Passer au contenu

ETHI Réunion de comité

Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.

Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

Publication du jour précédent Publication du jour prochain







CANADA

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique


NUMÉRO 019 
l
1re SESSION 
l
39e LÉGISLATURE 

TÉMOIGNAGES

Le lundi 27 novembre 2006

[Enregistrement électronique]

(1530)

[Traduction]

    Conformément à l'ordre de renvoi du mardi 25 avril 2006 et à l'article 29 de la Loi sur la protection des renseignements personnels et les documents électroniques, nous faisons l'examen législatif de la partie 1 de cette loi.
    Aujourd'hui, nous accueillons, du Commissariat à la protection de la vie privée du Canada, Mme Jennifer Stoddart, commissaire à la protection de la vie privée, Heather Black, commissaire adjointe à la LPRPDE, et Mélanie Millar-Chapman, analyste de recherche stratégique et politique.
    Vous êtes les bienvenues.
    Je crois savoir, commissaire, que vous avez une déclaration liminaire à faire, après quoi nous passerons comme d'habitude aux questions. C'est bien cela?
    Si cela vous convient, monsieur le président, j'ai une déclaration d'ouverture plutôt brève, ce qui nous laissera une bonne période pour les questions.

[Français]

    Mesdames et messieurs les députés, je suis très heureuse d'être ici parmi vous aujourd'hui afin de vous aider à passer en revue la Loi sur la protection des renseignements personnels et les documents électroniques, ou la LRPDE, comme elle est couramment appelée.
    La protection des renseignements personnels revêt une importance fondamentale pour nous tous — que ce soit en tant que citoyens, étudiants ou employés — dans tous les aspects de notre quotidien. La LRPDE, de même que la Loi sur la protection des renseignements personnels qui s'applique aux ministères et organismes fédéraux, pose les jalons de la protection de la vie privée au Canada.
     J'aimerais prendre un moment pour vous expliquer pourquoi la LRPDE est plus importante que jamais. Lorsque nous avons tout d'abord parlé de cette loi, en 1998, l'autoroute de l'information n'était qu'un slogan; il s'agit maintenant d'une réalité. La circulation transfrontalière des renseignements personnels était alors très limitée, mais elle a désormais l'allure d'un déluge. Les technologies nouvelles et émergentes, comme les dispositifs de localisation et l'identification par radio-fréquence, menacent la vie privée de façons qui auraient été inimaginables il y a 10 ans.
    Nous voulons vous aider à vous acquitter de cette tâche d'importance majeure qui consiste à veiller à ce que la LRPDE puisse continuer de relever les nombreux défis que pose la protection de la vie privée au XXIe siècle.
    En préparation à l'examen, nous avons produit un document de consultation sur les 12 enjeux jugés d'intérêt. Nous avons reçu plus de 60 présentations de diverses organisations et personnes. Un résumé des présentations et une discussion des enjeux ciblés figurent dans la présentation que nous avons remise au comité. Je crois qu'on peut dire sans se tromper que tous sont d'accord sur les enjeux que le comité pourrait examiner, mais, malheureusement, il n'y a pas de consensus sur la meilleure façon de les traiter.

[Traduction]

    Aujourd’hui, je veux livrer un message très clair et positif. Nous croyons que la Loi fonctionne bien. Elle établit un équilibre délicat entre deux objectifs : le droit des personnes de ne pas communiquer leurs renseignements personnels et le droit des organisations de recueillir, d’utiliser et de communiquer des renseignements personnels pour des fins qu’une personne raisonnable jugerait appropriées.
    J’ai choisi d’attirer votre attention aujourd’hui sur les enjeux suivants parce qu’ils peuvent avoir une incidence sur les intérêts relatifs à la protection de la vie privée d’un nombre important de Canadiens.
    Tout d’abord, il est important que la Loi sur la protection des renseignements personnels soit administrée dans un contexte stable. La Loi est fondée sur un modèle de l’ombudsman. À titre de commissaire à la protection de la vie privée, j’ai le pouvoir de traiter les plaintes, d’effectuer des vérifications, d’émettre des conclusions, de formuler des recommandations non exécutoires et de recourir aux tribunaux. Nous ne demanderons pas des pouvoirs d’exécution accrus. Nous ne sommes pas convaincus que le moment soit bien choisi pour apporter un changement aussi fondamental aux mécanismes d’exécution, et ce, pour diverses raisons d’ordre à la fois pratique et administratif.
    Deuxièmement, certaines des plaintes les plus complexes que nous avons reçues portaient sur les renseignements personnels concernant les employés. La LPRPDE est fondée sur le consentement, un concept parfois difficile à réaliser dans un environnement de travail où le pouvoir de négociation est inégal. Un des enjeux que vous voudrez peut-être étudier est l’existence ou l’absence de moyens plus appropriés pour traiter les renseignements personnels concernant les employés sans sacrifier le droit à la vie privée des travailleurs. Notre présentation propose d'autres idées sur le traitement des renseignements personnels concernant les employés.
    En ce qui a trait à la question du produit du travail, la LPRPDE n’utilise pas ce terme. Nous avons abordé cette question en adoptant une approche au cas par cas pour voir si l’information à ce sujet concerne bel et bien une personne. Dans l’affirmative, la loi protège en effet cette information. Nous reconnaissons qu’une personne, à titre d’employé ou de professionnel, peut générer de l’information qui ne la concerne pas. Nous aimerions vous mettre en garde: il ne faudrait pas soustraire cette information à l'application de la Loi, car cela risque de laisser le champ libre à une surveillance envahissante en milieu de travail et à d’autres abus du même ordre.
(1535)

[Français]

    Depuis l'adoption de la loi, les préoccupations relatives à la protection de la circulation transfrontalière de renseignements personnels sont encore plus pressantes qu'auparavant. En raison de la mondialisation, l'émergence de nouveaux modèles d'affaires axés sur la « recherche de climats plus cléments » et l'explosion du traitement à l'étranger de renseignements personnels qui circulent de part et d'autre des frontières se sont considérablement accrues. Par ailleurs, les gouvernements cherchent de plus en plus à obtenir l'accès à ces renseignements à des fins de sécurité nationale. La LRPDE ne renferme aucune disposition particulière sur la circulation transfrontalière des renseignements personnels. Nous croyons qu'en offrant des directives, en exigeant que les organisations fassent preuve de transparence au sujet de leurs méthodes de traitement et en les tenant responsables des renseignements personnels lorsque de tels renseignements traversent les frontières, nous pouvons relever les défis qui découlent de la circulation transfrontalière des renseignements personnels.
    Nous devons également nous assurer de pouvoir traiter les plaintes qui touchent d'autres juridictions. Nous vivons dans un monde où les frontières sont de plus en plus virtuelles et à l'intérieur desquelles les questions de protection des renseignements personnels ne respectent pas toujours les frontières nationales. Je vous demande, mesdames et messieurs les députés, de réfléchir à la possibilité de prévoir une disposition particulière afin d'indiquer plus clairement que nous sommes habilités à communiquer les renseignements personnels à nos partenaires internationaux, tout en collaborant à des enquêtes d'intérêt commun.
    La loi exige des organisations qu'elles protègent les renseignements personnels contre l'accès ou la communication sans autorisation. La loi n'exige pas des organisations qu'elles adoptent des mesures particulières en cas de communication non autorisée. Plus de la moitié des États américains ont adopté des lois qui exigent des organisations qu'elles avisent leurs clients lorsque la confidentialité de leurs renseignements personnels a été compromise. Les décideurs de l'Union européenne envisagent d'adopter des exigences semblables. Les lois concernant l'émission d'un avis de manquement peuvent obliger les organisations à prendre la sécurité plus au sérieux. Elles peuvent offrir aux personnes un système de détection précoce pour leur permettre d'être mieux préparées à faire face au risque de vol d'identité et à d'autres préjudices qui pourraient découler d'une atteinte à la vie privée. Nous sommes impatients de discuter avec le comité de la possibilité d'inclure une exigence relative à la notification dans la LRPDE.
(1540)

[Traduction]

    Avant de conclure, monsieur le président, je voudrais parler d’une question très précise et urgente concernant une décision récente de la Cour fédérale du Canada. L’affaire porte sur le secret professionnel qui lie un avocat à son client et notre capacité d’avoir accès à des documents. La récente décision rendue dans l’affaire Blood Tribe crée une lacune béante dans notre capacité de mener des enquêtes dignes de ce nom. Elle permet ainsi aux organisations de refuser à nos enquêteurs l'accès à des renseignements personnels, sans vérification indépendante du fait que les documents visés contiennent bien des renseignements assujettis au secret professionnel. Bien que nous demandions l’autorisation d’interjeter appel de la décision, nous croyons qu'il faut dissiper cette ambiguïté en modifiant le plus rapidement possible la LPRPDE.
    Je répète que, à notre avis, la LPRPDE fonctionne relativement bien. Dans l’ensemble, nous croyons qu’il existe un haut taux de conformité et que le milieu des affaires souscrit pleinement à la protection des renseignements personnels. Est-il possible d’améliorer la Loi? Oui. En nous fondant sur notre expérience de l’application de la loi depuis 2001 et les répercussions positives des lois de seconde génération visant le secteur privé qui ont été adoptées dans certaines provinces, nous avons noté dans notre présentation les lacunes dans la Loi et les dispositions qui méritent d’être clarifiées. Nous sommes d’avis qu’il existe des façons de rendre la Loi plus pratique et d'application plus prévisible. Lorsque vous aurez eu la possibilité d’entendre de nombreux autres témoins, nous serons heureux de revenir à la fin de vos audiences, monsieur le président, et de vous donner notre opinion finale sur les diverses questions présentées au comité.
    Merci.
    Merci beaucoup, commissaire.
    Nous allons entamer la première série de questions. Nous avons une pleine liste de députés qui veulent poser des questions. Ils auront sept minutes, cette fois-ci. Donnons d'abord la parole à M. Peterson.
    Merci, monsieur le président, et merci aux témoins.
    Quels genres de modifications envisagez-vous pour contourner la décision rendue dans l'affaire Blood Tribe?
    Il s'agirait de modifications libellées avec beaucoup de précision qui disent clairement — je crois que le modèle se trouve dans la Loi sur la protection des renseignements personnels — que nos pouvoirs d'enquête ne sont pas limités par le secret professionnel. Cette disposition se trouve dans la Loi sur la protection des renseignements personnels, mais on ne l'a pas reprise dans la LPRPDE, croyons-nous comprendre, parce qu'on estimait que les pouvoirs d'enquête assez clairs. Comme il semble y avoir ambiguïté, nous prendrions la Loi sur la protection des renseignements personnels comme modèle.
    Entrevoyez-vous des objections contre ce type de modification?
    Il pourrait y en avoir, effectivement.
    Vous avez déjà lancé cette idée. Avez-vous reçu des objections?
    Non, nous l'avons pas déjà lancée, monsieur le président. La décision de la Cour d'appel n'a été rendue qu'il y a trois semaines, je crois. En première instance, la Cour fédérale était d'accord avec nous pour dire que nos pouvoirs d'enquête s'étendaient à l'examen des documents à l'égard desquels le secret professionnel pouvait jouer. La Section d'appel de la Cour fédérale ne partageait pas cet avis. C'est donc la première fois que nous demandons une modification.
    Pouvez-vous nous donner des exemples pour illustrer les difficultés que cela occasionnera dans votre travail?
    Il y a une possibilité très réelle que les organisations en cause donnent une interprétation très large du secret professionnel et refusent donc, au nom de ce secret, des documents contenant des renseignements personnels que nous devrions pouvoir consulter pour nos enquêtes.
    Pouvez-vous nous donner une idée du nombre de plaintes que le Commissariat a reçues depuis l'adoption de la LPRPDE?
    Je crois que, depuis le début, nous avons reçu environ 1 400 plaintes en tout, monsieur le président.
    En trois ans et demi?
    Non, depuis cinq ans, depuis la mise en vigueur de cette loi. Je vais vous trouver des statistiques.
    Nous avons reçu plus de 56 000 demandes de renseignements par écrit et au téléphone.
    Vous pourrez nous communiquer ces chiffres plus tard.
    C'est environ 1 400.
    Y a-t-il un type de plainte qui domine?
    Les plaintes portent surtout sur l'utilisation et la communication, la collecte et l'accès. Tous les ans, ce sont les trois types de plaintes qui dominent. Les plaintes sur l'utilisation et la communication représentent 38 p. 100; celles qui portent sur la collecte, 23 p. 100; celles qui concernent l'accès à ses propres renseignements personnels, 18 p. 100.
(1545)
    Combien de fois avez-vous dû vous adresser aux tribunaux?
    Je crois que nous avons eu une cinquantaine de causes depuis le début de la première étape de l'application de la LPRPDE. Nous avons actuellement 12 causes dont la Cour fédérale est saisie.
    D'habitude, combien de temps faut-il pour obtenir une décision finale dans une cause?
    Difficile de répondre. Je n'ai pas vraiment calculé.
    Ce doit être assez long.
    Devant la Cour fédérale, vous voulez-dire?
    Oui. Il doit falloir passablement de temps pour faire inscrire une cause, la faire entendre et obtenir une décision, n'est-ce pas?
    Les chiffres des cinq dernières années montrent que, en moyenne, nous avons pu régler les plaintes présentées aux termes de la LPRPDE en moins d'un an. La moyenne se situe autour de 11 mois. Quant à la période nécessaire pour s'adresser à la Cour fédérale et à la durée des procédures, cela dépend bien entendu de la célérité avec laquelle agissent les deux parties, de l'endroit où la cause est entendue et de divers autres facteurs.
    Dans l'excellent mémoire que vous nous avez remis, vous dites ne pas souhaiter obtenir le pouvoir de prendre des ordonnances, car vous préférez continuer à agir comme vous le faites maintenant. C'est donc que vous êtes probablement satisfaite de devoir recourir aux tribunaux pour régler certains problèmes.
    Monsieur le président, ce n'est pas le moment d'apporter des modifications majeures à la LPRPDE. Comme certains membres du comité s'en souviendront, au départ, la loi n'a pas été appliquée dans des circonstances idéales. Ce fut un bout de chemin très difficile pour le Commissariat. D'une part.
    D'autre part, je ne crois que nous ayons fait une étude assez sérieuse des avantages et des inconvénients des divers modèles d'exécution.
    Troisièmement, monsieur le président, je puis dire que nous avons des pouvoirs très nombreux et que le recours à la Cour fédérale est un pouvoir très important, car une ordonnance de la Cour fédérale est, par ordre d'importance, très élevée dans la hiérarchie des ordonnances judiciaires.
    Pour toutes ces raisons, je suis satisfaite pour l'instant de devoir recourir à la Cour fédérale.
    Même si c'est lent, lourd et coûteux?
    Je le répète, je ne le sais pas. Rien ne m'incite à croire que c'est plus lent ou lourd que s'adresser à des tribunaux équivalents. Or, je connais quelque peu les tribunaux, puisque j'en ai administré. Cela dépend des demandes de suspension d'instance, de la disponibilité des parties, de l'endroit où l'audience peut avoir lieu. Je ne crois pas qu'il y ait des retards excessifs à la Cour fédérale. Nous n'avons pas à attendre très longtemps pour nous faire entendre. La plupart de nos causes se règlent à l'amiable.
    Si je puis conclure là-dessus, monsieur le président, je dirai que, depuis environ un an, chaque fois que nous nous sommes faits plus insistants, menaçant de recourir à la Cour fédérale si l'autre partie ne se conformait pas à nos recommandations et à la loi, toutes les organisations sauf une ont obtempéré.
    Le pouvoir de prendre des ordonnances existe dans deux provinces, n'est-ce pas?
    Oui.
    Merci, monsieur Peterson. Cela fait exactement sept minutes.
    Madame Lavallée.

[Français]

    D'abord, bienvenue. Je vous remercie beaucoup d'être venue nous présenter vos suggestions quant à la mise à jour de la loi. Vous faites plusieurs suggestions qui sont immensément intéressantes et vous soulevez effectivement les enjeux de l'heure.
     J'ai retenu une phrase que vous avez dite :
     [...] et l’explosion du traitement à l’étranger de renseignements personnels qui circulent de part et d’autre des frontières se sont considérablement accrues.
     Vous avez aussi dit — bien que je ne me rappelle pas le libellé exact — que rien n'est prévu actuellement dans la loi pour traiter ces informations confidentielles. Je ne cite pas exactement votre phrase: j'ignore dans quel paragraphe elle se trouve.
(1550)
    En raison de la circulation virtuellement globale des renseignements personnels, on n'avait pas prévu ce volume lorsque la loi a été écrite, en 1998. Il me manque une directive claire, dans la loi, pour traiter avec mes homologues en vue de la résolution de problèmes potentiels. Je souhaiterais un changement qui ferait en sorte que la loi me donne un barème général, à savoir qu'il est dans l'intérêt public d'aller parler même des détails d'une plainte dont je suis saisie avec un homologue, par exemple à l'Union européenne, si c'est dans l'intérêt de la protection des renseignements personnels des Canadiens.
    D'accord.
    Actuellement, j'imagine que vous avez quand même des activités, des rencontres, des conversations avec des gens à l'Union européenne ou des États-Unis. N'est-ce pas?
    Oui.
    Vous en avez déjà. Vous avez quand même le... Toutefois, dois-je comprendre que vous voulez aller plus loin pour traiter et négocier avec eux?
    Nous essayons le plus possible de n'aborder que des domaines très généraux, pour ne pas donner des informations sur les renseignements personnels d'une personne, par exemple.
    Cependant, nous souhaiterions une clarification. Par exemple, lors d'une plainte qui concerne un individu, lorsqu'il est préférable que cette plainte soit traitée par nos homologues français, nous souhaiterions que ceux-ci puissent se saisir aussi des renseignements personnels de l'individu, en toute légalité. J'aimerais clarifier cela.
    Je veux seulement être certaine de comprendre. Je m'excuse, mais je suis nouvelle à ce comité. Il n'y a pas tellement longtemps que je me penche sur cette loi. Alors, je veux m'assurer de bien comprendre ce que vous dites.
    Dans le cas d'une plainte, par exemple, vous voudriez pouvoir transiger avec vos homologues de l'Union européenne pour pouvoir enquêter ensemble sur cette plainte. N'est-ce pas?
    Oui, c'est cela.
    Par exemple, nous voulons pouvoir envoyer carrément une copie de la plainte comprenant tous les renseignements personnels de la personne en question à nos homologues, en leur disant que ce sont eux qui peuvent trouver un remède à notre plaignant ici, au Canada.
    La loi n'est pas claire à cet égard; elle ne précise pas si je peux le faire. Je ne l'ai pas fait jusqu'à présent. Je m'en tiens à des informations générales.
     Comment pourrions-nous renforcer les actions des uns et des autres?
    D'accord.
    Je trouve cela intéressant, mais je dois avouer que ce n'est pas ce que j'avais compris. Ce n'est pas ainsi que j'avais interprété vos problèmes et vos préoccupations. Je croyais que cela portait davantage sur la façon, en général, de protéger les renseignements personnels des Québécois et des Canadiens quand ces informations doivent, pour une raison ou une autre, circuler sur le plan international. Je pensais plutôt que telle était votre préoccupation.
    D'accord. C'est une autre de nos préoccupations. On le dit dans le document. C'est une question qui a fait l'objet de plusieurs discussions. Vous entendrez sûrement plusieurs points de vue sur cette question.
    Selon nous, il est possible d'inclure dans la loi des barèmes généraux tels que ceux que le gouvernement canadien a inclus dans les directives émises récemment par le Conseil du Trésor pour le secteur public. Cependant, un des principes de la loi, qui s'appelle le principe de la responsabilité, vise aussi à encourager les entreprises exportatrices des renseignements personnels des Canadiens à soumettre aux normes canadiennes les autres entreprises ou organisations externes.
    Nous vous affirmons que c'est un problème important. Nous mentionnons différentes approches et nous ajoutons que si vous n'intervenez pas, de toute façon, il existe un principe assez fort et flexible, soit le principe de la responsabilité.
    D'accord. Pour s'occuper de ce problème, il suffirait simplement de mesures additionnelles dans la loi. Est-ce bien ce que vous me dites?
    Nous pouvons déjà nous occuper de ce problème en vertu du principe de la responsabilité.
    D'accord. Quand vous parlez du principe de la responsabilité, parlez-vous du projet de loi C-2?
    Non, je pense qu'il s'agit du principe no 4.
    D'accord. Vous parlez vraiment d'un principe.
    Oui. Ce sont les principes du code. Cette loi a été conçue sur la base d'une norme du code des normes canadiennes. Le Code sur la protection des renseignements personnels est lié à la loi et fait partie intégrante de celle-ci. Le premier principe de la loi est celui de la responsabilité.
    Même si je suis une organisation canadienne qui envoie des renseignements personnels sur des Canadiens à l'étranger, j'en demeure responsable ici, au Canada.
(1555)
    D'accord. Parfait. Je comprends mieux.
    Vous parlez également de la divulgation des informations personnelles et vous dites qu'il serait intéressant d'inclure dans la loi une exigence relative à la notification.
    Oui.
    Cela non plus n'est pas encore prévu dans la loi.
    Non, cela n'a pas été prévu dans la loi. Peut-être n'y avait-il pas alors encore assez de fuites des grandes bases de données pour qu'on pense que c'était un problème.
    Oui, nous sommes en faveur du principe. Le problème consiste à savoir comment le réaliser.
    D'accord. Vous devez quand même avoir une idée, depuis le temps, quant à la façon de le réaliser.
    Nous avons tenu compte de plusieurs exemples américains. C'est une chose qu'il faudrait étudier avec des avocats du gouvernement, parce c'est assez complexe. À qui donne-t-on un avis? Quelle sera la portée? Cela portera-t-il sur tous les renseignements, ou seulement lorsqu'il y a un risque notable? Qui en assumera le coût?

[Traduction]

    Merci, madame Lavallée.
    Avant que nous ne passions à M. Martin, pourriez-vous nous dire — sinon maintenant, du moins plus tard, en nous envoyant l'information par écrit — quelle est au juste l'article de la Loi sur la protection des renseignements personnels que vous proposez d'importer dans la LPRPDE?
    Oui, monsieur le président.
    Merci.
    Monsieur Martin.
    Merci, monsieur le président.
    Bonjour, madame Stoddart.
    Je voudrais aller directement à un paragraphe de votre document de juillet que vous avez fait circuler pour obtenir des observations. Ce paragraphe, que je cite dit ceci : « À la fin de 2005, environ la moitié des États américains avaient adopté une loi » qui exigeait que les clients soient avisés lorsque leurs renseignements personnels étaient compromis. Cela m'intéresse beaucoup. Quelle est actuellement votre opinion sur la question? Recommanderiez-vous fermement que le comité envisage cette notification obligatoire?
    Oui, monsieur le président, nous conseillons au comité d'ajouter cette disposition à la loi. Le problème a pris de l'ampleur. Selon nous, cela est devenu un des moyens employés pour le vol d'identité. Il n'y a pas eu beaucoup de travaux visant à vérifier l'existence d'un lien entre le vol d'identité et les fuites de données, mais elles doivent jouer un rôle.
    Nous proposons que vous recommandiez d'ajouter dans la loi une disposition sur la notification en cas de manquement à la sécurité. J'avoue honnêtement qu'il doit être extrêmement difficile d'établir un libellé exact. Nous avons étudié presque tous les modèles américains, et il y a beaucoup de variantes.
    Pensez-vous qu'il doit y avoir une gradation en fonction de la gravité du manquement? Par exemple, j'ai entendu dire qu'une société émettrice de cartes de crédit, dont je vais taire le nom pour des raisons commerciales, a eu plus de 3 millions de cas de manquement à la sécurité dont elle n'a pas prévenu ses clients. Mais dans certains cas, ce doit être l'affaire de quelques cents et les corrections ont été apportées rapidement. Essayeriez-vous de classer les incidents selon la gravité, pour ce qui est de l'obligation d'aviser?
    Il me semblerait souhaitable de prévoir un critère qui permet de tenir compte de l'importance de l'incident. Il peut y avoir un manquement à la sécurité, à strictement parler, mais sans beaucoup d'importance et, par ailleurs, le cas d'une société qui doit aviser des millions de personnes, ce qui lui coûte très cher.
    Du même coup, ces millions de personnes ont le droit de savoir si leur carte de crédit est exposée à des risques réguliers et fréquents.
    C'est que... Mais ce n'est pas nécessairement important. Et puis, je le répète. Les liens exacts entre notification de manquement et vol d'identité ne sont pas clairs. Je n'ai vu aucune étude sur la question. Certains de vos autres témoins seront peut-être plus au courant. On ne peut donc pas dire que, à cause de ce manquement, il est certains que tous ces gens dont...
    Certains États ont des modèles qui nous semblent plus faciles à appliquer. Nous pourrions de nouveau comparaître à la fin de vos audiences pour essayer de voir quels sont les meilleurs modèles.
    La commissaire adjointe a peut-être quelque chose à ajouter.
    La question est très intéressante et nous avons passé beaucoup de temps à y réfléchir et à l'étudier.
    À propos des cartes de crédit, il vous est probablement arrivé — en tout cas, cela m'est arrivé — de recevoir un appel de la banque: « Avez-vous fait une dépense de tel montant dans un saloon de l'ouest du Texas? » Bien sûr que non, j'étais à Ottawa.
    Il est dans l'intérêt des émetteurs de cartes de crédit de vérifier ces choses-là. Ils le font, et ils le font très bien, puisque c'est eux qui paient. Ce sont eux qui paient et non le consommateur, puisque la responsabilité du consommateur est limitée.
    Vous avez parlé de trois millions de manquements. Lors d'une audience antérieure, nous avons essayé de vérifier les chiffres, mais nous n'avons pas pu les trouver. Il est très difficile de voir de quels manquements il s'agit.
(1600)
    Très bien. C'est très utile.
    S'il me reste une minute, j'ai deux autres questions qui m'intéressent, et je crois en avoir parlé au cours d'autres réunions également.
    Le Manitoba a confié à une entreprise privée la gestion des données sur la santé. Cette entreprise a ensuite été achetée par une société américaine. Maintenant, mon dossier médical se trouve à Dallas, au Texas. Dieu sait combien de fois l'entreprise a changé de mains depuis, par suite de fusions et d'acquisitions de sociétés.
    Le problème a été signalé par un certain nombre de témoins et par vous dans votre exposé. Un problème de compétence se pose lorsqu'on essaie de protéger des renseignements canadiens qui se retrouvent à l'étranger. J'ignore s'il y a assez de mesures que vous pourriez prendre pour pouvoir me donner l'assurance que mes renseignements ne seront pas vendus à quelque société pharmaceutique qui va s'en servir pour sa publicité ou quoi d'autre encore.
    Il y a plusieurs choses qu'on peut faire.
    D'abord, dans l'exemple que le député a donné, je suppose qu'il s'agit de ses renseignements en matière de santé qu'il a communiqués au gouvernement manitobain. Celui-ci peut émettre des lignes directrices — il l'a peut-être fait, comme le gouvernement fédéral — et préciser divers degrés de sensibilité. Pour les renseignements les plus délicats, le gouvernement peut souhaiter que les entrepreneurs soient liés par des clauses contractuelles très strictes ou que les données soient traitées au Canada.
    Vous vous rappellerez la discussion de Lockheed Martin et de Statistique Canada, il y a quelques années. C'est dans le secteur privé.
    Dans le secteur public, nous en revenons au principe de responsabilité dont j'ai parlé avec le député précédent. Nous encourageons les organisations à lier ceux à qui ils communiquent des renseignements personnels par des clauses contractuelles très strictes qui permettent d'imposer des exigences supérieures à celles qui s'appliquent dans l'autre pays, pour pouvoir aller faire des vérifications et tenir l'autre partie responsable des préjudices. Je crois que c'est un outil fort utile.
    La commissaire adjointe Black a travaillé sur certains de ces dossiers.
    Lorsque nous avons fait enquête sur la plainte au sujet de la Visa de la CIBC, dont l'information va aux États-Unis, nous avons constaté que la CIBC avait fait tout ce qu'elle pouvait pour protéger l'information dont elle s'occupait. L'accord conclu avec l'entrepreneur traitait de mesures de protection, des utilisations des renseignements — qui ne devaient être ni utilisés, ni divulgués — et de tout le reste. Elle avait pris toutes les mesures qui s'imposaient, et c'est ce que la loi exige. Si on confie un travail à une entité de l'extérieur, que ce soit aux États-Unis ou en Inde, peu importe où, on est responsable, au bout du compte. Dans ce cas, on fait de son mieux pour se protéger, comme organisation présente au Canada, pour ne pas être pris à partie, à un moment donné, parce que l'information a été vendue, par exemple.
    Merci, monsieur Martin.
    Monsieur Tilson.
    Merci, monsieur le président.
    D'abord, je suis heureux que vous soyez d'avis que la LPRPDE fonctionne bien. Il y a cependant un ou deux points sur lesquels je voudrais vous poser des questions.
    L'un des problèmes soulevés au cours de nos réunions, et nous ne faisons que débuter, car nous n'avons eu que deux ou trois séances où nous avons accueilli des témoins, est celui de la définition des renseignements personnels. Faut-il exclure ou non le produit du travail? Vous avez effleuré la question dans votre exposé d'aujourd'hui, au quatrième paragraphe de la page 2. Vous dites avoir adopté une approche au cas par cas pour vérifier si ou non les renseignements en cause concernaient la personne. J'en déduis que vous ne croyez pas qu'il devrait y avoir un changement de définition. Est-ce que j'interprète mal vos propos?
(1605)
    Non, monsieur le président, c'est exact. Le député a décrit fidèlement notre position. Nous soulevons la question, mais nous préférons que la Loi reste telle quelle. Je crois que la question a été étudiée en 2000. C'est une définition souple. Dans certaines décisions de la commissaire à la protection de la vie privée, nous avons traité de la question du produit du travail et décidé que, dans les situations très évidentes, la Loi ne s'appliquait pas, mais que, là où les renseignements ont un caractère plus personnel, lorsqu'ils sont plus révélateurs, la loi peut s'appliquer. C'est une question importante pour bien des gens. Monsieur le président, si nous nous en remettons à une définition, je crains, étant donné qu'il est de plus en plus facile pour les employeurs d'installer des caméras et de surveiller leurs employés de toutes sortes de manière, que cette définition n'entrave nos efforts visant à réduire au minimum la surveillance en milieu de travail et à la limiter au strict nécessaire. Pour le moment, le statu quoi est raisonnablement satisfaisant.
    Si je pose la question, madame la commissaire, c'est sans doute parce que la question a été soumise à la Cour fédérale. Je crois qu'un concurrent contestait... Savez-vous de quoi je veux parler?
    Oui, je suis au courant.
    La question se pose donc. Cela donne-t-il au Commissariat trop de latitude pour prendre les décisions au cas par cas? Deuxièmement, le public devrait-il exiger de savoir avec plus de certitude ce qu'il faut faire ou ne pas faire, au lieu de laisser la commission décider au cas par cas?
    Si je me souviens bien, cette cause soumise à la Cour fédérale a été abandonnée. La question n'a pas vraiment été tranchée. Je crois que la décision appartient au comité.
    D'accord. Peut-être pourrez-vous nous dire, lorsque vous comparaîtrez de nouveau. Je suis sûr que certains soulèveront la question à un moment donné. Si vous revenez, comme je l'espère, je vous serais reconnaissant de bien vouloir inscrire cette question en tête de liste, car il semble que c'est l'un des enjeux qui ont été abordés.
    Une autre question est celle du secret professionnel. Je ne suis pas très au courant de la cause dont vous avez parlé, l'affaire Blood Tribe. Dites-vous que le Commissariat devrait avoir le droit de passer outre au secret professionnel? Est-ce bien ce que vous dites?
    Oui, monsieur le président, c'est ce que nous disons. Et c'est ce que la Loi sur la protection des renseignements personnels permet.
    J'ai toujours cru que, si des documents relèvent du secret professionnel... Dites-vous que vous devriez avoir le droit de consulter ces renseignements, secret professionnel ou pas? C'est bien cela?
    Oui. Nous disons que, dans le déroulement de nos enquêtes, nous devons pouvoir étudier tous les documents qui se rapportent à nos enquêtes.
    Vous allez énerver les barreaux et l'Association du Barreau canadien.
    Je crois que c'est déjà fait, monsieur le président. Nous nous occuperons de cela plus tard.
    Je sais, et j'ai l'assurance que quelqu'un viendra contester votre point de vue. Il y a beaucoup de juristes dans cette salle, et je ne peux pas croire qu'ils ne s'énervent pas également. C'est un très important...
    Il s'agit effectivement d'un enjeu fondamental.
    Je ne connais aucune situation — et s'il y en a, elles sont très rares — où on peut passer outre au secret professionnel. Votre position est très osée.
    Effectivement, mais le tribunal de première instance a été d'accord avec nous. Ce n'est donc pas aussi déraisonnable qu'il semble.
    Non, mais la Section d'appel n'a pas été d'accord.
    Il se pourrait que nous nous rendions au tribunal de troisième instance.
    D'accord. Voilà que vous intervenez, monsieur le président.
    En ce qui concerne vos consultations sur les 12 questions, vous allez nous communiquer les résultats, n'est-ce pas? Vous avez parlé de vos 12 questions. Cela se trouve-t-il dans la documentation que nous avons reçue?
(1610)
    Vous avez un résumé des réponses qui nous sont parvenues, l'aperçu de la consultation. Ce document de quelque 37 pages a été remis au comité, et vous avez un résumé des diverses positions.
    D'accord. L'une des questions qui m'intéressent est celle de savoir si la LPRPDE facilite suffisamment les choses aux petites entreprises.
    Excellente question, monsieur le président. La plupart des plaintes visent de grandes organisations qui sont de ressort fédéral. Dans certaines provinces, nous n'avons pas de plaintes au sujet des petites entreprises, car ce sont les lois provinciales qui s'appliquent. Chose certaine, lorsque la LPRPDE a été proposée au départ, nous avons eu de longues réunions... C'est surtout la commissaire adjointe à la LPRPDE qui a eu de longues réunions avec des représentants des petites entreprises. Nous les avons consultés pour connaître leurs besoins. Nous travaillons maintenant sur la question, grâce au budget bonifié qui nous a été accordé, et nous tentons d'élaborer un outil interactif à l'intention des entreprises pour faciliter l'application de la Loi. Nous songeons aux petites entreprises qui n'ont pas beaucoup d'argent à investir dans les mesures de protection des renseignements personnels.
    La réponse concise, c'est que vous avez probablement raison: nous n'en faisons pas assez, mais nous essayons d'en faire davantage.
    Non, je n'ai pas dit que vous n'en faisiez pas assez. Je posais simplement la question. Puisque vous dites ne pas en faire assez, est-il possible de modifier la loi pour aider davantage les petites entreprises?
    J'y réfléchissais, monsieur le président. Je me disais que le fardeau des mesures de conformité a généralement tendance à être très lourd pour les petites entreprises. En ce sens, je pense pour ma part que nous n'en faisons peut-être pas assez pour elles.
    J'ai parlé d'un vidéo interactif qui sera un outil d'apprentissage. Il est conçu pour les petites entreprises qui, à la différence des grandes sociétés, n'ont pas d'argent pour engager des consultants en protection des renseignements personnels.
    Merci.
    Avant de passer au deuxième tour, je voudrais que votre position sur le secret professionnel soit absolument claire. Dans votre déclaration liminaire, vous avez dit textuellement :
Elle permet ainsi aux organisations de refuser à nos enquêteurs l'accès à des renseignements personnels, sans vérification indépendante du fait que les documents visés contiennent bien des renseignements assujettis au secret professionnel.
    Il y a une grande différence entre dire que nous devrions pouvoir regarder les documents pour voir si le secret professionnel s'applique ou non, et dire que nous devons avoir accès à tous les documents, même si la règle du secret professionnel s'applique. Comprenez-vous la distinction que j'essaie de faire? Si oui, quelle est votre position?
    Je crois qu'il y a les deux éléments. Nous devrions pouvoir consulter les documents pour savoir si la règle du secret professionnel s'applique et, dans la négative, pouvoir les étudier pour voir s'il s'y trouve des renseignements personnels intéressants pour l'enquête.
    Bien sûr. Mais dans ce cas, si votre enquête conclut que la règle du secret professionnel s'applique, que se passe-t-il?
    Je crois que nous nous en tiendrions là.
    Nous allons y venir.
    Allez-y, madame Black.
    Voyons le contexte. Dans l'affaire Blood Tribe, la plainte a été portée par une employée de la tribu. Comme il s'agissait d'une entité englobée dans la définition d'« entreprise fédérale », nous avons fait enquête. Cette personne voulait consulter ses renseignements personnels détenus par son employeur, et celui-ci lui a répondu qu'elle pouvait obtenir tel ou tel élément, mais pas tel autre. Il s'agissait de quelques documents que l'employeur prétendait être confidentiels.
    Si on veut que la commissaire puisse faire son travail et répondre par exemple : « Vous avez invoqué avec raison l'exemption, car vous n'avez pas à communiquer à cette employée un document confidentiel », il faut que nous puissions vérifier le document pour conclure que l'employeur a raison de refuser de communiquer le document à la plaignante. Voilà le genre de situation auquel nous songeons. Cela ne se produit pas chaque fois. C'est même rare. Il est très rare qu'une organisation se prévale d'une exemption au nom du secret professionnel lorsqu'elle reçoit une demande d'accès.
(1615)
    Je crois comprendre qu'il faudrait un mécanisme pour vérifier si on a raison ou non de se retrancher derrière le secret professionnel.
    C'est exact.
    Merci.
    Monsieur Dhaliwal, je vous prie. Vous avez cinq minutes.
    Merci, monsieur le président.
    Marlene, préférez-vous passer la première ou voulez-vous que je pose mes questions?
    Si vous avez des questions à poser, allez-y. Sinon, j'en ai qui sont toutes prêtes.
    Je vais donc vous céder mon temps de parole.
    Merci, monsieur le président, et merci, monsieur Dhaliwal.
    Merci beaucoup de votre exposé. Je suis désolée d'avoir raté le début. Je n'avais pas reçu l'avis de changement de salle, et je suis allée à la salle 371 de l'édifice de l'Ouest.
    Je voudrais aborder trois questions. Je vais essayer d'être très brève, et si vous n'avez pas le temps de donner toutes les réponses, vous savez que vous pouvez les mettre sur papier et nous les faire parvenir.
    À propos de l'obligation d'aviser les clients que leurs renseignements personnels détenus par une entreprise, comme un émetteur de cartes de crédit ou une banque, ont été perdus ou volés, on s'interroge sur la nécessité de rendre obligatoire cette notification et sur le fait que, pour l'instant, à titre de commissaire, vous ne pouvez imposer aucune sanction à ceux qui ne donnent pas cette notification.
    Si vous demandez le pouvoir d'obliger les entreprises qui détiennent légalement des renseignements personnels, mais auquel on a accédé illégalement... Vous demandez le pouvoir d'exiger que l'entreprise informe les personnes dont les renseignements ont été violés et de lui imposer des sanctions si elle ne le fait pas. Cela ne cadre-t-il pas avec un modèle qui comporte le droit de prendre des ordonnances plutôt qu'avec un modèle d'ombudsman?
    Deuxièmement, sur la question du produit du travail, j'ai bien aimé ce que M. Tilson a dit. Même si vous préférez conserver l'approche cas par cas ou une démarche qui permet de vérifier s'il y a des renseignements personnels à protéger ou s'il s'agit du produit d'un travail, j'estime qu'il y a là un besoin impérieux. Il y a des entreprises qui traitent des renseignements personnels. Si nous voulons nous assurer que les processus qu'elles mettent en place sont bien fondés et qu'elles ne vont être prises soudain au dépourvu, après avoir passé des mois peut-être et dépensé des milliers, voire des millions de dollars pour implanter un processus afin de recueillir légalement des renseignements personnels, de les traiter et de les communiquer légalement... Elles risquent soudain de se retrouver avec un décision qui dit : « Non, ce n'est pas acceptable, vous ne pouvez pas faire cela avec ces renseignements ou certains de ces renseignements... » Selon moi, il y a de bonnes raisons de souhaiter qu'il y ait une distinction entre les renseignements personnels qui sont à protéger et ceux qui sont le produit d'un travail, quels que soient les éclaircissements nécessaires pour s'assurer que la portée n'est pas trop large, qu'elle est suffisamment étroite. M. Bennett, qui a comparu devant le comité,était en faveur de cette approche, tout comme l'autre professeur qui l'accompagnait.
    Ma troisième question porte encore sur le modèle d'ombudsman. Vous n'avez pas de pouvoirs exécutoires. Il y a des modèles qui ne sont pas tout à fait celui de l'ombudsman, qui sont plutôt un amalgame. Ils comprennent un pouvoir, des délais sont fixés par la loi pour faire en sorte que le processus de gestion et de règlement des plaintes soit très complet, mais aussi très efficace et rapide, au lieu de s'étaler sur un an ou deux, etc.
    Si vous n'êtes pas prête à répondre maintenant, je voudrais que vous réfléchissiez à la question. Je crois que nous avons assez d'information sur les modèles de la Colombie-Britannique et de l'Alberta pour aller de l'avant.
(1620)
    Je signale aux députés que cette intervention a pris quatre minutes et demi.
    Vous êtes le bienvenu, monsieur.
    Commissaire, pourriez-vous nous donner une réponse très rapide à ces trois questions ou peut-être nous communiquer plus tard une réponse par écrit? Avez-vous quelque chose à dire sur l'une des trois questions?
    Oui. Qu'est-ce qui serait le plus utile pour le comité?
    Ce sera comme vous voulez.
    Puis-je faire les deux, monsieur le président?
    Je dirai très rapidement à la députée que nous oublions que le modèle actuel de commissaire à la protection de la vie privée est doté de toute une série de pouvoirs parce qu'ils ne sont pas utilisés systématiquement dès le début. Nous nous adressons maintenant à la Cour fédérale, où nous avons 12 causes en instance. Nous avons une conformité presque totale lorsque nous disons que nous allons nous adresser à la Cour fédérale.
    Il ne faut pas oublier que la Cour fédérale peut ordonner des dommages-intérêts. Les commissions provinciales ne peuvent le faire. Elles peuvent prendre des ordonnances, ce qui est semblable à notre recommandation, et ce sont des ordonnances exécutoires, mais le plaignant ne se retrouve pas vraiment là où il en serait s'il n'y avait pas eu atteinte à sa vie privée, car on ne peut pas imposer de dommages-intérêts. La question me semble importante.
    Je vous interromps, commissaire, si vous n'avez pas d'objection. Si vous pouviez répondre par écrit aux deux autres questions. Merci.
    Bien sûr.
    Monsieur Wallace.
    Merci, monsieur le président.
    Je vais poser des questions et vous laisser le temps de répondre.
    On m'a signalé que la définition employée en Colombie-Britannique plaît à certaines organisations. Auriez-vous quelque chose à dire sur la notion de produit du travail appliquée en Colombie-Britannique?
    Certainement. La définition retenue en Colombie-Britannique, sauf erreur, est bien accueillie dans cette province. Son commissaire pourrait peut-être venir vous en parler.
    Je rappelle simplement que, pour la protection des renseignements personnels, l'adoption d'une définition du produit du travail risque de réduire la protection de renseignements connexes liés à l'emploi de la personne.
    Deuxièmement, la définition de la Colombie-Britannique ne prévoit pas de consultations. Si je me souviens bien, le produit du travail est exclu de la définition des renseignements personnels.
    Une autre province a prévu une étape de consultation avec ceux dont les renseignements personnels sont recueillis. C'est un élément intéressant qui ne se trouve pas dans la loi de la Colombie-Britannique.
    D'accord, je comprends.
    Je vais revenir sur la question de ma collègue au sujet du secteur privé. Je suis nouveau dans ce dossier, et je n'ai jamais travaillé pour une entreprise dans ce domaine. Quel est le coût moyen du programme pour une petite entreprise? Vous avez dit que, grâce à votre budget bonifié, vous cherchiez des moyens de mieux communiquer avec les organisations au sujet de la façon d'appliquer la LPRPDE, mais quels sont les coûts pour les PME? En avez-vous une idée? Vous en souciez-vous?
    Certainement, je m'en soucie. Je souhaite que la loi soit le plus facile à appliquer possible, car le respect de la vie privée est un droit fondamental au Canada et c'est le Parlement qui a adopté cette loi. Je tiens à ce qu'elle soit pratique et facile à appliquer.
    Monsieur le président, la commissaire adjointe s'occupe de très près d'un grand nombre de ces cas, mais si je puis me permettre, avant de lui demander de donner des exemples, je dirai que le Parlement, sauf erreur, a délibérément choisi en 2000 un cadre réglementaire très léger et souple. Je le signale au député, car le Parlement aurait pu opter pour un système beaucoup plus lourd, par l'exemple le système britannique, où il faut enregistrer ses bases de données auprès du commissaire chaque année et payer ensuite des frais d'inscription. C'est ainsi que le commissaire britannique finance son bureau.
    Au Canada, nous nous sommes contentés de présenter la loi en comptant sur l'observation volontaire. À moins qu'il n'y ait plainte ou que le Commissariat ne fasse une vérification ou une enquête, chacun est présumé respecter la loi. C'était donc censé être un dispositif léger.
(1625)
    Comme vous le savez probablement, la loi repose sur le code modèle de la CSA pour la protection des renseignements personnels, élaboré comme instrument d'application volontaire par divers intervenants, dont les entreprises.
    Il s'agit d'une norme de gestion. Elle est donc d'application très facile. Elle n'a pas été élaborée comme un loi pour les grandes entreprises ou les petites; elle marche pour tout le monde. La politique de protection des renseignements personnels d'une petite entreprise peut tenir sur une page. Si l'organisation est énorme, sa politique est probablement plus longue que le contenu de ce cahier. Il est pas difficile pour les petites entreprises de se conformer à la loi. Un grand nombre d'entre elles essaient de s'y conformer, et c'est peut-être auprès d'elles que nous pourrions travailler un peu plus et donner plus d'information.
    Pendant vos consultations budgétaires, il y a quelques semaines, il en a été question. Le budget supplémentaire devait servir à promouvoir la LPRPDE, à en accélérer l'application. Est-ce exact?
    Oui.
    Quand cela sera-t-il à la disposition du public, croyez-vous?
    Au cours de l'hiver, je crois, monsieur le président.
    D'accord. Merci, monsieur le président.
    Merci.
    Monsieur Laforest.

[Français]

    Bonjour, madame, et bienvenue.
    Un peu vers la fin de votre présentation, vous nous avez dit qu'il est possible d'améliorer la loi et vous nous avez fait quelques suggestions. Par contre, quelques témoins nous ont indiqué que le fait que votre bureau ou vous-même n'ayez pas le pouvoir de rendre des ordonnances complique un peu le processus, pour eux, après une enquête.
     Quand on le met un peu en parallèle avec le pouvoir que détiennent les commissaires en Alberta et en Colombie-Britannique, c'est un processus qui pourrait aider. Vous avez dit que vous n'aviez pas l'intention de demander des pouvoirs supplémentaires. J'ai de la difficulté à comprendre pourquoi vous dites que le moment est mal choisi.
    Est-ce seulement le moment, qui est mal choisi?
    Vous avez parlé de l'Alberta et de la Colombie-Britannique, mais c'est le cas au Québec également.
    Pour répondre à votre question, je dirais que le moment est très important. Je crois qu'on n'a pas vraiment eu l'occasion de mettre cette loi en vigueur comme on aurait dû le faire, disons, jusqu'au 1er avril de cette année, alors que vous nous avez accordé un budget à la hauteur des tâches que sont les nôtres et que nous avions un bureau assez stable et un plan de mise en vigueur qui avait été pensé à l'avance, qui était cohérent et qui tenait compte des besoins des deux parties, etc. Avant, c'était un peu erratique. C'est un bureau qui a connu plusieurs bouleversements.
    Cela étant dit, nous avons des pouvoirs extrêmement grands. J'ai dit à vos collègues qu'à une exception près, toutes les entreprises à qui nous avons dit que nous n'étions pas d'accord sur leur interprétation de la loi, que nous croyions que la plainte était fondée et qu'ils devraient apporter telles et telles mesures de redressement, ont bien réagi. Quand on a dit qu'on voulait aller devant un tribunal et qu'un juge de la Cour fédérale prendrait une décision, toutes ces entreprises se sont rangées à nos demandes, sauf une, pour le moment, et on n'est pas allés plaider le dossier sur le fond.
    J'ai aussi un pouvoir de faire des vérifications. Vous voyez sans doute dans les journaux qu'il y a une compagnie qui conteste, dans le processus de révision judiciaire, notre pouvoir de faire des vérifications. C'est un pouvoir énorme. Nous pouvons demander de réparer les dommages, nous pouvons demander des mesures de redressement.
    Vous pouvez demander?
    Nous pouvons demander des mesures de redressement devant la Cour fédérale.
    Et cela devient-il exécutoire?
    Oui, dans un jugement de la Cour fédérale.
    Le but de la loi est de régler les plaintes. Je pense que le but d'une loi n'est pas en soi de faire des ordonnances. Le but de la loi et de l'appareil qui l'administre est de chercher à faire en sorte qu'on s'y conforme. Si vous examinez de près — ce que peu de personnes ont fait — la conformité actuelle de cette loi avec le processus de plaintes, vous verrez qu'elle est très grande, sauf pour quelques arrêts comme, par exemple, dans l'arrêt Blood Tribe.
    Je pense que le problème n'est pas la façon dont on traite les plaintes. Je ne pense pas que ce soit moins efficace que ce que l'on voit devant les tribunaux. J'ai administré un tribunal au Québec, donc, je pense que je parle en connaissance de cause. Devant les tribunaux, il peut y avoir énormément de complications juridiques. Ce n'est pas aussi rapide qu'on le souhaiterait. Le problème n'est pas le traitement des plaintes reçues. Le problème est tout ce qui arrive qui n'est pas sujet à une plainte. Je pense que c'est là le grand enjeu.
(1630)
    Donc, le fait que vous ne souhaitez pas nécessairement avoir tout de suite de nouveaux pouvoirs à cet égard n'est pas seulement attribuable au moment, qu'il faut, comme vous le dites, considérer comme étant important. C'est aussi beaucoup sur le fond parce que vous dites, finalement, que les pouvoirs que vous avez déjà vous semblent quand même suffisants. Plus tard, éventuellement, vous pourriez voir si d'autres pouvoirs seraient nécessaires.
    C'est cela. Je pense que j'ai des pouvoirs assez grands. Je n'ai pas eu le temps... Je suis commissaire depuis peu, et vous savez que les premières années de mon mandat ont été consacrées au rétablissement du bureau, mais j'ai des pouvoirs très grands, en vertu de cette loi. Donnez-moi encore un peu de temps pour les exercer, et dans cinq ans, vous verrez si c'était efficace ou non.
    C'est parfait. Cela répond très bien à mes questions. Merci.

[Traduction]

    Merci, monsieur.
    Ce sera maintenant M. Van Kesteren.
    Merci, monsieur le président.
    Merci de comparaître de nouveau.
    Lorsque nous avons parlé pour la première fois tous les deux de votre travail, madame la commissaire, j'ai beaucoup appris. Avant d'être député, j'avais une petite entreprise. Et je dois dire que nous étions remplis de terreur lorsque nous avons pris connaissance de votre mandat.
    À écouter votre témoignage, il me semble que vous n'avez pas une approche très sévère, à moins qu'il n'y ait des raisons de l'être ou qu'il n'y ait des manquements. Ai-je raison de le présumer?
    Oui. La loi est souple et relativement légère, mais s'il y a une plainte, nous faisons enquête et nous persistons tant qu'il n'y a pas de règlement ou que nous ne pouvons pas conclure que la plainte n'est pas fondée. Nous ne laissons pas les gens... Nous ne disons pas que la plainte est fondée pour ensuite laisser tomber. J'ai lu parfois des réflexions selon lesquelles le Commissariat à la protection de la vie priée avait reconnu le bien-fondé de la plainte, mais que rien ne s'était passé. C'était peut-être vrai par le passé. Depuis maintenant plus d'un an, si la plainte est fondée, nous sommes prêts à recourir aux tribunaux pour défendre notre interprétation de la loi. Nous avons obtenu une conformité presque totale, mais, dans quelques cas très rares, monsieur le député... En ce sens, c'est...
    Quelqu'un doit porter plainte, au départ.
    C'est juste.
    Je crois que mon collègue y faisait allusion dans sa question antérieure.
    Songez-vous à diffuser ce message à l'avenir? Je songe encore au propriétaire de petite entreprise aux prises avec une foule de formalités administratives et aux nouvelles tâches qu'on lui impose. Peut-être faudrait-il lui faire savoir que ce n'est pas ce qu'on attend de lui, c'est-à-dire suivre des lignes directrices pour éviter d'enfreindre la loi et de violer la vie privée de quelqu'un. Est-ce une chose à laquelle vous aller songer à la prochaine étape, pour que le propriétaire de petite entreprise comprenne bien? Je crois que bien d'autres comme moi ne comprennent pas la vraie nature de la loi.
    Oui, monsieur le président, le député a tout à fait raison. le 1er janvier 2004, des erreurs d'interprétation étonnantes de la LPRPDE avaient cours. Il y avait une certaine panique. Bien sûr, cela tenait en grande partie au fait que le Commissariat était en plein bouleversement et n'avait pas fait ce que, idéalement, il aurait dû faire, mais il a consulté les petites entreprises.
    Oui, nous avons identifié la petite entreprise comme une cible importante de nos efforts de sensibilisation. Je dois dire que je ne crois pas qu'il faille employer des méthodes dures avec les petites entreprises dans un dossier comme celui-ci. Nous avons d'importants joueurs; la plupart de nos renseignements personnels sont détenus par ces joueurs importants. C'est certainement à eux que je m'intéresserais en priorité.
    Je le répète, une fois l'objectif clair, tout avait du sens. Je crois que la plupart des gens se retrouveraient dans la même situation que moi.
    Avez-vous des inspecteurs sur le terrain pour veiller à la conformité?
(1635)
    Non, nous n'avons pas d'inspecteurs. Nous avons des vérificateurs...
    Des vérificateurs?
    ... mais nous devons avoir des motifs raisonnables de croire qu'il y a un problème. Il faut que nous ayons remarqué quelque chose. Nous avons deux cas que nous avons confiés à nos vérificateurs, mais il ne s'agissait pas de petites entreprises, je dois dire.
    La préoccupation qui est probablement la plus grande, et je crois que M. Martin y a fait allusion, surgit lorsqu'une société est acquise et que la frontière est franchie. Est-ce que c'est ce qui vous inquiète le plus, ces acquisitions dans lesquelles on ne sait pas vraiment ce que deviennent les renseignements?
    Il s'agit de la possibilité de communiquer des renseignements personnels dans le cas d'une vente. C'est à cela que vous songez?
    N'importe quelle information, tout ce qui peut être utilisé, comme M. Martin le disait, dans le domaine de la santé... Si, par exemple, vous devez souscrire une assurance-vie et si la société d'assurance est déménagée dans un autre pays, je pourrais avoir du mal à me procurer une assurance-voiture. Est-ce un sujet de préoccupation?
    Oui. C'est peut-être le problème dont la commissaire adjointe a donné des exemples. Nous pouvons exiger des entreprises qui peuvent transmettre les renseignements personnels à l'étranger qu'elles respectent les normes canadiennes pour qu'il n'y ait pas plus de conséquences négatives que si les données étaient entièrement traitées au Canada.
    Vous avez compétence à l'égard de ces sociétés si elles sont à l'étranger?
    Non. C'est là le hic, et c'est un élément intéressant. Grâce à ce mécanisme, nous avons compétence à l'égard des entreprises canadiennes parce qu'il y a une présence ou un lien réel et important avec le critère législatif appliqué au Canada. Comme vous le savez, dans le domaine de la protection des renseignements personnels, il y a des pays qui prétendent que leurs lois ont une application extraterritoriale. Par contre la loi canadienne ne s'applique généralement qu'au Canada. Chose certaine, au Canada, les sociétés sont responsables de la façon dont elles communiquent l'information.
    Merci.
    Ce sera M. Martin, suivi de MM. Dhaliwal et Tilson.
    Monsieur Martin.
    Merci, monsieur le président.
    Je lisais à l'instant une lettre du sous-ministre adjoint de l'Industrie disant qu'une organisation britannique a classé le régime canadien de protection des renseignements personnels comme le meilleur au monde, avec celui de l'Allemagne. Il y a de quoi être fier. Par contre ou compte tenu de ce point, je suis horrifié parce ce que j'apprends maintenant sur les vraies menaces qui pèsent sur la vie privée et sur la prochaine vague de problèmes à cet égard, soit l'identification par radiofréquence ou IRF
    Je n'ai entendu parler de cela que ces derniers mois. Je ne pense pas que les Canadiens sachent qu'on peut implanter une microplaquette dans des cartes ou même dans le corps et les lire très facilement à distance. Quelqu'un a demandé comment vous vous sentiriez si le sous-vêtement que vous portez permettait de suivre tous vos déplacements dans la ville. Avec cette technologie, ce n'est pas inconcevable.
    Qu'en pensez-vous? De quoi votre commissariat est-il au courant? Que recommandez-vous pour que nous puissions dominer cette prochaine génération de technologie? Y a-t-il des recherches financées sur l'IRF, des recherches parrainées par le Commissariat? Sinon, devrions-nous peut-être y songer?
    Oui. Puis-je demander à la commissaire adjointe de parler des recherches qui ont été faites il y a un ou deux ans?
    Certainement.
    Je ne connais pas les détails par coeur, mais nous avons financé les travaux d'une université. Je crois qu'il s'agissait de la faculté de droit de Dalhousie, qui a travaillé de concert avec le département de génie informatique. Les chercheurs ont proposé un projet d'étude de l'IRF.
(1640)
    Où en est cette étude? Le savez-vous, madame Black? Est-elle en cours?
    Oh, non. Elle est terminée. Les chercheurs nous ont remis un document.
    Peut-être pourriez-vous le communiquer au comité.
    Bien sûr.
    Cela m'intéresserait beaucoup.
    Il y a pas mal de désinformation ou plutôt de craintes au sujet de l'IRF et de ce qu'elle peut faire. Pour l'instant, son utilisation est limitée, mais vous avez raison, il y a tout un nouveau monde qui s'ouvre à cause de l'IRF, par exemple pour les cartes de crédit. Il y a des exemples étonnants. Apparemment, il y a un bar, à Barcelone, en Espagne, où...
    La microplaquette d'IRF peut avoir la taille d'un grain de riz, et on peut la glisser sous la peau. Cela effraie certains d'entre nous, mais d'autres sont ravis : je n'ai plus à porter mon porte-monnaie et mes papiers d'identité, et tout le reste; il suffit qu'on scanne la plaquette quand je commande une boisson, par exemple. Il faut bien l'avouer, certains sont prêts à sacrifier une bonne part de leur vie privée pour utiliser des méthodes commodes.
    Les cartes de crédit avez IRF, par exemple, pourraient permettre une meilleure sécurité, probablement. Elles peuvent être activée par une microplaquette, avoir un mot de passe, etc.
    Nous travaillons sur des lignes directrices concernant l'IRF. Je crois qu'elles seront versées sur notre site Web bientôt ou au cours de l'hiver. On peut trouver de l'information sur l'IRF sur le site Web du Commissaire à l'information et à la protection de la vie privée de l'Ontario. Il existe passablement d'information, mais nous vous communiquerons tout ce qui sera possible.
    Très bien, merci.
    Notre séance est télévisée. J'espère qu'il y a des spectateurs. Ils ne savent peut-être pas ce que c'est, l'IRF. Voudriez-vous les éclairer?
    Il s'agit d'un dispositif d'identification par radiofréquence. Il y en a deux types : actif et passif. Certains ne peuvent être captés que lorsqu'ils sont placés près d'un lecteur et d'autres émettent un faible signal.
    J'ignore si vous achetez des livres chez Chapters, mais il arrive parfois qu'un petit carré de papier qui porte un dessin tombe d'un livre. C'est un dispositif d'IRF. À l'aéroport de Hong Kong, les bagages sont contrôlés par IRF. Le dispositif est collé sur la valise, et il est possible de la suivre dans tout l'aéroport. Cette méthode est employée chez beaucoup de grossistes pour contrôler l'acheminement de livraisons entre l'usine et le distributeur.
    Merci beaucoup.
    Nous allons passer à M. Dhaliwal.
    Merci, monsieur le président.
    Merci, madame la commissaire et madame la commissaire adjointe.
    La question du produit du travail revient sans cesse dans les délibérations. Pourriez-vous expliquer clairement la différence entre le produit du travail et les renseignements personnels dans le domaine médical?
    Dans le domaine médical?
    Je veux parler des dossiers médicaux.
    Dans les dossiers médicaux, les renseignements personnels sont le contenu du dossier, les détails médicaux sur la personne: l'état de santé, les résultats des derniers tests, etc. Tout cela, ce sont des renseignements personnels.
    Dans le cas où le commissaire à la protection de la vie privée a décidé que des renseignements présumés personnels étaient en fait un produit de travail, il s'agissait, je crois me souvenir, des habitudes des médecins en matière d'ordonnances. Il ne s'agissait donc pas du médecin à titre personnel comme ce serait le cas pour mon dossier médical. Il s'agissait dans ce cas-là de l'information découlant de l'activité professionnelle du médecin.
    Vous diriez donc qu'il s'agit du produit du travail, n'est-ce pas?
(1645)
    Il a été décidé qu'il ne s'agissait pas de renseignements personnels.
    Auriez-vous du mal à intégrer ces précisions à la LPRPDE?
    Comme je l'ai dit, il est toujours plus facile de définir les choses dans un contexte concret. Vous avez dit que la question surgit sans cesse. Ce n'est pas très fréquent dans les plaintes. Je ne sais pas combien nous avons dû en étudier qui portaient sur cette question, mais il n'y en a eu qu'une poignée. Ce n'est pas une question qui domine dans les plaintes que nous recevons.
    Un problème qui se présente souvent dans les plaintes, et un domaine où nous avons des préoccupations vives, c'est l'utilisation de l'IRF ou d'autres moyens de surveiller les travailleurs en milieu de travail. Ceux d'entre nous qui sont au service de quelqu'un d'autre vont être soumis à une surveillance de plus en plus étroite.
    Oui, vous pourriez ajouter une définition dans la loi. Nous faisons simplement une mise en garde: toute définition risque d'avoir comme effet indirect une moins bonne protection des travailleurs, à cause des nouvelles formes de surveillance par des moyens technologiques.
    Lorsque vous reviendrez, commissaire, auriez-vous l'obligeance de nous donner un exemple concret de ce que vous voulez dire. J'ai beaucoup de mal à faire le lien entre ce dont M. Dhaliwal parlait, soit les habitudes des médecins en matière d'ordonnances, et le fait que, s'il y a une définition dans la loi, cela risque d'avoir des conséquences pour la vie privée des employés, par exemple dans les toilettes d'une usine. Peut-être pourriez-vous nous donner un exemple concret pour illustrer le lien entre les deux.
    Ce n'est peut-être pas une question majeure, parmi vos 1 400 plaintes, mais elle a été soulevée par presque tous les témoins, et je crois que d'autres témoins feront la même chose. De toute évidence, il y a des inquiétudes dans certaines entreprises, et on attendra de nous une recommandation quelconque. Si vous pouviez nous aider, le comité et moi, à saisir le lien entre les deux éléments, vous nous rendriez un très grand service.
    Monsieur Dhaliwal.
    De plus, monsieur le président, la majeure partie de cette information, de nos jours, sert à la recherche-développement.
    Prenons l'exemple des habitudes des médecins en matière d'ordonnances, de leur façon de prescrire des médicaments. Si l'information sert pour des recherches, s'agit-il toujours de renseignements personnels? Si les renseignements servent à des fins commerciales, relèvent-ils de la LPRPDE?
    C'est au moment où l'information est produite dans les organisations que leur caractère est déterminé. Ce sont les circonstances de la production des renseignements qui mènent à la définition. Après coup, par exemple, ils peuvent être rendus anonymes et ce ne sont plus, à divers points de vue, des renseignements personnels.
    Nous allons trouver un exemple, monsieur le président.
    Merci beaucoup.
    À ce propos, vous avez dit que le commissaire à la protection de la vie privée avait rendu une décision. Êtes-vous liée par cette décision? Comme nouvelle titulaire, pourriez-vous la modifier? Et même si vous la confirmiez, je crois savoir qu'elle ne lie pas la Cour fédérale, alors que ce serait nettement le cas si la définition figurait dans la loi.
    Vous avez raison de dire que les conclusions de l'ombudsman ne lient pas la Cour fédérale. L'ombudsman a une certaine latitude dans ses conclusions, mais, comme un député l'a dit, c'est toujours une bonne idée d'assurer la prévisibilité. Nous essayons autant que possible de suivre le même type de raisonnement pour tirer nos conclusions.
    Soyons clairs. Si vous le décidiez, vous pourriez passer outre à la décision d'un prédécesseur.
    En toute rigueur, oui, je le pourrais. Personne n'est lié, au fond. C'est une opinion.
    Très bien. Merci.
    Monsieur Tilson.
    Merci, monsieur le président.
    Un collègue, je crois que c'était Mme Lavallée, a posé une question sur le transfert d'un dossier à un autre pays. Vous avez répondu que vous pouviez effectivement transférer un dossier à un autre pays.
    Je voudrais revenir brièvement là-dessus. Vous pourriez transférer un dossier vers un pays d'Europe ou vers les États-Unis? Est-ce bien ce que vous voulez dire?
(1650)
    À titre de commissaire à la protection de la vie privée?
    Oui.
    Non, je ne crois pas que je puisse le faire.
    Vous iriez à l'encontre de votre propre loi.
    C'est notre avis, même si, dans les consultations, chose curieuse, bien des gens ont dit que le commissaire à la vie privée devrait faire tout ce qui est dans l'intérêt public. Ils donnent une interprétation très généreuse.
    Je ne crois pas que ce soit très clair dans la loi. J'ai même l'impression qu'elle dit le contraire: je ne peux transférer un dossier vers l'Union européenne, par exemple.
    Je dis que, dans l'état actuel du monde, je devrais pouvoir le faire, si les circonstances le justifient. La Federal Trade Commission demande actuellement les mêmes pouvoirs, parce qu'il est très difficile de suivre le cheminement des données.
    Pouvez-vous définir dans quelles circonstances vous le feriez? On en revient à mon autre question sur les renseignements personnels. Autrement dit, vous considérez tout au cas par cas. Je présume que la même règle s'appliquerait lorsqu'il s'agit de décider s'il y a lieu de transférer un dossier à un autre pays ou non.
    J'estime que, au nom de l'intérêt supérieur du Canada, il est souhaitable d'avoir une définition précise, si vous voulez transférer des dossiers. Bien honnêtement, je ne vois pas comment vous pourriez le faire, car vous enfreindriez la loi.
    Je ne le fais pas, monsieur le député.
    Je dois avoir mal compris ce que vous avez dit. Vous estimez qu'il y a des circonstances où vous pouvez transférer un dossier?
    Je n'ai peut-être pas été claire. Il peut y avoir des circonstances — on pourrait même penser qu'elles existent — où il me serait très utile, à titre de commissaire à la protection de la vie privée, de transférer un dossier à une organisation semblable, dans un autre pays, en précisant, puisque vous avez demandé un libellé, monsieur le député, qu'il s'agit de « régler le dossier de façon complète et satisfaite », mais avec le consentement de la personne en cause, bien sûr.
    Si je dis au fond : « Vous avez été victime de quelque organisation aux États-Unis » — et je vais me servir de quelques cas bien connus, et la Cour fédérale en est saisie en partie — « mais pour vraiment obtenir réparation, il serait préférable que les autorités américaines prennent votre dossier en main »... C'est ce que font les enquêteurs de la police, ils transfèrent les dossiers,qui sont ensuite étudiés selon les lois locales. Les Américains pourraient...
    Sauf que nous sommes tous très fiers de notre souveraineté, nous tenons à nos compétences, et nous n'assujettissons pas nos lois ou propositions à d'autres pays, qu'il s'agisse de la protection des renseignements personnel ou du travail des policiers; nous allons...
    Nous sommes très fiers, mais cette fierté ne nous donne pas le droit, par exemple, d'aller faire enquête aux États-Unis ou de faire comme la police. Il s'agit des cas où je ne pourrais agir, ce qui est le cas pour la plupart des autres pays. Je demanderais à l'organisation étrangère si elle peut se charger du dossier. À l'inverse, si mes homologues avaient quelqu'un qui a des problèmes de renseignements personnels, ils pourraient me transférer le dossier.
    Les autorités chargées de la protection des données dans le monde envisagent cette possibilité. Certaines autorités européennes ont ces pouvoirs parce qu'elles ont des contacts plus étroits que nous. La Federal Trade Commission a soumis une série de modifications au Congrès dans ce qu'on a appelé le SAFE WEB Act. Cette loi lui permettrait d'agir pour ces raisons, car l'information américaine se retrouve partout.
    Monsieur le président, j'ai une question à poser sur la criminalité qui sévit dans les paiements électroniques. Elle est à la hausse. En 2004, le gouvernement fédéral a annoncé la création d'un groupe de travail sur les cyberservices. Savez-vous de quoi il s'agit?
    Non.
    Très bien. Nous allons passer à autre chose.
    Il y a un groupe de travail sur le pourriel, mais...
    Vous en êtes à cinq minutes.
    Madame la commissaire, pour faire suite à l'intervention de M. Tilson, je rappelle ce que vous avez dit : « Je vous demande de réfléchir à la possibilité de prévoir une disposition particulière afin d’indiquer plus clairement que nous sommes habilités — je présume qu'il s'agit du commissaire — à communiquer des renseignements personnels à nos partenaires internationaux tout en collaborant à des enquêtes d’intérêt commun. »
    C'est ce que vous demandez, la mise en commun d'informations. S'agit-il de renseignements personnels sur des Canadiens? Vous voulez pouvoir les communiquer à des homologues étrangers? Est-ce que je comprends bien?
(1655)
    Oui, et je voudrais le faire non seulement pour les cas où il y a un intérêt commun, mais aussi lorsqu'il est dans l'intérêt des Canadiens que l'enquête en vue d'une réparation se poursuive à l'étranger.
    Madame Jennings.
    Merci
    Je voudrais revenir sur la question de mon collègue, M. Dhaliwal, au sujet des données regroupées sur les ordonnances et l'éventuelle nécessité de prévoir une exclusion, une exemption clairement définie.
    Grâce aux progrès de la médecine, nous avons de plus en plus de pharmacothérapies pour toutes sortes de problèmes de santé. Nous avons des médecins qui ont besoin d'information scientifique sur l'impact de certains profils d'ordonnance. Des chercheurs ont également besoin de ce type d'information.
    Ne croyez-vous pas qu'il est possible de prévoir une exclusion très nette qui permettrait une exemption pour les renseignements regroupés sur les ordonnances, de façon à ne pas affaiblir, comme vous le craignez, la protection des renseignements personnels si une définition du « produit du travail » est adoptée, une définition si large qu'elle limiterait cette protection? Croyez-vous que cela est envisageable?
    Si la députée a en tête un type particulier d'information qui est un produit du travail, ce serait certainement possible. Je donnais une réponse générale, applicable à tous les types de produit du travail. Je crois que vous avez parlé des habitudes en matière d'ordonnances. Il est probable que ce genre d'exclusion expresse est réalisable. Je dis « probable » parce que je n'ai pas essayé de faire ce travail. Il serait alors assez clair que cela ne peut pas s'étendre à d'autres éléments de la surveillance en milieu de travail qui m'inquiètent.
    Merci. J'aimerais que vous examiniez cette possibilité et que, peut-être, vous proposiez une exclusion pour ce type particulier de renseignement qui est un produit du travail. Mais il s'agirait expressément de données regroupées sur les ordonnances.
    Je voudrais aussi revenir sur le modèle de la norme de la CSA. Des témoins experts nous ont dit que c'était un bon modèle parce qu'il est assez léger et peut représenter un élément constitutif. Toutefois, pour ce qui est de la question du consentement et de sa définition, des études ont montré qu'un nombre appréciable d'entreprises utilisent le consentement implicite, et leur façon de l'obtenir n'est pas forcément aussi clair qu'on le souhaiterait pour le consommateur. Diverses organisations préconisent un resserrement des règles à cet égard pour que le consentement soit donné explicitement et non implicitement.
    Voici un exemple. J'ai reçu par la poste un formulaire de demande de carte de crédit disant qu'on m'accordait une limite de crédit pré-approuvée de 25 000 $. Il suffisait de signer. Tout un passage portait sur les renseignements personnels. J'ai biffé et j'ai écrit à la main que je consentais à l'utilisation de mes renseignements personnels seulement pour obtenir la carte de crédit. C'était un test.
    La société m'a renvoyé trois fois le formulaire. Il était clair qu'elle voulait utiliser les renseignements à d'autres fins, en plus de l'émission d'une carte de crédit. C'est le consentement implicite. J'estime qu'il faudrait resserrer les règles, mais je voudrais connaître votre point de vue.
    Il est entendu que le consentement est une notion centrale dans la protection de la vie privée. Comme vous le dites, s'il est difficile de resserrer les règles, c'est qu'il faut essayer de fournir une définition de base de tous les contextes où on donne son consentement. C'est tout un défi, et je ne pourrais proposer des moyens de préciser que, dans telle ou telle situation, il faut un consentement explicite et que dans telle autre... En passant ces situations en revue, nous avons donné des conseils, nous avons proposé un niveau de consentement. Nous avons tiré beaucoup de conclusions. Plus les renseignements sont délicats, plus le consentement doit être explicite. Nous avons essayé de voir ce qu'une personne raisonnable considérerait comme un consentement qui convient dans les circonstances.
    Il ne s'agit pas de resserrer la loi, mais d'agir sur le plan de la conformité. Cela peut se faire. Si vous aviez formulé une plainte, cela nous aurait permis d'examiner la pratique qui a cours. Pourquoi cette société revient-elle sans cesse à la charge? Il se peut que nous ayons déjà vu cette situation, mais pas nécessairement. Ce serait une occasion, une porte ouverte, mais tout le monde n'a pas le temps de présenter une plainte à la commissaire à la protection de la vie privée. Voilà le problème.
(1700)
    La prochaine fois, je bifferai ce passage, j'ajouterai mon consentement explicite et limité et, si je reçois un autre formulaire, je vous l'envoie avec une plainte.
    D'accord. Nous la recevrons volontiers. Si je me souviens bien — mais la commissaire adjointe se rappelle les détails —, nous avons dit clairement à ces sociétés que, lorsque des consommateurs disent non, lorsqu'ils refusent de recevoir diverses choses et d'être inscrits sur des listes de distribution, il faut respecter leur volonté. On ne peut pas les harceler jusqu'à ce qu'ils acceptent ce qu'on veut leur envoyer.
    Je ne sais pas si vous voulez entendre parler de ces cas. Nous en avons eu plusieurs à ce propos.
    Comme vous le savez, le code dit expressément qu'on peut s'opposer à la collecte, à l'utilisation et à la communication de tout renseignement personnel non exigé pour assurer le service demandé par le consommateur. Dans le cas de la carte de crédit, de quels renseignements la société a-t-elle besoin, comment les utilise-t-elle et à qui les communique-t-elle pour pouvoir émettre une carte de crédit? Si elle va au-delà, si elle dit que, si le consommateur signe à tel endroit, elle va essayer de lui vendre des choses, communiquer son nom à des tiers dont, selon elle, il voudrait recevoir des communications... Il se peut que le consommateur ne veuille rien savoir.
    Cela est prévu dans la loi. Il s'agit d'informer les entreprises. Il faut leur rappeler qu'elles doivent constamment écouter le consommateur. Que veut-il?
    Merci.
    Madame Yelich.
    Je m'inquiète, comme consommatrice ou cliente, de ce qu'on me demande de signer, de l'autorisation que je risque de donner. Par exemple, le dentiste voulait que je signe quelque chose. Je devais apposer ma signature quelque part, ce n'était rien, c'était à cause de la nouvelle Loi sur la protection des renseignements personnels. J'ai dit que je n'avais pas d'objection, mais j'ai demandé à quoi serviraient les renseignements. Peu m'importe de recevoir plus de courrier, cela ne me dérange pas. À quoi ces renseignements vont-ils servir?
    Je me demande ce que je leur donne. Vous avez plus ou moins répondu, mais je ne sais toujours pas. Cela dépend peut-être des circonstances.
    Vous avez reçu 56 000 plaintes ou demandes de renseignements. À quel sujet? Y a-t-il un secteur particulier pour lequel le Commissariat reçoit plus de demandes de renseignements? Je voudrais avoir une idée de ce à quoi le Commissariat a affaire.
    Troisième point, puisque je ne veux pas revenir à la charge. Un concessionnaire de voitures de ma circonscription était très contrarié. Tous pensent que les concessionnaires sont riches, mais ils ont du mal parce qu'ils doivent engager quelqu'un pour gérer leurs bases de données. Leur réaction est peut-être trop vive. Et c'est ma question: réagissent-ils trop vivement? Ils veulent inscrire dans les bases de données non seulement le nom du client, mais aussi la couleur de véhicule choisie, préciser s'il a fait l'essai d'une voiture. Ils veulent consigner tous ces renseignements. La réaction est peut-être excessive. Je voudrais savoir s'ils sont déraisonnables lorsqu'ils disent qu'ils doivent engager quelqu'un pour verser dans une base de données tous les renseignements supplémentaires dont ils ont besoin de la part d'un client. Bien sûr, quand on vend des voitures, on essaie peut-être d'inscrire les clients sur des listes de distribution pour les amener à acheter d'autres voitures.
(1705)
    C'est peut-être la collecte de données qui est excessive.
    C'est mon avis, mais ils reçoivent des directives de la société mère. Je m'interroge là-dessus. J'ai reçu une lettre des concessionnaires, et je devrais peut-être vous la communiquer, expliquant à quel point les dispositions sont lourdes et qu'ils doivent se protéger. Le niveau de paranoïa en est là.
    Vous avez sans doute raison. Il y a peu de communications et on ne comprend pas très bien ce qu'il faut faire pour se protéger contre ceux qui voudraient intenter des poursuites.
    Pour en revenir aux 56 000 plaintes et demandes de renseignements, c'est de la curiosité, et je vais ensuite...
    Je n'ai pas de ventilation des demandes sous les yeux...
    Une approximation.
    ... mais la plupart des plaintes visent les institutions financières, puisqu'elles sont de ressort fédéral. Combien de comptes en banque avons-nous, en moyenne? Probablement quatre ou cinq par Canadien. Il y a tous les prêts hypothécaires et tous les renseignements personnels qui circulent dans les institutions financières, y compris les sociétés de cartes de crédit. C'est le premier grand secteur.
    Puis, il y a les sociétés d'assurance, là encore parce qu'elles manipulent beaucoup de renseignements personnels. Il y a les transports, qui sont réglementés par le gouvernement fédéral. Les sociétés de transport aérien, notamment, ont besoin de beaucoup de renseignements personnels. Puis, les télécommunications, ce qui comprend les compagnies de téléphone, les câblodistributeurs, etc., qui sont de plus en plus liés avec d'autres fournisseurs. Voilà en gros le tableau d'ensemble.
    Merci beaucoup.
    Je reviens à ma première question. Y a-t-il inversion de la charge de la preuve? Si j'ai signé quelque chose et que je regrette qu'on ait utilisé mon nom de telle ou telle façon, est-ce que je peux porter plainte contre la société parce que je pense qu'elle a... Est-ce que j'aurais la charge de la preuve?
    Si vous portez plainte, oui. Je dirais que vous pouvez le faire, mais je vais laisser la commissaire adjointe expliquer.
    Si vous avez signé et si vous changez ensuite d'avis, vous avez le droit de retirer votre consentement.
    Il faut procéder de cette manière.
    Très souvent, les organisations ne font pas attention à quelqu'un qui essaie de retirer son consentement. Elles peuvent vous dire qu'elles ne peuvent plus vous fournir le service si vous retirez votre consentement, mais, dans bien des cas — par exemple pour le marketing par des tiers —, vous pouvez annuler votre consentement. Si on ne vous écoute pas, n'hésitez pas à porter plainte.
    Je me posais la question parce que, parfois, on ne sait pas trop ce qu'on a signé, tant que les éléments essentiels ne reviennent pas à l'esprit.
    Merci beaucoup.
    Je n'ai qu'une ou deux questions, si je puis.
    Aux termes de la LPRPDE comme de la Loi sur la protection des renseignements personnels, la sensibilisation et l'information sont deux des rôles du commissaire. À notre séance de mercredi dernier, M. Richard Rosenberg a fait une affirmation étonnante. Il est président de la British Columbia Freedom of Information and Privacy Association. Je vais le citer et vous demander votre avis :
Deuxièmement, il faut une fonction de sensibilisation beaucoup plus efficace. Le Commissariat pourrait jouer un rôle bien plus efficace qu'il ne l'a fait jusqu'à maintenant en faisant connaître à la fois le Commissariat et le rôle que lui confie la LPRPDE. Dans mes cours et à l'occasion de mes allocutions, j'ai rarement rencontré des gens qui connaissent les lois sur la protection de la vie privée, les droits qu'elles lui assurent, l'existence du Commissariat, l'actuelle commissaire ou les activités du Commissariat. Une enquête commandée par le Commissariat à la protection de la vie privée en mars dernier a montré qu'environ 8 p. 100 des Canadiens avaient entendu parler de la LPRPDE. Bien entendu, si on ne connaît pas les lois qui offrent une protection, il est difficile de se prévaloir de cette protection.
    Je vous donne la possibilité de réagir.
    Merci beaucoup, monsieur le président.
    Vous vous rappellerez peut-être que, dans le mémoire que nous avons présenté l'automne dernier au groupe spécial d'examen parlementaire — et nous avons aussi rencontré le comité il y a deux semaines pour discuter de notre budget —, nous avons dit qu'une bonne partie de l'augmentation de budget demandée tient au fait que nous avons pris conscience que nous n'avions pas les ressources voulues et que nous étions incapables de relever le défi de la sensibilisation du public. Les choses ont changé depuis le 1er avril. Je vous ai alors donné des exemples de l'augmentation dans nos activités de vulgarisation, nos efforts de renforcement de la visibilité, notamment dans les médias et grâce à notre site Web.
    Pour ce qui est du passé, M. Rosenberg, que vous avez cité, a raison, mais nous sommes conscients du problème et nous prenons des mesures le plus rapidement possible pour relever le degré de connaissance et de sensibilisation au sujet de la LPRPDE.
(1710)
    Merci.
    Vous avez amorcé des consultations, et vous nous en avez parlé. Dans quelle mesure avez vous obtenu une participation et des réactions à ces consultations de la part d'organisations du secteur privé, par opposition aux gouvernements et aux suspects habituels, si je peux dire — plus particulièrement du secteur privé.
    Environ 70 personnes ou 70 organisations vous ont répondu, ou quelque chose d'approchant. Là-dessus, combien sont du secteur privé?
    Nous avons eu 63 réponses, dont 42 d'un groupe — plutôt important — comprenant des sociétés d'avocats, des institutions financières, des syndicats, des universités, des associations industrielles et professionnelles. Nous n'avons pas vraiment fait la distinction entre les secteurs privé et public, mais nous avons obtenu une bonne réponse, à première vue. Je ne sais pas trop, mais je dirai que 50 p. 100 des contributions sont venues du privé.
    Je crois que c'est plus que cela.
    Oui, il y a eu un intérêt assez vif.
    Merci.
    Je crois savoir que vous avez été commissaire à la protection de la vie privée au Québec. Dans ce cas, et comme ce régime prévoit le pouvoir de prendre des ordonnances, est-ce que... Nous en avons parlé tout à l'heure et vous avez demandé à ne pas avoir ce pouvoir. Je suis curieux. Vous avez été commissaire dans une province où vous aviez ce pouvoir. Vous savez ce que c'est, si je peux dire. Comment se fait-il que vous venez nous dire en aparté : « Non, je ne veux pas ce pouvoir; je suis satisfaite des pouvoirs que j'ai. »
    Monsieur le président, je m'explique. Je ne dis pas que, pour avoir un régime de protection efficace, il ne faut jamais avoir le pouvoir de prendre des ordonnances. Je dis simplement que, pour l'instant, le plus sage, pour le Parlement, est de laisser le Commissariat poursuivre son travail avec ses pouvoirs actuels, car il ne les a pas encore tous utilisés, au lieu de tout chambarder pour essayer de... Il faudrait revoir la loi de fond en comble.
    D'après mon expérience, les tribunaux administratifs ont leurs propres difficultés, notamment la gestion des retards occasionnés par les parties. S'ils n'ont pas les ressources voulues, il faut gérer les parties, la disponibilité des décideurs, la présentation des décisions, etc. Ceux qui n'y ont pas travaillé ont l'impression que c'est très rapide: il suffit de prendre une ordonnance. Si on ne peut pas imposer des dommages-intérêts pour faire appliquer l'ordonnance, l'une des parties doit habituellement s'adresser à la Cour supérieure de la province. Ce n'est pas parce qu'on a le pouvoir de prendre des ordonnances exécutoires. Cela peut dépendre de la loi, si elles sont nécessairement. Il n'y a donc pas de dommages-intérêts. Il peut aussi y avoir un processus très long, qui traîne, parce qu'une des parties demande une révision judiciaire pendant l'audience.
    Avant de considérer les ordonnances comme une panacée, applicable en toutes circonstances, nous devrions essayer de voir au juste ce qui se produit dans ces tribunaux, quelle est la panoplie de leurs pouvoirs, quels éléments concourent ou non à l'efficacité. Chose certaine, c'est pour nous un grand avantage de pouvoir recourir à la Cour fédérale. Il s'agit d'un tribunal prestigieux dont les ordonnances sont respectées et qui a les moyens de les faire respecter, à la différence de bien des tribunaux administratifs qui en sont réduits à leurs propres moyens.
    Merci, commissaire.
    Monsieur Peterson, avez-vous une question à poser?
    Il s'agit en somme de la question que vous venez de poser, monsieur le président.
    D'après vous, comment les commissions du Québec et de la Colombie-Britannique fonctionnent-elles? Elles ont le pouvoir de prendre des ordonnances. Estimez-vous que ce pouvoir est pour elles une entrave?
(1715)
    Non, je ne le crois pas. Je sais que, lorsque j'étais au Québec, la province était très fière d'avoir la première loi applicable au secteur privé.
    Dans ces deux provinces, la loi est conçue en fonction de ce pouvoir de prendre des ordonnances. Je crois que la formule marche bien dans ces deux provinces, dans leur domaine. On peut fort bien dire qu'elle y marche bien, mais c'est tout à fait autre chose de prendre une loi qui n'a pas encore été pleine appliquée, comme la nôtre, et de prétendre, au bout de cinq ans, qu'il faut tout reprendre à zéro. Voilà ce que je veux dire.
    Il faut aussi se rappeler, ce que vous savez certainement, monsieur le président, que le modèle de l'ombudsman a été choisi parce que c'est celui qu'utilise le commissaire à la protection de la vie privée pour appliquer la loi qui vise le secteur public. C'est également le modèle du commissaire à l'information et du commissaire aux langues officielles. Comme le modèle fédéral unique est là, on l'a choisi pour appliquer la LPRPDE. C'était le modèle tout prêt. Le remplacer maintenant nuirait selon moi à la protection des renseignements personnels dans le secteur privé au Canada.
    Est-il jamais arrivé que vous ne puissiez obtenir les résultats voulus rapidement et que vous souhaitiez avoir ce pouvoir de prendre des ordonnances?
    Pas depuis environ un an et demi, en gros, depuis que j'ai décidé que, désormais, nous allons traîner devant les tribunaux ceux qui ne se conforment pas à nos opinions... Non, il y a une exception, la cause actuellement pendante. Il arrive que, comme dans l'affaire Blood Tribe, nous disions que nous ne sommes pas d'accord et que nous nous adressions aux tribunaux. Très bien. Chacune des parties a eu gain de cause à un niveau ou l'autre de l'appareil judiciaire, et ce n'est pas terminé. Mais non, depuis que nous avons adopté cette façon de faire, je n'ai pas regretté le pouvoir de prendre des ordonnances. Je crois que le problème, c'est la rapidité avec laquelle nous pouvons faire les enquêtes.
    La plupart de nos cas se règlent, monsieur le président. Nos statistiques le montrent. Lorsque ce n'est pas le cas, nous discutons, mais, si nous pensons avoir raison, nous sommes prêts à agir en conséquence. Nous n'avons pas eu beaucoup de contestations.
    Merci.
    Monsieur Tilson.
    Merci, monsieur le président.
    Nous avons parlé du pouvoir de prendre des ordonnances. Si vous revenez sur votre expérience de commissaire au Québec, y a-t-il d'autres éléments que nous pourrions emprunter dans la loi fédérale?
    Je n'ai pas vraiment vérifié. Il faudrait que je retourne...
    Que vous remontiez dans le temps.
    ... voir s'il y a d'autres éléments. Les lois sont très semblables.
    La loi québécoise a l'inconvénient d'avoir été la première du genre. Selon moi, il y a des choses qui sont plus claires dans la LPRPDE, qui sont plus claires dans les lois de la Colombie-Britannique et de l'Alberta, et les deux lois sont très semblables. Je n'arrive pas à voir d'avantage particulier.
    Bien sûr, le modèle est différent. Comme c'est un modèle de tribunal administratif, tout... Une fois qu'on est devant les tribunaux, il y a un rôle. Bien entendu, tous les observateurs et spécialistes consultent le rôle et voient qui y est inscrit, mais cela vient avec le modèle.
    Merci.
    Merci, madame la commissaire.
    Vous avez une position unique, puisque vous avez pu présider deux entités qui ont des pouvoirs différents. Si vous songez à quelque chose avant votre prochaine comparution, nous aimerions beaucoup que vous précisiez cela et que vous nous fassiez profiter de votre double expérience, que vous devez être la seule à avoir.
    Merci beaucoup d'avoir accepté de comparaître aujourd'hui. Nous vous en savons gré.
    Je rappelle aux membres du comité qu'il y aura une séance mercredi, à compter de 15 h 30, et que le comité directeur se réunira à un moment donné, la semaine prochaine, pour discuter du nombre de témoins à inviter et d'un plan de travail qui prévoit une conclusion nette.
    Encore une fois, merci infiniment d'avoir été là aujourd'hui.
    La séance est levée.