ETHI Réunion de comité

    La séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique est ouverte. Conformément à l'ordre de renvoi du mardi 25 avril et au paragraphe 29 de la Loi sur la protection des renseignements personnels et les documents électroniques, le comité reprend l'examen de la loi.

    Je m'excuse de notre retard, mais quelque chose est arrivé à la Chambre.

    Nous recevons aujourd'hui comme témoins M. Richard Rosenberg, président de la B.C. Freedom of Information and Privacy Association, et M. Colin J. Bennett, professeur de sciences politiques à l'Université Victoria.

    Bienvenue à Ottawa.

    Nous commençons normalement par quelques observations initiales de la part des témoins et ensuite les différents caucus adresseront leurs questions.

    Vous pouvez commencer.

    Je vous remercie de votre invitation.

    En fait, je représente ici deux organisations, la B.C. Freedom of Information and Privacy Association et la B.C. Civil Liberties Association.

    Le 9 février 1999, j'ai comparu devant le Comité permanent de l'industrie pour présenter mon point de vue sur le projet de loi C-54, la LPRPDE, au nom de Frontière électronique du Canada.

    Nous avons appuyé le principe du projet de loi. Aujourd'hui, au nom de la BC FIPA et de la BCCLA, je voudrais renouveler notre appui à la protection de la vie privée au moyen de la LPRPDE. Cependant, il y a un certain nombre de questions à aborder si on veut s’assurer que les renseignements personnels des Canadiens continueront à être protégés par cette loi importante.

    Dans la présente intervention, j'aborderai un certain nombre de questions liées à la loi même et au fonctionnement du Commissariat à la protection de la vie privée.

    Il est important de souligner que le droit à la protection des renseignements personnels est de plus en plus menacé et que pour s’entourer des mécanismes de défense de ce droit, il faut à tout le moins une législation adéquate appuyée par un organisme prêt à le défendre et à attirer l’attention sur les problèmes actuels et futurs

    La recommandation la plus importante est de remplacer le modèle actuel du protecteur du citoyen qui sert au règlement des conflits et est utilisé par le CPVP et d’octroyer au Commissaire le pouvoir de rendre des ordonnances.

    J'attire votre attention sur un article paru au début de novembre dans les journaux au sujet de la British Broadcasting Corporation, BBC, qui signalait que Richard Thomas, le Commissaire à l'information de la Grande-Bretagne, avait dit de la Grande- Bretagne qu’elle « se réveille face à une société de surveillance qui est partout autour de nous ».

    Voici quelques-unes des caractéristiques de cette société : d’ici 2016, les acheteurs pourraient bien être scannés à leur entrée dans les magasins, les écoles pourraient disposer de cartes permettant aux parents de surveiller ce que leurs enfants mangent et des emplois pourraient être refusés aux candidats qui sont considérés comme ayant un dossier médical à risque.

    Le rapport susmentionné porte sur la société de la surveillance et je considère qu'il s'agit d'un rapport très sérieux. Bien sûr, la Grande-Bretagne a souvent été citée parmi les sociétés les plus surveillées.

    Pour mettre en contexte certaines des remarques qui suivent, laissez-moi vous rappeler certains commentaires que j’ai livrés, il y a un peu plus de six ans au moment de l’approbation de la LPRPDE. J'avais donné quelques exemples d'atteinte à la vie privée. J'avais soutenu que le Canada s'était doté d'une telle loi notamment parce que les entreprises et le gouvernement devaient tous les deux faire preuve de responsabilité dans leurs activités liées à la vie privée, qu'il fallait permettre la remise en question de ces activités et que la loi pourrait et devrait porter sur ces questions.

    Je vais vous faire part de certaines de mes enjeux, qui constitueront, à mon avis, l'essentiel de mes observations. J'ai neuf enjeux; le premier est la publicisation des plaintes.

    Le Commissariat à la protection de la vie privée, le CPVP, a décidé de ne révéler qu’exceptionnellement le nom des plaignants et des organismes et compagnies à l’encontre desquels des plaintes ont été déposées. Il semble bien qu’en vertu du régime actuel, il n’en coûte pas grand-chose aux compagnies qui ne règlent pas leurs dossiers en matière de protection des renseignements personnels. Le fait de ne pas mettre en application comme il se doit un régime de protection obligatoire des renseignements personnels est tenu pour un des inconvénients minimes de la conduite des affaires. Attirer l’attention du public constituerait un moyen beaucoup plus efficace de forcer la conformité.

    Deuxièmement, il est nécessaire d'éduquer le public de manière beaucoup plus efficace. Le CPVP pourrait jouer un rôle plus efficace qu’il ne l’a fait jusqu’ici, notamment en attirant l’attention du public sur le Commissariat et son rôle en vertu de la LPRPDE. Dans mes classes et dans mes conférences, j’ai rarement trouvé quelqu’un qui connaissait la Loi sur la protection des renseignements personnels du Canada, ses droits en vertu de la loi, l’existence du CPVP, le nom du commissaire actuel et les activités du Commissariat.

    Selon un sondage commandé par le Commissariat à la protection de la vie privée en mars dernier, environ 8 p. 100 des Canadiens ont entendu parler de la LPRPDE. De toute évidence, si vous ne connaissez pas les lois qui vous protègent, il vous sera difficile de bénéficier de leur protection.

    Le troisième enjeu est la réaction des entreprises aux manquements à leur sécurité. Que faudrait-il, le cas échéant, imposer aux entreprises lorsque leurs barrières de sécurité sont violées et lorsque des renseignements personnels sont divulgués? De tels événements sont devenus relativement fréquents, et celles qui retiennent le plus l'attention sont les entreprises dont l’activité première est la collecte, la compilation et le marketing des renseignements personnels.

    Quand la LPRPDE est entrée en vigueur, on ne parlait guère de « vol d’identité ». Aujourd'hui, il s'agit d'un des crimes les plus importants associés à la technologie d'Internet. Dans le mémoire, j'inclus un tableau qui contient les nombres d'infractions à la sécurité commises aux États-Unis au cours des deux ou trois dernières années.

    Le quatrième enjeu porte sur les flux transfrontière des renseignements personnels des Canadiens. Le CPVP a soumis la question à l’attention du public canadien, particulièrement en ce qui concerne l’accès possible à l’information personnelle des Canadiens détenue aux États-Unis par le FBI en vertu du Patriot Act. En 2004, la question s’est posée en Colombie-Britannique parce que le gouvernement avait transféré des dossiers médicaux à une filiale de la compagnie américaine Maximus. David Loukidelis, le commissaire à la protection de la vie privée de Colombie-Britannique, a dû tenir des audiences pour déterminer les dangers que ces activités pourraient engendrer. En bref, le gouvernement de la Colombie-Britannique a déposé et adopté un projet de loi imposant les exigences suivantes : interdiction d’accéder à distance aux données des Canadiens à partir d’un pays étranger; restrictions spéciales à l’accès aux données; exigences de supervision des employés américains. J'en ai énuméré plusieurs autres. Ce qui importe, c'est que le gouvernement fédéral doit également traiter ce genre de question.

    Cinquièmement, il y a les questions relatives aux renseignements personnels en milieu de travail. À cet égard, la LPRPDE ne vise pas les renseignements recueillis par les employeurs sur les employés du secteur privé qui ne sont pas réglementés par le gouvernement fédéral. Les employés de trois provinces, la Colombie-Britannique, l'Alberta et le Québec, bénéficient d'une protection en milieu de travail, mais en général, il y a réellement un manque à cet égard. Pour tout dire, je devrais ajouter que, en collaboration avec un chercheur, j'ai effectué, pour le compte du Commissariat à la protection de la vie privée, un projet de recherche de six mois sur la protection des renseignements personnels en milieu de travail et que nous avons déposé un rapport au Commissariat dans lequel nous exprimions notre préoccupation concernant l'avenir des droits des travailleurs au Canada.

    Le sixième enjeu concerne l'élaboration du dossier médical électronique (DME) et ses répercussions sur la protection des renseignements personnels. Nous rappelons que, lorsque la LPRPDE a été promulguée, son application à la protection des dossiers médicaux a été retardée d’un an en vue de permettre de nouvelles consultations visant à aborder toutes les questions particulières associées à de tels dossiers. Les données médicales sont les renseignements personnels les plus confidentiels de tous, et il convient de leur accorder le plus haut niveau de protection. Nous mettons en oeuvre, à l'échelle du pays, des systèmes d'information qui contiendront une partie du dossier médical de chaque patient ayant déjà consulté.

    Il est crucial de se demander qui a accès à ces dossiers et dans quelle mesure les patients peuvent donner leur accord sur la communication de leurs renseignements. Un modèle très simplifié contient la plupart des renseignements sur les médicaments, notamment, ou sur les visites, ce qui ne constitue pas la plus confidentielle des informations et ne nécessite généralement aucune autorisation spéciale. Toutefois, les renseignements confidentiels pourraient être verrouillés, dans un « coffre-fort » et n'être consultés que si le patient donne directement son accord. À qui cette information pourrait être communiquée? Aux autres médecins, aux gestionnaires responsables de veiller au bon fonctionnement du processus médical et aux chercheurs qui voudraient avoir accès aux dossiers médicaux.

    Le septième enjeu porte sur les défis posés par les technologies émergentes qui menacent la confidentialité des renseignements personnels. Généralement, la loi semble toujours dépassée par les nouvelles technologies, qui sont utiles et qui, tout d'un coup, commencent s'appliquer à des aspects auxquels on n'avait pas songé. Naturellement, la loi s'appliquera tout de même, mais la difficulté, c'est d'essayer d'en comprendre les conséquences. J'attire votre attention sur l’identification par radiofréquence (IRF) utilisée pour les passeports étatsuniens. Cette technologie sert au contrôle d'inventaire et aussi à des fins plus répréhensibles. Je ne pense pas que le terme est trop fort.

    Permettez-moi de vous lire cette histoire parue plus tôt cette année :

    Si elle était un peu plus puissante, elle pourrait être lue à quelques mètres.

    Qu'est-ce que vous en pensez? Comment devrait réagir un commissaire à la protection de la vie privée à ce type d'activités? On parle maintenant de dossiers médicaux sur des puces implantables. Ce n'est qu'une des technologies auxquelles il faudra vraiment faire attention.

    Le huitième enjeu concerne les points de vue actuels sur certains aspects du consentement. C'est une question très vaste qui suscite de vives craintes. Les différents aspects de l'accès font l'objet de la moitié d'un document publié par le commissaire à la protection de la vie privée dans le but de stimuler le débat. Qui a des droits? Existe-t-il un accès universel? Entre autres, on se préoccupait de l'accès autorisé en vertu de différentes lois fédérales visant le terrorisme et de la collecte de renseignements personnels sans en informer la personne en cause. La question générale qui se pose est de savoir combien de renseignements peut-on collecter sur les gens sans obtenir leur autorisation ou au moins les en informer. J'utilise le terme « accès » pour englober beaucoup de choses, mais je n'ai pas assez de temps pour les analyser en détail.

    Je passe très rapidement à mon dernier commentaire, celui par lequel j'ai commencé. Le commissariat à la protection de la vie privée du Canada favorise le modèle de la médiation exercée par le protecteur du citoyen. Les plaintes sont entendues, des réunions sont organisées et des recommandations non exécutoires sont émises, sans que soit mentionné le nom des parties, du moins dans la grande majorité des cas. Si le plaignant est insatisfait, il peut porter la cause devant la Cour fédérale à ses propres frais.

    Ce modèle est-il efficace? Les réponses du public à cette question ne s'accordent pas toujours. Assurément, le CPVP semble fidèle à son mode de fonctionnement actuel. Il est clair que le CPVP semble satisfait de son mode de fonctionnement actuel. Il est significatif de constater que, dans les trois autres provinces du Canada qui ont leur propre version de la LPRPDE, la Colombie-Britannique, l’Alberta et le Québec — bien sûr, le modèle québécois a été mis en place quelques années auparavant —, on confère le pouvoir de rendre des ordonnances. Cela veut dire que les plaintes sont entendues, que les décisions exécutoires sont rendues publiques et que les parties sont nommées. Ainsi, la totalité de la force de la surveillance publique jette un éclairage ininterrompu sur les pratiques de protection des renseignements personnels des entreprises et des organismes. La publicité négative ne joue pas en leur faveur. C'est la recommandation la plus importante que je fais dans mon mémoire.

    Permettez-moi de vous remercier de m'avoir permis de me prononcer sur cette question très importante.

    Merci beaucoup.

    Avant d'appeler notre prochain témoin, je vous demande d'excuser mon retard.

    Je remercie M. Tilson d'avoir pris le taureau par les cornes et d'avoir débuté la réunion. Je tiens à m'excuser auprès de mes collègues, même si le deuxième rapport a maintenant été déposé à la Chambre. Au moins, nous savons que c'est fait.

    Monsieur Bennett, vous avez la parole.

    Je vous remercie. Je suis heureux d'être ici et d'avoir la possibilité de m'exprimer.

    Je m'appelle Colin Bennett. Je suis professeur et directeur du département de sciences politiques de l'Université de Victoria. Voilà 20 ans que je traite de ce sujet dans mes articles publiés au Canada et à l'étranger. J'ai étudié l'étendue de la surveillance et les types de problèmes soulevés par M. Rosenberg. Je pense que l'un de mes rôles aujourd'hui est de vous parler du contexte international et comparatif dans lequel la LPRPDE est appliquée.

    Je tiens à souligner quatre éléments dans mes remarques. Premièrement, j'aimerais parler du contexte international. Il est important que vous compreniez que cette loi fait partie d'un ensemble de lois adoptées au cours des 30 dernières années par les pays occidentaux. Deuxièmement, j'aimerais aborder la question de la surveillance et de l'application. À cet égard, j'ai déposé une plainte en vertu de la LPRPDE et j'aimerais raconter mon expérience afin de renforcer certaines questions soulevées par M. Rosenberg. Troisièmement, j'aimerais vous parler de la loi et de la norme. Cette loi s'appuie sur un modèle assez novateur de norme de la CSA, et je pense que cet aspect doit être analysé et compris. Pour finir, j'aimerais simplement poser la question suivante : est-ce que la LPRPDE fonctionne? Je pense que vous allez entendre des témoignages sur tous les aspects de cette question, et j'ai des idées à exprimer sur le sujet.

    J'ai rédigé des remarques, mais, si j'ai compris elles n'ont pas encore été traduites, et j'aimerais avoir la possibilité de formuler des recommandations complémentaires par écrit, à une étape ultérieure des audiences du comité.

    Nous vous encourageons à le faire. Vous pouvez les présenter dans la langue de votre choix, pourvu que ce soit en français ou en anglais, et nous les distribuerons avec plaisir.

    Merci.

    Pour ce qui est de cette loi, le premier point, et non le moindre, est qu'elle donne le droit aux particuliers de contrôler les renseignements à leur sujet. Depuis 30 ou 40 ans, on nous informe de la façon dont les organismes et les technologies recueillent les renseignements personnels, le processus se poursuit. Il s'agit d'une valeur et d'un droit de la personne extrêmement importants, que presque toutes les sociétés industrialisées ont maintenant inscrit dans la loi. Il s'agit d'un droit et d'une valeur que l'opinion publique appuie. Les Canadiens maintiennent qu'ils sont extrêmement préoccupés par les menaces à leur vie privée.

    Toutefois, les objectifs de base de la LPRPDE ne diffèrent pas fondamentalement de ceux des autres sociétés occidentales. La loi s'appuie sur un ensemble de principes, lesquels sont énoncés à l'annexe 1 de la loi et lesquels ont également été adoptés par les pays de l'Europe de l'Ouest. Il est très important de souligner qu'il faut étudier la LPRPDE dans ce contexte international plus global. En fait, les accords internationaux, comme ceux de l'OCDE, du Conseil de l'Europe et de l'Union européenne, ont influencé la rédaction de la LPRPDE et même sa mise en oeuvre.

    Les forces qui ont fait de la question de la confidentialité une préoccupation au Canada dans les années 1970 et 1980 sont les mêmes qu'à l'étranger. Toutefois, une chose nous différencie des autres pays : nous avons tardé à promulguer des mesures de protection pour notre secteur privé. La plupart des autres pays avaient devancé le Canada. Je pense que cela a eu des répercussions. Premièrement, il a fallu que la loi tienne compte de ce qui se passait à l'étranger. L'Union européenne et d'autres pays ont exercé des pressions sur le Canada pour qu'il agisse et rejoigne la famille des nations qui avaient adopté des lois de protection de la vie privée pour leur secteur privé. Même si notre loi s'inspire de préoccupations et d'intérêts propres au Canada, il faut être conscient de l'influence inévitable que le contexte international a joué dans son élaboration.

    À mon avis, la deuxième chose qu'il est important de comprendre au sujet de la LPRPDE est qu'avant que la loi ne soit promulguée, le secteur privé du Canada était très actif. De nombreux codes de pratique avaient été rédigés et la norme a même été négociée par un comité formé de représentants du secteur privé et d'organismes de défense des consommateurs. En conséquence, la théorie sous-jacente à la loi était qu'elle prendrait appui sur ce qui se faisait déjà sur le marché. La loi viendrait compléter les codes de pratique et la norme. Il s'agit là de deux éléments particuliers à retenir à propos de l'évolution de cette loi.

    Quant à la surveillance et à l'application, les lois concernant l'application des principes de protection de la vie privée varient d'un pays à l'autre. Au Canada, nous avons opté, au niveau fédéral à tout le moins, pour le modèle de l'ombudsman; vous recevrez sans doute de nombreuses opinions quant à savoir si ce modèle fonctionne réellement. Mes sentiments sont mitigés à ce sujet. Je pense qu'il faut être extrêmement prudent avant de remplacer le modèle de l'ombudsman par celui qui existe en Alberta et en Colombie-Britannique et qui permet de prendre des ordonnances.

    J'ai déposé une plainte en vertu de la LPRPDE et j'aimerais prendre quelques minutes pour vous relater cette histoire.

    En novembre 2001, j'ai reçu par la poste une enquête sur un produit de consommation qui, selon moi, ne respectait pas la loi. Quelque temps auparavant, la même enquête avait fait l'objet de reportages dans les médias. J'ai contesté trois aspects du sondage. J'ai contesté le fait que le sondage semblait faire enquête sur les habitudes de consommation en indiquant à peine qu'il allait servir à des fins de publireportage; l'endroit où on avait placé la case d'option de non-participation au sondage; et le fait qu'il n'y avait aucune indication sur la façon de déposer une plainte — aucun site Web, aucun numéro sans frais. Il s'agissait de questions de conformité légale claires mais générales qui n'avaient vraiment rien à voir avec mes droits personnels. Je ne cherchais pas à obtenir réparation. Je voulais simplement que l'entreprise change ses pratiques et se conforme à la loi.

    Le Commissaire à la protection de la vie privée a convenu que ma plainte était fondée et, en fait, il a même été plus loin à certains égards. Pourtant, il y avait eu de longues négociations, une résistance considérable, beaucoup d'argumentation. Il est difficile pour le plaignant de savoir que faire avec l'information qu'il détient et s'il doit ou non rendre public le nom de l'entreprise concernée. Par conséquent, les choses ont traîné et ce n'est qu'après la réception d'une autre plainte contre la même entreprise que la situation a pu se régler.

    La leçon que je tire de mon expérience est que le modèle de l'ombudsman, qui est très utile pour la médiation et la résolution de différends entre des particuliers et des organismes, ne convient peut-être pas dans un cas comme celui-ci, quand il s'agit simplement de sensibiliser un organisme au fait qu'il doit respecter la loi ou la réglementation. En conséquence, je crois qu'il y a un décalage entre certains des buts de la loi et le modèle de l'ombudsman utilisé pour la faire appliquer.

    Troisièmement, j'aimerais parler de la norme de la CSA. Il s'agit d'une innovation qui vaut la peine d'être mentionnée. Il existe une raison explicite pour laquelle les rédacteurs de la LPRPDE ont décidé de légiférer en se référant au code modèle pour la protection des renseignements personnels de la CSA. On a cru que, comme le secteur privé avait déjà négocié cette norme, la loi servirait uniquement à obliger les entreprises à respecter leurs propres règles.

    Je pense qu'il est également important de souligner que cette loi comprend un mécanisme pour assurer la conformité. Il y a une norme. Chaque organisme peut se servir de cette norme, s'enregistrer en vertu de celle-ci, l'utiliser comme preuve s'il fait l'objet d'une plainte et l'utiliser pour prouver qu'il a adopté un code de bonnes pratiques. Bon nombre de façons permettent d'utiliser cette norme plus efficacement dans la mise en oeuvre de la loi. J'ai d'autres recommandations spécifiques à ce sujet, mais je constate que le temps passe.

    Est-ce que la LPRPDE est efficace? Vous recevrez de nombreux conseils pour et contre cette question. On peut diviser les entreprises canadiennes en trois grandes catégories.

    Premièrement, il y a les grandes entreprises réputées qui ont effectivement joué un rôle de chef de file en la matière. Ce sont les organismes qui ont élaboré sans tarder des codes de pratique par l'entremise de leurs associations professionnelles et qui, au milieu des années 1990, ont participé à l'élaboration du code de l'Association canadienne de normalisation. Selon moi, même si ces entreprises sont confrontées à des défis de taille et à des questions de protection de la vie privée, elles respectent en général la loi. Elles s'y conforment non pas en raison de l'existence de la loi, mais parce qu'elles avaient relevé leurs normes avant la promulgation de la loi.

    À l'opposé ,une deuxième catégorie d'entreprises pourrait être qualifiée de parasitaire; ce sont les entreprises qui tentent délibérément de tirer un bénéfice financier du traitement des renseignements personnels, sans le consentement explicite des particuliers. J'ai l'impression que la LPRPDE a permis de divulguer l'identité d'un bon nombre de ces entreprises,ou de les obliger à fermer leurs portes.

    La troisième catégorie, de loin la plus nombreuse, se situe entre les deux autres; elle réunit les entreprises qui traitent la gamme complète de renseignements sur les consommateurs et les employés, mais elles n'ont jamais vraiment été préoccupées par la question, ni invitées à faire plus que le strict minimum que ce soit par les médias, leurs associations professionnelles, le Commissaire à la protection de la vie privée ou les défenseurs de la protection de la vie privée. Elles ont pu, au début, se doter d'une politique de confidentialité et désigner un responsable, mais elles n'ont pas été confrontées davantage à la question.

    Des enquêtes révèlent abondamment que la plupart des entreprises ne connaissent pas la LPRPDE ni leurs obligations en vertu de cette loi. Selon moi, c'est à cette importante catégorie d'entreprises qu'il faut expliquer l'intention de la loi.

    Le comité va certainement entendre des témoins faire valoir que la LPRPDE est une mesure législative très sévère. Je ne partage pas cet avis. Elle est assez modérée par rapport à d'autres lois sur la confidentialité, comme celles en vigueur en France, en Allemagne ou dans d'autres pays européens. Cela dépend toutefois du mécanisme de conformité ascendant. En effet, le régime en entier se fonde sur le principe que la norme de la CSA s'inspire des codes de pratique existants et que le cadre législatif devrait s'inspirer de la norme de la CSA.

    J'ai déjà fait valoir que ce type d'approche pouvait favoriser un système de protection de la confidentialité plus efficace qu'un modèle de contrôle et de sanction imposé d'en haut, et dont l'application reposerait seulement sur la loi. C'est toujours mon avis, mais je crois également qu'une refonte de la loi s'impose. En outre, je pense que le comité doit examiner attentivement les pouvoirs conférés au Commissaire à la protection de la vie privée pour faire appliquer cette mesure législative essentielle.

    Merci beaucoup.

    Monsieur, avant que nous passions aux questions, vous avez dit que vous aviez deux recommandations à formuler concernant le code de la CSA. Pourriez-vous nous les exposer, sans explication ni justification, simplement nous les énoncer?

    Le code de l’ACNOR sert de modèle, plutôt que de méthode d'application. On pourrait notamment reconnaître plus explicitement — probablement à l’article 24 — le fait que le commissaire peut exiger l’enregistrement à la norme, ce qui pourrait également être énoncé plus explicitement au paragraphe 18(2), qui autorise le commissaire à déléguer les pouvoirs de vérification.

    Le fait est qu'un excellent mécanisme d'application se trouve dans la norme, et je crois qu'une reconnaissance plus explicite pourrait figurer dans ces articles.

    Je vous remercie.

    Je voulais seulement que cela figure au compte rendu, étant donné que nous n'avons pas en main votre mémoire et au cas où des membres s'interrogeraient sur ses aspects.

    Maintenant, nous commencerons par Mme Jennings, qui dispose de sept minutes.

    Merci, monsieur le président.

    Je vous remercie de vos exposés.

    Je voudrais parler de vos observations sur votre participation à l'élaboration de la LPRPDE et aux audiences du comité de l'industrie lorsque le gouvernement précédent a présenté cette mesure législative, sur l'expérience de cinq ans et sur les faiblesses que vous avez décelées.

    Monsieur Bennett, vous avez indiqué que le modèle était assez innovateur du fait qu'il s'inspirait des normes de l'ACNOR et qu'on misait sur le fait que les industries se conformeraient à cette norme et iraient de l'avant. Croyez-vous que, pour ce modèle qui constitue, selon vous, la solution à adopter, la faiblesse de la loi réside peut-être précisément dans le fait que le commissaire est en fait un protecteur du citoyen, et de nombreuses entreprises ne sont pas au courant de cette mesure législative? Comment peuvent-elles alors s'y conformer? Bien des Canadiens n'en étaient pas au courant non plus. Par conséquent, comment peuvent-ils veiller à ce que leurs droits soient respectés?

    Si le commissaire possédait des pouvoirs exécutoires, soit prescrire des ordonnances et en ordonner le respect, une telle situation entraînerait une publicité non négligeable, et le secteur privé comme les Canadiens en général seraient au courant de la mesure législative — de quoi s'agit-il, quels sont leurs droits et leurs obligations, etc. Croyez-vous que c'est une lacune dans la loi?

    Le commissaire possède déjà le pouvoir de sensibilisation et de communication.

    Votre question comporte plusieurs aspects, que je souhaiterais aborder. Examinons d'abord la sensibilisation du public. Le commissaire peut déjà s'en charger, contenu naturellement des restrictions en matière de ressources. Deuxièmement, il y a la divulgation de l’identité des entreprises visées par des plaintes. Il s'agit d'une question complexe avec le modèle du protecteur du citoyen, qui repose sur l'hypothèse selon laquelle une médiation sera employée et tous les efforts possibles seront déployés pour que les choses se déroulent en privé.

    Toutefois, sur la question distincte du pouvoir d'émettre des ordonnances, on peut faire valoir, à mon avis, que la philosophie institutionnelle changerait indubitablement si le commissaire recevait un tel pouvoir. Des tensions naîtraient sans aucun doute entre le Commissariat à la protection de la vie privée et le Commissariat à l'information, mais les pouvoirs du commissaire fédéral à la protection de la vie privée s'intégreraient mieux à ceux des provinces. À mon avis, ce pouvoir renforcerait l'influence du commissaire, faciliterait la médiation et, je l'espère, accélérerait le processus s'y rattachant — même si cet aspect nécessiterait, selon moi, une étude plus poussée. Il pourrait s'ensuivre une diminution des coûts et des retard, et la jurisprudence serait plus pertinente.

    C'est là le problème le plus important qui ressort des conclusions... Et je ne veux en aucun cas sembler critiquer le Commissariat à la protection de la vie privée; j'éprouve un grand respect envers ce qu'il réalise. Cependant, le modèle actuel ne favorise pas une jurisprudence adéquate — que ce soit pour les particuliers ou les organismes. C'est ce que permet toutefois le modèle prévoyant la délivrance d'ordonnances, qui est plus rigoriste, de l'avis général.

    Il est effectivement plus rigoriste. Toutefois, nous avons de l'expérience dans d'autres domaines où il y a des pouvoirs de conciliation, d'enquête et de délivrance d'ordonnances. En fait, j'ai acquis une certaine expérience à cet égard avant d'entrer en politique, grâce à la surveillance civile des forces de l'ordre. Le facteur clé, c'était qu'avant de s'en remettre au tribunal, les renseignements sont complètement confidentiels pour la partie quasi-judiciaire, soit la délivrance d'ordonnances. Au chapitre de la conciliation ou de la médiation, les parties sont absolument certaines qu'il y aura respect de la confidentialité si une entente est conclue. D'un autre côté, s'il n'y a pas d'entente et que le commissaire doit utiliser ses pouvoirs de délivrance d'ordonnances, le processus devient public.

    C'est exact.

    Alors, si notre comité et le gouvernement — qu'il s'agisse des membres du comité ou du gouvernement, ou encore des deux — présentent des amendements, il faudrait qu'il y ait des articles garantissant que l'étape de la médiation n'est pas publique, qu'elle est confidentielle, etc.

    Précisément.

    Ma prochaine question s'adresse à vous deux.

    Lorsque je faisais partie du comité de l'industrie, nous étions préoccupés par les définitions de « renseignements personnels » et de « renseignements sur le produit du travail ». On nous avait alors assurés qu'il ne fallait pas s'en inquiéter, que les seconds étaient compris dans les premiers, et que, dans le domaine de la santé entre autres, les entreprises qui obtiendront des renseignements médicaux notamment des médecins et des pharmaciens, ne seront pas visées. De plus, les gouvernements en ont profité pour élaborer une stratégie et ainsi de suite.

    Depuis, la définition a été contestée. Heureusement, la Cour fédérale a conclu que les « renseignements sur le produit du travail » ne sont pas des renseignements personnels et ne relèvent pas de la protection de la vie privée. Toutefois, une distinction claire devra être apportée dans la loi.

    Messieurs Rosenberg et Bennett, appuieriez-vous une telle distinction afin que les notions soient parfaitement claires et que les gens n'aient pas à dépenser leur argent pour engager des contestations devant les tribunaux?

    Vous avez raison, ce point n'est pas clair parce qu'il y a une exemption dans la loi de la Colombie-Britannique.

    La définition de « renseignements sur le produit du travail »... Je connais bien l'affaire dont vous parlez, puisqu'il y a plusieurs années j'ai travaillé, je dois le dire, pour l'entreprise impliquée. Je comprends donc ce problème mieux que si je n'avais fait appel qu'à mes connaissances d'universitaire.

    Si nous comparons les renseignements relatifs aux médecins et ceux relatifs aux patients, il existe une distinction qualitative claire entre les renseignements qui sont recueillis grâce à l'éthique professionnelle d'une personne et ceux qu'on peut obtenir comme patient. Il s'agit d'une question délicate que le comité doit régler; il doit également assurer une certaine uniformité.

    Toutefois, ce qui m'inquiète à propos d'une définition large, illimitée de « renseignements sur le produit du travail », c'est qu'elle peut avoir des incidences imprévues sur les droits à la protection des renseignements personnels des employés, puisqu'il est question de produit du travail par rapport à, disons, la surveillance de la frappe des employés dans les bureaux ou à la surveillance vidéo. Le libellé doit donc être très rigoureux.

    Je suis au courant des propos du commissaire à la protection de la vie privée du Canada et des solutions de rechange offertes. Il faut un libellé très rigoureux pour que la loi précise le sens strict de l'expression « renseignements sur le produit du travail ».

    Si la définition...

    Je suis désolé, madame Jennings, mais je ne peux vous laisser continuer. Je vous remercie. Peut-être pourriez-vous poursuivre lors du deuxième tour de table.

    Je vous remercie.

    Monsieur Laforest.

    Bonjour. Il me fait plaisir de vous accueillir ici.

    Un moment, monsieur Laforest.

    Êtes-vous tous prêts pour l'interprétation?

    On n'a pas tous droit à la même attention.

    Excusez-moi, je viens de la Colombie-Britannique.

    Justement, puisque vous êtes de la Colombie-Britannique, vous devez être mieux informé de la Loi sur la protection des renseignements personnels de cette province.

    Je n'entends pas l'interprétation.

    Je crois que vous devriez syntoniser le canal 2. Vous y êtes? Parfait.

    Vous êtes des analystes, des gestionnaires de la Loi sur la protection des renseignements personnels et documents électroniques en Colombie-Britannique. J'aimerais poser quelques questions d'ordre pratique. On parle beaucoup de lois, de règlements, d'encadrement afin de déterminer de quelle manière on peut améliorer la loi fédérale.

    Tout d'abord, avez-vous l'impression, en ce qui concerne la protection de la vie privée, les documents électroniques ou l'utilisation de différents médias électroniques, que la population en général est suffisamment bien informée pour comprendre les différentes enjeux et les risques des différents modes de communication?

    À titre d'exemple, quand les citoyens utilisent une carte de crédit, un téléphone cellulaire, l'Internet, qu'ils font des achats par Internet, des transmissions par satellites, etc., pensez-vous qu'il en connaissent les risques? Parlez-moi de votre expérience en Colombie-Britannique.

    Monsieur Bennett, laissez M. Rosenberg répondre le premier puisque vous parlez depuis un certain temps.

    En général, probablement pas. Internet lui-même représente un mystère pour la plupart des gens s'ils y accèdent sans en comprendre le fonctionnement. Par exemple, il y a quelques années, on ignorait ce qu'était un « témoin ». On croyait qu'il s'agissait de l'objet usuel, puisque, lors de l'achat d'un ordinateur, les « témoins » sont réglés par défaut. Le mot « témoin » n'apparaît jamais. Des renseignements sont pourtant recueillis sur chaque site Web que vous visitez sans que vous le sachiez. Ensuite, vous commencez à recevoir de l'information. Le terme « pourriel » est maintenant couramment utilisé pour désigner l'énorme quantité d'information envoyée aux internautes, parce qu'on recueille des renseignements à partir de leurs activités à leur insu.

    Partout où vous allez... Les moteurs de recherche les plus communs recueillent des renseignements sur vos habitudes de recherche. Google en possède une quantité phénoménale sur chacun de nous, sur la manière dont nous cherchons, sur les éléments recherchés. Naturellement, on le justifie en disant qu'on souhaite améliorer ses méthodes et mieux répondre aux besoins. C'est toujours ainsi qu'on justifie la collecte d'information : c'est dans votre intérêt, pour que vous puissiez obtenir un meilleur accès, des renseignements de meilleure qualité et ainsi de suite.

    Nous devons nous demander : comment informer les gens de tout cela? Qui va le leur dire? Vous croyez peut-être que vous pouvez consulter la politique de confidentialité des sites? Ces politiques ne veulent absolument rien dire ou sont totalement incompréhensibles. C'est généralement le cas parce que les Canadiens visitent des sites américains, alors que les États-Unis ne réglementent pas la protection des renseignements personnels. Vous vous en remettez au secteur privé, espérant qu'il se comportera comme il faut de peur d'être accusé de quoi que ce soit.

    Cela ne devient-il pas le rôle du gouvernement de mieux informer les gens, puisque vous dites que, dans le fond, la population est mal informée? Le gouvernement n'a-t-il pas le rôle important de faire connaître davantage les risques liés à l'utilisation de ces différents outils électroniques? Il me semble que ce devrait être son rôle, puisqu'on veut encadrer, dans la loi, le commerce électronique et les différentes transmissions.

    N'y a-t-il pas eu une lacune sur le plan de l'information publique? Ne s'agit-il pas d'un manque important qui devrait être examiné par tous, tant les provinces que le gouvernement fédéral, qui veut améliorer sa loi?

    Ce n'est pas uniquement une question de lois. Ce qui est important — je crois que j'ai abordé ce sujet dans l'une de mes recommandations —, c'est que les commissariats à la protection de la vie privée fédéral et provinciaux devraient notamment sensibiliser le public aux menaces à la vie privée. Je crois qu'il faudrait probablement plus d'argent pour pouvoir embaucher davantage d'employés qui s'acquitteraient de cette tâche de diverses façons.

    Naturellement, il y a d'autres aspects à considérer lorsqu'on affirme qu'il faut informer les gens des violations du droit à la vie privée. Ces violations ne devraient pas être traitées en coulisse et n'être dévoilées que lorsqu'un journaliste découvre le pot aux roses. Il s'agit d'un travail de sensibilisation permanent. Selon moi, Internet est une technologie qui est apparue tellement rapidement que nous n'avons pratiquement pas eu le temps de nous y adapter et de découvrir certains des problèmes qui y sont reliés.

    Peut-être pourrais-je dire un mot sur les résultats d'enquêtes menées au Canada sur les opinions des gens à propos de la protection de la vie privée.

    Il est vrai que la vaste majorité des Canadiens ne connaissent pas les protections légales et les recours possibles. Par contre, il est également vrai que la vaste majorité des Canadiens accordent beaucoup d'importance à cette question. Beaucoup ont subi de graves violations de leur droit à la vie privée, et un bon nombre comprennent instinctivement ce dont il est question. Ils savent d'instinct que l'organisme qui recueille sur eux des renseignements qu'ils jugent illégitimes n'a pas le droit d'agir ici.

    De telles attitudes varient selon le genre, selon la génération et, dans une certaine mesure, selon la province, mais je crois que la sensibilisation n'est qu'un des outils qui permettent de protéger la vie privée au Canada. C'est là l'un de mes arguments les plus importants. La loi ne constitue que l'un des nombreux instruments qui doivent être utilisés pour donner aux gens un meilleur contrôle de la circulation des renseignements le concernant. Il y a naturellement l'information et la sensibilisation, mais il y a également l'autoréglementation que les entreprises peuvent imposer à leur site Web et ainsi de suite. On peut également avoir recours aux technologies qui améliorent la protection de la vie privée, telles que les logiciels de chiffrement. La loi n'est qu'un de ces outils.

    Merci.

    Monsieur Tilson.

    Merci, monsieur le président.

    Cette discussion est très intéressante, car on touche ici à des concepts tout droit sortis de l'univers d'Orwell.

    Je vois que mon ami ici utilise un BlackBerry. Je sais qu'il est préférable que vous ne l'ayez pas sur vous pendant une réunion privée parce que quelqu'un pourrait s'en servir comme transmetteur. Je sais également que, si vous êtes en pleine discussion sur votre cellulaire dans l'édifice du Centre, vous avez intérêt à ne pas trop divulguer de renseignements confidentiels, car une tierce personne pourrait tout capter. C'est de plus en plus inquiétant. Par ailleurs, les gens ne semblent pas trop se préoccuper de la sécurité dans les aéroports, des caméras dans les dépanneurs, les banques et les aéroports, puisqu'ils s'en font pour leur sécurité personnelle.

    Nous nous rendons compte, en vous écoutant, que nous devons protéger notre vie privée, mais, par ailleurs — et vous dites que le public s'intéresse à cette question—ces mêmes gens s'intéressent également à la question de la protection de la sécurité personnelle et ne voient aucun inconvénient à être fouillés, pratiquement même à nu, à l'aéroport, puisqu'ils sont terrifiés à l'idée qu'une tragédie survienne à bord d'un avion ou ailleurs. Ils craignent, lorsqu'ils se rendent au dépanneur, qu'un incident survienne, alors ils ne voient aucun inconvénient à ce que des caméras filment les lieux en permanence. Est-il possible d'aller trop loin d'un côté comme de l'autre?

    Oui.

    Sauf le respect que je vous dois, plusieurs études semblent indiquer que oui, les gens sont préoccupés par les nouvelles technologies lorsqu'elles sont utilisées à des fins de surveillance et que cette utilisation ne semble avoir aucune utilité publique légitime. Lorsque je m'adresse à un auditoire, par exemple à mes étudiants, et que je commence à leur poser des questions au sujet de la collecte de renseignements personnels, leurs inquiétudes augmentent au fur et à mesure que je leur apprends à quelles fins cette technologie pourrait servir.

    Par exemple, vous avez parlé de caméras de surveillance vidéo au dépanneur. D'accord. Le grand public ne voit qu'une simple caméra alors que moi je vois une moyen de recueillir des renseignements personnels, ce qui soulève une foule de questions. Pendant combien de temps ces informations sont-elles conservées? Qui y a accès? À qui cette information pourrait-elle être divulguée? Quel type de technologie est utilisé? La caméra est-elle reliée à un logiciel de reconnaissance faciale? Et on pourrait continuer.

     Il ne faut pas seulement se demander si la surveillance vise à déceler une série de questions sérieuses et intéressantes que l'entreprise qui recueille les renseignements personnels de cette façon souhaite examiner. C'est justement ce à quoi les lois sur la protection des renseignements personnels tentent de répondre. Elles n'interdisent à personne de recueillir ces renseignements. Elles indiquent simplement que, pour le faire, il faut agir de manière à s'assurer que les raisons sont légitimes et que les personnes touchées ont des droits en regard de cette collecte.

    Nous parlons ici de la Loi sur la protection des renseignements personnels et les documents électroniques?

    Oui.

    En d'autres mots, de réglementer le secteur privé. Pour cela, je m'attends à ce que des groupes viennent dire au secteur privé précisément ce qu'il doit faire.

    L'un de vous deux s'est-il déjà penché sur la question à savoir combien tout cela pourrait coûter aux entreprises, en temps aussi bien qu'en argent? Devrions-nous nous en préoccuper?

    Voyons voir ce que M. Rosenberg a à dire à ce sujet.

    Je réfléchis toujours à votre question précédente. Je veux faire la distinction entre deux types de surveillance, la surveillance privée et la surveillance publique.

    Lorsque j'entre dans une banque munie de caméras, je suis sur sa propriété, et la banque a le droit d'utiliser ce mode de surveillance, même si elle doit bien sûr préciser notamment, comme M. Bennett l'a dit, qui a accès à ces images et pendant combien de temps elles sont conservées.

    C'est la surveillance dans les endroits publics qui m'inquiète le plus, parce qu'il est beaucoup question d'installer plus de caméras vidéo dans les centres-villes. Il ne se passe pas une journée sans que Vancouver n'en parle. Des problèmes de sécurité vont se poser en vue des Jeux olympiques. On parle d'installer des caméras sur la rue Granville, la principale artère nord-sud de la ville. Or, il faut se demander si on a bien compris le problème et s'il y a une analyse coûts-avantages. De toute évidence, il faudra présenter une analyse coûts-avantages au commissaire à la protection de la vie privée de la province.

    Monsieur, si vous me permettez, je pense que nous parlons ici de... La question des radars photographiques refait surface, en Ontario du moins, ce qui peut être ou ne pas être une bonne chose, mais il s'agit là d'un tout autre débat qui ne nous concerne pas ici.

    Je voudrais savoir si la réglementation envisagée pour le secteur privé...? Et vous avez raison, mes exemples étaient confus, mais concentrons-nous sur les banques et les dépanneurs. Ce sont les seuls exemples auxquels je pense, et je suis sûr qu'il y en a des dizaines d'autres.

    J'imagine que les coûts que cela entraînerait pour ces entreprises, et pas seulement sur le plan économique dans le temps, concernant ce qu'elles devront faire... Parce que les coûts des entreprises sont une chose et la protection des renseignements personnels en est une autre. Il faut tenir compte de ce qu'il va en coûter aux entreprises pour se conformer à certaines choses.

    L'un de vous deux a t-il réfléchi à cette question?

    Oui. Il existe beaucoup d'analyses sur l'ampleur des coûts associés à la LPRPDE en termes de ressources financières, etc.

    À mon avis, il en coûte bien plus cher de ne pas se conformer à la loi sur la protection des renseignements personnels. Une entreprise dont la réputation est entachée parce qu'elle ne respecte pas la confidentialité des renseignements a beaucoup plus à perdre que si elle paie pour adopter des mesures de sécurité ou ajouter une case de non-participation sur un formulaire, par exemple.

    Il y a des exceptions. Certaines compagnies ont dû dépenser une fortune en matière de protection de la vie privée. Toutefois, de façon générale, la plupart d'entre elles reconnaissent l'importance de la question.

    Quels sont les fondements d'une telle affirmation? D'où tenez-vous cela?

    Il y a beaucoup d'exemples d'entreprises dont les actions ont chuté en raison de la mauvaise publicité qui leur a été faite à la suite de cas d'usurpation d'identité notamment. Il est difficile de vous donner un chiffre exact, et je n'ai pas l'information devant moi en ce moment. Je peux toutefois vous la fournir sans problème. Le fait est que les entreprises veulent à tout prix conserver une bonne réputation, et que tout l'aspect entourant la vie privée est une bonne façon pour elles de gagner la confiance de leurs clients et de la conserver.

    Merci, monsieur Tilson.

    Si vous avez des données empiriques pour étayer vos propos, nous aimerions bien les recevoir, si cela ne vous dérange pas.

    Bon, nous passons maintenant à Mme Jennings, et ensuite à M. Stanton. Si d'autres membres ont des questions, veuillez lever la main afin que le greffier inscrive vos noms.

    Madame Jennings.

    Merci, monsieur le président.

    J'aimerais revenir sur la question de la distinction entre la protection des renseignements personnels et l'exemption à ce sujet dans le cas du produit du travail et des renseignements professionnels.

    Monsieur Bennett, vous avez dit que le texte devrait être très soigneusement rédigé afin de s'assurer qu'il n'est pas trop général. Si vous vous y mettiez, seriez-vous en mesure de peut-être — pas nécessairement aujourd'hui — suggérer une définition qui permettrait de bien faire la distinction, pour que l'exemption ne soit pas trop large?

    Monsieur Rosenberg, vous terminez votre mémoire par une série de recommandations. L'une d'entre elles propose que le commissaire à la protection de la vie privée ait le pouvoir de prendre des ordonnances. La British Columbia Civil Liberties Association a recommandé de conférer le pouvoir de prendre des ordonnances qui pourraient être déposées devant la Cour fédérale du Canada et qui seraient exécutoires sur-le-champ. J'imagine que vous approuvez cela.

    L'autre point que vous avez soulevé dans votre mémoire est le manque de protection des renseignements personnels des employés en milieu de travail, ce règlement ou cette protection relevant de la compétence fédérale. Dans ce cas précis, dans les provinces et les territoires qui n'ont pas de loi sur la protection des renseignements personnels, c'est la réglementation fédérale qui s'applique, faute d'une réglementation provinciale.

    Avez vous une préférence...? Vous connaissez mieux que moi les lois déjà en vigueur en Colombie-Britannique, au Québec et en Alberta. Croyez-vous que l'un des trois soit meilleure que les autres, ou assurent-elles une protection plutôt semblable? Parce que si notre comité doit se pencher sur la possibilité de renforcer la LPRPDE, pour offrir ces protections claires, qui n'existent pas, nous aurions besoin que vous nous disiez quels modèles nous devrions suivre.

    Ensuite, monsieur Bennett, vous pourrez répondre, si vous voulez.

    Je crois que l'Alberta et la Colombie-Britannique sont sensiblement...

    Excusez-moi, il y a une question pour M. Bennett à propos d'une modification spécifique, deux questions pour M. Rosenberg, après quoi M. Bennett pourra faire un commentaire.

    Monsieur Bennett, pouvez-vous répondre à la première question?

    Oui.

    Au sujet du produit du travail, je ne vois pas ce que j'aurais à ajouter au-delà de ce qui est déjà mentionné dans le document du commissaire à la protection de la vie privée à cet effet. Il faudrait que je le consulte à nouveau. Je ne suis plus certain. Je crois qu'il contenait trois ou quatre options différentes, l'une d'entre elles ayant été retenue au Québec. Je ne vois pas ce que je pourrais ajouter.

    D'accord, merci.

    Monsieur Rosenberg.

    Je crois que les lois de l'Alberta et de la Colombie-Britannique se ressemblent beaucoup et que celle du Québec est différente, mais je dois admettre que je ne suis pas aussi familier avec la loi du Québec que je devrais l'être.

    J'ai essayé, dans mes recherches, de tenir compte des diverses situations dans lesquelles la vie privée des travailleurs est menacée. Il n'y a pas que la surveillance de la frappe, les activités sur Internet et les caméras de télévision ou les caméra vidéo en milieu de travail. N'oublions pas les séries de tests auxquels les gens doivent se soumettre pour différents emplois — tests de dépistage de drogues, tests génétiques, tests psychologiques — autant au moment de l'embauche qu'en cours d'emploi. Ces pratiques soulèvent de nombreuses questions. Il sera très difficile de déterminer comment les réglementer pour que les travailleurs soient traités avec humanité et ne se sentent pas constamment menacés.

    Cette situation s'explique principalement par le fait qu'on fait beaucoup de choses avec la technologie — si c'est possible, pourquoi pas? Si la technologie permet de faire telle ou telle chose qui paraît utile, on l'adopte; c'est ce qui semble se produire.

    Je dois dire aussi que la situation est terrible aux États-Unis, où il n'existe aucune protection des renseignements personnels. Les employeurs ont essentiellement le droit de faire tout ce qu'ils veulent.

    À titre provisoire, on a tenté d'en arriver à une entente entre la direction et les travailleurs sur les règles générales concernant le fonctionnement de la technologie. L'employeur surveillera-t-il les moindres faits et gestes de ses employés? Lorsqu'il est en pause-repas, l'employé peut-il se servir de l'ordinateur de son employeur sans être surveillé? Toutes ces questions ont déjà été abordées à propos du téléphone. Un employé a t-il le droit d'appeler chez lui pour prendre des nouvelles de son enfant malade? Aucun gestionnaire n'interdirait cela. Pendant son heure de repas, un employé peut-il se servir de son ordinateur pour planifier ses prochaines vacances? Techniquement, il est en pause, mais ce n'est ni son ordinateur, ni ses logiciels; en fait, rien ne lui appartient. A-t-il le droit de le faire?

    Il y a un nombre infini de questions de ce genre pour lesquelles on penserait qu'il est possible de s'entendre sans intervention de la loi, mais ce n'est pas le cas.

    Merci.

    Nous commencerons par M. Stanton, qui sera suivi par Mme Lavallée et M. Wallace.

    Merci monsieur le président.

    Merci à nos témoins.

    Monsieur Rosenberg, le premier point que vous avez fait valoir parmi la liste des neuf enjeux préconisait la divulgation des noms des plaignants. Vous avez affirmé notamment qu'attirer l’attention du public constituerait, selon vos propres mots — il est possible que je paraphrase —, un moyen beaucoup plus efficace de forcer la conformité. Pourriez-vous préciser un peu votre pensée et nous parler de la situation actuelle en matière de conformité? Aidez-moi à mieux comprendre ce que vous entendez par là et par cette divulgation.

    Dans l'ensemble, je pense que, dans le processus au sein du Commissariat à la protection de la vie privée, seules la personne qui dépose la plainte et l'organisation ou l'entreprise visée par celle-ci sont vraiment au courant de ce qui se passe. Elles ont entendu le jugement. Le Commissariat à la protection de la vie privée formulera alors une recommandation qui sera respectée éventuellement, parce qu'elle n'a aucune valeur juridique.

    Le plaignant a la possibilité de faire appel auprès de la Cour fédérale du Canada, une démarche qui pourrait être coûteuse...

    Cela offre une tribune publique.

    Oui.

    Il faut se demander s'il s'agit de la meilleure façon de porter plainte. M. Bennett s'est étendu sur la question, et l'on s'est interrogé sur la meilleure solution à emprunter. Il y en a une pour le plaignant et une en ce qui concerne la protection de la vie privée en général.

    Si vous portez plainte et qu'on vous répond que le Commissariat à la protection de la vie privée confirme votre plainte, qu'arrive-t-il ensuite? Que devriez-vous faire? Vous pouvez espérer que l'entreprise considère votre plainte comme un message et prenne les mesures qui s'imposent, mais rien ne l'oblige à le faire. Alors, qu'avez-vous gagné?

    Savez-vous pourquoi le Commissariat à la protection de la vie privée a opté pour l'approche actuellement en vigueur concernant...

    Le commissariat a toujours fonctionné ainsi depuis le début. Je pense qu'il peut y avoir divulgation si c'est tout à fait dans l'intérêt public; sinon, la question ne se pose pas. J'imagine que le Commissariat considère ce n'est pas toujours le cas. Ce serait dans des circonstances très précises et très particulières.

    Il faut essentiellement recourir à la persuasion d'une façon ou d'une autre. Fondamentalement, il serait peut-être moins pénible de convaincre les entreprises de régler le différend, avant de rendre le tout public. Je n'en suis pas certain. Cependant, je pense que la possibilité d'améliorer la situation n'est pas exploitée comme elle pourrait l'être en rendant le tout public.

    Monsieur Bennett, avez-vous quelque chose à ajouter à ce sujet?

    Oui, j'ai un ou deux points dont j'aimerais parler brièvement.

    Le problème survient à l'article 20 de la LPRPDE. Le paragraphe 20(1) stipule qu'il faut préserver le secret. Le paragraphe 20(2) autorise le commissaire à « rendre publique toute information relative aux pratiques d’une organisation en matière de gestion des renseignements personnels, s’il estime que cela est dans l’intérêt public ». Dans la plupart des cas, le commissariat a interprété le paragraphe 20(1) comme une dérogation au paragraphe 20(2). Je comprends certes que cela heurte les sensibilités.

    J'aimerais ajouter quelques points à ce que M. Rosenberg a dit. Un fardeau extrêmement lourd pèse sur le plaignant. Lorsque vous recevez une conclusion et que vous savez le nom, et ainsi de suite... J'ai déjà parlé de ça. Je suis dans une position différente par rapport à la plupart des gens, parce que j'ai un certain statut au sein de cette collectivité. J'ai la possibilité de discuter publiquement de certaines questions. Je ne pense pas que c'est au plaignant de prendre la décision de rendre public le nom de l'entreprise contre laquelle il porte plainte. Il y a certains plaignants, notamment la CIPPIC -- chaque fois qu'ils déposent une plainte, ils l'affichent tout simplement sur leur site Web. C'est une façon de faire. L'affaire devient donc publique de toute façon. Nous sommes dans une situation bizarre : chacun sait de qui il s'agit, sauf que le tout n'est pas affiché sur le site Web du Commissariat à la protection de la vie privée.

    Le deuxième point concerne la divulgation de l’identité. Souvent, vous ne comprenez pas tout le contexte du différend à moins de savoir de quelle entreprise il s'agit. Si vous gardez le nom de l'entreprise en question confidentiel, il est souvent difficile de comprendre exactement la nature de ses pratiques entrepreneuriales. Par conséquent, comme je l'ai déjà dit, il est difficile d'établir clairement la jurisprudence claires à propos de ce que la loi prévoit et de déterminer si cela constituerait un précédent pour d'autres affaires susceptibles de survenir.

    Ce sont là les problèmes. Je comprends vraiment la situation. Il n'est pas facile de simplement divulguer l'identité systématiquement. Mais jusqu'à maintenant, je ne pense pas qu'un équilibre a été correctement établi.

    Merci.

    Merci, monsieur Stanton.

    Madame Lavallée, vous avez la parole.

    Merci, monsieur le président.

    Bonjour et bienvenue à tous.

    Je suis très heureuse de vous rencontrer, parce que j'ai plusieurs questions et j'aimerais avoir des éclaircissements. Je suis nouvelle à ce comité et j'en connais peu également au sujet de la Loi sur la protection des renseignements personnels.

    Tout d'abord, l'une de mes préoccupations touche les travailleurs. Vous avez beaucoup parlé de la surveillance des employés et de leur travail, sous prétexte de sécurité. Je voudrais que vous me disiez si la loi interdit bien à employeur qui installe des caméras vidéo pour s'assurer de la sécurité des lieux de travail — je pense à un port, un aéroport ou à un dépanneur — d'utiliser ces appareils pour surveiller le travail des employés et ensuite leur faire des remontrances si jamais il constate que l'un d'entre eux se traîne les pieds, par exemple.

    J'ai quelques questions à poser, mais je commence par celle-là.

    Merci de votre question.

    La loi ne fait aucune distinction entre les consommateurs et les employés; les renseignements sont recueillis sur les particuliers. La distinction est faite sur le plan de l'emploi et des catégories de renseignements qui sont protégés aux niveaux provincial et fédéral. Je dois toutefois préciser qu'il reste encore certains écarts au Canada. Dans de nombreuses entreprises canadiennes, les renseignements sur les employés ne sont pas protégés par les lois s'appliquant au secteur privé.

    Essentiellement, selon l'article 7 de la loi, il faut déterminer s'il y a des motifs raisonnables à l'installation, dans le cas qui nous intéresse, d'une vidéosurveillance; et ces motifs doivent être expliqués au moment de recueillir les renseignements. La relation entre l'employeur et son employé est très différente de celle entre l'entreprise et le consommateur. Et je pense que vous recevrez bien des avis sur l'opportunité d'établir des dispositions spéciales régissant les renseignements sur les employés.

    Cependant, je répondrai directement à votre question. Il s'agit de renseignements personnels; il faut en informer la personne visée et obtenir son consentement, sauf lorsqu'il s'agit d'un cas relevant d'une des exemptions —, c'est-à-dire s'il est question d'une institution sous réglementation fédérale, comme une banque, etc.

    Je vous donne un exemple, car je ne suis pas certaine d'avoir bien compris.

    Dans un port, par exemple, où il y a des caméras vidéo pour assurer la sécurité, est-ce que l'employeur a le droit de se servir des images enregistrées pour faire des remontrances à des employés qui, par exemple, prennent plus de temps qu'il n'en faut pour faire un travail?

    Habituellement, oui.

    Vous avez cité quelques exemples, et ils sont nombreux les types de surveillance. Certains portent sur la méthode de travail à l'égard de laquelle les employés ont des droits. Je ne suis pas certain que cela réponde exactement à votre question, mais les employeurs justifient notamment la surveillance en disant qu'ils sont responsables du travail de leurs employés. Si j'envoie un courriel pour harceler quelqu'un, mon employeur est responsable, parce que j'utilise l'ordinateur de celui-ci au travail. L'employeur peut affirmer légitimement qu'il a parfaitement le droit de surveiller, parce que s'il a la responsabilité légale, il doit montrer qu'il a pris les mesures qui s'imposent, si vous voulez, et être au courant de ce qui se passe. Cela s'applique à tout un ensemble d'activités, et non seulement au harcèlement : il peut s'agir de secrets commerciaux, de navigation sur des sites Web à caractère sexuel et de problèmes en découlant au sein de l'entreprise, pour ne nommer que ceux-là. Ce sont là les éléments liés à la méthode de travail. L'employeur a tout à fait le droit d'exercer une surveillance à cet égard.

    Les questions qui se posent concernent la rapidité avec laquelle l'employeur saisit les données dans l'ordinateur; le temps que l'employé passe loin de son bureau, loin de son ordinateur; la surveillance dans les toilettes. Souvenez-vous de la tristement célèbre affaire à Postes Canada, qui avait installé des caméras dans les toilettes parce qu'on craignait que des employés s'y rendaient pour consommer des drogues. Dans un restaurant, des dispositifs de surveillance sont installés pour s'assurer que les employés se lavent les mains avant de reprendre leur travail. C'est bien la moindre des choses! Nous espérons qu'ils se lavent les mains. Imaginez le contraire!

    Il y a donc toute une liste d'exemples, et bon nombre se justifient tout à fait. Il serait difficile de prétendre qu'il s'agit de la méthode de travail.

    Est-ce qu'il me reste encore un peu de temps?

    Non.

    Monsieur Wallace.

    Merci, monsieur le président.

    Je suis désolé d'avoir manqué une grande partie de vos propos, mais les choses ne se sont pas passées comme prévu.

    Je suis nouveau, comme Mme Lavallée, et la seule expérience dont je dispose concernant les renseignements personnels se limite à me demander s'il faut envoyer des cartes de Noël et comment se procurer les noms, entre autres choses. Je ne tiens pas à aborder ce sujet.

    Si je comprends bien, la loi n'est en vigueur que depuis environ cinq ans puisque nous approchons de la date de l'examen. Voici la question que je veux vous poser. La partie de la loi portant sur le domaine de la santé, l'aspect qui est peut-être relativement controversée et le plus important, comme on l'a mentionné, n'est appliquée que depuis un an et demi. Est-il trop tôt pour procéder à cet examen sans avoir une bonne idée de l'efficacité de cette partie et des éléments susceptibles de faire l'objet de recommandations et de nécessiter des modifications? Devrions-nous utiliser ce que des témoins comme vous nous ont signalé et préconiser d'attendre encore deux ou trois ans pour pouvoir vérifier l'efficacité de cette partie avant de pouvoir prendre des décisions pertinentes?

    Je vous serais reconnaissant de répondre à cette question.

    Je ne pense pas qu'il soit trop tôt. L'examen quinquennal est pertinent. Cependant -- et je ne suis pas certain que cela réponde à votre question --, il sera difficile de faire une distinction, lorsque vous remarquez des problèmes dans la loi ou l'application de la politique de confidentialité, et de déterminer si les problèmes sont imputables à la loi, à l'interprétation qu'en a faite le commissaire à la protection de la vie privée ou au contexte plus général qui règne depuis le 11 septembre 2001 et aux pressions extraordinaires exercées afin de collecter des renseignements personnels. Nous vous aiderons de notre mieux à distinguer le tout, mais nous ne pouvons pas ne pas vous signaler aujourd'hui que, le 11 septembre, les choses ont changé en matière de vie privée.

    Néanmoins, je pense qu'on vous proposera des recommandations très pratiques pour modifier la loi afin de la rendre plus efficace, de préciser certaines dispositions et d'aider non seulement les particuliers à comprendre leurs droits en matière de vie privée, mais aussi les entreprises pour qu'elles sachent quoi faire. Je pense que la grande majorité des entreprises canadiennes comprennent l'enjeu, en sont conscientes et veulent seulement à être informées clairement sur la façon de se conformer à la loi. Il existe des moyens de modifier la loi à cette fin.

    Je ne pense pas qu'il soit trop tôt non plus pour la partie traitant des renseignements sur la santé, même si je conviens en partie que nous en sommes seulement à l'étape de la mise en place de ces vastes systèmes. Des sommes pharamineuses y sont affectées. Les exigences sont signalées aux cabinets de médecins. Beaucoup d'entre eux disposent encore de dossiers papier, et cette façon de faire ne convient plus à notre époque. Ils doivent informatiser leurs dossiers. Il se pose alors bien des questions sur l'accès à ce type de renseignements.

    J'ai assisté à des réunions du ministère de la Santé de la Colombie-Britannique et de ce groupe qui s'occupe beaucoup des dossiers médicaux électroniques; de nombreuses questions sont soulevées. Naturellement, ils sont assujettis à la loi de la Colombie-Britannique, et il semble jusqu'à maintenant qu'il n'y aura pas de problèmes en matière de protection des renseignements personnels, sauf que de nombreuses questions n'ont pas encore été complètement résolues à propos de l'accès, pour les cas courants et le cas spéciaux.

    Comme je le mentionnais plus tôt, les chercheurs en médecine croient avoir le droit de consulter tout ce qu'ils veulent, à condition d'enlever les données permettant l'identification. Nombre d'entre eux consultent les dossiers médicaux et comparent les personnes suivant le traitement A à ceux suivant le traitement B pendant de longues périodes. Si vous avez retiré les renseignements qui servent à identifier les personnes, il n'est pas question d'atteinte à la vie privée, parce qu'il n'est pas possible de les identifier, sauf qu'il y a cette nouvelle technologie permettant l'identification pour des groupes de certaines tailles. Vous pouvez y arriver entre autres si vous savez où habitent des personnes qui souffrent d'une certaine maladie, parce que seulement quelques-unes correspondent à ces critères; et même si vous enlevez les noms à l'avance, il est possible de les identifier. Nous devons donc examiner plus attentivement cet aspect, c'est-à-dire les conditions selon lesquelles les renseignements sont disponibles.

    D'après l'examen que nous entreprenons et certes d'après ce nous apprenons, croyez-vous, en fonction des réponses obtenues, qu'il s'agira davantage de petits aménagements ou, expression que pourrait employer le ministère, de modifications mineures que d'une refonte complète de ce qui a été accompli il y a cinq ans?

    Si l'on accorde le pouvoir de rendre des ordonnances, il s'agira d'un changement significatif et considérable.

    Je veux avoir votre avis sur ce pouvoir.

    Vous devrez le faire au prochain tour, monsieur Wallace.

    Merci beaucoup. Lors de votre prochaine visite, peut-être...

    Madame Jennings.

    Devrais-je être gentille à l'égard de M. Wallace? Je vous donnerai une minute pour répondre à la question de M. Wallace.

    Non, nous serons ici jusqu'à 17 h 30. Ne vous faites pas de souci.

    Combien de temps ai-je à ma disposition?

    Cinq minutes, ce qui comprend le temps pour les réponses.

    Merci beaucoup, monsieur le président.

    Le passage aux documents médicaux électroniques soulève de nombreuses questions. Vous avez indiqué que le modèle de la Colombie-Britannique en tenait compte mais que plusieurs questions demeuraient. Vous avez notamment parlé des chercheurs médicaux.

    J'aimerais que vous nous en disiez davantage à ce chapitre, car je crois que la LPRPDE devra être renforcée à ce sujet; d'ailleurs, pourquoi ne pas profiter des précédents législatifs pour essayer peut-être de s'attaquer à certains problèmes que la loi actuelle ne permettent pas de régler dans les provinces et territoires?

    Bien sûr,il y a une initiative fédérale — l'Inforoute Santé du Canada, je crois —, qui offre des fonds et des conseils, et qui tire profit du travail accompli dans différentes régions du pays.

    C'est clairement un domaine où il faudrait adopter un système uniforme afin que tous puissent communiquer entre eux. De toute évidence, le dossier médical électronique offre notamment l'avantage de pouvoir être consulté n'importe où. Si votre dossier se trouve en Colombie-Britannique, que vous vous êtes blessé en Ontario ou qu'il vous est arrivé quelque chose et que vous avez besoin de votre dossier, il est vraiment important que ce dernier soit accessible. Ce serait l'un des principaux avantages.

    Que vous essayiez de déterminer l'efficacité de certains médicaments, leurs coûts et les endroits où les prix sont les plus élevés, le dossier électronique de santé peut répondre à de nombreuses questions.

    Les règles régissant l'accès posent encore problème. Souvent, elles seront simples. Si vous êtes médecin et si vous appartenez à une certaine catégorie, vous pouvez consulter certains aspects des dossiers.

    Ainsi, les renseignements devront être catégorisés en fonction de leur sensibilité. Donc, le niveau d'accès variera selon qu'on sera médecin, fonctionnaire, ministre, ministre associé ou sous-ministre à la Santé.

    Comme je l'ai dit plus tôt, toutes ces questions sont actuellement examinées.

    Je crois que c'est vraiment important et que, de toute évidence, ça influera sur la LPRPDE, parce qu'on régira ces questions pour le compte des provinces dépourvues de loi sur la protection des renseignements personnels.

    Je crois que cela nous ramène à la question de l'attente. En fait, je ne crois pas que nous attendrons étant donné l'urgence que posent les dossiers médicaux.

    Quelles que soient les mesures prises par les provinces, je suppose que celles qui n'ont pas adopté de loi examineront de près ce qui se passe ailleurs au Canada lorsqu'elles élaboreront leurs politiques régissant l'utilisation de l'information.

    Avez-vous quelque chose à ajouter à ce sujet?

    Je voudrais revenir très brièvement à mon premier point, à savoir que les règles doivent naturellement être harmonisées dans ce domaine comme dans d'autres. Dans une grande mesure, nous avons élaboré nos lois en fonction afin de faciliter cette harmonisation et la compréhension des principes.

    J'ai déjà montré dans mes travaux l'extrême uniformité de ces principes et je peux certes présenter d'autres exemples au comité. En conséquence, ce qui peut sembler un énorme problème de mise en oeuvre se révèle parfois moins difficile quand on s'y met concrètement.

    J'ai une autre question par rapport au consentement.

    Je sais qu'une étude a été menée dans un institut. J'ai oublié le nom exact, mais l'Université d'Ottawa s'est penchée sur certaines pratiques utilisées par les entreprises en matière de consentement tacite et de consentement explicite ainsi que sur la protection des renseignements personnels et les politiques adoptées à ce chapitre par ces entreprises.

    J'ai été consternée par les résultats, en partie parce qu'il y a eu un débat au comité de l'industrie quand nous avons pris connaissance de la loi à l'étape de la deuxième lecture. Je crois qu'il faut renforcer cette loi et la préciser.

    Toute la question du consentement — même s'il s'agit d'un consentement explicite donné à une société pour qu'elle puisse utiliser les renseignements personnels d'une façon définie très clairement — pose le problème suivant : les filiales de cette société n'évoluent peut-être pas dans le même secteur tout en offrant le même service ou produit et partageant les renseignements. Le tout est transmis ensuite à des tierces parties qui ne relèvent pas de la société « mère ».

    Voici mon expérience personnelle avec une société émettrice de cartes de crédit. Je voulais voir ce qui arriverait. C'est le genre de carte qu'on reçoit par courrier; j'ai rempli le formulaire. À la section traitant du consentement, j'ai tout coché et ai précisé que j'autorisais l'utilisation de mes renseignements personnels uniquement au sein de la société. Cette dernière ne pouvait donc pas les communiquer à leurs filiales qui n'étaient pas directement responsables de l'attribution du crédit autorisé et de l'établissement de ma cote de solvabilité. La société m'a littéralement renvoyé trois fois le même formulaire, précisant qu'il y avait un problème quelconque et me demandait de le remplir à nouveau.

    Il m'apparaissait évident que, si je remplissais le formulaire, je révélais mes renseignements personnels, mes habitudes de consommation et mes loisirs. Peut-être ne dévoilerait-on pas mon nom, mais il serait vendu à des tiers pour de la publicité ou autre chose. La plupart des gens ne se rendent pas compte de cela, je crois.

    J'aimerais que vous nous recommandiez comment préciser la définition de consentement et de ses différentes formes pour qu'il n'y ait que le consentement explicite. Vous pouvez le faire de vive voix aujourd'hui, mais si vous devez réfléchir à la question, vous pouvez transmettre le tout ultérieurement par écrit et par l'intermédiaire du président.

     À mon avis, le consentement implicite ne devrait pour ainsi dire pas exister. Il ne devrait y avoir que le consentement explicite.

    Merci, madame Jennings.

    Messieurs, avez-vous des commentaires à formuler au sujet du consentement?

    Allez-y, monsieur Rosenberg.

    Il y a la boîte d'acceptation ou celle du refus. Quand vous signez sans lire attentivement... Certaines cases sont déjà cochées afin de vous faire accepter à l'avance ce qu'on attend de vous. Il y a des xdans certaines cases; j'ai toujours été contre. Pour changer cela, il faut beaucoup d'efforts. Il est clair que c'est à l'avantage des sociétés que les gens ne se rendent pas compte de cela et qu'ils donnent leur consentement implicite à différentes choses, parce que l'option que la société veut que vous choisissiez est déjà cochée. De plus, je crois que, si la société veut utiliser ces renseignements, elle devrait obligatoirement obtenir un consentement explicite; il ne doit pas être implicite.

    Oui. Il ne s'agit pas uniquement de donner son consentement, mais il faut le faire également en toute connaissance de cause. Je crois que, souvent, le problème découle de la connaissance de cause; il faut préciser d'une façon claire et non ambiguë l'utilisation qui sera faite des renseignements fournis, et ne pas recourir à un jargon juridique, .

    Je crois en fait que les règles régissant le consentement dans la norme de l'ACNOR sont relativement claires. J'évolue dans le domaine depuis longtemps; le véritable problème, c'est la sensibilisation, la mise en oeuvre et, comme je le dis, l'établissement d'une jurisprudence claire sur toutes ces questions. Il est certain que je réfléchirai longuement à vos idées.

    Merci.

    Monsieur Tilson.

    Merci, monsieur le président.

    J'ai une question pour monsieur Rosenberg. S'agit-il de professeur ou de monsieur Rosenberg?

    Professeur émérite, en fait.

    Vraiment. D'accord.

    Vous avez soulevé la question de la circulation transfrontalière des renseignements personnels -- le Patriot Act, les sociétés canadiennes qui font des affaires aux États-Unis et qui communiquent des renseignements au FBI et autres organismes, ainsi que les sociétés internationales au Canada -- et de ce qu'il advient de ces renseignements. Auriez-vous des recommandations précises sur le contenu de la loi canadienne à ce sujet?

    Cette question est importante et difficile. D'abord, la plupart ignorent que de nombreux renseignements sont transmis aux États-Unis. On a entendu parler de nous lorsque le Commissariat à la protection de la vie privée du Canada a signalé ce qui se passait, et comme je l'ai fait remarquer, il en a été beaucoup question en Colombie-Britannique quand on a évoqué la possibilité que les Américains aient accès aux dossiers médicaux des Britanno-Colombiens, à cause de la sous-traitance accordée à une filiale.

    Ainsi, on a essayé, dans la loi de la Colombie-Britannique, de restreindre la transmission des renseignements dans une certaine mesure. En cas de sous-traitance, la société en question doit conserver ses dossiers en Colombie-Britannique. En fin de compte, tant le Commissariat à la protection de la vie privée que le législateur ne savaient pas s'il s'agissait d'un moyen infaillible d'empêcher la société mère américaine d'avoir accès aux renseignements. Le cas échéant, la société en Colombie-Britannique aurait dû s'engager à ne pas autoriser les Américains à consulter les renseignements, et donner d'autres garanties sur ce qui pourrait être fait et ce qui ne pourrait pas être fait.

    Quand vous gérez les renseignements d'une base de données, on ne sait pas précisément si les restrictions interdisent la consultation de ceux-ci par la société mère. Mais c'est là le mieux que vous puissiez faire, à moins que vous ne permettiez aucune sous-traitance et que tout soit administré par le gouvernement du Canada, en supposant que ce dernier ne recoure pas à la sous-traitance à cette fin.

    Mais c'est un problème difficile, qui deviendra de plus en plus épineux car de plus en plus de renseignements concernant les Canadiens se retrouveront par défaut aux États-Unis. Prenez une société émettrice de cartes de crédit; vous faites des achats avec la carte. Qui sait où sont gardés les renseignements?

    Ils finissent dans un dépotoir quelconque aux États-Unis, n'est-ce pas?

    Parfois.

    Je ne suis pas certain de savoir comment exprimer cela, mais je suppose qu'il s'agit d'un commentaire d'ordre politique. Pour différentes raisons, dès le début, il semblait nécessaire au gouvernement de la Colombie-Britannique de recourir à la sous-traitance pour ses renseignements sur la santé. J'aurais bien aimé lui demander s'il a suffisamment pris en compte le type de questions que vous posez. À l'avenir, adopterez-vous cette solution? Allez-vous poursuivre les sociétés qui contreviennent à la loi? Combien économisez-vous grâce à cette sous-traitance, plus particulièrement en ne gardant pas les renseignements médicaux?

    À l'époque, le gouvernement avait l'impression de pouvoir suffisamment économiser pour justifier la réduction de ces tâches bureaucratiques et que c'était la solution à adopter. En fait, je me demande si on s'est posé ces questions : s'il y a infraction, jusqu'où sommes-nous prêts à aller afin d'obtenir des montants?

    Avez-vous une idée là-dessus?

    Il faut faire le nécessaire. Si vous passez un contrat de sous-traitance avec une société et que celle-ci y contrevient soit en donnant accès aux renseignements de façon illégale ou en les stockant dans un endroit interdit, vous devez, quand vous poursuivez ces sociétés, appliquer la loi dans toute sa rigueur.

    Quant à la question du règlement régissant le signalement obligatoire en cas d'infraction à la sécurité -- en d'autres mots, une infraction par une société émettrice d'une carte de débit ou de crédit --, faudrait-il conserver ces dossiers lorsque l'affaire frauduleuse est résolue? Faudrait-il obligatoirement conserver les dossiers sur cette affaire, parce qu'il est possible que la même chose se reproduise quelques années plus tard? Comprenez-vous ce que je demande? Aux États-Unis, on impose ce genre d'exigence.

    Oui, mais les lois américaines exigent d'aviser les consommateurs. Est-ce là ce que vous demandez? Nombre d'entre elles l'exigent, en effet -- c'est donc une situation différente. En cas d'infraction à la sécurité, il faut la signaler aux personnes en cause afin qu'elles puissent prendre les mesures appropriées.

    Oui. On se demande ensuite si on conserve ou non les dossiers sur les infractions. Si on ne les garde pas, les fraudeurs pourraient toujours commettre d'autres infractions à partir des mêmes informations quelques années plus tard.

    Mais qui conserverait ces dossiers? Il faut se poser la question.

    Je vous la pose justement.

    À propos de la solution que je privilégie à ce sujet, je sais un peu ce qui ne fonctionne pas dans les lois américaines.

    C'en est une.

    Par exemple, j'ai appris que dans certains États, lorsqu'il y a infraction à la sécurité, les sociétés concernées en informent les consommateurs et profitent de l'occasion pour faire de la promotion publicitaire, en leur disant : « Vous savez, vous avez perdu vos données et, en passant, voudriez-vous une autre hypothèque? ».

    Ce qui serait préférable selon moi, c'est que l'avis soit obligatoirement envoyé au Commissariat à la protection de la vie privée, qui déciderait si l'infraction a été suffisamment grave pour en avertir le consommateur.

    J'ai une dernière question.

    Désolé, mais vous en êtes déjà à sept minutes, monsieur Tilson.

    Puis-je vous poser deux questions? Nous avons beaucoup entendu parler du produit du travail. Si je comprends bien, le produit du travail a été défini dans la loi de la Colombie-Britannique. J'aimerais savoir si c'est exact et, si c'est le cas, quelle est cette définition et en quoi diffère-t-elle de ce que nous avons?

    Je n'ai pas cette information dans le moment.

    Pourriez-vous nous la fournir?

    Bien sûr.

     Merci.

    Monsieur Rosenberg, vous nous avez recommandé d'autoriser le commissaire à rendre des ordonnances. Or, il a été proposé d'attribuer ce pouvoir, non pas au Commissariat à la protection de la vie privée, mais à un tribunal spécial qui serait chargé de s'occuper des plaintes et des entreprises. Ainsi, le Commissariat à la protection de la vie privée pourraient concentrer ses efforts sur l'information, la protection systémique de la vie privée et d'autres questions semblables.

    Si, comme vous le recommandez, le commissaire à la protection à la vie privée peut rendre des ordonnances, êtes-vous à l'aise avec l'idée que ce soit la LPRPDE qui lui accorde ce pouvoir, comme c'est prévu, de la même façon que la Loi sur la protection des renseignements personnels lui attribue d'autres fonctions? Je vous pose la question à tous les deux. Que pensez-vous de l'idée d'établir un tribunal spécialisé pour remplacer le commissaire à la protection de la vie privée? Je présume que ledit tribunal spécialisé aurait le pouvoir de rendre des ordonnances.

    Monsieur Rosenberg.

    Mon avis est surtout influencé par ce qui se fait en Colombie-Britannique et en Alberta, où c'est le Commissariat qui rend les ordonnances. Je ne vois pas pourquoi cela ne pourrait pas fonctionner au Canada.

    Je suis disposé à ce qu'on m'explique pourquoi un tribunal vaudrait mieux. Je peux comprendre d'une certaine façon. Le Commissariat pourrait concentrer ses activités, et n'aurait pas à se préoccuper de questions controversées ou de longues procédures d'ordre légal. Mais je ne comprends pas pourquoi ce ne serait pas une activité légitime du Commissariat. Je sais que des personnes raisonnables peuvent avoir des opinions différentes sur cette question, mais il me semble que cette institution parallèle doit avoir autant de connaissances spécialisées en matière de protection de la vie privée que le Commissariat. Pourquoi la portée des pouvoirs de ce dernier ne pourrait pas être élargie — par du financement supplémentaire, je présume — pour, par exemple, mettre en oeuvre ces ordonnances lorsque c'est nécessaire?

    Merci.

    Monsieur Bennett.

    Il est brièvement question de ce sujet dans mon mémoire, que vous recevrez sous peu, et je vais vous fournir de plus amples renseignements là-dessus.

    L'argument en faveur d'un tribunal est que vous retirez la fonction judiciaire au commissaire à la protection de la vie privée pour lui laisser le rôle d'ombudsman. Vous pouvez aussi l'attribuer à un groupe d'experts en la matière. C'est ainsi que fonctionne le système au Royaume-Uni. Je vous fournirai des renseignements sur le fonctionnement du système britannique avec le Commissaire à l'information et son tribunal de l'information.

    Je pense que l'Association du Barreau canadien s'est déclarée en faveur d'un tel modèle, inspiré de la Commission canadienne des droits de la personne et du Tribunal canadien des droits de la personne. Je ne suis pas un expert en la matière, mais je crois comprendre que ce modèle a entraîné des retards. On dirait qu'il ne fait qu'ajouter une étape avant celle d'une autre instance, et je ne favoriserais certainement pas cette proposition si c'était le cas. Je sais qu'il y a de la documentation favorable à l'établissement de tribunaux et qu'il est possible de créer un tribunal adapté aux circonstances, en évitant les problèmes éprouvés dans le domaine des droits de la personne. Cela dit, pour l'instant, je préférerais qu'on accorde au commissaire à la protection de la vie privée le pouvoir de rendre des ordonnances, avec la possibilité d'interjeter appel directement auprès de la Cour fédérale.

    Merci.

    En raison des contraintes de temps, je vous demanderais que les questions et les réponses soient courtes?

    M. Wallace, Mme Lavallée, et M. Tilson.

    J'ai une brève question à poser sur le pouvoir de rendre des ordonnances dont vous venez de parler. Pourriez-vous me donner quelques exemples des peines possibles et de leur application? C'est bien beau d'avoir un pouvoir, mais il faut aussi savoir comment on va l'exercer.

    Je ne suis pas un avocat spécialisé en droit administratif et je ne pourrais pas aborder cette question en détail, mais je peux dire que, dans la plupart des administrations qui ont le pouvoir d'interdire de faire telle ou telle chose ou de recueillir des renseignements, c'est habituellement un incitatif, comme nous le faisons valoir, à se conformer plus tôt aux règles.

    Le rôle des peines dans ce domaine du droit est assez délicat parce que, dans une large mesure, les pénalités ne sont pas nécessairement de nature financière pour les organismes délinquants. Comme je l'ai déjà dit, la mauvaise réputation et la mauvaise publicité qui en découlent les pénalisent.

    Il y a beaucoup de modèles au Canada ainsi qu'en Colombie-Britannique et en Alberta — et vous recevrez aussi des renseignements là-dessus — concernant le pouvoir de rendre des ordonnances d'interdiction et d'autres questions semblables. Ces modèles peuvent servir pour définir tout le rôle des enquêtes et de l'ombudsman.

    Merci.

    Madame Lavallée.

    On a peu de temps, alors je procéderai rapidement.

    J'aimerais vous rappeler l'affaire Wilhelmy au Québec. Alors que nos conversations téléphoniques à l'aide de téléphones ordinaires, qu'on appelle des lignes dures, sont protégées, les conversations au moyen d'un téléphone cellulaire ou d'un BlackBerry ne le sont pas. Cela a donné lieu à une injonction de la cour, en 1992, dans l'affaire Wilhelmy.

     Ne croyez-vous pas que c'est une incongruité, un anachronisme, et qu'on devrait faire en sorte que les conversations au moyen d'un cellulaire et d'un BlackBerry soient protégées autant que celles tenues par le biais de lignes ordinaires?

    Oui, cela touche toute une série de questions dont j'ai déjà parlé.

    Les particuliers, les gens ordinaires, doivent déterminer quel est le niveau de protection de leurs communications. Lorsque nous envoyons une carte postale, nous ne nous attendons pas à ce que sa teneur reste confidentielle comme dans le cas d'une lettre cachetée. Qu'en est-il pour une conversation téléphonique ou un courriel? Quel est le degré de confidentialité d'un courriel? Il n'est pas très grand, car les courriels passent par bien des endroits avant d'arriver à destination. La protection pourrait être déterminée à chacun d'eux. C'est pourquoi les gens qui font des transactions importantes devraient envisager l'encryptage; autrement, les renseignements ne resteront pas confidentiels.

    Puis,il y a les autres technologies, le téléphone ordinaire et le cellulaire, par exemple. On peut vraiment se demander comment un simple citoyen peut distinguer ce qui est protégé de ce qui ne l'est pas. Il faut soit diminuer, soit augmenter ses attentes, et je crois que c'est un problème réel.

    Je ne vois pas pourquoi, en principe, les téléphones cellulaires devraient être exclus. Pourquoi avoir une ligne terrestre... qui n'en est pas nécessairement une non plus car, des fois, on passe par des tours de communication, de sorte que rien n'est bien clair. Je pense que, le plus simple, c'est que les modes de communications généraux soient protégés, mais il y aura des distinctions à faire et des problèmes dans certains cas.

    Avez-vous des commentaires, monsieur Bennett?

    Je n'ai vraiment pas de commentaires, à moins que vous vous attendiez à ce que je parle de certaines exceptions.

    Madame Lavallée, avez-vous d'autres questions?

    Ça va. Merci.

    Monsieur Tilson.

    Comme vous connaissez bien la loi de l'Alberta et celle de la Colombie-Britannique, êtes-vous en mesure de recommander au comité des aspects de ces lois qui pourraient ou devraient s'appliquer dans le cas de la loi fédérale?

    Oui.

    Merci. Nous vous serions reconnaissants de faire parvenir la liste de vos recommandations au greffier.

    Oui, j'ai dit que j'enverrais un mémoire plus complet, et j'y ajouterai ces recommandations.

    Je vous remercie.

    Merci, monsieur le président.

    Merci.

    Pour terminer, si j'ai bien compris l'exposé, monsieur Rosenberg, vous dites que le pouvoir de rendre des ordonnances existe au Québec. C'est ce que vous avez dit.

    C'est exact.

    Moi aussi, je suis un nouveau membre du comité mais, si je comprends bien, la loi québécoise est antérieure à la LPRPDE. Est-ce exact?

    C'est exact.

    Est-ce que vous ou M. Bennett savez pourquoi le gouvernement de l'époque n'a pas retenu le modèle québécois, qui permet de rendre des ordonnances, pour lui préférer celui de l'ombudsman? Peut-être dois-je poser la question à Mme Jennings. Est-ce que quelqu'un sait pourquoi?

    Monsieur Bennett.

    Il y a deux ou trois raisons, je pense. D’abord, il y a la cohérence avec la Loi sur la protection des renseignements personnels et sa mise en œuvre. Et, comme je l’ai déjà précisé, si la LPRPDE accorde le pouvoir de rendre des ordonnances, cela entraînerait des anomalies, mais il reste que la Loi sur la protection des renseignements personnels doit absolument être modifiée et mise à jour, comme on vous l’a peut-être déjà signalé.

     Ces arguments m'ont persuadé, à cette époque, que le modèle de l’ombudsman avait très bien fonctionné. Cela faisait partie de la culture du Commissariat. Les membres du Commissariat savaient bien comment les choses fonctionnaient. Je ne suis pas ici pour vous dire que c'est un échec total. Il a présenté certains avantages, mais aussi certains inconvénients réels pour les questions liées au secteur privé et celles qui ne découlent pas nécessairement du contexte gouvernemental.

    Je vous ai donné quelques exemples de cela plus tôt, quand le problème n'a pas nécessairement trait à la résolution d'un conflit entre un particulier et une organisation — ce qui fait habituellement l'ombudsman --, mais plutôt à la réglementation d'une entreprise privée.

    Iriez-vous jusqu'à demander, comme M. Rosenberg, que le commissaire ait le pouvoir de rendre des ordonnances?

    Je pense que oui. Il faut réfléchir sérieusement au fait de mentionner de noms et à la possibilité d'appeler des ordonnances du commissaire. Je trouve, pour l'instant, que les modèles de la Colombie-Britannique et de l'Alberta fonctionnent raisonnablement bien, mais ils n'en sont encore qu'à leurs débuts.

    Très bien.

    Merci beaucoup, messieurs. Excusez-nous d'avoir commencé en retard, mais je pense que tous les membres ont pu poser leurs questions.

    Votre participation, vos connaissances et vos compétences nous ont été utiles.

    J'aimerais rappeler aux membres du comité que, lundi après-midi, nous accueillerons la commissaire à la protection de la vie privée.

    La séance est levée.