ETHI Réunion de comité

    Bonjour. Je suis heureux de déclarer la séance ouverte.

    Bienvenue dans notre comité en cette année 2007. J'espère que tout le monde a apprécié la pause.

    Je voudrais avant tout signaler qu'il y a eu quelques changements parmi les membres du comité. Nous avons trois nouveaux membres qui remplacent des personnes ayant siégé au comité l'an dernier.

    À ma gauche, M. Glen Pearson, assis où M. Paul Zed avait l'habitude de s'asseoir. À droite, M. Scott Reid, qui remplacera M. Jason Kenney. Il est absent aujourd'hui. Et M. Robert Vincent, qui remplacera M. Laforest.

    Allez-y, madame Lavallée.

    Bonjour, monsieur le président. C'est un immense plaisir de vous revoir. J'espère que vous avez passé un bon congé des Fêtes.

    Malheureusement, il y a eu le 15 décembre. Une motion du comité demandait au ministre de la Justice — mais non, vous n'y échapperez pas, monsieur Wallace — de nous présenter avant le 15 décembre un projet de loi sur l'accès à l'information, modernisé et renforcé. Le ministre de la Justice n'a hélas pas rempli ses obligations. De plus, le ministre a été remplacé.

    Dans ces conditions, nous pourrions peut-être trouver un moment ce matin, si possible au début et non à la fin de la rencontre, pour voir comment il serait possible d'examiner ou de réitérer cette motion ou encore de demander au nouveau ministre de la Justice de venir nous rencontrer pour nous parler de ses intentions quant au projet de loi sur l'accès à l'information.

    Tout cela est très intéressant. Mais je dois signaler que nous tenons une réunion pour écouter nos témoins. Vu leur présence aujourd'hui, j'estime qu'il n'est pas juste que nous nous attardions longuement à discuter la question. S'il nous reste du temps à la fin de la réunion, ce serait alors tout à fait possible.

    Je ne suis pas en désaccord avec tout ce que vous avez dit, madame Lavallée, et si nous en avions l'occasion, ce ne serait pas une mauvaise idée de convoquer le ministre de la Justice à ce sujet. Toutefois, nous avons déjà établi un plan de travail qui nous indique la marche à suivre pratiquement jusqu'à la fin de février en ce qui concerne la LPRPDE. Bref, je vous invite à déposer une autre motion pour que le comité l'envisage, si vous le souhaitez.

    Je souligne au passage qu'il y a toujours la possibilité pour l'opposition de poser des questions au ministre à la Chambre des communes et, on peut l'espérer, d'obtenir une réponse. Sur ce, avec votre permission, j'aimerais souhaiter la bienvenue à nos témoins et je vous encourage à trouver la façon appropriée de faire progresser la question.

    À vous, monsieur Vincent.

    Monsieur le président, je pense que vous allez un peu vite en affaires.

    Quand un député fait une demande, il ne suffit pas de dire que nous devons suivre l'ordre du jour établi pour passer outre cette demande. Une motion a été présentée, et je pense qu'il faut la prendre en considération. Je crois que c'est au comité, et non au président, de décider ce qui va se passer. À mon avis, le travail du président consiste à gérer le comité, et non à décider tout ce qui va s'y passer.

    Par conséquent, si un député demande d'intervenir, de faire comparaître le ministre ou de faire adopter une motion, je crois que ça passe avant tout et que ça a préséance sur ce qui va se passer au comité en ce qui a trait aux témoins.

    J'apprécie, bien sûr, le point de vue du nouveau membre. Je ne suis pas d'accord avec la façon dont vous définissez les fonctions d'un président — je suppose que vous vous en apercevrez en continuant à siéger à ce comité avec moi. Quoi qu'il en soit, il n'y a pas de motion ce matin. S'il y avait une motion, selon notre façon de procéder, qui avait été déposée comme il convient, avec le préavis voulu, il va sans dire que le président la soumettrait à l'attention du comité.

    Je suis d'accord: le comité est maître de ses propres affaires; c'est indubitable. Or, les affaires du comité ont été décidé: poursuivre l'examen de la LPRPDE, ce pourquoi nous avons convoqué les témoins d'aujourd'hui.

    Allez-y, madame Lavallée.

    Je veux d'abord m'excuser auprès de nos invités. Vous comprendrez que nous devons régler certains aspects logistiques. Je m'excuse infiniment et, si vous le permettez, je vais continuer.

    Monsieur le président, si on est procédurier et légaliste, on doit admettre que je peux présenter une motion. D'ailleurs, il faudrait pour ce faire que je respecte le préavis. Cependant, une motion visant à demander au ministre de la Justice de venir nous présenter un projet de loi sur l'accès à l'information a déjà fait l'objet d'un vote et a été adoptée.

    Dans ces circonstances, je pensais que la logique et le principe d'accommodement raisonnable feraient en sorte qu'au cours de la rencontre d'aujourd'hui — j'aurais préféré au début, mais ça pourrait être à la fin —, vous vous engagiez à ce que l'on réserve 5 ou 10 minutes pour voir s'il serait possible de recevoir le nouveau ministre de la Justice, ou encore de lui soumettre notre motion.

    Je suis complètement d'accord avec vous. Rien ne nous empêcher de traiter la question, une fois que les témoins auront fait leur déposition. Moins il y aura de questions des députés, plus les témoignages iront vite. S'il nous reste du temps avant 11 heures, bien sûr, nous pourrons traiter la question et voir s'il existe un consensus parmi les membres du comité ou s'il faudra respecter strictement la procédure. Voyons donc comment nous pouvons traiter la question, selon le nombre de questions adressées aux témoins.

    D'accord?

    Oui.

    Je voudrais souhaiter la bienvenue à nos témoins : Les représentants de l'Association des banquiers canadiens, M. Warren Law, premier vice-président; M. Terry Campbell, vice-président des politiques; et Mme Linda Routledge, directrice de la consommation. Les représentants de la Centrale des caisses de crédit du Canada, Gary Rogers, vice-président de la politique financière, et Charlene Loui-Ying, avocate générale et agente des relations gouvernementales pour la Credit Union Central of British Columbia. Merci à tous d'être venus.

    Après vous avoir donné la chance de faire un exposé d'introduction — deux exposés, je suppose —, nous passerons à notre échange de questions et de réponses habituel. Nous avons déjà d'autres points à régler, si bien que nous allons voir comment les choses se déroulent.

    Monsieur Law, si vous voulez bien commencer.

    Merci, monsieur le président.

    Monsieur le président et membres du comité, nous apprécions que vous nous ayez invités à contribuer à votre examen de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi).

    Je suis premier vice-président, Opérations générales et chef du contentieux, à l'Association des banquiers canadiens, ainsi que chef de la protection des renseignements personnels. Je suis accompagné, comme on vous l'a dit, de Terry Campbell, notre vice-président, Politiques, et de Linda Routledge, notre directrice, Consommation.

    Le secteur bancaire fait figure de chef de file en matière de protection des renseignements personnels, et ce de longue date. Ce fut la première industrie à se doter d'un code détaillé en matière de protection des renseignements personnels, lancé il y a 20 ans. Le secteur bancaire a aussi participé à l'élaboration du Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation, auquel fait référence l'annexe 1 de la Loi. Notre Code en matière de protection des renseignements personnels fut le premier à être reconnu conforme à cette norme. La protection des renseignements personnels a toujours été, dirais-je, une pierre angulaire du secteur bancaire et l'une des priorités absolues des banques.

     Néanmoins, lorsqu'on traite plus de 11 millions de transactions par jour au nom des clients, des erreurs peuvent survenir. L'objectif des banques est de les réduire au minimum, de protéger les intérêts des clients et de prendre des mesures afin de s'assurer que ces problèmes ne se reproduisent pas. Étant donné les interactions quasi quotidiennes des clients avec leur banque, le nombre relativement faible de plaintes reçues par le commissaire à la protection de la vie privée fournit une preuve solide du succès des banques en matière de protection des renseignements personnels.

    Le secteur bancaire est l'une des premières industries à avoir été assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques lorsque celle-ci est entrée en vigueur, en 2001. En général, les banques sont d'avis que la loi sert bien les Canadiens. Nous n'avons que quelques suggestions de changements, surtout de nature technique, à apporter à la loi. Ces suggestions sont énoncées en détail dans notre mémoire, mais j'aimerais vous en exposer quelques-unes.

    Je voudrais tout d'abord parler d'une proposition portant sur l'exemption dans l'intérêt public. Il y a des situations où les exigences actuelles de la Loi empêchent les employés d'agir dans le meilleur intérêt d'un particulier ou d'un groupe de particuliers. Dans le contexte bancaire, une telle situation survient, par exemple, lorsqu'un banquier soupçonne un abus financier — surtout dans le cas des aînés — au moment où un client retire de l'argent de son compte. Ce client semble subir la pression de la personne qui l'accompagne où le retrait ne reflète pas ses habitudes.

    Avant la Loi sur la protection des renseignements personnels et les documents électroniques, les banques pouvaient, en vertu de la common Law, communiquer leur soupçon d'abus aux autorités, à la famille du client vulnérable ou à toute autre personne responsable qui aurait pu faire enquête et mettre fin à tout abus. L'abus financier des aînés est un enjeu important au Canada. Le public et les familles de ces clients s'attendent à ce que les banquiers aident à prévenir tout abus. Cependant, en vertu de la législation actuelle, même si les employés des succursales bancaires veulent apporter leur aide, ils ne sont pas autorisés à le faire, car aucune exception ne s'applique à ces situations.

    Nous recommandons une exemption supplémentaire en ce qui a trait à la communication sans consentement lorsque c'est dans l'intérêt public.

    J'aimerais ensuite suggérer des changements aux dispositions sur les enquêtes de la Loi. Les banques consacrent considérablement d'efforts et d'argent à éviter que leurs activités et les renseignements personnels de leurs clients servent à commettre un crime financier, qu'il s'agisse d'escroquerie, de vol d'identité, de télémarketing trompeur, de fraude par carte de débit ou de crédit, ou encore de blanchiment d'argent. Elles offrent des programmes de formation à leurs employés et des programmes de sensibilisation à leurs clients. Elles collaborent aussi avec les gouvernements, les forces de l'ordre et d'autres organismes, tant à l'échelle nationale qu'internationale.

    Nos efforts seraient mieux soutenus si la Loi était modifiée selon l'approche de la Colombie-Britannique. Au lieu de désigner des organismes d'enquête, comme dans la loi maintenant, une approche inspirée de celle de Colombie-Britannique permettrait aux organisations de recueillir, d'utiliser et de communiquer les renseignements personnels pour les fins d'une enquête. Ce changement éliminerait certaines incohérentes actuelles et permettrait l'utilisation des renseignements personnels pour prévenir la fraude.

    La Loi comporte des incohérences qui interfèrent fréquemment avec la capacité des banques d'enquêter et de prévenir les activités illégales ou frauduleuses. Par exemple, bien que la Loi permette à une organisation de recueillir et de communiquer de l'information liée à la violation d'un accord, elle lui interdit d'utiliser à l'interne cette même information pour prévenir une autre fraude contre ce client, d'autres clients ou la banque.

    De même, une banque faisant enquête sur une fraude pourrait trouver et utiliser à l'interne de l'information suggérant une contravention au droit étranger, mais ne pourrait pas recueillir toute autre information pour confirmer ce doute. Elle pourrait même communiquer cette information au Bureau de prévention et d'enquête du crime bancaire, mais le BPECB ne pourrait rien en faire, car il ne peut communiquer l'information liée à une contravention au droit étranger, même aux autorités locales ou à d'autres organisations locales qui pourraient subir un impact similaire. Il s'agit d'obstacles importants aux enquêtes et à la prévention d'autres crimes contre le reste de l'industrie dans son ensemble et ses clients.

    Nous recommandons que la Loi soit modifiée afin d'inclure, entre autres, ces améliorations importantes qui figurent dans les lois provinciales.

    Il convient aussi de changer le traitement des groupes de société dans la Loi.

    Afin de respecter les exigences réglementaires en matière de déclaration, par exemple en ce qui a trait à la lutte contre le blanchiment d'argent, au risque et à la suffisance des fonds propres, les banques sont tenues de signaler leurs activités en tant que groupe de sociétés constituant une seule entité. Bon nombre d'organisations, dont les banques, ont un agent de la protection de la vie privée à la haute direction du groupe de sociétés, et cet agent agit à ce titre pour toutes les entités du groupe. Dans ces deux cas, il est nécessaire de recueillir, d'utiliser et de communiquer des renseignements personnels au sein de tout le groupe de sociétés, et non exclusivement d'une seule entité. La loi doit être modifiée afin de mieux répondre aux besoins des groupes de sociétés dont les entités s'échangent de l'information à de telles fins.

    Je devrais signaler qu'il y a des domaines où certains acteurs demandent que des changements soient apportés à la Loi, mais où les banques estiment que celle-ci continue d'équilibrer efficacement les besoins des divers acteurs. Parlons, par exemple, des pouvoirs du Commissaire. L'approche d'ombudsman actuel du Commissaire à la protection de la vie privée pour assurer une surveillance semble bien fonctionner. Dans presque chaque cas où la plainte est jugée fondée et où le Commissaire recommande des changements, l'organisation suit les recommandations du Commissaire. Dans les situations difficiles, la menace d'un recours à la Cour fédérale permet en général d'assurer la conformité. Le Commissaire a aussi l'option, lorsque c'est dans l'intérêt public, de publier le nom des organisations non conformes à la Loi, ce qu'il a fait à au moins deux reprises. Il a aussi la capacité de tenir des vérifications et de faire enquête sur ses propres plaintes, ce qu'il a déjà commencé à faire. Les outils et l'approche de surveillance actuels du Commissaire sont en accord avec ceux d'organismes de réglementation similaires. Les banques partagent le point de vue que le Commissaire nous a exprimé, à savoir que les pouvoirs actuels se sont révélés efficaces et qu'aucun changement n'est nécessaire pour le moment.

    Il y a aussi la question de l'obligation d'aviser. Les banques sont d'avis qu'une organisation doit aviser l'intéressé si une enquête interne conclut qu'il existe un risque raisonnable que ces renseignements personnels puissent être utilisés à des fins frauduleuses ou à des fins de vol d'identité. Il s'agit d'une norme reconnue internationalement dans les services financiers. Les banques prennent très au sérieux leur responsabilité de tenir les clients adéquatement informés et estiment que les organisations du Canada assument efficacement cette responsabilité sur une base volontaire. Nous ne croyons pas que des exigences législatives sont nécessaires.

    Enfin, il y a la question de l'impartition. Les dispositions actuelles de la Loi prévoient le cadre nécessaire pour protéger les renseignements personnels des Canadiens lorsqu'une organisation impartit des fonctions, à l'échelle nationale ou internationale. Une organisation doit s'assurer que les renseignements personnels fournis à des tiers aux fins de traitement reçoivent la même protection que celle que l'organisation doit procurer en vertu de la Loi. L'impartition est une réalité des affaires canadiennes et contribue à la croissance et à la prospérité de l'économie du Canada. La Loi prévoit les mesures de protection nécessaires pour assurer un équilibre entre cet intérêt et la protection des renseignements personnels des particuliers.

    Monsieur le président et membres du comité, nous vous remercions de votre attention et nous répondrons bien sûr volontiers à vos questions.

    Merci beaucoup, monsieur Law, nous vous sommes reconnaissants d'avoir été succincts et d'avoir fait des recommandations spécifiques.

    Est-ce M. Rogers qui fera l'exposé? À vous la parole, monsieur.

    Je vais commencer.

    Bonjour, monsieur le président et membres du comité.

    Nous vous remercions de votre invitation à comparaître aujourd'hui devant le comité pour parler de la Loi sur la protection des renseignements personnels et les documents électroniques.

    Je m'appelle Gary Rogers et je suis vice-président de la politique financière de la Centrale des caisses de crédit du Canada, que l'on appelle communément Centrale canadienne. J'ai à mes côtés aujourd'hui Charlene Loui-Ying, avocate générale et agente des relations gouvernementales de la Credit Union Central of British Columbia, que l'on appelle communément la Centrale de Colombie-Britannique, notre plus gros actionnaire et membre.

    Institution financière sous réglementation fédérale, la Centrale des caisses de crédit du Canada est le regroupement d'affaires national et l'intermédiaire financier de ses actionnaires, c'est-à-dire les Centrales des caisses de crédit provinciales et, par l'entremise de celles-ci, des 501 caisses de crédit membres de toutes les régions du Canada.

    J'ai mentionné que la Centrale canadienne était sous réglementation fédérale. Les Centrales provinciales, quant à elles, sont sous réglementation provinciale, bien que certaines tombent également sous la réglementation fédérale, par le biais du BSIF. Les caisses de crédit, bien sûr, sont sous réglementation provinciale.

    Vous serez peut-être surpris d'apprendre que nos caisses de crédit emploient plus de 24 000 personnes d'un bout à l'autre du pays, employés qui doivent souvent avoir des connaissances et une formation en ce qui concerne la protection de renseignements personnels. Avec ces employés, nous desservons nos membres, soit 4,9 millions de Canadiennes et de Canadiens.

    À la fin du troisième trimestre de 2006, nos caisses de crédit détenaient près de 93 milliards de dollars d'actifs, soit une augmentation de 10 p. 100 par rapport à l'année précédente.

    Notre réseau des caisses de crédit s'intéresse grandement à l'évolution de la LPRPDE, car les activités de certains secteurs de notre réseau, y compris la Centrale, sont directement régies par la Loi. C'est également le cas des caisses de crédit dans les provinces qui n'ont pas adopté de lois semblables sur la protection des renseignements personnels. En outre, l'évolution de la Loi aura probablement de fortes répercussions sur les lois provinciales en matière de protection des renseignements personnels, ce qui entraînera des retombées directes sur les caisses de crédit.

    Comme tous les Canadiens, les membres du réseau des caisses de crédit accordent une grande importance à la protection de leurs renseignements personnels. Et ce n'est pas d'hier que les caisses s'attachent à assurer la protection des renseignements personnels de leurs membres. La Centrale des caisses de crédit a d'ailleurs siégé au Comité technique sur la protection des renseignements personnels mis sur pied par l'Association canadienne de normalisation, qui a rédigé une version provisoire du Code type sur la protection des renseignements personnels, code qui a ensuite servi d'assises à la préparation de la LPRPDE.

    Les caisses de crédit cherchent à éviter que les renseignements personnels de leurs membres soient utilisés sans le consentement de la personne et s'efforcent d'empêcher l'utilisation de ces renseignements à des fins criminelles, comme le vol d'identité, le télémarketing trompeur, la fraude par carte de crédit ou de débit, ou encore le blanchiment d'argent.

    Cette volonté de protéger les renseignements des membres des caisses se concrétise par des programmes de formation des employés, de rigoureuses politiques et procédures internes, des programmes de sensibilisation des membres et la pleine et entière coopération avec les gouvernements fédéral et provinciaux, ainsi qu'avec les organismes d'application de la Loi.

    Dans l'ensemble, le réseau de caisses de crédit estime que la LPRPDE est efficace pour assurer la protection des renseignements personnels des Canadiens. La LPRPDE et les lois provinciales semblables donnent aux entreprises, y compris les caisses de crédit, un cadre utile pour officialiser les politiques et les procédures en matière de protections de renseignements personnels de leurs membres et clients.

    Nous recommandons au gouvernement fédéral de procéder avec prudence pour modifier la LPRPDE, notamment en raison du fait qu'il y a à peine deux ans que celle-ci est en vigueur et qu'il est encore probablement trop tôt pour en évaluer avec justesse l'incidence véritable.

    Si le comité envisage de recommander des modifications à la LPRPDE, la Centrale des caisses de crédit recommande que ces changements portent sur une meilleure harmonisation entre les lois provinciales et fédérales et privilégie l'approche la plus économique et la plus facile à mettre en oeuvre pour atteindre chaque objectif visé.

    Ma collègue, Mme Charlene Loui-Ying, va à présent présenter six recommandations spécifiques au sujet de la LPRPDE, bien que trois autres soient incluses dans notre mémoire. Ces recommandations découlent des consultations menées avec des représentants du réseau des caisses de crédit ayant de l'expérience en matière de protection des renseignements personnels, ainsi qu'avec notre comité national des affaires législatives, où sont représentés des membres de partout au Canada.

    Pour passer à notre première recommandation, la Centrale canadienne estime que le modèle actuel d'ombudsman est efficace pour garantir les droits de la protection des renseignements personnels et pour assurer la conformité des organismes visés par des plaintes en matière de protection des renseignements personnels. C'est pourquoi nous recommandons de ne pas accroître les pouvoirs d'application de la Loi du Commissaire à la protection de la vie privée pour le moment.

    Vous n'êtes pas sans savoir que le Commissaire détient les pouvoirs nécessaires pour faire enquête sur les plaintes, effectuer des vérifications, formuler des constatations et des recommandations et intenter des poursuites en justice. La possibilité pour le Commissaire de publier le nom des entreprises fautives s'avère une mesure efficace pour assurer la conformité à la LPRPDE, car celles-ci ne tiennent pas à perdre leur réputation. Comme nous l'avons mentionné plus tôt, la LPRPDE n'est elle-même en vigueur que depuis deux ans. Or, au fur et à mesure que les consommateurs et les entreprises seront sensibilisés aux questions de protection des renseignements personnels, il est probable qu'elle sera de plus en plus efficace.

    Deuxième recommandation : La Centrale des caisses de crédit gère un bureau de prévention et d'enquête sur les crimes pour les caisses de crédit (Credit Union Office for Crime Prevention and Investigation), désignée organisme d'enquête aux termes de la LPRPDE. Selon la Loi, les entreprises peuvent divulguer des renseignements personnels à un organisme d'enquête désigné sans avoir le consentement des personnes visées. Pour ce faire, il faut cependant des motifs raisonnables de croire que ces renseignements concernent la violation d'un accord ou une contravention au droit fédéral, provincial ou étranger.

    La LPRPDE autorise également les organismes d'enquête à divulguer des renseignements personnels à l'insu et sans le consentement de la personne touchée, si la communication est raisonnable pour mener une enquête sur la violation d'un accord ou sur une contravention au droit fédéral ou provincial. La Centrale des caisses de crédit est cependant préoccupée par l'absence de définition du terme « enquête » dans la Loi, ce qui rend celle-ci ambiguë et oblige les organisations à formuler leur propre interprétation du texte législatif.

    La Centrale des caisses de crédit recommande de modifier la LPRPDE pour y inclure une définition du terme « enquête » qui engloberait notamment les activités de prévention de la fraude. La définition pourrait adopter le modèle de la Personal Information Protection Act de la Colombie-Britannique.

    Recommandation 3 : La Centrale des caisses de crédit recommande une modification à la LPRPDE afin de permettre les échanges d'information entre organismes d'enquête désignés qui exécutent des fonctions semblables. Le bureau de prévention et d'enquête du crime pour les caisses de crédit devrait ainsi pouvoir aisément échanger de l'information avec d'autres organismes d'enquête, comme le Bureau de prévention et d'enquête du crime bancaire, afin d'assurer la prévention de la fraude.

    Dans ce contexte, le cadre actuel doit être mieux défini afin de préciser à quel moment et de quelle façon l'échange d'information se fera entre organismes d'enquête. Il faut notamment définir ce qu'est une réponse valable à une demande d'information provenant d'un organisme d'enquête. Fait à noter, on pourrait donner ces conseils par voie de lignes directrices, et non nécessairement par mécanismes législatifs ou réglementaires.

    Quatrième recommandation : Aucune disposition de la LPRPDE ne permet à une organisation de communiquer des renseignements personnels à des acquéreurs éventuels ou à des partenaires commerciaux sans avoir obtenu le consentement de l'intéressé. La Centrale des caisses de crédit appuie toute modification à la LPRPDE qui permettrait la communication de renseignements personnels ou dans le cadre de la vente ou de la fusion d'entreprise, ou encore de la titrisation hypothécaire. Bien sûr, il faut que les organismes aient en place de strictes ententes de protection de la nature confidentielle de l'information.

    En outre, ces ententes devraient inclure des dispositions concernant la remise ou l'élimination des documents contenant ces renseignements personnels si la transaction n'est pas réalisée. Une telle modification à la LPRPDE faciliterait les activités commerciales, tout en mettant en place des mesures garantissant que la protection des renseignements personnels est prise en compte lors de ces transactions.

    Recommandation 5 : La communauté de la protection de la vie privée discute de la pertinence d'inclure dans la LPRPDE une « obligation d'aviser ». Avec une telle obligation, les organisations victimes d'infraction à la sécurité, de communication involontaire ou du vol qualifié de leur fonds de renseignements personnels seraient tenues de réduire les risques d'usurpation de l'identité des intéressés. Après une infraction à la sécurité, ce risque pourrait être réduit par l'envoi d'un avis aux personnes dont les renseignements sont en jeu, ainsi qu'aux agences d'évaluation du crédit, aux organismes gouvernementaux appropriés et à d'autres entités commerciales, comme des institutions financières.

    Le Centrale des caisses de crédit appuie en principe le concept de l'obligation d'aviser, mais si le gouvernement du Canada décide de prendre des mesures législatives à ce sujet, des limites raisonnables doivent être fixées pour tout obligation d'aviser. Par exemple, il faudra déterminer s'il existe un risque de fraude réel ou une probabilité raisonnable que la perte ou le vol entraîne l'utilisation des renseignements personnels aux détriments de la personne concernée, ou encore que le vol vise un très grand nombre de dossiers. Pour établir ces limites, il faut également évaluer si l'obligation d'aviser peut entraîner un risque plus élevé de fraude ou un autre préjudice, ou pourrait inquiéter inutilement des particuliers. La Centrale des caisses de crédit serait ravie de participer à de futures consultations sur l'établissement de telles limites.

    Je passe maintenant à la dernière recommandation de ce matin. Dans une décision rendue en 2005, la Commissaire à la protection de la vie privée du gouvernement fédéral a conclu que selon la LPRPDE, l'adresse de courriel d'une entreprise constitue un renseignement personnel d'un particulier. Lors de son enquête à ce sujet, la Commissaire a constaté que la définition de renseignements personnels dans la LPRPDE exclut le nom de l'employé, le titre professionnel et l'adresse et le numéro de téléphone de l'entreprise. Cependant, l'adresse de courriel de l'entreprise n'est pas incluse dans cette définition et constitue donc un renseignement personnel.

    La Centrale des caisses de crédit recommande de corriger cette anomalie, en modifiant la LPRPDE pour adopter le modèle des lois de la Colombie-Britannique et de l'Alberta, qui excluent nommément l'adresse de courriel d'une entreprise du champ d'application de la loi. Il ne semble pas très utile d'exclure les numéros de téléphone d'une entreprise du champ d'application de la loi, mais non les adresses de courriel.

    Pour conclure j'aimerais remercier le comité de nous avoir permis de nous prononcer sur la LPRPDE. Nous sommes prêts à répondre aux questions des membres du comité.

    Merci beaucoup.

    Je remarque que votre présentation comporte neuf recommandations et que vous n'en avez citées que six. Il y en a donc trois autres, que nous allons également étudier. J'imagine que pour gagner du temps, vous avez présenté les six plus importantes ce matin, et je vous en remercie.

    Nous allons commencer la période de questions. M. Peterson, pour un tour de sept minutes.

    Merci d'être venus.

    Quelles sont les différences entre les deux groupes de témoins?

    Monsieur Peterson, j'attends de voir ce que mes amis des caisses de crédit ont à dire, mais je pense que notre discours est assez proche. Comme je l'ai signalé dans mes deux recommandations, je pense que de façon générale, nous pensons que la Loi fonctionne bien. C'est une bonne base. À mon avis, nous voudrions tous les deux que certaines améliorations techniques y soient apportées pour qu'elle soit plus efficace, mais je ne pense pas qu'il faille... Pour un projet de loi relativement nouveau, honnêtement, le bilan est assez positif. Le Bureau du Commissaire à la protection de la vie privée est également plutôt efficace. Je ne pense pas qu'il faille faire plus qu'apporter certaines modifications techniques. C'est notre avis, mais je laisse la parole à mes amis de la Centrale des caisses de crédit du Canada.

    Je crois que de façon générale, nous sommes d'accord. Peut-être que nos opinions divergent sur l'importance des changements nécessaires, mais de façon générale, nous sommes du même avis, c'est-à-dire que la Loi fonctionne bien et qu'il faut y apporter certaines modifications techniques.

    Je reviens au vol d'identité. Vos institutions financières ont-elles déjà pénalisé un client qui s'est fait voler son identité, ou est-ce que vous en assumez les pertes? Je m'adresse aux deux groupes de témoins.

    Cela dépend des circonstances. Parfois, les clients ont contribué à la perte, mais même dans ces cas, l'institution les a remboursés.

    Comment les clients ont-ils pu y contribuer?

    Ils ont donné leur carte de débit et leur NIP à quelqu'un, qui leur a volé de l'argent.

    Il existe plusieurs dispositions à ce sujet. Je sais que mon collègue voudra également prendre la parole. Il faut remarquer les différents types de produits. Par exemple, pour les cartes de crédit, il y a une politique de responsabilité zéro: si quelqu'un vous vole votre identité et utilise votre carte frauduleusement, vous, le consommateur, n'êtes pas responsable. C'est une responsabilité zéro.

    Je suis content que vous ayez parlé du vol d'identité, parce que c'est un réel problème. Je demanderais à M. Law de compléter ma réponse.

    Je voudrais insister sur ce que M. Campbell a dit. Pendant de nombreuses années, nous avons demandé au gouvernement du Canada de faire quelque chose pour régler le problème du vol d'identité, qui est un problème énorme. C'est une question qui prend de l'ampleur et, contrairement aux États-Unis, le gouvernement du Canada n'a pas apporté de solution en changeant le code pénal. Or, dans le code pénal, il existe des dispositions, par exemple, qui portent sur le fait d'envoyer un télégramme sous un faux nom, mais il n'y a rien au sujet des courriers électroniques. En fait, il n'y a rien, dans le Code criminel, qui porte précisément sur le vol d'identité au Canada et j'exhorte le gouvernement fédéral de se pencher sur la question.

    Le ministère de la Justice a mené au moins deux séries de consultations. Il est sur le point de proposer des changements législatifs au code pénal. Or, c'est un problème considérable. Il ne suffit pas simplement d'avoir une disposition du code pénal qui s'applique après la fraude. À mon avis, et c'est l'opinion de l'Association des banquiers canadiens, on devrait avoir des dispositions dans le code pénal qui s'appliquent dès que des renseignements personnels sont détournés, parce que c'est à ce moment-là que les personnes touchées vivent le traumatisme. C'est là que les dommages commencent.

    Je pense que le gouvernement du Canada devrait se pencher sérieusement sur la question.

    Êtes-vous en train de me dire que je peux voler des identités et frauder en toute impunité tant que cet amendement n'est pas en vigueur? C'est très intéressant.

    Oui. Après votre vie politique, monsieur Peterson, vous pourriez envisager une nouvelle carrière.

    Le code pénal s'applique au moment où il y a fraude, évidemment. Ce que nous disons, c'est qu'il devrait s'appliquer bien plus tôt dans cette suite d'activités criminelles, dès que les contrevenants sont allés sur Internet et ont volé vos renseignements personnels. Je ne pense pas qu'il faille attendre que la fraude soit commise. Le Code criminel devrait s'appliquer dès qu'il y a détournement.

    Pour en revenir à ma question: lorsqu'une fraude se produit, le client est indemne. Le client qui s'est fait voler son identité n'est pas pénalisé. Est-ce la norme dans toutes les institutions du pays?

    Oui, c'est le principe général. Évidemment, nous essayons d'avoir les systèmes nécessaires pour empêcher la fraude. Nous disposons de systèmes qui peuvent détecter des tendances inhabituelles, par exemple, sur votre carte de crédit. Si l'on observe qu'un achat a été fait à Toronto le matin et un autre à Bangkok l'après-midi, le système gèle la carte. Nous essayons d'empêcher la fraude, mais le principe dont vous avez parlé est tout à fait exact.

    Au cours de la dernière série de vols d'identité qui a touché Winners et les autres, pensez-vous que ces compagnies ont bien géré cette affaire, notamment en ce qui concerne la notification?

    Eh bien, c'est difficile de parler au nom de quelqu'un d'autre.

    Vous avez raison d'en parler, car il est important de se souvenir que ces violations ont eu lieu chez les détaillants, et je pense qu'il y a lieu de se demander ce qui s'est passé. Personne n'aime qu'il y ait des violations, mais lorsque c'est le cas, il faut chercher à savoir quelles mesures ont été prises, si les personnes ont été avisées, si les autorités sont intervenues, si le Commissaire à la protection de la vie privée a joué son rôle et si les systèmes VISA et Mastercard ont été immédiatement contacté. Ce sont les entités principales qui font affaires avec les détaillants en question. À leur tour, VISA et Mastercard vont signaler aux banques qu'elles font affaires avec nos clients.

    Au cours de cette série d'événements, il y a eu notification, puisque les autorités et le Commissaire à la vie privée ont été contactés. D'après les renseignements rendus publics, les détaillants ont travaillé en étroite collaboration avec le Commissaire. À notre avis, cela démontre que le système fonctionne bien.

    Merci beaucoup.

    Vous avez dit que de façon générale, le client était « indemne », selon les mots de M. Peterson. J'imagine que vous parlez des cartes de crédit et non de biens immobiliers.

    On observe actuellement que des contrevenants veulent l'identité de certaines personnes et mettent leurs propriétés en vente à leur insu, et je crois que les banquiers ont déterminé que dans ces cas-là, les hypothèques seraient valides. Est-ce exact?

    Je pense qu'il faut fonctionner au cas par cas. Comme vous le savez sans doute, la Cour d'appel de l'Ontario a rendu une décision dans une affaire de ce genre. Je sais également que la Cour d'appel s'apprête à réexaminer cette situation, mais je pense que cela revient à ce que mon collègue de la Centrale des caisses de crédit disait, c'est-à-dire qu'il faut étudier cette question au cas par cas.

    Merci.

    Madame Lavallée.

    Je vais céder mon droit de parole à M. Vincent.

    Merci d'être parmi nous aujourd'hui.

    Avez-vous bien dit, un peu plus tôt, que les cartes de débit étaient la responsabilité du client? Monsieur Law, vous avez dit que les cartes de crédit étaient remboursées au complet, mais que les autres cartes, par exemple quand un NIP se retrouvait entre les mains de quelqu'un d'autre, étaient la responsabilité du client, et que ce même remboursement ne s'appliquait pas. Est-ce exact?

    Pardonnez-moi, mais il faut que je réponde en anglais.

    J'ai parlé des cartes de crédit comme d'un cas particulier. Cependant, s'il y a un problème avec les cartes de débit, si quelqu'un accède à un compte par vol d'identité ou par écrémage, le client est couvert. Le client est indemne.

    Ce sur quoi nous insistons — et c'est ce que les représentants de la Centrale des caisses de crédit disaient — c'est qu'il est très important, aujourd'hui, que les gens fassent attention à protéger leur numéro d'identification de carte de débit. Il existe toutes sortes de cas où les contrevenants regardent par-dessus votre épaule ou installent des petites caméras sur les claviers d'identification personnelle.

    Nous recommandons fortement que lorsque vous utilisez votre carte, vous fassiez attention. Assurez-vous de cacher votre code. Assurez-vous que la machine ne soit pas trafiquée.

    Nous disons toujours au client de ne pas révéler son code. C'est incroyable d'avoir à le dire, mais c'est vrai. Ne prêtez pas votre carte et ne révélez pas votre code, même à un proche, parce que ces cartes voyagent. N'écrivez pas votre code à l'arrière de votre carte, ni sur un papier dans votre portefeuille.

    Si vous avez contribué à la fraude, c'est autre chose.

    J'ai parlé des cartes de crédit, mais nous pouvons prendre en charge les problèmes de cartes de débit également.

    Peut-être que mon collègue de la Centrale des caisses de crédit souhaite ajouter quelque chose.

    J'aimerais signaler que la Centrale des caisses de crédit et les banquiers, je crois, ont approuvé le code d'usage sur les cartes débit qui oblige les institutions financières à rembourser leurs clients dans les cas de fraude, à moins que l'utilisateur de la carte de débit n'ait contribué à la perte.

    Il y a des échéances à respecter pour cette détermination, mais le principe général, c'est que le client ne doit pas être affecté par la fraude.

    Ma question était la suivante : le recouvrement est-il total, dans le cas d'une personne à qui on subtilise une somme d'argent dans son compte bancaire?

    Dans le cas d'un vol de carte de débit, quel genre d'enquête vos établissements font-ils? Est-ce que la personne peut être remboursée assez rapidement ou est-ce que l'enquête piétine et traîne en longueur, de sorte que la victime du vol n'est remboursée que des mois plus tard? Quelles mesures prenez-vous pour protéger des malfrats les personnes et leurs comptes bancaires?

    Il existe un processus au sein de toutes les institutions; ainsi, si vous vous rendez à une succursale, la demande est habituellement acheminée à un centre d'arbitrage central, où l'on traite de la demande très rapidement. Des limites sont prévues dans le code régissant les cartes de débit. Les responsables disposent de dix jours pour procéder à l'enquête puis communiquer avec l'intéressé.

    Il se pourrait que l'on pousse l'enquête un peu plus loin plus tard, si le dossier est complexe, mais l'on essaie de régler le problème très rapidement. C'est ce à quoi on s'engage dans le code sur les cartes de débit.

    Selon les renseignements que nous a fournis le Commissariat à la protection de la vie privée, un grand nombre des plaintes reçues par cet organisme en ce qui concerne la LPRPDE portent sur des institutions financières. Pouvez-vous expliquer pourquoi il y a tant de plaintes liées au respect de la vie privée dans ce secteur, particulièrement si l’on considère que les banques ont été parmi les premières organisations à être touchées par la loi?

    Plaçons le problème dans son contexte. Warren a mentionné dans ses commentaires liminaires que nous traitons plus de 11 millions de transactions par jour. Cela représente des centaines de millions de transactions par mois, des milliards par année. Nous recherchons la perfection, mais nous sommes humains. Il y aura des erreurs, mais elles sont plutôt rares.

    Si vous étudiez les statistiques présentées par la Commissaire à la protection de la vie privée, vous constaterez que sur des milliards de transactions chaque année, il n'y a eu qu'environ 133 plaintes formulées contre les banques. Je crois que nous avons les statistiques. Ce n'est pas un chiffre très élevé. Je crois que lorsque la Commissaire adjoint à la protection de la vie privée a témoigné devant notre comité il y a un moment, elle a dit que oui, ce sont les banques qui sont visées par le plus grand nombre de plaintes, mais je crois que c'est attribuable au simple fait qu'elles sont les plus importantes institutions financières. Je pense que si l'on fait la part des choses, on reconnaîtra qu'il s'agit d'un chiffre qui est peu élevé.

    Je crois que c'est parce que... Nous prenons la protection des renseignements personnels bien au sérieux parce qu'en fait, c'est un élément fondamental de notre secteur. Nous voudrions qu'il n'y ait aucun problème, mais nous sommes tous humains et à l'occasion il y aura des erreurs. C'est aussi simple que cela.

    Combien nous reste-t-il de temps?

    Il vous reste 30 secondes.

    M. Tilson suivi de M. Dhaliwal.

    Merci, monsieur le président.

    J'aimerais poser une question. On a mentionné le magasin Winners. Je veux absolument que vous compreniez bien que ma question ne vise pas à critiquer quoi que ce soit mais plutôt trouver des façons pour améliorer cette mesure législative. Je tiens à vous assurer, monsieur Campbell, que nous ne voulons pas attaquer les banques, Winners ou qui que ce soit. Évidemment on ne peut éviter les accidents, mais je mentionne cet incident puisqu'il touche les questions dont nous sommes saisis, comme l'impartition, l'obligation d'aviser l'intéressé ou le processus d'enquête. Toutes ces questions font partie du même dossier. Je ne veux surtout pas que vous donniez une mauvaise interprétation à mes commentaires.

    Quant à la question de l'obligation d'aviser, la Centrale des caisses de crédit du Canada et l'Association des banquiers canadiens sont à peu près du même avis. Les représentants des caisses de crédit disent qu'il doit exister un danger clair de fraude avant qu'on avise l'intéressé. Quant aux banquiers, pour reprendre votre terme, qu'il s'agisse de peaufiner ou pas, ils visent à peu près les mêmes choses. Je suppose que nous laisserons les avocats trancher.

    Existe-t-il un risque raisonnable que ces renseignements personnels puissent être utilisés à des fins frauduleuses ou pour un vol d'identité? Si vous suivez les reportages, tout particulièrement celui présenté par Emily Mathieu dans le National Post sur HomeSense et Winners, on dit quand même que des renseignements sur quelques millions de consommateurs ont été obtenus des banques de données des compagnies; puis la Société Radio-Canada a révélé que la Banque CIBC avait perdu les données de près d'un demi-million de clients du fonds Talvest, et on entend par-là les noms, les adresses, les signatures, les dates de naissance, les numéros de comptes en banque, les renseignements sur les bénéficiaires désignés, les numéros d'assurance sociale...

    Je pense à toutes ces choses qui ont été volées, et je vous écoute nous dire qu'à moins qu'il y ait des signes d'activités frauduleuses, vous ne jugez pas qu'il faudrait en aviser l'intéressé. Bon sens! Si quelqu'un détenait mon nom, ma signature, ma date de naissance, mon numéro de compte en banque, des renseignements sur mes bénéficiaires désignés, mon numéro d'assurance sociale, je voudrais certainement qu'on me le dise. Je voudrais en être avisé. Je ne veut pas qu'on attende de voir s'il y a un signe d'activité frauduleuse. Je veux le savoir tout de suite.

    Je ne m'y oppose pas.

    Mais ce n'est pas ce que vous dites dans votre rapport.

    Oui, c'est ce qu'on dit. Les banques ont à coeur la protection des renseignements personnels de leurs clients. Par exemple, dans l'affaire Talvest, c'est vrai, il y avait un danger réel, un risque raisonnable, que ces renseignements soient utilisés à des fins frauduleuses ou pour le vol d'identité. La banque a agi de façon responsable.

    Et la banque a avisé tous ses clients. M. Wallace peut le confirmer.

    C'est pourquoi j'ai dit en guise d'introduction avant de poser des questions que je ne cherchais pas nécessairement à attaquer qui que ce soit. J'étudie simplement la politique que vous recommandez pour le Commissaire à la protection de la vie privée — d'aviser les intéressés seulement s'il y a un danger d'activité frauduleuse. Est-ce que la divulgation de renseignements ne s'accompagne pas toujours de danger de vol d'identité ou d'activité frauduleuse? La police me dit que si on vole une carte de crédit, il se pourrait qu'aucune activité frauduleuse n'ait lieu pendant les 12 premiers mois.

    Je comprends ce à quoi vous voulez en venir. C'est une question très délicate, et il est clair qu'il doit y avoir avis présenté aux intéressés. Nous en sommes convaincus.

    Nous avons fait deux commentaires importants. Tout d'abord, peu importe le seuil établi, il doit permettre d'éviter deux problèmes. Vous ne voulez pas être tenu d'aviser l'intéressé chaque fois qu'il y a un léger manquement, puisque les gens se retrouveront inondés et qu'ils finiront par ignorer tout avis. Ils deviendront tellement habitués à recevoir des avis que ce ne serait plus que routine. Ça, c'est la première chose que vous voulez éviter. Vous voulez avoir un système qui vous oblige à aviser l'intéressé lorsqu'après avoir consulté le Commissaire à la protection de la vie privée, vos propres experts en matière de protection de la vie privée et la police, tout le monde conclut qu'il faut aviser les intéressés.

    Vous devez également éviter d'alarmer inutilement les gens. Il y a eu des exemples aux États-Unis, dans certains États, où dès qu'il y avait apparence de manquement, on avisait automatiquement les intéressés. Cela bouleversait les gens. L'affaire à laquelle je pense touchait les anciens combattants. Un avis de manquement obligatoire a été automatiquement envoyé et les gens ont été vraiment bouleversés. Puis, lorsqu'on a étudié le dossier, on a vu qu'il n'y avait aucun problème.

    C'est ce que vous devez faire lorsque ce genre de choses se produit. Il y a un incident. Quelle est la nature de cet incident? S'agit-il d'un manquement? Comment cela s'est-il produit? A-t-on eu accès à des renseignements personnels? Il s'agit de questions qu'il faut poser, car la réponse est difficile à obtenir. Si on a eu accès à des renseignements personnels, y a-t-il une indication que ces renseignements ont été utilisés ou décodés? Vous devez aller au fond de l'histoire. Puis, et tout le monde ici le reconnaîtra évidemment, il faut savoir ce qui s'est passé. Ensuite, lorsque vous avez ces doutes, vous vous adressez à la police et au Commissaire à la protection de la vie privée et vous collaborez avec eux.

    Notre message est bien clair, nous prenons cette obligation d'aviser bien au sérieux. En fait, nous avisons les intéressés. Nous disons simplement que le système volontaire actuel fonctionne bien, comme on peut le démontrer. Ce système volontaire vous donne une certaine marge de manoeuvre. Puis vous pouvez collaborer avec le Commissaire pour discuter des détails du dossier, au lieu d'avoir une politique rigide qui vous force d'aviser les intéressés dès qu'il y a quelques soupçons de manquement. Le système volontaire est souple et fonctionne.

    J'aimerais terminer en signalant que nous sommes d'accord avec ce que vous dites. Nous sommes parfaitement d'accord. Nous voulons simplement éviter un système d'obligation d'aviser qui soit trop rigide et inapproprié. Nous voulons vous dire que tout semble indiquer que le système volontaire actuel fonctionne bien.

    J'aimerais passer à une autre question s'il me reste suffisamment de temps.

    Je veux vous signaler qu'à deux reprises, j'ai eu ce genre de problème avec une société émettrice de carte de crédit, qui est évidemment associée à une banque. Ils m'ont avisé que quelqu'un se servait peut-être des renseignements associés à ma carte de crédit de façon inappropriée. J'ai été heureux d'être averti. Je me suis inquiété de la situation, c'est vrai, mais je veux quand même qu'on me mette au courant.

    Ma question s'adresse à Mme Loui-Ying, ou à ceux qui sont avocats. Je crois qu'elle est la seule à reconnaître qu'elle est avocate.

    Ma question porte sur l'impartition. C'est absolument incroyable que des gens en Chine ou en Inde, qu'il s'agisse de services de télémarketing ou d'autres choses... On les forme. Ils appellent quelqu'un au Texas. Des Indiens ont appris à parler avec un accent du Texas. C'est absolument incroyable. Toutes sortes de renseignements sont communiqués en raison de cette impartition de services. On me dit que des comptables transfèrent des données à des gens en Inde pour préparer des déclarations d'impôt sur le revenu pour des Canadiens. C'est absolument renversant.

    Ma question porte sur le commentaire qu'on a fait — je crois que c'était M. Law — sur l'infraction aux lois étrangères. C'est une question intéressante. Je crois que vous dites qu'il existe un problème dans ce dossier.

    C'est un problème qui existe au niveau des organismes d'enquête.

    Y a-t-il d'autres aspects de la loi que nous devrions étudier? Je pense par exemple aux ententes réciproques avec des entités étrangères comme nous en avons dans d'autres domaines du droit, comme l'application de la loi. Nos lois sont peut-être différentes des lois de l'Inde ou du Royaume-Uni ou d'autres pays.

    Monsieur Tilson, j'ai été très généreux. Vous avez posé votre question.

    Bien, pensez à ma question et nous y reviendrons plus tard.

    M. Tilson a posé la question. Je crois qu'elle s'adressait à Mme Loui-Ying ou à un autre avocat.

    L'impartition est une des questions que nous n'avons pas abordée dans notre exposé ce matin. La Centrale des caisses de crédit n'a pas pris de position dans ce dossier. Nous savons que, en fait, l'impartition est chose commune dans le monde des affaires, comme l'ont signalé nos collègues, mais les caisses de crédit n'ont pas habituellement le même pouvoir de négociation dans le cadre des contrats d'impartition que les plus grosses entreprises financières, tout particulièrement celles qui sont assujetties aux lois et règlements fédéraux. Cela dit, certains membres de la Centrale des caisses de crédit du Canada ont mentionné le besoin de partager et d'échanger des renseignements avec d'autres organisations et régions. Nous disons cependant que les mécanismes qui existent déjà sont appropriés, et il est possible que le Commissaire à la protection de la vie privée n'ait pas besoin d'imposer un mécanisme direct, quoiqu'il l'a peut-être proposé, puisqu'il existe déjà d'autres systèmes qui permettent l'échange de renseignements à ce niveau.

    Mme Routledge a signalé qu'elle voulait intervenir.

    Je m'excuse, monsieur Law.

    Pour ce qui est de l'impartition, les banques doivent protéger les renseignements qu'elles recueillent, conformément à la LPRPDE. Ainsi, lorsque les banques font appel à l'impartition, ces tiers deviennent des agents des banques et devront signer des contrats garantissant qu'ils assureront la même protection qu'offriraient les banques si elles n'avaient pas fait appel à ces services d'impartition.

    Vouliez-vous ajouter quelque chose?

    Je désire simplement signaler qu'il existe des lignes directrices précises, les lignes directrices du BSIF, Bureau du surintendant des institutions financières, qui touchent l'impartition de services par les banques, et prévoient un autre mécanisme de contrôle touchant la mesure dans laquelle les banques peuvent communiquer des renseignements.

    Merci.

    M. Peterson et M. Tilson ont tous deux dit en principe la même chose, soit que vous vous entendez plus ou moins sur la question. Je ne sais pas si j'interprète mal vos propos, mais il me semble que votre approche est un peu plus nuancée au sujet de ce que certains appellent un avis d'infraction à la confidentialité et d'autres, l'obligation d'émettre un avis d'infraction.

    Les banques disent tout bêtement que la loi doit être laissée telle quelle, point à la ligne. Les caisses populaires sont en principe pour l'idée que les sociétés devraient être obligées d'aviser les consommateurs en cas d'infraction à la confidentialité, mais si le gouvernement canadien décide de légiférer, il devrait y avoir un seuil raisonnable. Ce n'est pas la même chose que de dire qu'il ne faille pas changer la loi. Ai-je bien compris? Oui? Très bien, merci.

    Monsieur Dhaliwal.

    Merci, monsieur le président.

    Je remercie les membres du panel d'être venus aujourd'hui.

    Les sociétés liées sont déjà définies en vertu de la Loi de l'impôt sur le revenu. En quoi votre définition sur ces sociétés est-elle différente de celles contenues dans la Loi de l'impôt sur le revenu?

    Je ne crois pas que nous ayons examiné la question aussi minutieusement, mais il s'agirait probablement des mêmes sociétés affiliées et filiales. En réalité, et je l'ai dit dans mes remarques liminaires, les banques, ainsi que beaucoup de sociétés, sont exploitées en tant que sociétés liées aujourd'hui. Au sein d'un groupe bancaire, il y a un courtier de fonds mutuel, peut-être une société de fiducie, une maison de courtage, ainsi que d'autres sociétés qui s'occupent de leurs domaines respectifs, mais toutes ces entités sont gérées ensemble. Par conséquent, il serait utile à ces entités de se partager des renseignements entre elles afin d'empêcher des cas de fraude.

    Je connais des cas qui se sont produits au sein de l'industrie bancaire. Par exemple, le BPECB, notre bureau d'enquête, avait reçu des renseignements sur des activités frauduleuses, du blanchiment d'argent, mais elle ne pouvait partager ces renseignements avec la filiale d'une de nos banques, car la LPRPDE ne considère pas que les sociétés liées fonctionnent comme une entité. Je crois donc qu'il serait utile que le comité pense à amender la loi pour permettre aux sociétés liées de se partager des renseignements entre elles.

    Pour répondre plus précisément à votre question sur la définition contenue dans la Loi de l'impôt sur le revenu, elle ne s'applique probablement pas très bien à notre secteur. Le système de caisses populaires comporte un grand nombre de joueurs qui détiennent très peu d'actions, et par conséquent le concept de sociétés associées et de sociétés liées en vertu de la Loi de l'impôt sur le revenu ne viserait pas ce que l'on veut inclure ici aux fins de la protection de renseignements personnels. Nous aimerions bien trouver une meilleure définition.

    Voilà: d'un côté, vous dites qu'on devrait sérieusement envisager d'amender la Loi et de l'autre, qu'elle n'existe que depuis deux ans et donc qu'il ne faudrait pas y toucher. Pouvez-vous nous expliquer cette contradiction chez vous?

    Je ne crois pas vraiment qu'il y a une contradiction. Nous disons que la Loi doit être peaufinée, si vous voulez. Nous ne croyons pas qu'elle doit être complètement repensée, mais que le concept de protection des renseignements personnels au Canada doit être réexaminé. Grâce à cet examen législatif, c'est une bonne occasion d'étudier ce qui se fait ailleurs et ce qui fonctionne. Existe-t-il des modèles qu'on pourrait appliquer chez nous et qui profiteraient à tous les Canadiens en rendant la Loi plus efficace pour les consommateurs et qui diminueraient les coûts des sociétés? Je ne crois pas qu'il y ait une contradiction; cela fait partie d'un continuum.

    Étant donné que les technologies évoluent à chaque seconde, pensez-vous quand même qu'il ne faille rien ajouter à la Loi à ce sujet, contrairement à ce qui a été fait il y a deux ans pour l'industrie bancaire?

    Parce que cette Loi s'applique à beaucoup de secteurs, je ne crois pas qu'elle puisse viser une technologie en particulier. Nous traitons de renseignements personnels et du fait que les renseignements personnels existent partout.

    Pour ce qui est du vol d'identité et de l'impartition, vous avez dit qu'il y a un risque que les renseignements personnels soient volés lorsque ceux-ci sont transmis d'un pays à un autre. L'ampleur de l'impartition il y a deux ou dix ans n'est pas ce qu'elle est aujourd'hui. Tout dépend des lois des autres pays, mais je ne suis pas à l'aise à l'idée que les lois régissant l'impartition datent d'il y a deux ans.

    D'après les dispositions de la Loi, tout dépend de la façon dont l'impartition se faisait il y a cinq ans ou se fait aujourd'hui. Comme mon collègue l'a dit, la Loi stipule que vous êtes responsables de ces renseignements personnels. Lorsque vous faites affaires avec une société située à l'étranger ou avec un agent, il vous incombe de faire appliquer par la société ou l'agent les mêmes protections que vous devez appliquer vous-même.

    Je ne sais pas si cela s'applique à la façon dont l'information est transmise, exception faite pour les adresses courriels de bureaux, mais aujourd'hui les gens d'affaires font plus confiance aux courriels qu'il y a cinq ans. Je crois que le libellé actuel s'applique également aux changements importants qui se sont produits. Si vous examinez le libellé de plus près, vous conviendrez peut-être qu'il s'applique à ces changements et qui pourrait également s'appliquer aux futurs changements technologiques et aux nouvelles façons de faire en affaires.

    Merci, monsieur le président.

    Merci.

    M. Wallace, suivi de Mme Lavallée.

    Merci, monsieur le président.

    Merci d'être venus ce matin.

    J'ai quatre questions et je ne crois pas que ça va être long.

    J'ai mentionné à d'autres groupes le fait que le Québec et la Colombie-Britannique ont tous deux leur propre Loi sur la protection des renseignements personnels. Puisque vous êtes une organisation nationale, comment composez-vous avec cette situation? Quelle loi a préséance? En Colombie-Britannique, la loi provinciale a-t-elle préséance sur la loi fédérale? Comment composez-vous de façon générale avec cette situation?

    La LPRPDE s'applique aux entités et activités fédérales à l'échelle du pays. S'il s'agit d'une banque, d'une compagnie de télécommunications ou d'une compagnie de transport, la loi fédérale s'applique là où se trouve l'entreprise, et non la loi provinciale. En Colombie-Britannique, en Alberta et au Québec, les lois provinciales s'appliquent aux institutions régies par des chartes provinciales, et non la loi fédérale. Si une province n'a pas de loi provinciale, c'est la loi fédérale qui s'applique aux transactions commerciales des organisations. Aucune loi ne régit les organismes à but non lucratif et d'autres organisations.

    Merci.

    Charlene, voulez-vous ajouter quelque chose?

    Merci de porter à notre attention une autre de nos idées dont nous n'avons pas encore eu l'occasion de parler ce matin.

    Dans notre mémoire, nous mentionnons le fait que la loi pourrait être rendue plus précise, car d'après le libellé du décret, on parle d'activités plutôt que d'organisations. Par conséquent, une organisation en Colombie-Britannique qui a des activités dans cette province, telle une caisse populaire de la Colombie-Britannique, tombe sous la loi provinciale et non la loi fédérale.

    Par contre, d'après la loi provinciale de la Colombie-Britannique, une organisation régie par la loi fédérale est exempte de la loi provinciale, et donc les deux lois ne peuvent s'appliquer dans les mêmes circonstances. Mais à cause de la façon dont le décret est libellé, il n'est pas indiqué clairement que les deux lois ne s'appliquent pas en même temps dans des circonstances différentes.

    Merci. Je suis d'avis qu'il faut en ce monde simplifier les choses et éviter les doubles emplois.

    Vous travaillez beaucoup avec les renseignements commerciaux, probablement surtout dans vos transactions avec les banques, mais sûrement aussi avec les caisses populaires. Ces renseignements sont davantage pertinents dans le cas de la vente de sociétés, puisque l'acheteur doit savoir si l'achat en vaut le coût. Pouvez-vous m'expliquer brièvement à moi, qui suis un non-initié, comment cette transaction se fait? En quoi la LPRPDE aide-t-elle ou nuit-elle à la transaction, et comment peut-on simplifier ce processus?

    Je vais tenter de répondre à votre question. Je suis avocat et j'ai participé à ce genre de transactions dans le passé.

    Prenons le cas d'une société que l'on veut tout simplement vendre. La société B veut acheter la société A. La société B veut en savoir davantage sur les actifs qu'elle pense acheter. Ces actifs peuvent inclure les employés de la société A. Le problème actuellement en vertu de la LPRPDE, c'est que les renseignements concernant les employés, tels leurs nom et adresse, pourraient être interprétés comme étant des renseignements personnels. Par conséquent, il serait difficile de donner cette information, qui est pertinente, à un acheteur potentiel sans que les employés soient au courant et donnent leur consentement.

    Pour l'acheteur, cette information représente un actif, mais il est difficile d'appliquer la diligence raisonnable sans elle. À cause des limites imposées en vertu de la LPRPDE, le vendeur ne peut pas transmettre les renseignements sur ses employés.

    Pouvez-vous nous recommander un libellé précis pour simplifier une telle transaction?

    Je crois que cela a déjà été fait en Alberta et en Colombie-Britannique.

    En fait, actuellement, nous... Bien entendu, la LPRPDE s'applique, nous nous en remettons aux dispositions de consentement implicite qui existent dans la Loi. Ce que nous prônons, pour des fins de clarté et de précision... Est-ce en Alberta ou en Colombie-Britannique que ça se fait ainsi?

    En Alberta.

    Nous trouvons l'article 22 de la disposition albertaine très précis. Ça se fait déjà. Nous pouvons l'intégrer dans la LPRPDE, mais nous croyons qu'à des fins de clarté et de précision, l'article 22 de l'Alberta serait utile.

    Et de votre côté, êtes-vous d'accord?

    Oui. Je peux vous renvoyer à l'article 20 de la loi britanno-colombienne.

    D'accord. Merci beaucoup.

    Ma troisième question sera brève. La commissaire à la protection de la vie privée... Comme je l'ai dit plus tôt, j'ai reçu une lettre m'indiquant que certains de mes renseignements personnels dans un fonds mutuel avaient disparu. Dans le journal c'était comme si sans les efforts de la commissaire à la vie privée qui les a poussés à émettre un avis et à le diffuser au public, cela ne se serait jamais produit. Êtes-vous d'accord?

    Revenons à ce que je disais tantôt. S'il y a atteinte — ou plutôt disons s'il y a un incident parce qu'on ne sait pas encore s'il y a eu atteinte —, on ne sait pas ce qui se passe au juste. Et lorsqu'on avise la police et la commissaire à la protection de la vie privée, il faut faire pas mal de travail pour vraiment aller au fond des choses avant de savoir ce qu'il faut faire. Ça exige beaucoup de communications. On compte sur la commissaire à la protection de la vie privée. Nous avons beaucoup d'estime pour sa fonction et pour la commissaire elle-même. Nous recevons non seulement ses suggestions, ses conseils mais nous suivons également ses directives.

    Dans le cas particulier dont vous parlez, il y a une enquête en cours et il est donc difficile de savoir vraiment ce qu'il en est. Mais je peux vous dire que d'habitude il faut procéder de cette façon puisque les circonstances de chaque cas sont uniques. Il y a différentes façons d'informer. On peut aviser les gens directement... On peut émettre un communiqué de presse, faire de la publicité dans les journaux. Comment procéder? Il n'y a pas de solution unique. Il y a une enquête en cours dans ce cas-là, mais je peux vous assurer qu'un des avantages du système actuel — et le système fonctionne d'après nous — c'est que ça donne une certaine marge de manoeuvre pour déterminer la solution appropriée, de concert avec la commissaire. On étudie la situation au cas par cas et on décide.

    Il se peut que la commissaire suggère une sorte d'avis tandis que la banque en préfère une autre. Parfois il y a des divergences d'opinions.

    Monsieur Wallace, votre temps est écoulé. Pouvez-vous poser votre quatrième question, simplement la poser?

    Voici ma question. Vous avez mentionné que s'il y a des activités inhabituelles décelées dans un compte, particulièrement celui d'une personne âgée, la question est simple. Est-ce inscrit dans la Loi sur les banques qu'il faut aviser ou avez-vous tout simplement adopté cette approche par souci de bien servir la clientèle?

    En fait, il y a eu une décision de common law qui prévoyait...

    L'affaire Tournier.

    Oui, l'affaire Tournier, qui a stipulé qu'on pouvait prendre ces mesures. La LPRPDE qui impose des règles plus strictes a imposé certaines balises. Donc, nous croyons qu'il devrait y avoir un amendement en lien avec cette norme de la common law.

    La confidentialité a toujours fait part des opérations bancaires, et cela est reconnu dans la common law. La décision Tournier a été rendue au début du XX^e siècle et elle dit que oui, la confidentialité caractérise les opérations bancaires. Dans certaines circonstances très précises en common law, une banque peut communiquer des renseignements sans le consentement du client, l'une d'entre elles étant quand c'est dans l'intérêt public.

    Merci.

    Mme Lavallée, suivie de M. Stanton.

    Merci beaucoup, monsieur le président.

    Ces messieurs et dames ont fait une excellente présentation. Ils ont dit que les changements qu'ils proposaient étaient d'ordre technique et qu'ils étaient assez d'accord avec la loi telle quelle. Puis ils ont commenté les changements techniques qu'ils proposent. Leurs exposés ont été immensément intéressants et leurs documents sont excellents.

    Je voudrais passer mon tour parce qu'il faudrait garder un peu de temps pour parler de la Loi sur l'accès à l'information. Je sais que les députés conservateurs d'en face vont essayer d'utiliser tout le temps qu'il leur restera jusqu'à la fin, mais ce faisant, ils seront obligés de se forcer pour trouver des questions à poser et ils feront perdre du temps à tout le monde, à nous ainsi qu'à nos distingués invités.

    Merci, monsieur le président, je passe mon tour.

    Mme Lavallée ne lâche jamais, n'est-ce pas?

    D'accord, bravo.

    Monsieur Stanton, vous voulez patiner?

    Merci, monsieur le président.

    Très rapidement, monsieur le président, je n'ai que quelques questions.

    J'ai remarqué au cours des questions et réponses qu'on a déjà soulevé la question, mais ma question principale est la suivante: vos deux organismes ont maintenant eu l'expérience d'exercer leurs activités dans des provinces qui ont leurs propres lois concernant la protection des renseignements personnels, dans les trois provinces qui s'appliquent au moins à votre secteur et aussi au gouvernement fédéral. Je croirais bien que pour les fins de l'examen de la Loi on pourrait tirer des leçons des exemples provinciaux, des pour et des contre. On en a déjà noté deux: la question du courriel commercial étant un changement positif; la définition d'« enquête »; et ensuite le dernier que nous avons relevé pendant vos discussions avec M. Wallace, ce chevauchement entre les activités par rapport à l'organisation.

    Y a-t-il autre chose que nous devrions savoir? Y a-t-il d'autres leçons que nous devrions tirer de l'exemple provincial que nous devrions comprendre pour aller de l'avant, et que nous devrions prendre en considération pour la LPRPDE? Qu'est-ce qu'on pourrait envisager d'incorporer dans les amendements que nous allons étudier qui a eu beaucoup de succès?

    Il y a quelques petites suggestions que nous n'avons pas soulignées dans nos notes d'allocution. Il y a entre autres la correction d'avis, y compris les avis d'experts et de professionnels.

    Supposons que nous évaluons une demande hypothécaire. Il se peut qu'une personne vienne à la banque, demande l'accès à l'information et ne soit pas d'accord avec la valeur accordée à sa maison. C'est l'opinion de notre évaluateur professionnel et la personne ne devrait pas pouvoir la changer en vertu de la LPRPDE, et la loi provinciale traite de ce cas.

    En ce qui concerne la collecte des renseignements dans l'intérêt d'une personne, l'exemple que nous utilisons dans notre mémoire c'est que je veux faire parvenir des fleurs à ma mère. Or le fleuriste doit recueillir le nom et l'adresse de maman afin que moi je puisse lui faire parvenir les fleurs. Strictement parlant, c'est une violation de la LPRPDE. Il y a plusieurs exemples de ce genre.

    Un autre se trouve dans le domaine de l'accès risquant d'empêcher la collecte. Dans le contexte d'un emploi ou d'une dénonciation, le fait de collecter ces renseignements et que quelqu'un y ait accès pourrait mettre un terme à une dénonciation. Il y a plusieurs exemples de ce genre également.

    Y a-t-il quelque chose de la part de la Centrale des caisses?

    Notre mémoire met en relief ces questions, parce que nous avons tenté de tenir compte des leçons tirées en le préparant. Je ferai simplement un commentaire sur les questions que vous avez déjà soulevées.

    La prévention de la fraude demeure toujours l'une des plus grandes préoccupations de l'industrie. Si on se penchait sur les leçons tirées, je dirais que le modèle britanno-colombien serait celui que nous vous conseillerions d'examiner.

    Nous sommes d'accord sur ce point. Je pense que c'est un exemple particulièrement important du côté provincial. Le modèle de la Colombie-Britannique serait très bon.

    Une autre contrainte a été mentionnée plus tôt, mais j'aimerais la souligner. En fait, notre organisme d'enquête ne peut pas parler à leur organisme d'enquête. C'est assez bête, parce que les criminels s'attaquent aux banques, aux caisses populaires et à toutes les autres institutions financières. C'est absolument aberrant de nous empêcher de partager l'information.

    Nous pourrions dire qu'un des objectifs de cet exercice serait d'arriver à une certaine harmonisation...

    Absolument.

    ... comme intention générale, ou comme objectif découlant de ce processus.

    Oui, nous visons l'harmonisation, mais il ne faut pas oublier que le système dans sa forme actuelle fonctionne en général très bien.

    Vous avez fait un commentaire portant sur l'exemption dans le cas de l'intérêt public. Pouvez-vous peut-être nous donner un exemple d'une telle exemption? Je comprends ce que vous dites ici. Vous l'avez bien exprimé. Mais donnez-nous un exemple logique pour montrer comment cette exemption fonctionnerait dans une banque.

    Par exemple, une personne âgée arrive à la banque et veut retirer 30 000 $. C'est quelque chose que cette personne ne fait normalement pas. Il y a peut-être une personne soignante avec la personne âgée. Dans beaucoup de cas, la personne soignante influence la personne âgée et s'en ira avec les 30 000 $.

    Donc cela serait des circonstances suspectes. Et c'est l'employé de banque qui réagirait à ce genre de chose.

    C'est exact. Une personne âgée entre dans la succursale. Les employés connaissent souvent la personne, et connaissent ses transactions ou opérations bancaires typiques. En cas d'opération inhabituelle, ils aimeraient pouvoir appeler un autre membre de la famille et demander s'il est bien normal par exemple que la personne fasse ce qu'elle fait.

    Mais voilà ce que je ne comprends pas. Que pouvons-nous changer pour permettre cette sorte d'intervention, l'intervention qu'à présent la LPRPDE vous empêche de faire? Ai-je bien compris?

    Oui. Certaines lois provinciales — je ne me souviens pas immédiatement si c'est celle de l'Alberta ou de la Colombie-Britannique — permettent la divulgation de renseignements portant sur l'intérêt public quand la loi le permet. Si la notion de « quand la loi le permet » était contenue dans notre common law, nous pourrions alors avoir la capacité de divulguer ces renseignements quand l'intérêt public l'exige.

    Vous n'avez pas besoin de répondre immédiatement, mais j'aimerais savoir quels seraient les facteurs qui permettraient de mettre en oeuvre cette exemption pour l'intérêt public. Ce serait utile pour nos délibérations, pour voir comment on peut définir ces facteurs, ou ces circonstances. Il faut bien sûr définir ou délimiter leur étendue.

    Je pensais à cela en arrivant ici. Vous devriez être rassurés du fait que ce test est utilisé pour beaucoup de lois. Par exemple, les commissions des valeurs mobilières peuvent se retrouver dans certaines situations et émettre une ordonnance si cela est dans l'intérêt public. Les critères ne sont pas définis, mais cela ne leur a pas causé de problème. Il y a aussi beaucoup de lois fédérales qui appliquent ce test de l'intérêt public sans le définir, et là aussi cela n'a pas causé de problème.

    Mais nous allons suivre votre conseil. Nous allons faire le suivi là-dessus avec le comité.

    Je vous en sais gré.

    Merci, monsieur le président.

    Merci, monsieur Stanton.

    M. Peterson, suivi de M. Tilson.

    Hier, à la Chambre des communes, on a proposé que les frais pour utilisation de guichets automatiques bancaires soient abolis. Puis-je supposer que la Centrale des caisses de crédit et l'ABC seraient prêtes à appuyer une telle modification?

    Non.

    Il y aura d'autres occasions de discuter de cela. Pour ce qui est de cette question-ci, les Canadiens ont accès à leur propre argent et leur propre... Si votre argent est à la Banque Scotia, vous pouvez utiliser les machines de la Banque Scotia sans payer ces frais supplémentaires.

    Dans notre système, c'est l'utilisateur qui paie. Le système est transparent. Si vous voulez utiliser une autre banque, vous aurez accès à votre argent, mais vous n'êtes pas un client de cette banque-là. Ce n'est pas cette banque-là qui détient votre argent. On vous donne donc un choix. Si je ne m'abuse, les statistiques montrent que la plupart des gens sont très avisés en affaires. Vous allez voir que les chiffres vont monter quand les gens décident d'utiliser les machines de leur propre banque parce que c'est plus logique. C'est ça le processus.

    Comme vous le savez, monsieur Peterson, nous pourrions continuer assez longtemps. Donc voilà.

    Nous allons entériner cela dans la LPRPDE.

    Très bien.

    Jim, avez-vous d'autres questions?

    Non.

    Monsieur Tilson.

    Merci, monsieur le président.

    J'aimerais revenir à la question des avis.

    Je trouve vos remarques sur le partage d'information assez intéressantes. Vous dites que les banques, les caisses de crédit et, je suppose, la police devraient avoir la permission de partager l'information. Et vous dites que cela peut se faire sans consentement. Vous dites tous...

    Oui, ce sont toutes des situations où le consentement du client n'est pas nécessaire.

    ...sans le consentement des personnes en question. Et les personnes en question ne seront pas informées du fait que cette information a été échangée. C'est bien ça?

    Pendant une enquête...

    Je reviens à mon débat avec vous — enfin, je suppose que c'est un débat. Franchement, si quelqu'un a toute une masse de renseignements ou d'informations qui disparaît, et nous ne savons pas où les retrouver — les deux organismes disent que s'il n'y a aucun signe de fraude ou aucune possibilité raisonnable de fraude, les personnes en question n'ont pas besoin d'être avisées. Néanmoins, d'après vous, la police, les autres banques et les autres caisses populaires peuvent être avisées.

    Je crois que la différence c'est ceci — et je dirais que nous sommes en train de discuter et non pas de débattre — 

    Ah, effectivement.

    Oui, voilà.

    Je décrirais la situation de la façon suivante — et je ne vais pas m'éterniser là-dessus. Nous vous avons suggéré quelques critères pour la communication d'avis supplémentaires, mais nous ne préconisons pas de règle absolue, parce qu'il faut examiner chaque cas. Est-il question d'une fraude grave ou d'un léger manquement?

    Nous disons tout simplement que cela ne peut pas être coulé dans le béton. Il faut examiner les faits. Et c'est dans ce contexte que le dialogue avec la commission est important.

    La différence ici par rapport à ce que Warren disait c'est que si la personne X est celle qui a mal agi et que nous effectuons une enquête à son sujet, et nous avons besoin de faire des recherches afin de découvrir quelque chose à propos de cette personne X parce qu'elle a violé une entente ou elle émet des chèques sans provisions ou elle fait du blanchiment d'argent, nous ne voulons pas le signaler. Mais s'il y a eu violation de vos renseignements personnels, nous allons vous le dire. C'est ça la différence.

    Oui, il y a deux situations tout à fait différentes.

    Et ce que nous voulons également, c'est que la loi définisse ce qu'est une « enquête », et que ce soit défini d'une façon très étroite.

    Ce que nous suggérons, c'est de permettre des enquêtes liées à un bris d'engagement, à une infraction à la loi, à la prévention de la fraude, ou à une circonstance ou un comportement qui pourrait avoir comme résultat un remède ou un allègement en vertu d'une disposition législative, en common law ou en équité. C'est tiré de la loi britanno-colombienne. Donc c'est très précis en ce qui concerne les raisons pour lesquelles nous voulons avoir la capacité de partager plus généralement les renseignements.

    La commissaire à la protection de la vie privée va encore plus loin en disant qu'on devrait pouvoir partager ces renseignements avec les agences d'évaluation du crédit. Pensez-vous que c'est une bonne chose?

    Est-ce qu'on portera atteinte à ma cote de solvabilité si quelqu'un...

    Normalement, ce que nous suggérons, c'est que nous allions voir le client et que nous lui donnions les renseignements afin qu'il puisse aller à l'agence d'évaluation du crédit; à ce moment-là, le client contrôle ses propres renseignements.

    Oui, la commissaire à la protection de la vie privée... Le Centre de recherche parlementaire, qui est toujours excellent, nous a donné quelque chose ici. Ils ont noté que la commissaire à la vie privée a indiqué qu'en plus de l'obligation de notifier les personnes concernées, ou à titre d'option de rechange, une disposition pourrait être ajoutée à la LPRPDE pour permettre à une organisation où il y a eu une atteinte à la sécurité d'avertir l'agence d'évaluation du crédit du problème sans le consentement des personnes concernées. C'est ce qu'elle recommande.

    La justification c'est que l'agence pourrait ainsi agir de façon plus proactive pour protéger les consommateurs contre le vol d'identité et la fraude. Ayant entendu cela, avez-vous des observations?

    S'il y a une grave violation et que beaucoup de consommateurs sont touchés, la banque peut communiquer avec l'agence d'évaluation du crédit pour l'avertir qu'il y a eu violation et qu'elle recevra des appels de ses clients, mais les banques préfèrent traiter directement avec les consommateurs et leur laisser le soin d'avertir le bureau d'évaluation du crédit.

    Je voudrais parler maintenant des clauses de consentement général. Encore une fois, la question de la possibilité que ces clauses de consentement général soient peut-être trop vastes a été soulevée par les analystes. Qu'en pensez-vous?

    Nous prenons très au sérieux la question des consentements et nous sommes très prudents dans ce domaine. Nous estimons — et cela a été confirmé — que les formulaires de consentement utilisés par les banques sont conformes à la LPRPDE.

    Je crois que la règle suivante devrait s'appliquer. Le client devrait être clairement informé des utilisations qui seront faites de son consentement. Par exemple, si on lui dit au moment d'ouvrir un nouveau compte qu'on communiquera des renseignements à son sujet à notre société de fiducie et à notre filiale de placement, il ne devrait pas être étonné si la filiale de placement communique avec lui.

    Il faut viser le juste milieu: le formulaire ne doit pas être si dépouillé que personne n'en comprenne vraiment les implications, mais il ne doit pas non plus être si long et détaillé que les clients ne les liront pas ou qu'ils en seront irrités. Il faut trouver le juste milieu et je crois que nous l'avons fait. Je ne crois pas que les formulaires de consentement utilisés dans notre secteur soient trop généraux; au contraire, ils sont très précis, mais nous avons essayé d'opter pour le juste milieu de manière à ce que personne n'ait de surprise.

    Ma collègue de la Centrale des caisses de crédit du Canada voudra peut-être ajouter quelque chose.

    Nous sommes d'accord avec eux pour dire qu'il faut trouver le juste milieu, parce qu'il est vrai que les consommateurs ne tiennent pas à ce qu'on leur demande de signer un autre document, ou même une transaction quelconque. Ils veulent faire les choses très vite, et s'ils doivent signer un autre consentement distinct pour obtenir un nouveau prêt sur hypothèque, ils trouveront qu'il s'agit là d'une formalité administrative de plus plutôt qu'une exigence utile si on ne leur permet pas de donner un consentement continu pour toutes les avances sur une hypothèque au moment de la signature de cette hypothèque.

    À mon avis, il faudrait appliquer les critères suivants: s'agit-il d'un consentement éclairé du point de vue d'une politique publique? Pourvu que la personne sache à quoi elle donne son consentement, ce n'est pas la forme que prend ce consentement mais bien sa teneur qui importe. Si elle a donné son consentement éclairé et que le formulaire général de consentement donne les renseignements nécessaires, le consommateur y trouve quand même son compte.

    Merci, monsieur Tilson.

    Il reste deux noms sur ma liste, le mien et celui de M. Van Kesteren. Si quelqu'un d'autre veut intervenir, veuillez lever la main.

    Je vais adresser ma question aux représentants des caisses de crédit. Elle porte sur la communication d'un avis au client lorsqu'il y a eu divulgation de renseignements confidentiels. Apparemment, les commissaires à la protection de la vie privée de l'Ontario et de la Colombie-Britannique ont mis au point un outil d'évaluation des avis donnés au client lorsque des renseignements confidentiels ont été divulgués, à l'intention des organismes publics et des entreprises privées lorsque de tels incidents se produisent. Dans ce guide, on privilégie la communication directe d'un avis aux clients si leur identité est connue et si on dispose de renseignements récents pour pouvoir les joindre.

    Êtes-vous au courant de cet outil d'évaluation? Si oui, y êtes-vous favorables et le recommanderiez-vous pour l'application de la LPRPDE?

    Je ne peux pas répondre de façon précise à cette question parce que je ne me suis pas renseignée à ce sujet. Veuillez m'en excuser.

    Très bien.

    À vous, monsieur Rogers.

    Moi non plus, je n'ai pas de renseignement à ce sujet.

    Nous sommes au courant de l'existence de cet instrument. En fait, il s'agit de lignes de conduite, et comme nous l'avons signalé, c'est une approche qui nous semble très utile, car elle comporte une certaine souplesse et correspond à l'approche non obligatoire que nous privilégions. Nous souhaitons tous être conseillés sur la meilleure manière de procéder, et si la commissaire peut formuler des suggestions et des lignes de conduite, elles nous seraient sans doute très utiles. En un mot, nous trouvons que c'est une bonne approche et, très franchement, elle serait préférable à l'inclusion de ces exigences formelles dans la loi.

    Merci.

    Monsieur Van Kesteren.

    Merci, je ne parlerai pas très longtemps.

    Il est évident que c'est dans la nouvelle ère de technologie et d'information que la LPRPDE a vu le jour. Ce qui ressort de vos propos, sans vouloir vous flatter, c'est que les banques agissent pour défendre leurs propres intérêts. Je pense aux secteurs qui se réglementent eux-mêmes, comme le secteur des assurances.

    Avant de me lancer en politique je vendais des voitures. L'OMVIC, le Conseil de l'industrie automobile de l'Ontario, a été créé après que le Bureau de la consommation a cessé d'être responsable de la réglementation du secteur automobile. Très franchement, le nouveau conseil est beaucoup plus strict que l'était le Bureau de la consommation.

    Je suis en train de me positionner pour le coup d'envoi.

    Des voix: Oh, oh!

     M. Van Kesteren: Si on leur en donnait l'occasion, les banques seraient-elles en mesure de nous présenter un libellé qui répondrait mieux aux besoins du secteur bancaire? Je pense aux règles de la loi actuelle qui vous posent des problèmes à vous et aux consommateurs. Évidemment, il faudrait que vos propositions cadrent avec le texte.

    J'aimerais répondre en disant deux choses, puis mes collègues pourront intervenir eux aussi s'ils le désirent.

    Ce que vous avez dit en premier lieu est tout à fait exact. C'est dans notre intérêt de faire le meilleur travail possible. Si les gens ne pensaient pas qu'on protégeait au maximum leurs informations personnelles, le système bancaire ne pourrait tout simplement pas fonctionner. Évidemment, il y a la question de notre réputation. Il est dans notre intérêt d'entretenir de bonnes relations avec la commissaire parce que nous voulons éviter à tout prix que notre réputation souffre. Il faut savoir que quand le marché fonctionne bien, il y a un nombre important d'intervenants et il faut protéger sa réputation. Pour nous, il est important que le tout continue à fonctionner. Voilà pour ce qui est de la première réponse.

    Dans son ensemble, la loi fonctionne assez bien, à une exception près. Nos collègues de la Centrale des caisses de crédit seront sans doute d'accord pour dire que c'est du côté des enquêtes que les choses ne fonctionnent pas bien et que la protection des consommateurs est compromise.

    Le but des enquêtes c'est d'arrêter les méchants pour que les consommateurs soient protégés. À l'heure actuelle, ça fonctionne assez bien mais les enquêtes pourraient être mieux menées... au niveau des questions de divulgation. Nous avons d'ailleurs proposé qu'on adopte le modèle de la Colombie-Britannique. Voilà ce sur quoi je mettrais l'accent, monsieur.

    Permettez-moi d'insister sur cette question des enquêtes. En 2001, dans le cadre de la loi, on a amélioré les choses en créant le concept d'un organisme d'enquête. Mais à mon avis, le tout était un peu artificiel et en adoptant l'approche de la Colombie-Britannique on pourrait davantage simplifier tout le processus d'enquête et de prévention de la fraude. Ainsi, on serait mieux en mesure de mener la lutte contre les méchants.

    Avez-vous quelque chose à dire?

    Comme l'ont dit les banquiers, les représentants des caisses de crédit se sont toujours intéressés à la protection des renseignements personnels car, comme vous l'avez mentionné, c'est dans notre intérêt.

    La loi n'a pas vraiment causé de choc au sein du système parce que les banquiers ont toujours été assujettis au secret professionnel, ce qui est également vrai dans le système des caisses de crédit. Par conséquent, je ne pense pas qu'il faille remanier le texte législatif. Étant donné que la mise en oeuvre dure déjà depuis deux ans et que certaines des difficultés ont pu être résolues par une meilleure compréhension de la loi, je ne suis pas convaincue qu'un remaniement radical du texte soit à prescrire.

    Merci.

    Monsieur le président, j'aimerais poser une question de nature statistique.

    Allez-y.

    Ce sera très rapide. Quel pourcentage de vos 11 millions de transactions quotidiennes se font sur Internet à l'heure actuelle? Le savez-vous? Avez-vous une idée?

    Votre question est tout à fait pertinente. Plus tôt, nous vous avons dit que nous vous transmettrions les informations que vous nous avez demandées. Nous y ajouterons des renseignements sur les transactions électroniques. Je ne peux pas vous donner de chiffres précis, mais je pourrais vous montrer un graphique sur lequel vous pourrez voir que les transactions sur papier augmentent comme ceci pour ensuite plafonner.

    Par contre, les transactions électroniques montent en flèche, et ce depuis la fin des années 1990. Le phénomène n'a cessé de prendre de l'expansion, et je parle de l'ensemble des transactions électroniques, y compris celles qui se font par téléphone.

    Nous vous enverrons ces précisions.

    Merci, c'est gentil.

    Merci beaucoup, monsieur le président.

    Mesdames et messieurs, merci beaucoup de vos exposés et de vos réponses. Nous avons écouté avec intérêt vos interventions. Nous ferons tout notre possible pour améliorer la loi. Encore une fois, merci.

    Chers collègues, trois nouveaux députés se sont joints à nous. Pour ne pas perdre de temps, permettez-moi de résumer ce dont a parlé Mme Lavallée ce matin.

    Dans notre premier rapport, que nous avons déposé à la Chambre, nous avons exhorté le ministre de la Justice à présenter une nouvelle Loi sur l'accès à l'information, ou une ébauche, si vous préférez, et à la renvoyer à notre comité. Nous avons donné au ministre jusqu'au 15 décembre pour le faire mais notre demande n'a pas abouti. De plus, le ministre de la Justice ne nous a pas envoyé de lettre expliquant son inaction.

    Entre-temps, pendant la relâche, un nouveau ministre de la Justice a été nommé. Dans sa motion, Mme Lavallée demandait aux membres du comité de faire part de leurs intentions au président pour que ce dernier puisse écrire une lettre à l'intention du nouveau ministre pour savoir quelle est sa position par rapport à notre premier rapport.

    Nous avons parlé tant et tant de cette question et voilà qu'elle revient sur le tapis. Je crois que Mme Lavallée veut que le comité demande à la présidence d'écrire au nouveau ministre de la Justice. En deux mots, voilà où nous en sommes. Maintenant, je vais permettre à Mme Lavallée de prendre la parole.

    C'était effectivement ce que je demandais l'automne dernier, alors que la situation était simple. Il aurait été très simple d'adopter une motion comme celle-là. Vous auriez écrit la lettre, et ainsi de suite.

    Cela étant dit, il y a un nouvel élément. Le nouvel élément, c'est qu'il y a un nouveau ministre de la Justice. D'abord et avant tout, peut-être devrions-nous songer sérieusement à lui demander de venir ici se présenter et nous dire tout simplement quelles sont ses intentions par rapport à une nouvelle Loi sur l'accès à l'information.

    Si j'ai bien compris, vous ne voulez plus qu'on débatte de votre motion voulant que le président écrive au ministre et proposez maintenant que nous invitions le ministre à comparaître. Est-ce que j'ai bien compris?

    Je mettrais la lettre de côté parce qu'il y a un nouveau ministre. On ne peut donc pas le tenir responsable des demandes qu'on a faites à l'ancien ministre, et peut-être a-t-il des idées un peu différentes sur la Loi sur l'accès à l'information. Bien sûr, je veux toujours que le ministre de la Justice, le responsable du ministère de la Justice, vienne déposer ici un nouveau projet de loi sur l'accès à l'information, mais je consentirais à ce qu'on commence d'abord par rencontrer le ministre et voir ce qu'il en est. Je ne rejette pas l'idée d'une nouvelle Loi sur l'accès à l'information.

    Très bien. Merci.

    À titre d'information, les membres du comité se sont mis d'accord sur un plan de travail. Toutes les plages horaires ont été remplies jusqu'à la fin du mois de février, c'est-à-dire jusqu'au congé parlementaire. Nous pouvons décider d'inviter le ministre de la Justice sans que cela ne pose de problème. Il suffira d'organiser une séance extraordinaire et de choisir une plage horaire qui convienne à tous les membres. Mais je ne pense pas qu'on devrait changer notre programme aux termes du mandat qui nous a été donné relativement à l'étude de la LPRPDE.

    Nous allons donc devoir nous mettre d'accord sur deux choses. D'abord, voulons-nous inviter le ministre de la Justice à comparaître relativement à ses intentions par rapport à l'accès à l'information? Dans l'affirmative, je vous demanderais de me permettre d'organiser une séance extraordinaire, sachant que ce sont les députés qui en choisiront l'heure et l'emplacement?

    Monsieur Tilson.

    Monsieur le président, je ne conteste pas l'essentiel de ce que dit Mme Lavallée. Nous avons un nouveau ministre qui est en poste depuis moins d'un mois. Nous avons un nouveau commissaire à l'information — je ne sais plus à quelle date il est entré en fonctions. Juste avant le congé? Il est en fonctions depuis un peu plus d'un mois, peut-être. Ces deux personnes sont ou ne sont pas d'accord avec le projet de loi qui a été préparé par l'ancien commissaire Reid. Nous ne le savons pas. Nous avons plusieurs nouveaux intervenants et je ne peux pas croire qu'ils ne voudront pas discuter entre eux et avec le commissaire avant de comparaître ici. Avant de discuter entre eux, ils vont vouloir parler à d'autres personnes intéressées avant de comparaître ici — en d'autres mots, se renseigner sur la question. Ils vont vouloir parler à d'autres personnes, comme la commissaire à la protection de la vie privée.

    En outre, il y a la question du document de travail déposé par l'ancien ministre en avril dernier, je crois. Nous l'avons reçu; j'en ai lu des parties qui traitent de la question du coût et d'autres éléments de ce genre. Nous l'avons reçu, mais nous n'en avons jamais débattu, nous n'en avons même jamais parlé et nous n'avons jamais sollicité d'opinions sur ce document. Je n'ai pas d'objection — je ne sais pas ce que les autres en pensent — à ce qu'on invite le ministre, mais en raison de tout ce que je viens de dire, et en raison de notre plan de travail — qui a été adopté par tous les partis, d'ailleurs — je suggère que le président ou le greffier demande au ministre s'il serait disponible après le congé de mars.

    Merci, monsieur Tilson.

    Au sujet de l'étude de l'ébauche que vous avez mentionnée, le comité avait décidé de demander plutôt au ministre de nous fournir un projet de loi que nous pourrions examiner article par article. C'est ce que le comité avait décidé et c'est pourquoi nous ne l'avons pas examiné.

    Je comprends cela, et je ne voulais pas critiquer le comité. Simplement, il s'agit d'une question concernant la loi sur l'information. Je ne peux pas croire que le ministre ne viendrait pas nous demander ce que nous en pensons.

    Sur le premier point, y a-t-il consensus pour que nous invitions le ministre à venir discuter avec nous de ses opinions sur l'accès à l'information? C'est la première chose.

    La deuxième chose est le choix du moment. M. Tilson nous a fait une suggestion qu'il a motivée — c'est-à-dire de traiter de cette question après le congé de mars afin de donner le temps au ministre de se renseigner. Si nous retenons cette proposition, et comme le congé de mars dure deux semaines, nous inviterions le ministre pour la première ou la deuxième réunion après le congé, selon sa disponibilité. Voilà une suggestion. Y en a-t-il d'autres?

    Madame Lavallée.

    Si vous parlez de la première ou de la deuxième rencontre après le congé de mars, je suis d'accord avec vous. Comme on siège les mardis et les jeudis maintenant, cela correspondrait au 20 ou au 22 mars. Si on disait au plus tard le 22 mars, je pense que ce serait raisonnable.

    Très bien. Je vois qu'il y a consensus. J'écrirai au ministre, au nom du comité, pour l'inviter à comparaître le mardi ou le jeudi au plus tard, dans la semaine suivant le congé de mars. Sommes-nous tous d'accord? Excellent. Très bien. Ce sera donc au plus tard le 22 mars, qui tombe dans la première semaine de notre retour.

    Y a-t-il autre chose?

    D'accord.

    Cela doit être la principale préoccupation du nouveau ministre.

    S'il n'y a rien d'autre, je lève la séance.