alors, nous avons une bonne base sur laquelle travailler, à notre avis.

    Merci.

    Merci beaucoup.

    Pour l'information des membres du comité, j'ai remarqué que la dernière citation, à la page 22, est de Ray Protti. Beaucoup d'entre vous ne sont pas ici depuis aussi longtemps que moi, mais pour votre information, Ray Protti était chef du SCRS. S'il y a quelqu'un qui sait quelle information sur la vie privée est bonne, c'est bien l'ancien chef du SCRS.

    Nous examinons cette question, et avant de passer aux questions, je vais poser une question aux fonctionnaires du ministère. Vous avez eu cinq ans de discussion avec les intervenants. Vous avez fait état de certaines des questions qui avaient été soulevées. Toutefois, vous ne nous avez pas donné d'indication sur l'opinion du ministère sur ces questions, étant donné que le ministère est responsable de cette loi, et vous ne nous avez pas dit, plus particulièrement, si le ministère avait des recommandations à faire à notre comité. Nous ne sommes pas tenus de les accepter, mais nous serions évidemment intéressés de savoir si vous avez certaines recommandations, surtout du fait que vous avez traité de cette loi pendant cinq ans avec les intervenants. J'ignore si vous êtes prêts à nous en parler ou si vous avez même réfléchi à cette question, mais je vous invite très certainement à y réfléchir. S'il y a des parties de la loi sur lesquelles vous êtes d'accord avec les intervenants ou ceux qui font des propositions, il serait approprié que vous nous disiez que le ministère croit que X, Y et Z constituent une approche raisonnable fondée sur une expérience de cinq années, ou pour quelque raison que vous puissiez avoir, et de cette façon, nous pourrions étudier ces éléments en cours de route.

    Avez-vous réfléchi à cette question?

    Laissez-moi répondre de cette façon. Cinq ans peuvent sembler beaucoup de temps, mais je dois vous dire que l'expérience réelle avec la loi n'est que très récente. Il a fallu beaucoup de temps pour la rendre opérationnelle, par exemple, qu'est-ce que le consentement, comment vous obtenez le consentement, etc. L'application de la loi dans le secteur de la santé ne date que de 2004. Alors, cela fait seulement un an et demi, et c'était une exception de taille.

    Dernière raison, mais non la moindre, ce n'est pas la façon dont nous fonctionnerons normalement. Ce que nous attendons du comité, c'est qu'il fasse cette consultation publique et qu'il nous donne ses conseils, après quoi, nous allons appliquer les processus internes sur la question, et si des modifications doivent être apportées, il faut que cela passe par nos processus internes, se rende au cabinet et au contentieux.

    Alors, je ne tente pas d'éviter la question. J'essaie simplement d'obtenir votre orientation et vos conseils après des consultations formelles portant sur nos processus.

    Très bien.

    Je pense que le point que je voulais faire valoir, c'est que si quelqu'un est allé vous voir pour dire quelque chose, et que vous êtes entièrement d'accord avec cette personne et que vous pensez qu'il serait sensé que le comité recommande une modification à cet égard, il me semble que ce serait bien que vous nous le disiez. Je vous invite à réfléchir là-dessus. Il se pourrait que nous vous convoquions de nouveau plus tard, après avoir entendu certains des témoins.

    Nous allons commencer par M. Dhaliwal.

    Merci, monsieur le président.

    Je remercie le groupe d'être venu nous parler de la LPRPDE.

    Vous avez dit qu'il y a quatre provinces ici qui ont déjà une loi similaire en place, alors, cela ne s'applique pas à elles, n'est-ce pas?

    Cela ne s'applique pas en ce qui a trait à la collecte, à l'utilisation et à la communication des renseignements personnels à l'intérieur de ces provinces. Alors, l'aspect transfrontalier de la protection des données continue de relever de la compétence fédérale. Alors, par exemple, le Commissaire à la protection de la vie privée de la Colombie-Britannique a pleine autorité pour faire enquête sur les plaintes là-bas et pour exercer tous ses pouvoirs en matière de protection des renseignements personnels dans la province de la Colombie-Britannique. S'il s'agit d'une plainte au sujet de la collecte de renseignements personnels en provenance de résidents de la Colombie-Britannique, mais que cela a été fait par un organisme situé dans une autre province, alors, cette question relèverait de la Commissaire fédérale à la protection de la vie privée et elle exercerait son autorité.

    Je devrais dire qu'il y a une collaboration très étroite entre les commissaires à la protection de la vie privée partout au pays. Les quatre commissaires en Ontario, au Québec, en Colombie-Britannique et en Alberta, mais en particulier des trois provinces qui ont des lois complètes en matière de protection des renseignements personnels, collaborent très étroitement à un niveau opérationnel avec la Commissaire fédérale à la protection de la vie privée. Elle vous dira comment cela fonctionne. Mais il s'agit là d'une façon de s'assurer qu'il n'y a pas de lacunes entre leurs administrations respectives.

    Monsieur le président, si vous le permettez, l'intention initiale que nous avions, c'était de nous assurer que la communauté des affaires n'ait pas un ensemble de règles différentes dans les différentes provinces. Les affaires deviennent de plus en plus nationales et internationales. En fait, nous avons insisté sur le fait que de nos jours, si vous voulez faire des affaires en Europe, vous devez avoir un texte législatif qui est acceptable aux yeux des Européens au sujet de la protection des renseignements personnels. En fait, ils ont examiné notre loi et l'on jugée acceptable. Alors, vous pouvez faire du partage de bases de données et de renseignements. Ils sont très heureux de notre loi dans sa forme actuelle.

    La même chose est vraie pour une province. Nous ne voulions pas qu'une entreprise doivent se plier à des exigences lourdes dans une province, qui sont différentes de celles que l'on retrouve dans une autre province. C'est pourquoi nous avons créé cette norme nationale minimale, ces dix dispositions du code, pour essayer d'établir une norme nationale sans imposer de détails précis aux provinces individuelles pour ce qui est de la façon dont elles vont gérer leur propre situation en matière de protection des renseignements personnels.

    Lorsque nous regardons les marchés émergeant d'aujourd'hui, la mondialisation d'aujourd'hui, est-ce que les données que nous collectons sont également utilisées à des fins de recherche, où sont-elles entièrement utilisées pour des activités commerciales? À votre avis, dans quelle mesure ces renseignements sont-ils utilisés dans des activités commerciales et dans quelle mesure sont-ils utilisés dans des activités de recherche?

    Il y a un système à deux clés ici. Il faut que les renseignements soient personnels et il faut que l'utilisation soit commerciale pour que cette loi s'applique. Si ce n'est pas commercial, alors, la loi ne s'applique pas.

    Alors, cela signifie qu'il faut que ce soit à la fois personnel et commercial. Ou peut-il s'agir de l'un ou de l'autre?

    C'est exact. Les deux.

    Vous avez dit que le dernier groupe à être assujetti à cette loi est le secteur de la santé, n'est-ce pas? Vous avez le produit de travail là. Pouvez-vous aller au bas de la page 21 et nous parler du produit du travail et nous dire comment il s'inscrit dans tout cela.

    Il y avait un débat important. Nous avons utilisé comme exemple les habitudes de prescription d'un médecin pour savoir si elles constituent un renseignement personnel pour le médecin ou pour les patients. Il y a un débat important sur cette question, et on peut présumer que la cour déterminera quel sera le résultat.

    Quelle est votre position sur cette question, si vous prenez cette le question particulière? Si nous regardons la communauté de la santé maintenant, elle collecte des données. C'est la raison pour laquelle je veux en arriver à ce problème particulier ici. D'un côté, ce sont des organismes qui collectent des renseignements personnels. De l'autre côté, ce sont les activités de recherche et commerciales fondées sur ces structures de données que nous avons. Et un troisième aspect, ce sont les médecins. Dans quelle mesure diffèrent-ils sur ces questions, dans les trois perspectives— recherche, les organismes et les médecins et leurs patients?

    Pour revenir en arrière, la législation est fondée sur la prémisse qu'il doit s'agir de renseignements personnels et qu'il faut que ce soit commercial. Il y a un certain nombre d'exceptions. Les renseignements collectés à des fins journalistiques ou artistiques, par exemple, ne sont pas assujettis à la loi. Ils sont exemptés de l'application de la loi. Il y a également un certain nombre d'exceptions pour des types particuliers d'activités de recherche, même si l'activité de recherche érudite est également exemptée de l'application de la loi, n'est-ce pas?

    Il y a une définition beaucoup plus attendue de recherche pour la plupart des gens. Certaines recherches peuvent être de nature commerciale. À cette fin, il y a certaines exceptions dans la loi pour ce que j'appellerais des fins de recherche commerciale.

    Pour revenir au produit du travail, je pense que vous avez raison, c'est une question centrale concernant certaines questions dans le secteur de la santé, à savoir dans quelle mesure les renseignements personnels constituent soit de l'information personnelle protégée soit de l'information sur un produit travail. Certains témoins vous diront que certaines provinces ont envisagé de définir le produit du travail de telle manière que cela sort cette question du domaine des renseignements personnels.

    En ce qui concerne la LPRPDE, une série de jugements des tribunaux ont défini les renseignements personnels de telle manière que certains types de données — comme l'information relative aux prescriptions, si je ne m'abuse — ont été définies comme n'étant pas des renseignements personnels. Dans la loi fédérale, nous n'avons pas encore défini le produit du travail, alors ce domaine a été exempté de la définition des renseignements personnels. Certaines provinces l'ont fait. Certains témoins viendront vous dire qu'il y a un avantage à cette approche. D'autres peuvent voir les choses de manière différente.

    Alors, c'est une approche. En ce qui concerne la LPRPDE, nous avons essentiellement pris, dans le secteur de la santé, du moins, une position semblable à cause de l'interprétation de la loi faite par les tribunaux.

    Je ne sais pas si un de mes collègues veut ajouter quelque chose, mais c'est de cette façon que je vois les choses fonctionner à l'heure actuelle.

    On m'a également dit que la Commissaire à la protection de la vie privée a jugé que le produit du travail comme celui-ci n'est pas personnel.

    Nous avons également une exception pour les données qui sont destinées purement à la recherche, c'est-à-dire, pour de la recherche pure qui ne relève pas du domaine commercial. Encore une fois, la loi ne s'applique pas à cette question.

    Ai-je bien compris que pour le produit du travail comme les habitudes de prescription des médecins, la Commissaire à la protection de la vie privée a jugé qu'il ne s'agissait pas de renseignements personnels? Est-ce bien ce que vous venez de dire?

    Oui, la Commissaire à la protection de la vie privée en a jugé ainsi.

    Est-ce que le ministère est d'accord?

    Cela ne nous pose aucune difficulté. C'est la loi.

    Il y a une différence entre ne pas avoir de difficulté avec cette question et être d'accord.

    Encore une fois, il va sembler que j'essaie d'éluder la question, mais ce que j'essaie de dire, c'est que nous cherchons des conseils sur certaines de ces questions. Ce sont des questions difficiles. Il n'y a pas nécessairement de consensus sur la façon dont elles devraient être traitées, et comme vous allez le constater, il y aura des divergences d'opinion à leur sujet. Par conséquent, en bout de ligne, nous allons attendre vos conseils et allons vous laisser considérer la chose.

    Monsieur le président, pour ajouter un petit mot, cela fait partie de la façon dont la LPRPDE fonctionne. La définition de renseignements personnels a été laissée assez large par le Parlement pour donner à la Commissaire à la protection de la vie privée l'occasion d'interpréter cette définition dans le contexte de son travail. C'est de cette façon que les choses se sont déroulées. Alors, il est important de savoir que la loi a été bâtie sur la flexibilité pour ce qui est de la façon dont la Commissaire à la protection de la vie privée définit les renseignements personnels.

    Merci.

    Y a-t-il des questions de la part du Bloc? Madame Lavallée?

    Oui, bien sûr. J'aimerais d'abord obtenir quelques renseignements parce qu'il y a des choses que je ne comprends pas. Je dois dire que je suis nouvelle au comité.

    Quand vous parlez des renseignements personnels pour des fins artistiques, qu'est-ce que cela veut dire concrètement?

    Dans certains cas, ce sont des listes de noms et d'adresses pour des cartes de Noël ou des invitations.

    Des invitations à des expositions, par exemple?

    Exactement.

    Quand vous parlez du produit du travail, ou du work product en anglais, qu'est-ce que cela veut dire?

    Je peux vous donner un exemple qui nous vient des tribunaux, celui des médecins qui écrivent des ordonnances.

    Le produit du travail peut donc être une ordonnance ou un rapport, par exemple.

    Oui.

    Outre les ordonnances, qu'est-ce que cela inclut?

    Mme Alexia Taschereau: Une personne ou un employé qui écrit un rapport dans le cadre de son emploi développe un produit.

    Mme Carole Lavallée: D'accord.

    Concernant les ordonnances, je m'étonne que vous vous penchiez sur cette question, parce que tout ce qui concerne la santé est normalement de la compétence des provinces, du Québec. Je ne comprends donc pas pourquoi vous vous penchez sur la question des ordonnances. Il y a peut-être quelque chose qui m'échappe.

    On mentionne la question des ordonnances parce que cela a été mentionné dans la jurisprudence. C'est donc cela qui nous vient à l'esprit. C'est aussi une compétence partagée. La loi traite des renseignements personnels ayant trait au secteur de la santé.

    Mme Carole Lavallée: Oui, mais tout de même, le secteur de la santé est une compétence du Québec et des provinces. Vous dites quelque part que lorsque c'est une compétence d'une autre province, vous n'y touchez pas et vous laissez le champ libre à cette province. Je ne comprends donc pas pourquoi vous vous préoccupez des ordonnances.

    Quand on envoie des données à un autre hôpital, qui est situé par exemple en Ontario...

    Dans une autre province.

    M. Michael Binder: C'est cela.

    Mme Carole Lavallée: Maintenant que vous m'avez éclairée, ce dont j'avais bien besoin, je vais vous poser une question portant sur les enjeux de cette loi sur le plan international. Vous avez parlé d'un organisme s'appelant Privacy International qui, si j'ai bien compris, a fait une étude de l'ensemble des lois sur la protection des renseignements personnels à l'international. Vous nous avez dit qu'il a étudié 30 pays.

    Je voudrais savoir si vous avez des contacts avec les autres pays qui ont une loi semblable à la nôtre. Faites-vous des comparaisons? Pouvez-vous nous dire quels sont les enjeux que nous ne couvrons pas et que les autres pays couvrent, ou quels sont ceux que nous couvrons et que les autres ne couvrent pas? Vous avez parlé du Canada et de l'Allemagne, mais je n'ai pas très bien compris si on était dans les premiers rangs centiles, comme on dit au Québec en parlant de l'éducation. Est-ce qu'on performe bien on non sur le plan international, et qu'est-ce qu'on aurait à améliorer?

    Nous avons un accord avec les Européens. On a établi une norme internationale fondée sur les lignes de conduite approuvées par l'OCDE. Au moyen de cette norme, nous avons un niveau de protection de la vie privée équivalent à celui des pays européens.

    Je ne suis pas bien au courant de toutes les études que les autres ont faites, comme celle de Privacy International. Cette étude démontre que nous occupons actuellement un rang élevé comparativement aux autres pays.

    Nous sommes aux premiers rangs centiles.

    Dans les études comparatives que vous avez vues — peut-être n'en avez-vous pas fait une vous-mêmes —, avez-vous noté les éléments que nous pourrions améliorer ici?

    Pas vraiment, parce que les normes que nous avons adoptées, qui sont fondées sur le code CSA, sont les mêmes que celles que les pays européens ont adoptées. Nous sommes presque au même niveau.

    Y a-t-il quand même des mesures qui pourraient être améliorées?

    On fait toujours la comparaison entre nous, les Européens et les Américains. Les Américains ont une tout autre manière de gérer ce dossier. Ils ont adopté des lois sur chacun des secteurs, qu'il s'agisse des finances ou de la santé. C'est totalement différent. Nous pensons que notre méthode est meilleure, parce que toute l'économie est traitée de la même manière. C'est intéressant, parce que M. Gates, par exemple...

    Vous parlez de Bill Gates?

    Bill. Il est maintenant temps que les États-Unis fassent la même chose que nous, soit une loi qui s'applique à tous les secteurs de l'économie.

    D'accord. Merci beaucoup.

    Monsieur Martin.

    Merci, monsieur le président.

    Je veux remercier les témoins.

    J'ai examiné l'excellent le travail de recherche fait par Mme Nancy Holmes, notre attachée de recherche. Je n'avais pas l'intention de poser de questions, mais j'ai été inquiété par quelque chose qui est apparu plus tard dans son document de recherche, dans certaines des questions qu'elle nous a recommandé de vous poser pour avoir votre avis.

    Une de ces questions traite de l'obligation d'aviser les gens en cas d'atteinte à la confidentialité, surtout à la lumière des cas d'intrusion très médiatisés dans les systèmes informatiques d'entreprises américaines, etc. Certains États américains ont maintenant adopté des lois qui, en cas d'atteinte à la confidentialité, obligent les entreprises à informer les personnes que leurs renseignements personnels ont été compromis de cette façon. C'est intéressant pour moi, parce que quelqu'un est venu me voir récemment pour me dire que Visa faisait l'objet de 3 millions d'atteintes à la confidentialité par année, au Canada seulement, et les clients de la carte Visa ne sont pas informés du fait que leurs renseignements personnels ont été compromis. C'est une situation alarmante.

    Est-ce que vous recommanderiez, au cours de ce premier examen obligatoire de la loi, que la LPRPDE soit modifiée pour exiger que les personnes soient avisées lorsqu'il y a atteinte à la confidentialité?

    Si vous le permettez, nous avons beaucoup entendu parler de ce sujet particulier. Il y a ceux qui recommandent fortement, de manière absolue, — et ils comparaîtront devant vous — que la Commissaire à la protection de la vie privée donne des noms. Ils pourraient également proposer de modifier cette loi pour forcer la divulgation des atteintes à la confidentialité.

    Pas uniquement les organismes qui portent atteinte à la confidentialité; par exemple, si c'est Visa, Visa serait obligé de m'aviser si ma carte a été compromise, même si le problème a été réglé et que cela ne m'a rien coûté.

    Parlons-nous de la même chose?

    C'est bien cela. C'est la recommandation dont vous allez entendre beaucoup parler. En fait, je pense que la Commissaire à la protection de la vie privée viendra comparaître ici, alors vous pourrez le lui demander. Elle est réputée n'avoir aucun pouvoir à l'heure actuelle, en vertu de la loi, pour donner des noms, pour ainsi dire, et pour forcer cette question particulière. Cela exigera probablement une modification législative.

    Je ne veux pas vous enlever de temps, monsieur, mais monsieur Binder, je veux que vous écoutiez attentivement. M. Martin a posé une question. Il a demandé votre recommandation quant à savoir s'il devait y avoir des modifications à la loi. Il n'a pas demandé de savoir quel genre de témoignages nous allons entendre prochainement ou de qui viendront ces témoignages. Vous semblez penser qu'il est assez naturel que la Commissaire à la protection de la vie privée vienne nous donner ses recommandations sur la façon dont elle pense que la loi devrait être modifiée. Je pense qu'il est juste de dire que nous pensons qu'il est assez naturel que le ministère viennent nous donner ses recommandations à propos des choses dont il convient qu'elles devraient être recommandées. Ce n'est pas uniquement moi; vous venez juste de l'entendre de la part de M. Martin.

    Monsieur Martin, cela ne vous enlève pas de temps. Allez-y.

    Merci. En fait, c'était utile.

    En plus de cela, si vous pouviez répondre aux observations du président, je demandais qu'est-ce qui arriverait si nous décidions que c'est quelque chose que nous devrions faire à la LPRPDE. La question qui a été indiquée ici par notre attachée de recherche est la suivante: est-ce que le fait de ne pas divulguer une atteinte à la confidentialité des données pourrait faire l'objet d'une plainte auprès de la Commissaire à la protection de la vie privée — par exemple, si ma carte Visa a été compromise, même si la compagnie a corrigé la situation et que cela ne m'a rien coûté, mais elle ne m'a pas informé. Pensez-vous que c'est quelque chose dont je devrais pouvoir me plaindre auprès de la Commissaire à la protection de la vie privée, soit dans le cadre d'un recours collectif ou à titre personnel?

    Je peux intervenir.

    Vous pouvez probablement vous plaindre maintenant même à la commissaire à la protection de la vie privée si vous avez des raisons de croire que quelqu'un a eu accès, d'une façon ou d'une autre, à vos renseignements personnels à votre insu et sans votre consentement, même si c'était tout à fait accidentel ou un acte délibéré pour déjouer le système d'information. Vous pouvez vous plaindre grâce aux dix principes du code de la CSA dont l'application est sous la responsabilité de la commissaire à la protection de la vie privée et l'administration sous celle des sociétés et organisations. Le code exige que les organisations prennent des mesures de sécurité appropriées pour protéger les renseignements personnels qu'elles ont. La négligence, ou l'incapacité à protéger ces renseignements, ne justifie pas vraiment ni n'excuse le non-respect de la loi.

    Je pense que le point que vous soulevez le sera aussi par d'autres personnes devant le comité. On enregistre une augmentation aux États-Unis, ainsi que l'a mentionné votre attaché de recherches. Un certain nombre d'États américains ont adopté des obligations de notifier, de notifications de violation. Plusieurs expressions sont utilisées à cet effet, je crois qu'il y en a plus de trente. Les approches sont différentes. L'un des problèmes, c'est que les lois diffèrent d'un État à un autre; elles sont encore très fragmentées dans l'ensemble des États-Unis.

    C'est une question qui a été soulevée dans nos consultations et je pense qu'elle le sera devant le comité. Les lois ne sont pas claires et il n'y a rien contre l'obligation de notifier. En fait, la LPRPDÉ contient un certain nombre d'obligations que doivent respecter les organisations. Dans votre cas, pour le prendre en exemple, vous pouvez vous présenter devant le commissaire à la protection de la vie privée. La différence étant, comme l'a indiqué Michael Binder, qu'il n'y a aucune obligation de notifier tout le monde publiquement, comme l'exigent la plupart des lois aux États-Unis.

    Vous avez une minute.

    Très vite, une autre grave préoccupation soulevée par les attachés de recherche est liée à l'effet de la Loi sur la sécurité publique lors de son adoption et les amendements nécessaires à la LPRPDÉ. Le fait que l'État demande au secteur privé de collecter des renseignements personnels aux seules fins de les communiquer au gouvernement, autrement dit les sous-traiter, est très inquiétant.

    Dans quel contexte cela se produit-il? Je pense que l'un des contextes — à titre de préambule, même s'il ne reste pas beaucoup de temps — c'est que dans la province du Manitoba, ils ont sous-traité des informations sur la santé à Manitoba Data Services Inc. et ils l'ont si bien fait qu'une société américaine s'y est intéressée. Donc une entreprise américaine a acheté ces renseignements car il y avait un locataire-clé garanti. Et, aujourd'hui, des renseignements personnels sur ma santé se trouvent à Dallas, au Texas, dans une entreprise... J'ignore le nombre de mains, de propriétaires, entre lesquelles ils sont passés et je ne sais pas ce qu'ils font de ces renseignements.

    Peut-être puis-je poser ma question sous un autre angle. Est-il possible, au moyen de l'obligation, de suivre l'argent à l'extérieur du pays comme nous le faisons avec les lois sur les actes sexuels impliquant des enfants ou les lois sur l'exploitation minière — l'activité canadienne à l'extérieur des frontières? Qui peut m'aider en ce qui concerne mes renseignements personnels que détient une société privée à Dallas?

    La LPRPDÉ en vertu d'une entente de responsabilité, ainsi qu'on l'appelle, prévoit maintenant que la commissaire à la protection de la vie privée enquête auprès de l'organisation canadienne qui la première a permis l'envoi de vos renseignement à l'extérieur du pays. Alors...

    Donc il y a encore une obligation de la part du gouvernement qui les a vendus à une société privée? Non. La société privée qui les a vendus aux Américains aurait encore une obligation envers moi?

    L'organisation qui a communiqué vos renseignements personnels...

    Manitoba Data Services, il me semble.

    Pour Manitoba Data Services, c'est un peu plus compliqué parce que cette société est régie par une loi sur la protection des renseignement personnels provinciale. Mais, si une organisation du secteur privé recueille des renseignements personnels à votre sujet, avec votre consentement, a une fin particulière, elle a l'obligation, quel que soit son usage de ces renseignements dans la gestion de ses affaires, et vous y avez consenti, de protéger ces renseignements sous la forme de contrats avec toute autre organisation qui y a accès.

    Donc, ça suit...

    Monsieur Martin, votre temps est écoulé. Je ne peux pas vous permettre d'interrompre encore.

    Terminez votre réponse, monsieur Simpson, puis nous passerons au questionneur suivant.

    L'obligation est transférée à l'organisation canadienne qui se conforme à la LPRPDÉ et à ses principes afin qu'elle s'assure qu'une tierce partie, où qu'elle soit localisée, respecte, par contrat et donc conformément à la loi, les mêmes principes énoncés dans la LPRPDÉ. Ça se fait par extension.

    La commissaire à la protection de la vie privée vous dira la même chose quand elle comparaîtra, je crois, mais elle peut soulever des points pour déterminer si cela est vrai pour toutes les situations et si c'est efficace au niveau, par exemple, de la sécurité publique.

    Merci.

    M. Tilson est le dernier questionnaire de la première série de questions. Nous passerons ensuite à M. Peterson, puis à M. Stanton pour la deuxième série.

    Monsieur Tilson.

    Merci, monsieur le président.

    Je vais continuer dans le sens des questions du président et de M. Martin.

    En fait nous vous demandons des conseils. Vous dites que vous nous demandez des conseils; nous vous demandons des conseils. Vous avez dit avoir rencontré les intervenants et je suppose que vous avez eu des discussions avec la commissaire à la protection de la vie privée.

    J'aimerais avoir une liste des amendements proposés, recommandés ou suggérés que vous voudriez que le comité recommande au Parlement afin de déterminer la voie à suivre à ce sujet, au lieu que ce soit nous qui vous la donnions. Je pense que c'est l'inverse. Nous sommes chargés d'examiner cette question et de faire des recommandations au Parlement et nous avons besoin de vos conseils.

    Je vais donc vous demandez — je n'arrive pas à croire que vous ne vous êtes pas assis pour dire oui, nous devrions avoir les amendements proposés suivants — allez-vous nous donner cette liste?

    Je déteste me répéter, mais c'est au ministre qu'il faut demander cela, car seul le ministre peut proposer des amendements et des modifications après l'application de la loi interne.

    Je ne suis pas autorisé à vous donner mon avis personnel sur l'amendement.

    Très bien.

    En vertu du projet de loi C-2, la loi sur la responsabilisation proposée, VIA Rail, SRC et une troisième — dont je ne peux pas me souvenir — ont été transférées à la Loi sur la protection des renseignements personnels et ce n'est pas assujetti à la LPRPDÉ. La commissaire à la protection de la vie privée a exprimé sa préoccupation à ce sujet et a déclaré que la Loi sur la protection des renseignements personnels assurerait moins de protection que la LPRPDÉ.

    Qu'en pensez-vous?

    Nous croyons comprendre que cette proposition a été supprimée de la dernière version du projet de loi C-2 et maintenant, seulement la Société d'expansion du Cap-Breton est censée être assujettie à la Loi sur la protection des renseignements personnels.

    Cela a été initialement l'objet d'un décret issu le 31 août et par lequel la Société d'expansion du Cap-Breton a été abolie de la LPRPDÉ. Elle a été initialement assujettie à la loi par un décret à la fin de 2000. Elle a été abolie par un décret en août 2005 et assujettie au même moment par une annexe à la Loi sur la protection des renseignements personnels.

    Le projet de loi C-2, tel que nous le comprenons, propose seulement d'en faire une loi pour la Société d'expansion du Cap-Breton. Nous croyons savoir...

    Êtes-vous en train de dire que ce que je viens de vous dire est inexact?

    Je ne veux pas paraître...

    Ça ne me dérange pas. Il m'arrive souvent d'être dans l'erreur, donc ça me dérange pas de me tromper.

    Je veux mentionner la vérification au décret que j'ai faite avec les différentes versions de ce projet de loi. Nous croyons comprendre que la version présentée en première lecture comportait ces organisations. Lorsque la version a été envoyée au Sénat, elles n'y étaient plus.

    D'accord.

    J'ai une question sur le Budget des dépenses. Nous avons parcouru le Budget des dépenses de la commissaire la semaine dernière, ou récemment, et nous avons entendu dire qu'ils dépensaient un million de dollars en six mois pour payer des experts- conseils. Est-ce que le Commissariat de la protection à la vie privée a suffisamment de ressources pour faire ce qu'il est supposé faire?

    En ce qui concerne...

    Non, monsieur le président, laissez-moi faire seul.

    Des voix: Oh, oh!

    M. David Tilson: Si je vais avoir des problèmes, je n'ai pas besoin de votre aide.

    Comme tout bon bureaucrate vous le dira, il n'y a jamais suffisamment d'argent.

    J'imaginais bien que c'est ce que vous alliez répondre, mais nous dépensons beaucoup d'argent en frais d'experts-conseils, donc j'en déduis... Je ne sais pas ce que je dois déduire de cela.

    Il faudra que vous lui demandiez. Nous ne sommes pas en mesure de...

    Oui, d'accord.

    Le Commissariat à la protection de la vie privée fait un certain nombre d'enquêtes et de vérifications. Le Commissariat de la protection à la vie privée devrait-il être quasi judiciaire?

    Je ne comprends peut-être pas la terminologie. Je croyais qu'il était déjà quasi judiciaire. Il a des autorisations et des pouvoirs légaux — peut-être pas suffisamment pour certains.

    A-t-il une autorité appropriée?

    Certains vous diront oui, d'autres non.

    Et vous?

    Des voix: Oh, oh!

    Il faudra que je le demande à mon ministre.

    D'accord.

    Pouvez-vous me dire quelles sont les relations entre votre bureau et le Commissariat de la protection à la vie privée? Sont-elles bonnes?

    Nous sommes responsables des politiques, en quelque sorte, en surveillant le décret, les dispositions et la capacité de la loi a créer des règlements — par exemple, considérer des mesures législatives très similaires dans les provinces, considérer des organismes d'enquête. Nous nous occupons beaucoup de questions règlementaires.

    L'administration de la loi est assurée par le Commissariat de la protection à la vie privée.

    Nous collaborons très étroitement avec le Commissariat de la protection à la vie privée dans un certaine nombre de domaines, y compris les responsabilités du gouverneur en conseil qui viennent d'être mentionnées.

    Le Commissariat de la protection à la de la vie privée donne son point de vue relativement aux politiques visant à considérer des lois essentiellement similaires et des organismes d'enquête. Des relations, officielles et officieuses, existent donc dans la mesure où elles sont incorporées dans les principes directeurs.

    Nous travaillons aussi très étroitement avec elle sur les questions internationales. Comme je l'ai mentionné auparavant, l'OCDE est très active dans ce domaine et continue de l'être. C'est l'un de ces organismes — pour revenir à la question posée par Mme Lavallée — où il n'est pas tant question d'établir de nouvelles normes pour la protection de la vie privée, mais qui aborde des domaines de coopération pour l'application transfrontalière des lois sur la protection des renseignements personnels et certaines de ces questions internationales. La commissaire à la protection de la vie privée a été active avec l'OCDE, elle collabore avec nous sur certaines de ces questions à l'échelle internationale.

    D'accord.

    Les sept minutes sont-elles toutes écoulées?

    Huit minutes, en fait.

    Qu'on se le tienne pour dit, mesdames et messieurs. Nous appellerons le ministre et vous demanderons de vous préparer aux propos qu'il tiendra ici. Nous demanderons quels sont les amendements particuliers, s'il y a lieu, il veut que nous considérions. Et s'il dit qu'il n'y en a pas, nous lui demanderons son avis sur les amendements suggérés par d'autres personnes.

    Nous passons maintenant à M. Peterson.

    Merci.

    Avez-vous entendu dire quelque part que la commissaire à la protection de la vie privée ne devrait pas avoir le pouvoir de rendre des ordonnances?

    Oui. Comme nous l'avons mentionné tout à l'heure, il y a vraiment deux points de vue sur la question du pouvoir de rendre des ordonnances ou de la commissaire à la protection de la vie privée en tant qu'organisme quasi judiciaire.

    Soit dit en passant, je suis sûr que la commissaire à la protection de la vie privée se prononcera elle-même sur cette question. Je pense que le premier point de discussion devrait porté sur les pouvoirs...

    Donc, c'est une question à deux volets.

    Oui.

    D'accord.

    Puisque que la LPRPDÉ fonctionne si bien, je n'arrive pas comprendre pourquoi quatre provinces ont adopté une loi similaire après la nôtre. N'est-ce pas un dédoublement de la pire espèce?

    En fait, la législation provinciale crée une norme globale de protection des renseignements personnels dans les secteurs privé et public dans ces provinces. Elle renforce vraiment la protection des renseignements personnels à un degré que ni la loi fédérale en elle-même ni les lois provinciales individuelles n'ont pu atteindre. Par conséquent, c'était quelque chose de...

    Si la LPRPDÉ protège des renseignements du secteur privé, pourquoi ces provinces sont-elles intervenues et l'ont fait aussi?

    La LPRPDÉ ne protège pas tous les éléments des renseignements personnels. Certains éléments sont hors du cadre de l'autorité constitutionnelle du gouvernement fédéral en vertu du commerce...

    Comme un organisme appartenant à la province ou un gouvernement ou un ministère provinciaux.

    Oui, comme le secteur de la santé. Il y a un certain nombre de domaines. Tout domaine où les renseignements ne sont pas définis comme étant de nature commerciale ne peut pas être assujetti à la LPRPDÉ. Par conséquent, les domaines qui...

    Pourquoi alors les renseignements commerciaux sont-ils assujettis aux lois provinciales?

    Il n'y a pas de dédoublement; c'est l'une ou l'autre. Dès qu'elles adoptent leur loi, nous sommes mis à l'écart.

    Je sais.

    Certaines provinces voulaient une approche de plus globale que ce qu'elles avaient déjà dans leur juridiction. Certaines provinces qui avaient décidé d'utiliser la LPRPDÉ n'ont pas, jusqu'à présent, l'intention de promulguer une loi provinciale.

    Je suppose qu'il y aurait alors des lacunes dans la structure, au niveau des opérations gouvernementales.

    C'est possible; je suppose qu'elles traverseront le pont quand elles arriveront à la rivière. Pour le moment, elle sont assez satisfaites de ne pas la promulguer.

    Que se passe-t-il aux États-Unis? Est-ce que chaque État a une loi similaire à celle-là, mais il n'y a pas de loi fédérale? Est-ce cela la situation?

    il n'y a pas de loi similaire à la LPRPDÉ pour l'ensemble de l'économie et indépendante des divers secteurs. Aux États-Unis, il y a la protection des renseignements personnels sur la santé, des renseignements d'ordre financier et ce genre de projet de loi. Je crois qu'il y a aussi...

    Sont-elles nationales?

    Oui, elle sont nationales. Mais, je pense qu'il y a certaines dispositions dans divers États. Donc c'est vraiment complexe. C'est très compliqué là-bas.

    Il est aussi compliqué pour les étrangers de faire des affaires au Canada avec des lois provinciales et fédérales qu'il faut respecter.

    Monsieur le président, je voudrais juste savoir combien de témoins... Est-ce que beaucoup de personnes ont demandé? Combien?

    Monsieur le greffier.

    Une vingtaine environ en comptant les personnes et les groupes.

    C'est un nombre élevé pour ce comité.

    Cela me surprend — pour cette loi. Je n'en avais même pas entendu parler.

    Nous aimerions que vous nous donniez les noms de certains témoins que nous pourrions inviter à comparaître devant nous. Cela serait très utile pour le comité

    Nous avons une liste que nous pouvons remettre au greffier.

    Est-ce tout, monsieur Peterson?

    Monsieur Stanton.

    Merci, monsieur le président, et merci à nos invités d'être ici cet après-midi.

    Je n'ai que cinq minutes, je vais donc essayer de faire cela le plus rapidement possible.

    Ma question se rapporte aux propos tenus tout à l'heure sur la notion du produit du travail. Vous avez mentionné la divulgation de renseignements personnels sur la santé pour... À titre d'éclaircissement, j'imagine que vous ne parliez pas de ceux des patients, mais des professionnels de la santé. Voulez-vous préciser ce que vous vouliez dire? Je suppose que vous faisiez allusion aux renseignements au sujet de l'ordonnance.

    Vous ne parliez pas des renseignements au sujet de l'ordonnance ou de l'identité de la personne qui a prescrit certains médicaments. Il est évident qu'il s'agit là de renseignements personnels, n'est-ce pas?

    C'est exact. Il s'agissait de l'élément plus personnel. Le médecin qui remplit l'ordonnance, et son nom est indiqué, constituait une partie de l'argument. Je crois comprendre qu'il s'agissait essentiellement de déterminer si ces renseignements étaient personnels et devraient être protégés ou s'ils portaient sur le produit du travail, puisque cela est du domaine de ses fonctions en qualité de médecin.

    Je vous remercie de cette précision.

    Pour passer un sujet complètement différent, d'un autre comité avec lequel je travaille au sujet d'Internet. L'usage d'Internet au plan de la criminalité est épouvantable — dans ce cas, il est question de l'exploitation sexuelle et de la traite des personnes. Internet est utilisé à ces fins ignobles. Je remarque que l'article 7 prévoit des exemptions et des consentements pour les questions relatives à la criminalité, les enquêtes sur la fraude, l'application de la loi, la sécurité, etc.

    Existent-il d'autres aspects de la LPRPDÉ qui ne en fonctionnent pas pour donner aux services de police l'accès dont ils ont besoin pour faire des enquêtes, lancer des poursuites judiciaires? Je suppose qu'il faut des citations à comparaître ou des mandats avant que les services de police puissent avoir accès, par exemple, aux noms et aux informations personne-ressource de certains abonnés d'Internet. Est-ce que cela pose des problèmes ou faudrait-il apporter certaines améliorations à la LPRPDÉ qui permettraient aux services de police de faire leur travail?

    Nous avons une disposition particulière pour les enquêtes et la lutte contre la criminalité. Très franchement, nous n'avons pas reçu de plainte. Chaque fois qu'il y a une lacune, il y eut une modification. Une disposition antiterroriste a été adoptée.

    C'est certainement quelque chose qu'il est important de savoir, car tous ces noms et ces adresses sont, bien sûr, gardés chez des sociétés commerciales, privées... Dans ce cas, chez les fournisseurs de sécurité Internet.

    Finalement, en ce qui a trait aux pouvoirs de la commissaire à la protection de la vie privée, vous avez mentionné la possibilité de sanctions, de recours et d'amendes. Je suppose que cela ne peut se faire que par le biais de la Cour fédérale, donc les tribunaux sont le seul moyen dont elle dispose pour appliquer la loi. J'essayais de voir s'il y avait d'autres exemples où d'autres pouvoirs serait présentés. Il y a probablement des règlements dans d'autres ministères, des agents de l'autorité et ce genre de choses, des gens qui travaillent sur le terrain, qui peuvent appliquer les règlements.

    Mais je me demande où nous pourrions assurer une capacité accrue à la commissaire à la protection de la vie privée afin de lui permettre d'obtenir des résultats sur le terrain sans avoir à recourir à la Cour fédérale. Y a-t-il d'autres exemples où un bureau similaire dispose de meilleurs moyens pour faire cela?

    Il y a des organismes quasi judiciaires qui ont des pouvoirs différents, comme les SPA — pour sanctions pécuniaires administratives, il me semble, qui peuvent imposer directement des sanctions, des sanctions sévères. Pour cela, il faudrait modifier la loi.

    Est-ce le genre d'instrument qui pourrait être incorporé à la LPRPDÉ?

    Pas tout de suite. Il faudrait modifier la loi de façon à y incorporer ce pouvoir particulier et des défenseurs se présenteront devant vous pour recommander fortement que ce devrait être fait.

    Donc, ce serait un changement fondamental du fonctionnement de la loi, car elle fonctionne maintenant selon le modèle de l'ombudsman, la Cour fédérale étant l'instrument auquel a recours la commissaire de la protection à la vie privée contre, comme je l'ai dit auparavant, des violations délibérées et intentionnelles de la loi. Donc, c'est vraiment le pouvoir de rendre des ordonnances ou la surveillance et la réparation dont nous avons parlés tout à l'heure.

    Dans un scénario de pouvoir de rendre des ordonnances, le problème est de savoir s'il est encore nécessaire de mettre sur pied un organisme indépendant qui appliquerait les sanctions. Par exemple, la Commission canadienne des droits de la personne a un tribunal. Le Bureau de la concurrence a un tribunal. Il faudra donc s'assurer que l'organisme d'enquête ne puisse pas être juge et juré à la fois.

    Merci.

    Je voudrais seulement poser une question qui va dans le sens de celles de M. Stanton. Il y a eu récemment un cas dans le sud de l'Ontario, plus précisément à St. Thomas, où un père était soupçonné de maltraiter son enfant en ligne. Les policiers ont tenté d'empêcher que ce crime continue, mais quand ils ont téléphoné au fournisseur de services pour avoir le nom et adresse de la personne. Je crois qu'il y a eu une certaine hésitation de la part du serveur à donner ces renseignements. Si l'hésitation du serveur avait été prévue dans la LPRPDÉ — en fait, M. Simpson, je préfère par son acronyme, donc je vous suis — ou si la préoccupation supposée du fournisseur de services avait été prévue dans la Loi sur la protection des renseignements personnels? Laquelle de ces deux lois aurait été utilisée?

    Ce qui constitue un pouvoir légal est une question qui se pose dans certains cas. Comme nous l'avons dit tout à l'heure, la loi énonce clairement qu'en cas de pouvoir légal pour ces renseignements dans le cadre d'une enquête sur des activités criminelles, de la sécurité nationale ou quoi que ce soit, ces exigences passent au-dessus de la protection des renseignements personnels. La question de ce qu'est un pouvoir légal se pose quelquefois au niveau opérationnel. Est-ce un mandat? Dans certains cas sur Internet, quand vous bougez très vite, les policiers ne peuvent pas présenter un mandat sur papier. Quelquefois, ils vous contactent par courriel.

    Voilà le genre de problème qui serait soulevé, je crois, dans des discussions sur les exigences opérationnelles avec des défenseurs de la vie privée et des services de police. Comment définir le pouvoir légal de façon à assurer l'équilibre?

    Merci beaucoup.

    Monsieur Laforest, s'il vous plaît, cinq minutes.

    Merci, monsieur le président. J'ai deux questions à poser.

    Monsieur Simpson, vous nous avez présenté un document dans lequel vous parlez entre autres du renvoi du Québec en matière constitutionnelle. À la fin de la page 15, vous dites:

    Cela signifie-t-il que si elle n'y était pas essentiellement similaire, la loi québécoise sur la protection des renseignements personnels ne pourrait pas s'appliquer au Québec?

    Ma deuxième question a trait au paragraphe suivant, où vous dites:

     Dit-on cela pour présumer d'un jugement à venir et, le cas échéant, quelqu'un du même ministère qui serait responsable au Québec ne pourrait-il pas dire que la décision qui sera rendue infirmera la capacité du gouvernement fédéral? Je sais bien que ce n'est pas nécessairement ce qu'il dirait, mais n'est-ce pas présumer d'une décision qui n'a pas encore été rendue?

    On vient de discuter de ce point. Vous avez raison. Le mot « confirmera » est un grand mot. On pense que cela va clarifier la situation sur ce point.

    J'aurais mieux aimé lire « confirmera les limites » à tout le moins.

    Ou « clarifiera. »

    On dit que la loi québécoise est « essentiellement similaire » à la LPRPDE. Cela veut-il dire que si elle n'y était pas essentiellement similaire, elle ne pourrait pas s'appliquer?

    C'est une question qui concerne la loi fédérale. Si la loi provinciale n'était pas considérée

    essentiellement similaire,

la loi fédérale s'appliquerait dans la province et les organisations ne seraient pas exemptées de l'application la loi fédérale. Si vous me permettez de continuer en anglais, je dirai que

    il est plus question de la loi fédérale et si elle exemptera des organisations plutôt que de la poursuite de l'application de la loi provinciale. Elle continuerait à s'appliquer, quoi qu'il en soit.

    Quand on dit cela, est-ce qu'on ne confirme par qu'il y a effectivement un empiètement sur le plan constitutionnel?

    Non. C'est une situation hypothétique. On a construit cette loi en se basant sur le modèle québécois. Les politiques et les idées viennent du Québec. Le Québec a été la première province à adopter une loi semblable. Si le Québec veut modifier sa loi et en enlever les dispositions concernant le consentement, par exemple, nous ne l'accepterons pas, parce que les renseignements personnels des Canadiens doivent être protégés par la loi. Dans ce cas, on aura deux lois.

    Mme Lavallée aimerait poser une brève question.

    Tout à l'heure, on a parlé du rapport de Privacy International. Je suppose que vous l'avez lu et que vous l'avez en votre possession. Vous est-il possible de nous le faire parvenir?

    Oui. Il existe un tableau et un résumé qui sont disponibles. Nous pouvons vous les faire parvenir.

    Merci.

    Merci beaucoup.

    Monsieur Wallace.

    Merci, monsieur le président.

    Merci d'être ici à cette heure tardive de l'après-midi.

    Je veux savoir ce que cache Bruce Stanton. Je veux savoir ce qu'est sa prescription.

    Je ne vous le dirai pas.

    Je suis d'accord avec le président et avec mon collègue. Peut-être est-ce dû à mon expérience de conseiller municipal, mais j'attendais que le personnel, pour moi vous en faites partie, nous fasse des recommandations sur des sujets sur lesquels nous ne connaissons rien — à moins de s'en occuper, on ne connaît rien sur ce sujet — mais, ce n'est évidemment pas le cas.

    Ma question a trait aux consultations futures. Puisqu'il s'agit d'un examen demandé, pas de quelque chose que quelqu'un faisant partie du comité est intéressé à faire... Je ne dirais pas que c'est politique, puisqu'il y a eu un consensus. N'aurait-il pas été préférable d'avoir d'abord le ministre ici — puisqu'il semble que vous travaillez pour le ministre — et poser les questions pour lesquelles nous voulons des réponses du ministère, ou aurait-il fallu que nous obtenions du ministre qu'il vous autorise à nous faire des recommandations?

    Je suis nouveau ici, donc tout cela est nouveau pour moi. J'aimerais que vous nous disiez, si vous pouvez encore en parler, ce qui aurait été préférable que nous fassions.

    Nous avons peut-être mal compris ce que l'on attendait de nous, mais on nous a dit très clairement que nous étions invités à comparaître ici pour présenter un aperçu du projet de loi. Comme un cours LPRPDÉ 101.

    Si vous aviez demandé une recommandation, nous aurions soit demander l'autorisation de vous faire une recommandation soit de vous dire que nous ne pouvions pas le faire et de vous consulter pour inviter le ministre. Mais cela devait être un aperçu purement théorique du sens de la loi, de ses dispositions, etc.

    Nous avons pris des notes. Si vous voulez, nous pourrions vous communiquer plus tard nos points de vue personnels.

    Je vous en remercie, car la commissaire n'a pas été invitée ici pour ce sujet particulier. Mais dans un rapport de juillet 2006, elle a annoncé que « Le rôle du Commissariat n'est pas de proposer des modifications à la LPRPDÉ. » Donc, si elle ne nous fait pas de recommandation, et vous n'en faites pas, je ne sais pas, mis à part les intervenants, qui nous les fera pour nous donner une idée de la voie à suivre. Je fais simplement état de mon expérience passée.

    Dans la documentation que vous avez fournie, vous suggérez un certain nombre de modifications que vous qualifiez de mineures. Il s'agit de domaines auxquels, à votre avis, nous apporterons des modifications mineures. Est-ce exact?

    Oui, nous estimons que les témoins de votre liste proposeront probablement certaines de ces modifications. Donc, nous vous prévenons. C'est ce que nous croyons qui vous sera présenté.

    D'accord. Nous pouvons nous concentrer sur ces domaines, puis ce sera exact.

    Ma question, s'il me reste encore du temps, est la suivante : Est-il possible d'avoir un examen des points forts de la LPRPDÉ? Je crois que quatre provinces ont leurs propres systèmes de protection des renseignements personnels. La documentation n'indique pas lequel est le meilleur, ce que nous préférons et ce que nous n'aimons dans les autres. Devrions-nous adopter des choses que les provinces ont adopté? Ou devrions-nous laisser faire les provinces? Je ne sais pas très bien où cela va nous mener.

    Par exemple, j'ai reçu des experts-conseils pour leur demander la définition dans le modèle de la Colombie-Britannique. Est-ce une meilleure définition oui ou non? Comment pouvons-nous arriver à vous le faire dire? Avez-vous des avis sur ces choses?

    Nous pouvons vous dire quelles lois provinciales sur les renseignements personnels — à l'exception du Québec, bien sûr, qui a suivi la loi fédérale — ont abordé de manière intéressante certaines questions, comme celle du produit du travail. Vous pourriez vous y référer en vous fondant sur les autres témoignages. Nous suggérons aussi, en réponse à votre demande de personnes appelées à comparaître devant le comité, que les commissaires à la protection de la vie privée des provinces sont d'excellentes personnes pour discuter non seulement de l'application de leurs lois, mais aussi de la protection des renseignements personnels de manière générale et de la façon dont le régime de la protection des renseignements personnels fonctionne généralement au Canada.

    Donc, j'estime que des deux côtés, nous pouvons être d'une assistance dans certains de ces domaines. Je pense, toutefois, qu'il serait préférable que vous l'obteniez directement de la source. Si des commissaires à la protection de la vie privée provinciaux seront appelés à comparaître devant le comité, ils présenteront un excellent examen des éléments, de leurs lois, qui sont essentiellement similaires à la loi fédérale. Vous serez peut-être intéressés aux quelques idées qu'ils ont dans d'autres domaines.

    Je vous remercie.

    Voilà mes questions, monsieur le président.

    À titre d'information pour le comité, tous les commissaires à la protection de la vie privée ont été invités à comparaître. Trois ont refusé, le commissaire de la Colombie-Britannique sera ici.

    Monsieur Martin, avez-vous des questions?

    Non, merci.

    Madame Jennings.

     Merci beaucoup, monsieur le président.

    Je ne suis pas un membre en titre du comité, mais j'attendais l'examen de la LPRPDÉ depuis son dépôt, car elle a été déposée par le précédent gouvernement, elle a été présentée devant le Comité de l'industrie dont j'étais membre. Je suis assez fière du fait que certaines modifications apportées à cette époque et qui sont devenues loi avaient été présentées par les libéraux, et certaines, par moi en particulier, — la protection des dénonciateurs, par exemple, le renforcement des protections et des pouvoirs actuels de la commissaire.

    Il y avait deux questions étaient majeures à l'époque où le Comité de l'industrie a examiné cette loi à la deuxième lecture et à présenté des modifications. L'une était la protection des renseignements personnels pour les renseignements personnels ou les renseignements divulgués au cours d'une activité professionnelle, ce que nous appelons maintenant les renseignements du produit du travail. Beaucoup d'intervenants s'inquiétaient vraiment que la définition dans la LPRPDÉ était insuffisante et qu'elle finirait par devenir un obstacle.

    Après l'entrée en vigueur de cette loi, parce que le gouvernement avait pratiquement convaincu les membres du comité à cette époque que non, non, tout est bien, le produit du travail sera pas un problème; la définition, même si elle n'y est pas... Tout le monde comprend qu'il n'y a pas de protection des renseignements personnels pour les renseignements du produit du travail et par conséquent, la définition actuelle ne sera pas un obstacle. En fait, ce n'est pas le cas. Des cas ont été portés devant les tribunaux. Et le précédent commissaire a dû prendre une décision d'interprétation qui a été et peut être contestée devant les tribunaux.

    Donc, je pense qu'il est très important d'examiner cette définition particulière et d'établir une distinction entre les renseignements personnels et les renseignements du produit du travail et d'éliminer la protection des renseignements personnels pour les renseignements du produit du travail. Je me réjouis du fait que les membres du comité posent ces questions, et je suppose en me fondant sur la documentation que ce point a été soulevé lors des consultations que vous avez eues avec les intervenants. Et si votre ministère vous y autorise, vous serez en mesure de nous présenter des recommandations ou, par le biais du ministre, des recommandations sur ce sujet particulier. Ai-je raison?

    M. Richard Simpson: Toujours! Vous avez raison.

    L'hon. Marlene Jennings: Je dirai simplement ceci : je vais assister dans la mesure du possible à ces réunions, même si je dois forcer des députés libéraux à ne pas venir afin de pouvoir les remplacer légalement. Et je vais essayer de les convaincre que si le gouvernement ne présente pas de modification, ils devraient en présenter pour établir cette distinction.

     La deuxième question qui me préoccupait à cette époque était celle du consentement, donner son consentement, le consentement explicite, le consentement implicite à des entreprises qui recueillent des renseignements et qui peuvent les communiquer à leurs branches ou à des tierces parties avec lesquelles elles ont conclu des contrats ou je ne sais quoi. Une étude a été faite récemment par l'institut à l'Université d'Ottawa sur toute la question du consentement et mes cheveux se sont dressés sur ma tête quand j'ai vu les résultats.

    La définition du consentement pose un vrai problème, qu'est-ce que le consentement explicite? Qu'est-ce que le consentement implicite? Quel genre de consentement est nécessaire pour échanger ces renseignements avec des tierces parties? Quel type de renseignement est échangé? Il y a là un vrai problème. Et apparemment toutes les sociétés n'ont pas mis en vigueur en protocole. Chez celles qui en ont un, le protocole peut ne pas être facilement accessible au consommateur à qui l'on demande de renoncer à ses renseignements personnels. Je suppose donc que c'est un autre problème que vous avez évoqué avec des intervenants, et que vous savez clairement les recommandations vous allez faire au ministre. Je suppose que vous recommanderez au ministre soit qu'il vienne prêt à répondre soit qu'il vous libère de votre engagement de non-divulgation et vous autorise à répondre directement au comité.

    Ai-je raison?

    Nous connaissons cette étude et oui, si j'avais suffisamment de cheveux, ils se dresseraient aussi sur ma tête. Les résultats de ce genre d'enquête, ou d'étude, sont décourageants.

    L'étude souligne, toutefois, pas seulement la définition du consentement, bien que ça en fasse partie, mais aussi comment déterminer jusqu'à quel point les organisations savent les responsabilités qui leur incombent en vertu de la loi, qu'elle soit provinciale ou fédérale, et c'est quelque chose que nous devons aborder. Je suis sûr que la commissaire à la protection de la vie privée, parce qu'elle a fait, elle l'a mentionné dans son rapport annuel au Parlement, voudrait vous parler de l'aspect éducationnel.

    Merci.

    Monsieur le président, me reste-t-il du temps? J'ai essayé de parler rapidement...

    Non, j'ai bien peur qu'il ne vous en reste plus, mais cela méritait bien les cinq minutes. Nous apprécions votre participation, madame Jennings, surtout parce que vous étiez membre du comité original. C'est très utile.

    Je n'ai pas une liste officielle. Est-ce que quelqu'un du côté des conservateurs voudrait lever la main? Non?

    Nous passons alors à Mme Lavallée.

    On a parlé de la loi du Québec et de la loi canadienne. Je voudrais savoir ce qui se passe exactement au Québec actuellement. Normalement, c'est la loi québécoise qui s'applique au Québec, mais dans les entreprises et les organisations qui sont sous juridiction fédérale, notamment les banques, est-ce la loi fédérale qui s'applique?

    Oui. Vous avez raison.

    C'est divisé de cette façon?

    Oui. Les banques, les radiodiffuseurs, etc.

    Les télécommunication, les ports, les aéroports et ainsi de suite. On parle de la liste habituelle.

    Oui, exactement.

    C'est la loi canadienne qui s'applique dans leur cas.

    Oui.

    Merci. C'est tout.

    Monsieur Peterson.

    Je laisse le restant de mes 20 minutes à Mme Jennings.

    Des voix: Oh, oh!

    Madame Jennings.

    J'adore mon travail.

    En ce qui a trait aux points soulevés par Mme Lavallée et M. Laforest, il y a eu beaucoup d'arguments devant le comité de l'industrie à la deuxième lecture. C'était très intéressant, parce que tous les experts constitutionnels sont revenus et ont expliqué très clairement qu'en vertu de la Constitution du Canada, des domaine relèvent exclusivement de la compétence du fédéral, d'autres des compétences des provinces et des domaines se chevauchent, où les deux autorités, les deux niveaux de gouvernement, ont l'autorité constitutionnelle de légiférer. En cas de heurts, le gouvernement fédéral pourrait avoir à se retirer.

    Dans ce cas particulier, ils ont dit clairement que si aucune loi provinciale ne réglementait la protection des renseignements personnels dans les documents électroniques pour les sociétés les organisations assujetties à la réglementation provinciale dans le territoire d'une province, alors la LPRPDÉ du gouvernement fédéral pourrait s'appliquer. Cependant, même lorsqu'il y a une loi provinciale, dès que les renseignements font partie d'une transaction commerciale qui a traversé les frontières provinciales ou les frontières du pays, ça relève alors clairement et exclusivement de la compétence du gouvernement fédéral.

    Je suis étonnée que cinq ans après, le même faux argument est présenté par mes estimés collègues — que je respecte beaucoup, mais j'ai eu le même argument avec Mme Lalonde au Comité de l'industrie. Les experts constitutionnels, y compris ceux du Québec, ont déclaré très clairement que si j'achetais quelque chose à une société au Québec et que je réside au Québec, et que cette société envoie mes renseignements parce que son fournisseur se trouve en Colombie-Britannique ou aux États-Unis, la loi du Québec ne me protège pas. Dès que mes renseignements ont traversé la frontière, ils sont au pays des merveilles et ils pourraient en faire ce qu'ils veulent. D'où la nécessité d'une loi fédérale.

    Comme il a été dit, cette loi a été modelée en grande partie sur le modèle qui existait déjà au Québec. C'est un peu comme ce que nous avons voulu faire avec

le programme national des garderies. Il y avait déjà un programme au Québec. Il a fallu beaucoup de temps pour convaincre les gouvernements provinciaux d'être d'accord, mais on a finalement signé des ententes, et celles-ci étaient modelées sur le système qui existait au Québec. Donc, la Loi sur la protection des renseignements personnels et les documents électroniques s'est inspirée du modèle du Québec, mais pour nous protéger dans les secteurs et les domaines où la loi du Québec n'a pas juridiction.

    Permettez-moi de reprendre mon souffle.

    Oui, c'était un discours de trois minutes. Avez-vous une question, Marlène?

    Étonnamment, j'en ai une.

    Parce que vous pourriez la poser une autre fois.

    Non, merci.

    Au sujet des fusions et des acquisitions, je vois qu'il y a eu des demandes pour modifier les exigences en matière de consentement. Pouvez-vous nous donner un peu plus de renseignements sur ces demandes?

    Vous ne faites de recommandation, donc je suppose que vous n'avez pas à consulter votre ministre. Il s'agit simplement de nous faire part des demandes, dont vous êtes au courant, visant à modifier les exigences en matière de consentement concernant les fusions et des acquisitions dans la LPRPDÉ.

    D'après ce que j'ai compris, en cas de fusion ou d'acquisition, il faut certaines données et renseignements concernant les agents, le domaine dans lequel ils travaillent, etc., et certains de ces renseignements doivent être — c'est l'argument avancé — « accès sans consentement », sinon ils sauront ce qui se passe. Voilà le genre de questions soulevées. Encore une fois, l'autre argument veut que c'est en raison de ces renseignements personnels que vous ne voulez pas échanger ces arguments.

    D'accord. merci.

    J'en ai assez pour aujourd'hui.

    Je pense que c'est vrai pour tous.

    La séance se poursuivra à huis clos brièvement, dans une minute, après mes remerciements aux témoins.

    Vous avez raison, monsieur Binder, nous voulions un cours LPRPDÉ 101. C'est tout à fait vrai. Mais, étant donné que notre mandat est l'examen de la loi dans son intégralité, je suppose que nous attendions à ce que le ministère, suite à ses consultations, présente quelques recommandations. Donc, nous ne cherchons pas à vous critiquer, nous vous avons dit ce qui nous intéressait et en particulier ce que nous voulions de votre ministre. Mais vous avez tout à fait raison, nous voulions un cours 101 car un seul d'entre nous faisait partie du comité lorsqu'elle a été adoptée pour la première fois. Donc nous voulions un historique et revenir sur le contexte.

    Merci beaucoup d'être venu et d'avoir répondu à nos questions. Nous vous reverrons sûrement avec votre ministre.

    La séance est suspendue pendant deux minutes.

    [La séance se poursuit à huis clos.]