ETHI Réunion de comité

    La séance est ouverte.

    Bonjour à tous.

    Il s'agit de la séance numéro 27, et, conformément à l'ordre de renvoi du mardi 25 avril 2006 et à l'article 29 de la LPRPDÉ, nous effectuons un examen prévu par la loi d'un article de la loi en particulier.

    Nous recevons aujourd'hui des témoins de l'Association canadienne des compagnies d'assurances de personnes Inc. et de la chambre de commerce du Canada. Bienvenue.

    J'imagine que vous connaissez la procédure. Chacun des groupes aura l'occasion de présenter un exposé, l'un après l'autre, puis les membres du comité poseront des questions. Je demanderais à la personne qui fera l'exposé de présenter les personnes qui l'accompagnent.

    Nous allons commencer par l'Association canadienne des compagnies d'assurances de personnes. Est-ce que c'est M. Millette?

    Non. Nous avons fait un changement. Ce sera M. Zinatelli.

    M. Zinatelli, d'accord. Nous allons donc céder la parole à M. Zinatelli. Veuillez nous présenter vos collègues de façon que leurs noms figurent tous au compte rendu.

    Merci, monsieur le président et mesdames et messieurs les membres du comité.

    Je souhaite remercier chaudement le comité de l'occasion qu'il nous offre de contribuer à son examen de la Loi sur la protection des renseignements personnels et les documents électroniques.

    Comme on l'a déjà mentionné, je m'appelle Frank Zinatelli, et je suis vice-président et codirecteur du contentieux à l'Association canadienne des compagnies d'assurances de personnes Inc., l'ACCAP.

    J'aimerais commencer en disant quelques mots au sujet des collègues qui m'accompagnent aujourd'hui.

    Dale Philp est vice-présidente adjointe et avocate principale à la Financière Sun Life, où elle s'occupe principalement des produits et des questions d'assurance pour les groupes de distribution. Elle connaît bien les enjeux relatifs à la protection des renseignements personnels au sein de l'industrie de l'assurance de personnes, puisqu'elle s'occupe de ces questions au sein de son entreprise et à titre de présidente du comité de la protection des renseignements personnels de l'ACCAP, qui discute des enjeux d'intérêt commun au sein de l'industrie quant à la protection des renseignements personnels.

    Yves Millette est vice-président en chef des Affaires du Québec. Il a une profonde expérience des questions propres au Québec qui touchent notre industrie, ce qui fait qu'il connaît bien la législation québécoise en matière de protection des renseignements personnels. Bien entendu, comme vous le savez, le Québec a été la première province canadienne à adopter une loi sur la protection des renseignements personnels s'appliquant au secteur privé.

    Nous sommes heureux de l'occasion que le comité nous offre de faire une contribution constructive à ces travaux, au moment où il travaille au rapport qu'il doit déposer devant le Parlement sur ce sujet délicat, complexe et d'une importance capitale.

    Si vous le permettez, monsieur le président, nous aimerions formuler quelques commentaires en guise d'introduction. Mme Philp, M. Millette et moi allons présenter au comité les points de vue de l'industrie en ce qui concerne l'examen de la LPRPDÉ.

    Pour vous situer, je dirais que l'ACCAP représente des sociétés d'assurances de personnes comptant pour 99 p. 100 du marché de l'assurance de personnes au Canada. L'industrie protège environ 24 millions de Canadiens, ainsi que quelque 20 millions de personnes à l'échelle internationale.

    Cela fait plus de 100 ans que les assureurs de personnes, du Canada traitent des renseignements personnels sur les Canadiens. La nature même des produits d'assurance exige la confidentialité d'une importante part des renseignements qu'échangent les sociétés et leurs clients, et l'industrie reconnaît depuis longtemps l'absolue nécessité de protéger la confidentialité des renseignements pour maintenir l'accès à ceux-ci.

    En effet, notre industrie n'aurait pu survivre sans la confiance des Canadiens. Ainsi, monsieur le président, les assureurs de personnes ont joué un rôle de chef de file dans l'élaboration de normes et de pratiques pour la gestion appropriée des renseignements personnels.

    En 1980, nous avons adopté des lignes directrices sur le droit à la vie privée, qui, pour autant que je sache, constituent le premier code de protection des renseignements personnels qu'un groupe sectoriel ait adopté au Canada. Ces lignes directrices ont bien servi l'industrie et ses clients pendant 23 ans, jusqu'à ce qu'elles soient supplantées par les lois sur la protection des renseignements personnels dans l'ensemble du Canada en 2004.

    En 1991, l'industrie a inclus dans son code de déontologie du service à la clientèle une disposition obligeant les membres de l'Association à respecter le droit à la vie privée des clients en utilisant les renseignements personnels obtenus sur ces derniers uniquement aux fins permises, et en ne les divulguant qu'à des personnes autorisées.

    Le respect de ce principe est, soit dit en passant, l'une des conditions d'affiliation à l'ACCAP.

    Je veux aussi dire aux membres du comité que l'industrie de l'assurance de personnes a participé activement à l'élaboration des règles concernant la protection des renseignements personnels dans l'ensemble du Canada, par exemple, à l'élaboration de la Loi sur la protection des renseignements dans le secteur privé au Québec, en 1994.

    Le code type de l'ACNOR est devenu l'annexe 1 de la LPRPDÉ. L'élaboration de la LPRPDÉ elle-même... Nous avons aussi travaillé aux lois sur la protection des renseignements personnels de l'Alberta et de la Colombie-Britannique, ainsi, bien sûr, qu'à la législation sur les renseignements concernant la santé de l'Alberta, de la Saskatchewan, du Manitoba et de l'Ontario.

    Je vais céder la parole à ma collègue, Dale Philp, pour la suite de nos commentaires.

    Merci, Frank.

    Merci, monsieur le président et mesdames et messieurs les membres du comité. Au cours des quelques minutes qui suivent, j'aimerais vous présenter brièvement le contexte des diverses questions que nous abordons dans la partie IV du mémoire de l'ACCAP.

    Les assureurs de personnes font des affaires à l'échelle du pays et traitent avec de très nombreux Canadiens, comme Frank l'a mentionné. En outre, ils font aussi des affaires à l'échelle internationale, dans les pays comme les États-Unis, la Chine, l'Inde et le Royaume-Uni. Les activités des assureurs de personnes touchent un éventail de situations personnelles, notamment la planification financière en cas de décès éventuel, le traitement d'une demande de prestations d'invalidité, le remboursement des coûts des médicaments d'ordonnance et d'autres dépenses liées à la santé, ainsi que l'administration des régimes d'épargne et des régimes de pensions des employeurs.

    Ces affaires liées à l'assurance, aux pensions et aux avantages sociaux collectifs supposent des milliers de transactions par jour. Ces transactions sont de nature variable, comme les besoins de renseignements personnels des assureurs. Nous pensons qu'une brève description des parties et des personnes qui participent à notre industrie peut servir à mettre en contexte les questions dont nous nous occupons.

    Dans le domaine de l'assurance de groupe, l'assureur peut assurer un régime d'avantages sociaux ou seulement administrer le régime collectif d'avantages sociaux ou de pensions de l'employeur. Dans ce dernier cas, l'employeur assure lui-même son régime.

    En outre, dans ce domaine, les intervenants sont l'employeur, l'employé, les personnes à charge de l'employé, soit son époux ou son épouse et ses enfants, et, bien sûr, l'assureur. Il se peut aussi qu'on fasse intervenir un administrateur tiers, que l'employeur choisit pour administrer le paiement des primes, etc., et , ce qui est probable, un consultant ou un conseiller qui aide l'employeur à choisir les éléments de son régime d'avantages sociaux.

    Dans le monde de l'assurance individuelle, les intervenants sont le titulaire de la police, peut-être un assuré, différent du souscripteur, un conseiller et l'assureur. Tous les types d'assurance-vie -- individuelle, de groupe ou de pensions -- ont aussi des bénéficiaires. Vous pouvez donc imaginer les différents types de renseignements qu'il faut recueillir auprès de chacun de ces intervenants dans le monde de l'assurance.

    En ce qui concerne le genre de renseignements que nous recueillons et que nous utilisons dans le cadre des polices d'assurance-vie individuelle, il arrive que nous recueillions des renseignements d'ordre médical et financier sur les personnes qui présentent des demandes d'assurance. Nous utilisons ensuite ces renseignements pour évaluer l'admissibilité du demandeur à la protection. Par la suite, le dossier peut être relativement inactif pendant plusieurs dizaines d'années, jusqu'à ce qu'un décès se produise et qu'une réclamation soit présentée. Dans le cadre de la plupart des régimes collectifs d'avantages sociaux, qu'ils soient assurés ou seulement administrés par l'assureur, ce dernier doit recueillir une petite quantité de renseignements personnels au départ, comme le nom, la date de naissance, le nom des bénéficiaires désignés et le nom des personnes à charge. Nous recueillons ensuite des renseignements supplémentaires lorsqu'une personne présente une demande d'indemnités concernant le coût de médicaments d'ordonnance ou losqu'une invalidité survient, par exemple. À ce moment-là, il faut recueillir suffisamment de renseignements pour traiter la réclamation.

    Contrairement aux banques, les organisations nationales ou internationales régies par les provinces doivent composer avec une gamme de lois sur la protection des renseignements personnels dans l'ensemble du Canada. Une opération nécessitant la communication de renseignements entre une personne ou une entité visée par une loi donnée -- par exemple, un médecin assujetti à la loi albertaine sur la protection des renseignements médicaux personnels et une personne ou une entité assujettie à une autre loi, comme un assureur visé par la loi sur la protection des renseignements personnels dans le secteur privé du Québec ou la LPRPDÉ, devra satisfaire aux exigences des deux lois en cause, à savoir obtenir le consentement de l'intéressé, dans un cas, pour communiquer les renseignements et, dans l'autre, pour les recueillir. Une employée vivant en Colombie-Britannique peut s'attendre à ce que ce soit la législation de sa province qui s'applique, mais, si son employeur est à Ottawa, et que l'assureur traite les demandes d'indemnité à Toronto, c'est la LPRPDÉ qui s'applique.

    Dans un tel environnement, le manque de clarté, les lacunes, les chevauchements et les incohérences entre les différentes lois peuvent entraîner de la confusion ainsi qu'une complexité administrative superflue pour les assureurs de personnes, et de la confusion pour leurs clients. Nous croyons que la coordination ou l'harmonisation des dispositions de la LPRPDÉ avec les lois sur la protection des renseignements personnels des provinces contribuerait à éviter cette confusion tant pour les consommateurs que pour les organisations et pour les législateurs. Afin d'atteindre un équilibre entre la nécessité de protéger les renseignements et la nécessité de faire en sorte que les activités commerciales comme la prestation de produits d'assurance de personnes aux Canadiens soient efficientes, l'harmonisation doit absolument être prioritaire.

    L'expérience de l'industrie de l'assurance de personnes, qui est assujettie à la LPRPDÉ depuis trois ans, amène celle-ci à conclure que les règles actuelles sont dans l'ensemble satisfaisantes, mais une grande partie des suggestions que formule l'industrie entrent dans la catégorie de l'harmonisation, en vue de rendre les dispositions de la LPRPDÉ « plus pratiques et plus prévisibles », pour reprendre l'expression utilisée par la Commissaire à la protection de la vie privée.

    L'une de ces suggestions a trait à la détection des fraudes et à la dissuasion. Les répercussions des actes frauduleux et trompeurs sur les services d'assurance et les autres services financiers peuvent être extrêmement coûteuses et dommageables. Il est essentiel de déployer des efforts en vue de les réduire au minimum. Ces actes peuvent être le fait d'un petit nombre de consommateurs, de fournisseurs de services ou d'autres parties extérieures à un contrat d'assurance.

    Les efforts que nous déployons pour réduire l'incidence de la fraude au sein de notre industrie ne sont pas contraires à notre volonté de protéger les renseignements personnels, mais il est nécessaire de corriger les dispositions actuelles pour faire en sorte qu'elles donnent de meilleurs résultats. De façon plus précise, la LPRPDÉ comporte une lacune qui restreint notre capacité de divulguer des renseignements sans le consentement de l'intéressé aux fins d'enquête lorsqu'il y a violation d'une entente ou d'une loi au Canada.

    L'industrie croit que la LPRPDÉ devrait être modifiée de façon à prévoir, pour remplacer ou pour compléter un système reposant sur des organismes d'enquête, l'approche prévue dans les LPRPDÉ de l'Alberta et de la Colombie-Britannique, approche qui permet la collecte, l'utilisation et la communication de renseignements personnels sans le consentement de l'intéressé à des fins d'enquête. Ainsi, la gamme des circonstances dans lesquelles des renseignements peuvent être recueillis, utilisés et communiqués dans le cadre d'une enquête peut être mieux définie et comprise par toutes les parties intéressées.

    Excusez-moi, madame Philp. Normalement, nous accordons environ 10 minutes par exposé; vous en êtes maintenant à 11 minutes. J'ai vu qu'il y avait encore beaucoup de points dans la partie 4 de votre mémoire. Je me demandais si vous pouviez nous parler de celui que vous voulez porter à notre attention, parmi ceux dont vous n'avez pas encore parlé, puis terminer vos commentaires. Nous pourrons sans aucun doute revenir à vous pendant la période de questions, et, comme vous êtes avocats, vous pourrez tourner les réponses comme bon vous semblera.

    Merci, monsieur le président. En fait, j'allais terminer et passer les rênes à quelqu'un d'autre, alors je m'excuse.

    Pas de quoi.

    Vous ai-je coupé l'herbe sous le pied, monsieur Millette? Vous n'avez pas beaucoup de temps.

    Non. Mon intervention sera très courte. Je ne vais aborder qu'un sujet, en rapport avec la situation au Québec.

    Merci beaucoup.

    Un autre sujet d'importance, pour l'industrie, se rapporte aux dispositions sur le droit d'accès des individus aux renseignements qui les concernent. Il est clair qu'ils doivent avoir le droit d'y accéder, de constater l'utilisation qui en est faite et, éventuellement, de les corriger s'ils s'avèrent inexacts.

    Toutefois, l'expérience nous révèle de plus en plus de cas où les droits d'accès sont utilisés à des fins auxquelles le législateur n'avait peut-être pas pensé lorsque la loi a été promulguée. Les sociétés reçoivent de plus en plus souvent des demandes d'accès identiques et détaillées, de toute évidence préparées par des avocats qui semblent  « aller à la pêche aux renseignements » pour obtenir des renseignements qui ne seraient autrement accessibles que par la voie du processus d'enquête préalable, comme il se doit.

    À l'heure actuelle, la Loi sur la protection des renseignements personnels dans le secteur privé, au Québec, renferme une disposition ayant trait à ce genre de situation. En effet, le deuxième paragraphe de l'article 39 de la loi québécoise stipule que:

    Selon cette disposition, il doit être clair que la procédure judiciaire serait entamée à la lumière des faits en cause. L'industrie recommande que le précédent du Québec soit utilisé pour amender la loi canadienne dans le même sens.

    Merci.

    Pouvez-vous répéter le numéro de l'article de la loi québécoise, s'il vous plaît?

    C'est l'article 39, le deuxième paragraphe.

    Merci beaucoup.

    Nous allons maintenant entendre la chambre de commerce du Canada. Monsieur Murphy, si vous voulez bien commencer. N'oubliez pas de nous présenter vos collègues.

    Merci.

    Merci, monsieur le président, mesdames et messieurs les membres du comité. Nous sommes très heureux d'être ici.

    Je m'appelle Michael Murphy, et je suis vice-président exécutif, Politiques, à la chambre de commerce du Canada. Chris Gray, qui est analyste des politiques chez nous, à la chambre, ainsi que David Elder, qui est vice-président, Loi de nature réglementaire, chez Bell Canada -- entreprise membre de la chambre, m'accompagnent. Il est aussi important de signaler que M. Elder est l'ombudsman chargé des questions relatives à la protection de la vie privée chez Bell.

    En tant que porte-parole des entreprises canadiennes, la Chambre de commerce du Canada s'exprime au nom d'un réseau de 350 chambres de commerce et autres associations de gens d'affaires comptant plus de 170 000 entreprises membres.

    Les représentants de la chambre sont heureux de participer à l'examen quinquennal de la loi prévu par la loi. Depuis l'adoption de la LPRPDÉ, nous avons travaillé en étroite collaboration avec nos membres, ainsi qu'avec les chambres de commerce locales pour nous assurer que les entreprises de toute taille comprennent bien leurs rôles et leurs responsabilités en vertu de la loi.

    La majorité de nos membres ne doivent se plier aux exigences de la loi que depuis 2004. Nous communiquons avec nos membres au sujet de leurs obligations par divers moyens, et nous sommes toujours à la recherche de façons de continuer à bien renseigner toutes les entreprises, et particulièrement les petites et moyennes entreprises.

    Pour aider nos membres à appliquer la LPRPDÉ, la chambre a élaboré un modèle de politiques concernant la protection des renseignements personnels, ainsi que des clauses contractuelles, et elle a informé nos membres quant à la manière d'effectuer une vérification du respect de la vie privée.

    Les observations que je vais formuler aujourd'hui sont fondées sur ce que nous avons présenté à la commissaire l'automne dernier, au moment des consultations au sujet de la loi. Nous avons rencontré les représentants de la Commissaire à la protection de la vie privée à plusieurs reprises depuis l'entrée en vigueur de la loi, et nous avons apporté aujourd'hui à votre intention quelques exemplaires de ce que nous avons présenté au moment des consultations.

    En général, la position de la Chambre de commerce du Canada à l'égard de l'examen de la LPRPDE, la Loi sur la protection des renseignements personnels et les documents électroniques, est semblable à celle que d'autres organisations de gens d'affaires, notamment l'ACTI et l'AMC, vous ont communiquée lors d'entretiens antérieurs. La protection de la vie privée et des renseignements personnels est une question primordiale pour les consommateurs et les entreprises. Elle est particulièrement importante aujourd'hui à cause des nouvelles technologies qui accroissent le risque de compromission des renseignements personnels.

    L'adoption de bonnes pratiques en matière de protection des renseignements personnels relève tout simplement d'une saine gestion des affaires. Une entreprise qui utilise des pratiques efficaces à cet égard renforce la confiance du consommateur, et tous deux en bénéficient. Dans l'optique du commerce et de l'industrie, la loi fonctionne bien et n'exige aucune modification en ce moment. D'ailleurs, la plupart des secteurs industriels et des entreprises individuelles viennent tout juste de commencer à travailler au sein du cadre actuel.

    Le secteur privé et la Commissaire à la protection de la vie privée ont une relation de travail et de collaboration solide. La structure de la loi assure l'équilibre efficace et pratique entre les intérêts du particulier qui souhaite protéger ses renseignements personnels et ceux de l'entreprise soucieuse d'exercer efficacement ses activités.

    De plus, la souplesse inhérente à la loi est un facteur important, car elle permet à l'industrie de répondre efficacement aux infractions aux règles de protection de la vie privée. Sont associés à la LPRPDÉ des coûts peu élevés et un mécanisme de traitement des plaintes très efficace. Enfin, comme elle est neutre du point de vue de la technologie, elle n'est pas touchée par l'évolution des outils technologiques.

    Je vais maintenant céder la parole à M. Elder, qui va formuler des commentaires plus précis sur le point de vue de la chambre, dont nous pensons que les députés devraient tenir compte lorsqu'ils discutent des principes de la loi.

    David.

    Merci, Mike.

    La chambre de commerce du Canada et ses membres croient que la loi canadienne sur la protection des renseignements personnels doit continuer d'équilibrer les droits des particuliers et le besoin légitime des entreprises de gérer les renseignements de leurs clients. La souplesse de la LPRPDÉ a beaucoup profité aux consommateurs et aux entreprises au cours des cinq années écoulées depuis sa mise en oeuvre.

    En ce qui concerne le pouvoir de rendre des ordonnances dont jouit la Commissaire à la protection de la vie privée, le modèle actuel de l'ombudsman est un moyen efficace, selon nous, de protéger la vie privée des particuliers tout en tenant compte des intérêts des entreprises. Ce mécanisme de règlement des différends revêt une importance primordiale pour les consommateurs, et il est rentable. Permettre à la Commissaire à la protection de la vie privée de rendre des ordonnances supposerait un examen complet et une nouvelle définition du rôle de la Commissaire à la protection de la vie privée et de la Cour fédérale. Puisque ces ordonnances pourraient faire l'objet d'appels, cela pourrait ralentir le processus de règlement des conflits.

    En 2004, dans le contexte du modèle d'ombudsman existant, le CPVP a mis l'accent sur le règlement des plaintes, et en a réglé 45 p. 100 sans enquête officielle. Modifier le modèle d'ombudsman actuel pourrait avoir des effets négatifs importants sur la capacité du CPVP de régler rapidement les plaintes. Le modèle actuel confère à la commissaire un vaste éventail de pouvoirs, notamment celui d'enquêter en cas de plainte et d'effectuer des vérifications.

    En ce qui concerne la question de l'obligation de notifier, encore une fois, de l'avis de la chambre de commerce du Canada, le modèle actuel est efficace. Je voudrais faire remarquer qu'il existe déjà, sur les plans juridique, financier et de la réputation, des incitatifs importants pour les entreprises à notifier leurs clients lorsqu'il y a violation grave. En outre, nous croyons que le CPVP dispose déjà des outils nécessaires pour rendre obligatoire la notification lorsque la situation le justifie.

    L'établissement d'une obligation de notifier pourrait nuire à la relation entre le secteur privé et le CPVP. En outre, l'obligation de notifier chaque fois qu'il y a possibilité de violation pourrait desservir les consommateurs mêmes qu'on vise à protéger par ce moyen. Ce genre d'exigences pourrait avoir pour effet d'inonder les consommateurs de notifications, ce qui les rendrait insensibles à la gravité des vraies violations de la vie privée. Je crois que c'est ce que nous avons pu constater aux États-Unis.

    Ainsi, la chambre de commerce du Canada ne croit pas qu'il est nécessaire d'inscrire dans la législation l'obligation de notifier. Nous encourageons plutôt les entreprises à continuer de collaborer étroitement avec la Commissaire à la protection de la vie privée pour repérer les cas de violation et notifier les personnes qui peuvent être affectées par une éventuelle violation de leur vie privée. Ce mécanisme souple permet de notifier au besoin, sans effet négatif sur les consommateurs.

    J'aimerais aussi faire remarquer qu'il serait avantageux pour la chambre de commerce du Canada et pour d'autres associations d'entreprises d'élaborer un ensemble de lignes directrices fondées sur les pratiques exemplaires, qu'elles pourraient utiliser lorsque des violations de la vie privée surviennent. À cette fin, les groupes d'entreprises, notamment la chambre de commerce du Canada, l'ACTI, l'ACM, etc., sont en train d'élaborer des lignes directrices pour la notification en cas de violation conjointement avec la Commissaire à la protection de la vie privée. Des détails concernant ces lignes directrices seront disponibles plus tard ce printemps.

    En ce qui concerne le pouvoir de communiquer des noms, la chambre de commerce du Canada sait quelle importance les entreprises accordent à leur réputation, et, par conséquent, le pouvoir de communiquer des noms prévus par la LPRPDÉ ne doit pas être utilisé à la légère. Tout changement des pouvoirs de la Commission de la protection de la vie privée à cet égard représenterait une modification de la structure fondamentale de la LPRPDÉ, et la chambre de commerce du Canada s'y opposerait.

    Prenons par exemple le secteur du commerce de détail. Il s'agit d'un secteur extrêmement compétitif, ce qui est bon pour les consommateurs, mais le fait de communiquer le nom d'une entreprise pourrait être très dommageable pour l'image de marque de cette entreprise, d'une façon qui pourrait être tout à fait hors de proportion avec la gravité de la violation. Ainsi, il ne faudrait appliquer ce pouvoir qu'aux parties qui ne se conforment pas aux règles de façon claire et répétée.

    Communiquer régulièrement des noms ne contribuerait pas aux bonnes relations entre le secteur privé et le CPVP. La commissaire elle-même a déclaré qu'elle n'exige pas, ni ne désire obtenir le pouvoir de communiquer des noms. Dans la plupart des cas, il est possible d'effectuer une médiation adéquate entre les entreprises et le CPVP.

    Ainsi, il est essentiel d'informer les entreprises de tous les secteurs au sujet de la LPRPDÉ, ainsi que de leurs responsabilités relatives à la collecte et à la conservation de renseignements personnels. Il faut trouver le juste équilibre entre l'application de la loi et le fait de s'assurer que les entreprises, surtout les petites et moyennes entreprises, comprennent bien la LPRPDÉ, de façon à réduire au minimum les infractions commises par inadvertance.

    En ce qui concerne la circulation transfrontalière de renseignements personnels, il s'agit d'une réalité économique, et toute restriction pourrait entraver la compétitivité du Canada à l'échelle mondiale. Les entreprises savent que c'est de leur réputation qu'il s'agit, et elles ne prennent pas cette responsabilité à la légère. Elles demeurent responsables lorsque des renseignements sont transmis à un tiers aux fins de traitement.

    La cohérence des politiques rend efficace la circulation transfrontalière de renseignements personnels, comme l'ont démontré le cadre de protection des renseignements personnels de l'APEC et le partenariat nord-américain pour la sécurité et la prospérité. Le principe de responsabilisation enchâssé dans la LPRPDÉ encourage les entreprises canadiennes à communiquer leurs pratiques en matière de vie privée au public d'une manière ouverte et transparente. Il les oblige également à conclure des ententes contractuelles avec les tiers fournisseurs, peu importe où ils se trouvent. Il fournit donc aux consommateurs un niveau de protection supplémentaire.

    Mike.

    Merci, David.

    Je vais juste résumer, monsieur le président, en vous donnant un bref aperçu des conclusions auxquelles nous arrivons aujourd'hui.

    La première est qu'on ne devrait pas modifier la loi à ce moment-ci et accorder à la commissaire le délai supplémentaire -- elle a parlé de cinq ans environ -- qu'elle a demandé pour travailler dans le cadre de la loi actuelle.

    Veiller à ce que les intérêts des consommateurs et des entreprises soient équilibrés.

    Maintenir le modèle d'ombudsman actuel de façon à protéger efficacement la vie privée. Grâce à ce modèle, la notification obligatoire en cas de violation de la vie privée n'est pas nécessaire.

    Ne pas modifier les pouvoirs de la commissaire en ce qui concerne le pouvoir de communiquer des noms.

    Éviter d'assujettir la circulation transfrontalière de renseignements personnels à des restrictions qui pourraient entraver le commerce et la compétitivité.

    De plus, nous recommandons au Commissariat à la protection de la vie privée et à d'autres groupes d'entreprises de continuer à jouer un rôle prépondérant dans l'information et la sensibilisation des entreprises -- surtout, dans ce cas, des petites et moyennes entreprises -- et des particuliers à leurs droits et obligations en vertu de la loi.

    Merci, monsieur le président, de nous avoir offert l'occasion de témoigner aujourd'hui.

    Merci beaucoup. Vous terminez juste à temps.

    Nous procédons habituellement à un premier tour de table au cours duquel nous accordons sept minutes à chacun des intervenants, dans l'ordre habituel dont nous avons convenu, puis nous poursuivons. Mais avant de faire cela, j'aimerais vous lancer chacun une question, sur quelque chose qui pique ma curiosité.

    Les deux associations plaident en faveur de l'harmonisation -- cela est tout à fait sensé -- mais vous pensez qu'on ne devrait pas, dans certains cas, notifier en cas de violation. Tout récemment, les commissaires à la vie privée de l'Ontario et de la Colombie-Britannique ont diffusé un outil d'évaluation des notifications dans le cas de violation à titre de guide pour les organisations du secteur public et du secteur privé qui doivent réagir en cas de violation. La méthode que préconise le guide est la notification directe, lorsqu'on connaît l'identité des personnes en cause et que leurs coordonnées sont disponibles. C'est ce que les commissaires à la protection de la vie privée de l'Ontario et de la Colombie-Britannique recommandent.

    Dois-je comprendre que, puisque vous souhaitez l'harmonisation avec les autres administrations, vous êtes d'accord avec cela? Commençons par les assureurs.

    Merci, monsieur le président.

    En ce qui concerne la notification en cas de violation, nous préconisons une approche fondée sur les risques. À cet égard, il faut examiner les circonstances de la violation en question pour déterminer si elle s'est bel et bien produite et si l'événement exige une notification. En même temps, en tout cas au sein de l'industrie des services financiers, il faut notifier la Commissaire à la protection de la vie privée, ainsi que les organismes de réglementation financière, pour les faire intervenir, et il faut examiner la situation en question en ce qui concerne les renseignements qui peuvent être divulgués.

    Disons que vous procédez à une évaluation des risques. Vous déterminez s'il est possible d'accéder aux renseignements en question. S'ils sont inscrits sur un disque, et encodés de telle manière que vos juricomptables vous disent que le risque est très, très faible, alors, en consultation avec la Commissaire à la protection de la vie privée et avec les organismes de réglementation financière, vous pouvez déterminer -- vous pouvez évaluer si vous devez lancer un appel ou non.

    Nous pensons donc qu'il s'agit d'une démarche efficace.

    Monsieur Murphy, avez-vous des commentaires?

    Je vais faire un bref commentaire, puis demander à M. Elder de dire quelques mots s'il le souhaite.

    Nous mentionnons dans notre mémoire que nous travaillons avec d'autres groupes auprès de la Commissaire à la protection de la vie privée à des lignes directrices pour le domaine qui nous intéresse, et je pense qu'il est important de mentionner qu'il va y avoir beaucoup de gens qui vont formuler des suggestions à ce sujet. Il est clair que le travail qui est déjà en cours ailleurs au Canada, particulièrement au sein des autres organismes, ceux que vous avez mentionnés en Colombie-Britannique et en Ontario, va constituer l'une de ces contributions.

    David, je ne sais pas si vous voulez ajouter quelque chose.

    Il faut d'abord que j'avoue que je ne connais pas très bien les outils de notification en cas de violation dont vous disposez. Assurément, on envisage certaines choses du côté des organisations.

    Ce n'est pas surprenant. Nos témoins d'hier ne les connaissaient pas bien non plus. J'imagine que c'est parce qu'il s'agit d'outils récents.

    Je suggère que vous y jetiez un coup d'oeil, parce qu'on peut y lire:

    Il s'agit d'une notification directe des personnes affectées dont on connaît le nom. Il s'agit d'une directive assez directe.

    En effet, et nous allons assurément en tenir compte.

    En ce qui concerne votre question au sujet de l'uniformité, je pense que nous sommes assurément en faveur d'une démarche générale harmonisée. Évidemment, cela ne veut pas dire que nous souhaitons voir les mesures prises par une province ou une autre appliquées à l'échelle du pays.

    Cela me rappelle un peu ce que ma mère avait l'habitude de dire: si une personne saute en bas d'un pont, allez-vous sauter aussi? Je pense donc que nous allons examiner attentivement les lignes directrices définies par les provinces en question dans le cadre de nos efforts continus, avec la Commissaire à la protection de la vie privée du Canada, pour l'élaboration de lignes directrices fédérales concernant la violation de la vie privée.

    Merci beaucoup.

    Chers collègues, c'est votre tour. Monsieur Dhaliwal, puis Mme Lavallée.

    Merci, monsieur le président, et merci à la délégation d'être venue témoigner aujourd'hui.

    Je vais aussi poursuivre sur le thème de l'harmonisation, parce que j'ai remarqué que vous préconisez l'harmonisation entre la LPRPDÉ et les lois provinciales.

    Pouvez-vous me dire quelles sont les principales modifications que vous souhaiteriez voir adopter en ce sens?

    Merci.

    En fait, si vous jetez un coup d'oeil sur notre mémoire, vous constaterez qu'un certain nombre des modifications que nous recommandons ont pour objectif d'harmoniser la LPRPDÉ avec ce qui existe déjà, si vous voulez, dans la troisième génération de lois sur la protection des renseignements personnels en Colombie-Britannique et en Alberta. Comme je l'ai déjà mentionné, le Québec a été la première province, en 1994, à adopter ce genre de loi, puis on a adopté la LPRPDÉ en 2001. Dans notre secteur, cependant, les choses ont commencé en 2004. C'est à ce moment que la loi s'est appliquée à nous. Cependant, depuis, l'Alberta et la Colombie-Britannique ont donné de l'ampleur à ce que la LPRPDÉ avait établi. Nous vous suggérons donc d'examiner les nouvelles dispositions, qui ont peut-être fait l'objet de réflexions plus approfondies, compte tenu du temps écoulé et de l'expérience acquise depuis l'adoption de la LPRPDÉ.

    L'un des sujets que Dale a abordés, c'est le rajustement des dispositions qui portent sur la fraude et la définition de ce qu'est une enquête de façon à préciser quelles sont les règles qui s'appliquent à chacun, parce que, je dois l'avouer, j'ai constaté, lorsque j'ai examiné l'article 7 de la LPRPDÉ, qu'il s'agit d'un texte assez compliqué dans lequel on peut facilement rester empêtré. Voilà donc une première chose.

    Un autre domaine dans lequel les provinces en sont à la troisième génération encore une fois, c'est celui de l'accès. Les provinces ont précisé les règles dans ce domaine, et nous les présentons aussi dans notre mémoire.

    Un autre sujet dont on a parlé, et je sais que le comité en a déjà entendu parler, c'est lorsqu'il y a vente de biens ou d'une entreprise, et que l'acheteur, s'il veut agir avec la diligence raisonnable, doit examiner les renseignements personnels que conserve le vendeur. Il y a donc à cet égard des dispositions dans les lois de la Colombie-Britannique et de l'Alberta qu'il pourrait être utile au comité d'examiner, afin de déterminer si on devrait les intégrer à la LPRPDÉ, dans le but de rendre les choses claires dans le domaine.

    Enfin, et vous avez encore une fois déjà entendu parler de cela, c'est qu'il faut examiner le modèle de la Colombie-Britannique pour déterminer si on devrait intégrer la définition de produit du travail à la LPRPDÉ.

    Donc, au sein de votre industrie, l'assurance vie ou l'assurance générale, qu'appelez-vous un produit lié au travail et qu'appelez-vous renseignements personnels? Comment pouvons-nous établir une distinction entre les renseignements personnels et ceux qui sont liés au travail? Parce que tous les renseignements que vous recueillez entrent probablement dans la catégorie des renseignements liés au travail.

    En fait, je vais demander à ma collègue Dale de vous en parler.

    Cela fait partie du monde de l'assurance collective, dont je vais parler souvent, malheureusement, mais nous recueillons des renseignements sur les personnes. On traite et on règle les réclamations au sein de l'entreprise. Les assureurs disposent de programmes d'assurance de la qualité et examinent les vérifications internes effectuées par leurs employés pour s'assurer qu'ils règlent les réclamations de façon appropriée et qu'ils suivent les procédures prévues. Les vérifications SOX, par exemple, peuvent exiger l'examen de renseignements personnels. Je ne crois pas qu'on intègre des renseignements personnels dans le produit du travail, mais il y a d'autres processus en vigueur dans le secteur qui ne constituent ou ne créent pas une source de renseignements ne concernant pas la personne en question. Ce sont des renseignements sur l'employé qui règle et traite la réclamation.

    On peut aussi évoquer l'exemple de la planification de la relève au sein d'une entreprise. La LPRPDÉ ne vise pas précisément les employés des sociétés d'assurance. Je crois que, de manière générale, dans l'ensemble de l'industrie, les règles concernant la vie privée s'appliquent aussi aux employés de ces sociétés. Les employés peuvent donc dire qu'il s'agit de renseignements personnels sur eux, mais je dirais plutôt que les renseignements utilisés pour la planification de la relève sont des renseignements commerciaux. Il ne s'agit pas de renseignements au sujet de l'employé en question; il s'agit de la continuité des activités commerciales. Si l'employé en question n'est plus là, une autre personne pourra assurer la continuité des activités.

    Ce sont donc là deux exemples.

    Tous les renseignements que vous recueillez sont donc les produits liés au travail — il n'y a rien de personnel?

    Tous les renseignements...

    Oui, parce que vous dites que les renseignements concernent non pas la personne, mais bien l'employé, n'est-ce pas? Même en ce qui concerne l'assurace collective.

    Non, mais les renseignements, lorsqu'on nous les communique pour la première fois, concernent... Je crois que j'ai créé une confusion entre l'employé de l'assureur et l'employé bénéficiaire d'un régime collectif. Tout cela a trait à l'employé qui fait partie d'un régime collectif. Il s'agit de son nom et du nom des personnes qui sont à sa charge, de son salaire, du genre de médicament pour lequel il présente une réclamation — voilà ce que sont ses renseignements personnels.

    Du côté de l'assurance, on peut effectuer un examen du traitement des renseignements fournis dans le cadre d'une réclamation, et cela forme une autre source de renseignements, mais ce n'est pas de cela dont il s'agit. J'ai créé une confusion entre les deux employés. Je m'excuse.

    Tous les renseignements que nous recueillons dans le premier cas sont sans aucun doute des renseignements personnels.

    D'accord.

    Je veux poser une question à la chambre de commerce. Je suis membre de la chambre de commerce depuis longtemps. Dans ma circonscription, Newton—North Delta, il n'y a que des petites et moyennes entreprises. Je n'ai jamais vu de lettre ou de séminaire d'une chambre locale au sujet de la LPRPDÉ, ou quoi que ce soit d'autre en rapport avec la loi sur la protection des renseignements personnels. Pouvez-vous m'expliquer quelles mesures vous prenez pour informer les entreprises?

    Certainement. Comme je l'ai mentionné lorsque j'ai fait mes commentaires, nous comptons parmi nos membres environ 350 chambres de commerce locales à l'échelle du pays, dans toutes les provinces et tous les territoires. Comme vous pouvez l'imaginer, lorsqu'il s'agit d'une organisation de cette taille, il y a aussi des différences assez importantes quant à la taille des chambres de commerce. Certaines d'entre elles ont des ressources beaucoup plus importantes que les autres.

    L'une des raisons pour lesquelles nous nous sommes concentrés sur cette question, c'est que, parmi les mesures pratiques que nous avons essayé de prendre, nous avons rassemblé de l'information que nous avons communiquée directement à nos membres. Nous avons effectué quelques tournées auprès de nos membres, les entreprises, et surtout les chambres de commerce, et par leur intermédiaire auprès des réseaux d'affaires du pays, de façon à leur offrir les outils leur permettant de se plier aux exigences de la loi.

    Nous avons établi des modèles de clauses, de clauses contractuelles, que nous aurions pu intégrer aux ententes contractuelles qu'ils auraient conclues avec des fournisseurs ou des clients. Nous leur avons aussi expliqué comment effectuer une vérification au sein de leurs propres organisations. En outre, nous avons essayé de leur fournir des renseignements de base.

    L'une des grandes forces de l'organisation, c'est qu'elle a accès non seulement à des entreprises comme celles de M. Elder, qui fait partie de ses membres, mais aussi à la Sun Life et à bon nombre d'autres sociétés très engagées. Nous demandons à nos membres les plus importants de nous aider à informer nos membres qui sont des organisations de plus petites tailles.

    J'ajouterais seulement ce qui suit, et qui ne s'applique pas seulement à la loi en question. Il n'y a jamais suffisamment à faire, ou il n'y a jamais suffisamment de choses qui ont été faites, et il y a toujours plus à faire lorsque vient le temps de s'occuper du milieu des petites entreprises. Celles-ci font face à tant de défis, et elles sont au coeur de notre économie. Vous connaissez tous les chiffres: 95 p. 100 et plus des entreprises canadiennes sont de petites entreprises. Elles font face à de nombreux défis pour répondre aux exigences de tous les jours. Notre objectif était de leur dire, par l'intermédiaire de notre réseau, qu'elles devaient connaître les tenants et les aboutissants de la législation relative à la protection des renseignements personnels.

    L'un des points très positifs de notre présence ici aujourd'hui, très sincèrement, c'est que, au cours des dernières semaines, nous avons prévenu les membres de notre réseau que nous allions venir témoigner. Cela nous offrira une autre occasion de constituer une trousse à l'intention de nos membres, et c'est ce que nous allons faire.

    Ça a été dur, nous n'allons jamais en voir la fin.

    Nous travaillons aussi auprès de la Commissaire à la protection de la vie privée. Elle dit qu'il y a un besoin extraordinaire de continuer à informer les gens à ce sujet. Nous sommes d'accord avec cela, et nous allons continuer de faire du travail auprès des PME une priorité.

    Merci.

    Monsieur Vincent.

    Merci, monsieur le président.

    Vous avez dit plus tôt, madame Philp, que des fraudes et des lacunes sont détectées et qu'on ne devrait pas dévoiler l'identité de l'organisme ou de la compagnie qui est prise en défaut. Que pensez-vous de cela? Devrait-on les publier, pour que les gens partout au Canada puissent savoir que ces gens n'ont pas respecté la Loi sur la protection des renseignements personnels et les documents électroniques?

    J'ai écouté la traduction. Je n'ai entendu que la fin, malheureusement.

    Je pense que votre question était la suivante: la population ne devrait-elle pas être mise au courant lorsque des entreprises enfreignent la loi sur la protection des renseignements personnels, et ne devrait-on pas divulguer le nom de ces entreprises? Est-ce à peu près la question que vous avez posée? Je suis désolée.

    C'est ça, oui.

    D'accord.

    Je pense que la LPRPDÉ comporte une disposition qui prévoit la publication des noms d'entreprise. Lorsque la chose est d'intérêt public, on divulguerait le nom.

    Je crois qu'il s'agit d'une disposition dont l'application est appropriée lorsque la Commissaire à la protection de la vie privée constate qu'une entreprise fait un usage abusif et flagrant des dispositions de la LPRPDÉ et que l'intérêt public est menacé. Le fait qu'une telle entreprise continue de violer la loi constitue une menace pour les consommateurs.

    Je suis d'avis que les dispositions de la LPRPDÉ prévoient de façon adéquate les situations dans lesquelles la Commissaire peut rendre le nom de cette entreprise public. Je ne crois pas que nous nous opposions à cette disposition.

    Quelle formation est donnée à vos employés en ce qui a trait à la protection des renseignements personnels?

    Dans le cas d'une assurance-groupe, par exemple, dans une usine comptant 1 000 employés sur lesquels vous possédez tous les renseignements personnels, comment vos employés sont-ils formés afin de garder confidentiel le nom de ces personnes?

    Dans le secteur des assurances de l'industrie — et je m'exprime au nom de tous les assureurs — il existe des programmes de formation dans chacun des établissements. Je sais qu'au moins un des établissements membres de l'ACCAP offre une fois l'an une formation à l'intention des nouveaux employés. Ceux-ci doivent effectuer un module de formation rigoureux portant sur la protection des renseignements personnels, un programme de formation qui consiste en un module Breeze. Il s'agit d'une épreuve notée, que l'on fait passer une fois par année. Souvent, des renseignements concernant la protection de la vie privée figurent dans le site intranet. L'entreprise dispose d'un code de conduite que tous les employés doivent signer chaque année, ce qui les engage à respecter les règles de protection de la vie privée et à n'utiliser que les renseignements personnels dont ils ont besoin pour effectuer leurs tâches.

    Tous les assureurs ont une politique de respect de la vie privée à laquelle leurs employés doivent se conformer. Il existe des processus supplémentaires concernant le respect de la vie privée pour chacun des services d'entreprise: les sinistres d'invalidité, les réclamations pour soins de santé, la tarification, les finances et les TI. Les employés des différents services ont besoin d'examiner et d'utiliser des renseignements différents, en fonction de leurs tâches. L'accès aux renseignements est restreint de façon à contribuer à prévenir l'accès non autorisé à des renseignements dont tous les employés n'ont pas besoin à l'échelle de l'entreprise.

    Les employés qui règlent les réclamations des milliers d'employés en régime collectif sont liés par le code de conduite de l'entreprise. Ils participent régulièrement à des cours de formation, et leurs chefs d'équipe sont surveillés. Le processus d'assurance de la qualité consiste en des inspections ou des vérifications de leur conformité au respect de la vie privée.

    Monsieur Murphy, vous êtes président de la Chambre de commerce du Canada. Croyez-vous que dans le cas des entreprises comptant cinq ou dix employés, le gouvernement du Canada devrait offrir de la formation, de façon à mettre ces gens au fait de la loi? Il y a des clients, des personnes qui traitent avec ces gens.

    Monsieur le président, je vais répondre ainsi à la question. En ce qui concerne l'importance de la question et du fait de s'occuper des petites et moyennes entreprises du Canada, et surtout des entreprises—comme M. Vincent l'a dit dans sa question et comme je l'ai mentionné plus tôt—qui ont aussi peu que cinq employés, elles font face à de nombreux défis.

    En ce qui concerne le financement de la formation offerte dans les entreprises de l'ensemble du pays, je dirais que non. Grâce à la Commissaire à la protection de la vie privée, ce qui s'offre à nous, c'est une occasion de réfléchir à la manière de mieux faire les choses. Nous sommes d'accord avec elle lorsqu'elle dit que, ensemble, nous pouvons mieux diffuser l'information auprès des petites entreprises, et qu'il y a de nombreuses manières de le faire.

    La technologie, pour nous... Si l'on se rappelle que les entreprises en question se trouvent un peu partout, et non seulement dans les grandes villes... De notre point de vue, cela ne fait que trois ans que nous nous occupons du dossier très complexe de ces entreprises, qui n'est pas unique en ce qui concerne la seule chose à laquelle elles songent, comme je l'ai déjà mentionné.

    Je n'irais donc pas jusqu'à dire que nous devons réfléchir à un important programme fédéral et à envoyer des gens travailler auprès des entreprises. Je ne sais pas si vous songiez à cela, mais je dirais que le fait d'utiliser le bureau de la Commissaire pour réfléchir à des façons de joindre les PME serait constructif.

    Est-ce que votre organisation donne des informations aux groupes qu'elle représente, à savoir qu'il existe une loi portant sur la protection des renseignements personnels et qu'ils y sont assujettis? Quand ils adhèrent à votre organisation, est-ce que vous leur en parlez? Quand ils deviennent employeurs, les gens ne reçoivent pas une trousse de base dans laquelle on leur indique toutes les lois à respecter. Êtes-vous en mesure d'offrir une certaine formation à ceux qui adhèrent à la Chambre de commerce du Canada?

    Ce n'est peut-être que l'utilisation de l'expression « formation » par rapport à la manière dont nous parlerions de ce que nous faisons. Je crois que nous disposons d'outils, et que l'un d'entre eux, comme je l'ai déjà dit, c'est la technologie. Nos membres utilisent beaucoup notre site Web.

    Nous en parlions justement l'autre jour. Nous parlions de nous assurer de continuer à nous occuper de tant de dossiers différents, parce que le gouvernement fédéral — auprès duquel je passe tout mon temps — prend des mesures qui touchent tous nos membres, de tant de façons différentes. Nous parlons constamment de la bonne façon de transmettre des renseignements importants à nos membres qui essaient de se débrouiller, au jour le jour, pour gérer leur entreprise. Et ce dont nous leur parlons, c'est d'une activité administrative qui est connexe à la gestion de leur entreprise. Alors comment faire pour leur transmettre les renseignements utiles? L'important, c'est de leur dire que nous disposons d'un bureau, ici, au gouvernement fédéral, avec lequel nous pouvons travailler, et non seulement nous sommes heureux de le faire, mais nous pensons qu'il s'agit de la bonne façon de procéder. Les gens des entreprises devraient continuer de travailler là où ils sont, et utiliser notre technologie, notamment notre site Web, pour communiquer directement. De plus, très sincèrement, ils devraient utiliser notre réseau, parce que nous avons ce réseau de la chambre de commerce qui nous rend un peu unique de par notre capacité de communiquer à la base.

    Merci, monsieur Vincent.

    Pour le premier tour de table, la dernière personne à poser une question est M. Tilson, puis nous allons passer au second tour de table, en commençant par M. Pearson, suivi de M. Stanton.

    Merci.

    J'aimerais en dire davantage au sujet du volet international que les gens de la chambre de commerce ont abordé. Je pense que vous ne souhaitez pas nuire à l'économie et empêcher les transactions transfrontalières, et je suis tout à fait d'accord. Cependant, nous effectuons une quantité énorme de transactions internationales avec les États-Unis, et avec d'autres pays du monde, de partout dans le monde, qui ont des ordinateurs et qui impartissent le traitement de l'information. En fait, la taille du secteur a augmenté de façon proprement remarquable. Je suis tout à fait d'accord avec votre observation. Il y a des sociétés d'assurance internationales dont le siège social se trouve à l'étranger. Je ne m'y connais pas beaucoup, mais il est indéniable qu'il existe des sociétés d'assurance qui sont des multinationales.

    En ce qui concerne la notification, bien entendu, les différents pays ont différentes lois. Bon nombre d'États ont des lois différentes au chapitre de la notification, des avis à signifier. Nous avons écouté des témoignages lundi ou mardi, des témoignages de gens du milieu bancaire. Ils nous ont dit que la notification n'était pas nécessaire tant qu'on ne dispose pas de preuve raisonnable d'activités frauduleuses. On a entendu parler, il y a deux ou trois ans ou peut-être un an, de télécopies envoyées par une banque et qui ont fini par se retrouver dans un parc à ferrailles en Virginie occidentale. Vous vous en souvenez peut-être. Les télécopies contenaient des numéros d'assurance sociale, des adresses de domicile, des numéros de téléphone, etc., ainsi que des renseignements bancaires détaillés. On a entendu parler, il y a de cela quelques jours, de tout un paquet de renseignements qui se sont perdus. Rien n'indique que ces renseignements ont été volés ou utilisés. Cependant, encore une fois, il s'agissait du même genre de renseignements détaillés. Puis il y a eu l'affaire de HomeSense et de Winners — je ne les critique pas — dans laquelle des renseignements ont été volés. Les voleurs étaient des pirates informatiques.

    La question que je vous pose est la suivante: êtes-vous d'accord avec l'idée des banques selon laquelle il n'est pas besoin de notifier les gens, à moins qu'on dispose de preuve d'activités frauduleuses, ou pensez-vous que nous devons aller plus loin? Je comprends que si une entreprise doit notifier un million de personnes, les frais de poste suffiront à rendre les responsables fous. Puis-je demander aux deux groupes de formuler des commentaires à ce sujet?

    Les banques se trouvent peut-être dans une position légèrement différente. C'est peut-être la raison pour laquelle elles ont insisté sur la fraude — parce qu'elles font face à des gens qui accèdent à des renseignements sur des comptes bancaires pour les utiliser.

    Non, il s'agit d'entreprises internationales, comme dans le cas de Winners et HomeSense.

    D'accord. Cependant, encore une fois, l'affaire tenait en grande partie à l'accès aux renseignements relatifs aux cartes de crédit, au fait que les renseignements sur les cartes de crédit des clients étaient dévoilés. C'est donc peut-être pour cela qu'on met l'accent sur la fraude.

    Je dirais que, pour de nombreuses entreprises, la définition est peut-être un peu trop étroite. Une partie du problème concernant la notification obligatoire en cas de violation est de déterminer dans quelle situation il faut procéder à la notification. L'une des grandes forces du cadre relatif au respect de la vie privée que définit la loi, c'est sa souplesse. Je crois qu'il faut utiliser cette souplesse dans les cas où la violation des règles de protection des renseignements personnels est importante. Je pense donc qu'il faut d'abord et avant tout que la violation soit importante, d'une manière ou d'une autre.

    Que pensez-vous de la situation dans laquelle le matériel est tout simplement perdu? En ce qui concerne les événements qui ont eu lieu il y a quelques jours, rien n'indique qu'on ait volé ou piraté quoi que ce soit; on a tout simplement perdu le matériel.

    Je pense que la question est qu'est-ce qui a été perdu, quelle est l'importance...

    Oh, toutes sortes de choses: le nom des clients, leurs adresses, leurs signatures, leurs dates de naissance, leurs numéros de compte bancaire, les renseignements sur les bénéficiaires et les numéros d'assurance sociale. Ces renseignements ont tout simplement été perdus. Les gens ne savent plus où ils sont.

    C'est difficile de parler au nom de tous nos membres. Cependant, je pense que lorsqu'il y a violation et que des renseignements importants ont été communiqués à des tiers, y compris des tiers dont on ne connaît pas l'identité, et qu'il y a un risque d'utilisation de ces renseignements à des fins criminelles — pour l'usurpation d'identité, pour Dieu sait quoi — alors je pense qu'il faut procéder à la notification.

    Tenons-nous en aux chambres de commerce. Les gens vont dans les magasins, et ils donnent leur nom et leur numéro de carte de crédit. Je n'ai aucune idée de ce qu'on fait avec ces renseignements. Dans le meilleur des cas, tous les commerçants sont honnêtes et ils ne conservent pas mon numéro de carte de crédit, mon adresse ni mon nom. Évidemment, mon nom figure sur des listes d'envoi. Je ne sais pas comment on a obtenu mon nom et mon adresse, et je ne veux même pas laisser entendre que ce sont les commerçants en question qui les ont communiqués à quelqu'un d'autre, mais, d'une manière ou d'une autre, je reçois les envois en question. Que se passe-t-il? Comment nos noms aboutissent-ils dans des listes d'envoi, et de quel autre renseignement sur nous des inconnus disposent-ils?

    David, c'est moi qui leur ai donné votre nom.

    Des voix: Oh, oh!

    Monsieur Tilson, je me demandais si nous pouvions demander à l'industrie de l'assurance de répondre à votre première question au sujet de l'avis en cas de violation, puis nous pourrions essayer de comprendre comment ils obtiennent les noms. Mais peut-être pourrions-nous offrir à l'industrie de l'assurance l'occasion de participer.

    Merci, monsieur le président.

    Je répète peut-être ce que mes amis de la chambre ont dit, mais nous croyons qu'il faut adopter une approche fondée sur les risques. Il faut déterminer si l'incident en question a une certaine importante. Je pense qu'il faut avoir des raisons de croire que la divulgation a bel et bien eu lieu. Vous parliez de renseignements qui ont disparu. Eh bien, dans quelles circonstances? Se peut-il qu'ils se trouvent quelque part au sein de l'entreprise, et qu'ils n'aient pas quitté le bureau? C'est cela qu'il faut voir.

    En outre, il faut déterminer s'il y a un risque important que la personne sur qui porte les renseignements puisse subir un préjudice à cause de l'événement en question. Je pense qu'on peut le faire en déterminant si les renseignements sont délicats, s'ils étaient encodés, et, le cas échéant, de quelle façon, et en consultant les organismes de réglementation pour s'assurer qu'ils connaissent la situation et pour obtenir de bons conseils de gens qui sont peut-être en mesure d'évaluer la situation d'un point de vue plus général que l'entreprise elle-même. Il est possible d'envisager tous ces facteurs pour déterminer s'il faut signifier un avis.

    Nous avons parlé ce matin du fait qu'on élabore, à l'heure actuelle, plusieurs ensembles de lignes directrices à l'échelle du pays. L'un des avantages de ne pas formuler des règles trop précises dans le domaine en question, c'est qu'on peut alors élaborer des lignes directrices semblables, applicables un peu partout au Canada, et conserver la souplesse nécessaire pour régler les incidents de toutes sortes qui peuvent se produire.

    Dans le préambule de votre question, vous avez parlé de différents cas, de différentes possibilités de violation, etc. Il s'agissait de situations de types différents, alors je crois qu'il faut examiner tous ces facteurs.

    Merci.

    Vous avez parlé pendant huit minutes, alors je crois que nous allons garder la question intéressante de savoir comment nos noms se retrouvent sur toutes sortes de listes pour le prochain tour de table.

    Monsieur Pearson, vous avez cinq minutes.

    Merci.

    J'ai une question pour M. Murphy, si vous le permettez.

    Pour donner suite à la question de M. Dhaliwal, j'ai compris que vous faites face à un défi lorsque vient le temps de communiquer tous les aspects de la LPRPDÉ dont nous avons parlé à toutes sortes d'entreprises. J'aimerais aborder le sujet de la communication de l'autre perspective. Je comprends qu'il faut communiquer, mais si j'étais le propriétaire d'une entreprise et que j'avais cinq employés, par exemple, je serais perdu au milieu de tout cela. Je n'ai pas nécessairement les connaissances qu'il faut dans le domaine juridique, et je ne dispose pas des ressources juridiques qui pourraient m'aider à comprendre. Je sais que vous essayez de distribuer des trousses d'outils et d'autres choses.

    Cela m'intéresse, cependant, parce qu'il s'agit d'acteurs économiques importants et d'éléments clés de la société canadienne. Avez-vous prévu des moyens pour que l'information circule dans l'autre sens? Comment les entreprises envisagent-elles la LPRPDÉ? Vous ont-elles fait part de leurs idées quant à la manière dont on pourrait l'améliorer? Je pense que la deuxième partie de ma question a trait au fait de savoir si vous pensez sincèrement qu'elles pourront continuer d'appliquer correctement la LPRPDÉ, compte tenu de tous les autres défis auxquels elles font face.

    Oui, c'est une très bonne question, parce que cela fait partie du défi que doivent relever toutes les organisations, et non seulement la nôtre, lorsqu'il s'agit de traiter avec la majorité des membres de notre groupe.

    L'un des avantages de travailler à la chambre et d'être chargé des politiques, c'est que je n'ai jamais à me demander si mes membres vont me donner une rétroaction sur toutes sortes de sujets. Habituellement, les commentaires me parviennent rapidement. Il est intéressant de constater que cela est vrai peu importe la taille de l'entreprise. C'est en raison de ce que j'ai dit plus tôt, parce que j'ai parlé des répercussions — et je ne parle que du gouvernement fédéral, parce que c'est à ce niveau que se situent les activités de la chambre de commerce du Canada — c'est-à-dire à quel point les activités commerciales de tous les jours du gouvernement nous touchent de toutes sortes de manières.

    Nous ne sommes pas ici pour discuter du principe général, mais, en ce qui concerne la loi en question — bien entendu, cela ne fait que trois ans qu'elle s'applique à la plupart des petites entreprises —, nous avons entendu les commentaires de nos membres sur cette question précise lorsque nous leur avons communiqué de l'information. Les commentaires nous sont parvenus de deux manières: non seulement directement de certaines de ces entreprises avec qui nous discutons, des membres directs de la chambre, mais aussi par l'intermédiaire du réseau de chambres locales, dont bon nombre de ces gens sont membres.

    Je ne vais pas décrire en détail tous nos moyens de communication, mais nous demandons nous-mêmes de la rétroaction en organisant des téléconférences avec les chambres locales et d'autres organisations pour tâter le terrain au sujet des différentes choses que nous avons faites. Nous avons élaboré une trousse au sujet de la loi en question, et nous l'avons fait plus d'une fois, soit dit en passant, parce que la loi s'est appliquée de façon progressive. Nous avons essayé de tâter le terrain.

    Nous ne noyons pas nos membres dans les sondages, le genre de choses qu'on envoie par la poste en disant « Pouvez-vous remplir ceci et nous le renvoyer, s'il vous plaît? », mais lorsque nous le faisons — nous essayons de le faire peut-être une ou deux fois par année — nous essayons d'adopter une démarche plutôt générale. C'était aussi l'une des choses que nous avons essayées dans le passé.

    Les commentaires que j'ai reçus, très sincèrement, c'était: « Vous nous avez donné des outils utiles. » L'un des outils les plus utiles tenait aux clauses contractuelles que nous avons pu ébaucher avec l'aide de quelques membres de la chambre qui sont dans le domaine juridique, et cela a été très utile. De façon générale, les commentaires à ce sujet ont été très positifs.

    Alors, y a-t-il autre chose à faire? C'est sûr, on peut toujours en faire plus.

    Merci, monsieur le président.

    Merci.

    Monsieur Stanton.

    Merci, monsieur le président.

    Je veux souhaiter la bienvenue à nos témoins. Nous sommes très heureux que vous soyez ici ce matin.

    Je veux poser une question à l'Association canadienne des compagnies d'assurances de personnes. En ce qui concerne la question de la détection des fraudes que vous abordez dans votre mémoire, vous parlez de l'alinéa 3d) de la Loi, qui porte sur votre capacité de divulguer, essentiellement, sans que l'intéressé ne le sache ou y consente, des renseignements personnels lorsque vous pensez qu'il y a possibilité de fraude ou de violation d'un engagement ou d'une entente conclue avec une personne assurée, dans votre cas.

    Vous dites qu'il y a une lacune dans la LPRPDÉ. Je soupçonne que cela est lié au fait qu'elle ne parle pas d'un « organisme d'enquête ». Est-ce que vous affirmez qu'il n'existe pas d'organisme d'enquête à qui vous pouvez divulguer des renseignements?

    Je me demandais si vous pouviez nous donner un exemple de la manière dont cette lacune se manifeste en pratique, au chapitre de la capacité d'enquêter en cas de fraude.

    C'est une bonne question, et je suis heureuse de pouvoir vous orienter à cet égard.

    Si nous revenons en arrière, en vertu de la LPRPDÉ, nous avons la capacité de recueillir et d'utiliser des renseignements sans le consentement de l'intéressé, lorsque nous avons des raisons valables de croire que ces renseignements seraient utiles dans le cadre d'une enquête portant sur une infraction à une loi canadienne, et lorsque nous recueillons ou utilisons ces renseignements aux fins de l'enquête en question.

    Passons ensuite au paragraphe 7(3), qui porte sur la communication à l'insu de l'intéressé et sans son consentement; le paragraphe ne confère pas à la société d'assurance la capacité de communiquer ces renseignements à une autre entité qu'à un organisme gouvernemental ou d'enquête. De plus, vous avez raison, les sociétés d'assurance de personnes n'ont pas leur propre organisme d'enquête.

    L'ABC a son organisme d'enquête. Le Bureau d'assurance du Canada a peut-être un organisme d'enquête. Cependant, l'industrie de l'assurance des personnes n'en a pas.

    À ce sujet, qu'en est-il d'une organisation gouvernementale, ou d'une division d'une telle organisation — y a-t-il un ministère en position de surveillance auquel vous pouvez avoir recours dans ce cas?

    Il n'y en a pas dans le cas d'une enquête ayant trait à une fraude dans le cadre d'un régime collectif. Il y a le BSIF, et il y a les surintendants des assurances des provinces.

    Permettez-moi de vous donner un exemple de situation dans laquelle une fraude peut être commise par un employé, non pas un employé de l'assureur, mais dans le cadre d'un régime d'avantages sociaux offerts par l'employeur. L'employeur peut faire affaire avec un assureur pour ses assurances relatives aux soins de santé et dentaires, et avec un autre pour les sinistres d'invalidité, et un employé inscrit au régime peut frauder les deux assureurs. Ceux-ci ne peuvent communiquer. Ils peuvent recueillir et utiliser des renseignements dans le cadre de leur propre régime pour régler ce cas de fraude, mais ils ne peuvent communiquer avec l'autre et dire « Écoutez, nous savons que nous avons un promoteur de régime commun. Notre employeur est notre client. » Il a un employé mal intentionné qui fait des réclamations frauduleuses, et nous ne pouvons communiquer avec lui au sujet de l'identité de cette personne. C'est là que nous sommes bloqués, tandis qu'en vertu des lois de la Colombie-Britannique et de l'Alberta, nous sommes autorisés à partager les renseignements, aux fins d'enquête, ainsi que de soutien et de protection de nos clients communs.

    Quel est le mécanisme précis qui permet de régler ce problème en Colombie-Britannique et en Alberta?

    De façon précise, il s'agit de la capacité de divulguer des renseignements sans le consentement de l'intéressé. Je peux vous donner les numéros des articles. En Alberta, c'est l'alinéa 20m). Il est possible de communiquer les renseignements, lorsque c'est raisonnable, aux fins d'enquête ou de procédure judiciaire. L'alinéa correspondant en Colombie-Britannique est l'alinéa 18(1)c). La LPRPDÉ, au contraire, nous restreint; nous devons avoir un organisme d'enquête commun.

    De plus, je pense que quelqu'un du milieu bancaire a affirmé, dans un témoignage présenté l'autre jour, que même les organismes d'enquête ne peuvent communiquer entre eux. Il ne s'agit donc que d'une petite lacune très claire.

    Très bien.

    Reste-t-il du temps, monsieur le président?

    Non.

    C'était très clair -- toujours droit au but. Merci.

    Une dernière chose à ce sujet, madame Philp; si nous prenons l'exemple d'un couple, dont les deux membres sont inscrits à des régimes d'assurance différents, et disons qu'il y a une réclamation pour des soins dentaires, et que le mari présente cette réclamation. Vous savez que nos formulaires comportent la question « Êtes-vous protégé par une autre société d'assurances, oui ou non? » Supposons que le mari répond « Non », que sa femme présente une réclamation en son nom. Il n'y a donc qu'une réclamation, mais présentée à deux sociétés d'assurances différentes. Les deux sociétés d'assurances n'ont aucun moyen de savoir -- ou peuvent-ils savoir? Je pose la question de savoir s'il existe un moyen pour ces deux sociétés d'assurances d'apprendre que quelqu'un a présenté deux fois la même réclamation, et obtenu paiement dans les deux cas?

    Il s'agit d'un excellent exemple de situation dans laquelle nous ne pouvons communiquer. Nous ne pouvons pas dire « Nous avons ici M. Jean Tremblay, et nous savons qu'Irène, sa femme, est inscrite à un régime chez l'autre assureur, et nous pensons qu'ils ont présenté la même réclamation dans le cadre des deux régimes. »

    Au bout du compte, nous finissons par le savoir, et nous disons à la personne inscrite à notre régime « Désolé, vous êtes protégé par un autre régime. » Nous réglons le problème de façon indirecte.

    Dans cet exemple, ne pourriez-vous pas faire part de vos soupçons aux autorités et leur demander d'enquêter? En passant, d'où viennent vos soupçons, si vous ne pouvez obtenir les renseignements?

    Nous pouvons avoir des soupçons, qui peuvent nous venir d'indications. Il arrive que des gens nous appellent. Nous pouvons détecter des irrégularités dans les réclamations. De temps à autre, nous effectuons un examen des réclamations. Je ne sais pas exactement comment cela se passe. Je pourrais m'informer, parce que je sais que cela s'est déjà produit, et je ne sais pas comment nous avons appris ce qui se passait. Je ne peux vous en dire plus maintenant, mais je pourrais vous en reparler, si c'est utile pour vous.

    Ce n'est peut-être pas une bonne idée, parce que, après, on saura comment faire.

    C'est vrai.

    De toute façon, la question que je vous pose, c'est que si vous avez des soupçons, vous pourriez en faire part à la police et lui demander d'enquêter, n'est-ce pas?

    En effet. Nous pouvons lui remettre notre dossier. La police pourrait obtenir davantage de preuves si elle savait ce qui se passe. Il faudrait qu'elle demande des renseignements à l'autre assureur. Celui-ci devrait peut-être dire « Vous devez nous donner une citation à comparaître. Nous ne pouvons divulguer les renseignements personnels à moins qu'il y ait... »

    J'ai compris. D'accord.

    Monsieur Vincent, vous disposez de cinq minutes.

    Merci.

     J'aimerais que alliez à la page 13 de votre mémoire. On y dit ceci:

    Voici ma première question. Est-ce à dire que si vous perdez ou vous vous faites voler des renseignements, il ne sera pas nécessaire d'en parler à qui que ce soit, que l'industrie va décider ce qu'elle va faire à ce sujet?

    Je continue:

    Selon mon interprétation, si vous perdez ou vous vous faites voler des renseignements personnels qui me concernent, vous allez décider à ma place si la situation peut ou non me porter préjudice. Je poursuis ma lecture:

    Si je comprends bien, peu importe la situation, c'est vous qui jugerez s'il est nécessaire de m'aviser, dans le cas d'une perte ou d'un vol de renseignements personnels.

    Je pense qu'il est nécessaire d'exercer une certaine discrétion. On parlait plus tôt d'informations cryptées. Dans de telles circonstances, étant donné qu'elles ne peuvent être utiles à personne, il est peut-être plus dommageable de les transmettre au public que de les garder confidentielles. C'est un facteur.

    C'est plus dommageable pour votre organisation.

    C'est le cas aussi pour les consommateurs. On crée chez eux une insécurité.

    Par ailleurs, on parlait plus tôt des renseignements qui se retrouvaient sur toutes les listes de télémarketing. S'ils sont déjà sur toutes ces listes, il n'est peut-être pas nécessaire d'en faire une divulgation particulière.

    C'est dans cette optique que nous préconisons de fonder les décisions sur la gestion des risques. Ceux-ci peuvent exister, ne pas exister ou être peu significatifs. Dans certains cas, l'information peut créer plus de problèmes qu'elle n'en règle. De plus, comme nous le disons dans notre mémoire, ce n'est pas la compagnie à elle seule qui prend la décision. Elle consulte le commissaire à l'information et le régulateur.

    Ce n'est pas ce que j'ai compris à la lecture de votre mémoire. Je n'essaie pas de vous mettre en boîte: j'essaie simplement de comprendre. Nous avons tous des assurances. J'aimerais être assuré qu'on m'aviserait, sans que ce soit vous qui jugiez de la pertinence de le faire, dans le cas où mes renseignements personnels seraient perdus ou volés, ou encore transmis à quelqu'un par un de vos employés. Ce ne serait peut-être pas bon pour votre image. Il reste que pour moi, ces renseignements peuvent être d'une importance cruciale. Cette situation pourrait être plus propice à un vol d'identité que vous ne l'imaginez.

    En fait, ce n'est pas la compagnie qui décide, elle réfère cela au commissaire.

    Je ne vois aucune mention du commissaire dans votre mémoire. En fait, il est question de l'organisation qui perd des renseignements personnels, on parle de l'organisation qui doit analyser la situation, mais nulle part il n'est question de transmettre ces renseignements au commissaire. Vous jugez si c'est pertinent ou non, si le fait de les avoir perdus est grave ou non. Je ne vois nulle part que vous allez aviser quelqu'un, mais je lis que vous allez décider relativement à ce que vous avez dit. Je ne fais que lire ce qui est écrit dans votre mémoire. Il faudrait que vous m'expliquiez si mes renseignements personnels sont en sécurité chez vous.

    Vos renseignements personnels sont en sécurité chez nous, c'est certain. Je comprends que vous voudriez qu'un avis public soit donné chaque fois qu'il y a une possibilité de bris d'information.

    Ou que ce soit transmis au commissaire, comme vous le disiez. Il faudrait qu'un avis soit remis tout de suite au commissaire, qui pourrait décider si ces informations doivent être transmises aux personnes qui ont été volées, par exemple, ou d'annoncer publiquement que quelqu'un a perdu les informations. Le commissaire pourrait décider, au lieu de l'organisation. Qu'en pensez-vous?

    Je pense que c'est une bonne question. Votre suggestion est probablement très intéressante. Je pense que, de toute façon, un assureur va le faire s'il y a un bris d'information important. Il est certain qu'il devra prendre des décisions pour la gestion des risques, ne serait-ce qu'avec le régulateur d'assurances, par exemple. Le surintendant des institutions financières surveille la gestion des risques. Il y a des règles précises sur la gestion des risques qui s'appliquent aux assureurs. À ce moment-là, le surintendant des institutions financières devra être avisé, s'il y a bris de risque, s'il y a un risque pour la réputation de l'entreprise ou s'il y a un accroissement du risque d'affaires. Toutes ces choses doivent être divulguées au régulateur.

    D'accord. Merci.

    M. Vincent soulève une question très importante, et je tiens à ce que nous y répondions.

    L'industrie préconise une approche fondée sur les risques en matière d'avis. Mais qui évalue les risques? Est-ce l'entreprise qui doit le faire seule, est-ce qu'elle doit le faire conjointement avec la Commissaire à la protection de la vie privée, ou est-ce la Commissaire à la protection de la vie privée qui s'en charge? Autrement dit, qui décide que l'atteinte à la sécurité est importante?

    C'est ce que M. Vincent veut savoir, alors tâchons d'obtenir une réponse claire.

    Monsieur le président, pour déterminer si l'atteinte à la sécurité est importante, on rassemble l'information et les ressources de tous ces intervenants, non seulement la Commissaire à la protection de la vie privée et l'entreprise, mais aussi le juricomptable, si c'est indiqué, et notre organe de réglementation financière, qui serait avisé au même moment que la Commissaire à la protection de la vie privée.

    L'une des préoccupations à cet égard, c'est que si on enchâsse dans la loi des dispositions très spécifiques nous obligeant à toujours appliquer la même procédure en toute circonstance, on peut finir par appliquer les mesures prévues à l'heure actuelle, mais devoir se plier à un ensemble de règles particulier.

    Je crois que ces règles sont respectées; je crois qu'on fait preuve de diligence raisonnable lorsqu'on tente de déterminer si un avis a été signifié. Mais il s'agit d'une démarche conjointe, où tous les intervenants regroupent leurs efforts.

    Je comprends votre argument selon lequel l'enchâssement de dispositions dans la loi pourrait se révéler trop contraignant, selon les circonstances. Je crois que nous comprenons tous cela.

    Oui.

    Mais, juste pour que ce soit clair, n'êtes-vous pas d'avis que c'est l'entreprise et l'entreprise seule qui devrait déterminer si l'atteinte à la sécurité est importante? C'est votre position, n'est-ce pas?

    Une foule de facteurs incitent l'entreprise à tenir compte de ce que disent l'organisme de réglementation financière et la Commissaire à la protection de la vie privée et à se soucier de sa réputation et d'autres aspects, mais, au bout du compte, sous le régime des règles actuelles, c'est l'entreprise qui décide.

    Eh bien, c'est exactement ça, le problème. À l'heure actuelle, c'est l'entreprise et l'entreprise seule qui décide, à moins que quelqu'un ne se plaigne et fasse appel au Commissaire à la protection de la vie privée. C'est exactement ça.

    Et c'est ça la réponse, n'est-ce pas?

    Mais je tiens à ajouter qu'il est courant, d'après les situations dont j'ai pris connaissance, pour nos entreprises de communiquer d'abord et avant tout avec la Commissaire à la protection de la vie privée et notre organisme de réglementation.

    C'est entendu. J'essayais seulement de déterminer comment cela se déroule. Au bout du compte, c'est l'entreprise qui détermine ce qui constitue une atteinte importante, n'est-ce pas?

    C'est ce que je crois comprendre de la réglementation actuelle.

    Oui, moi aussi. D'accord.

    Passons maintenant à M. Van Kesteren, qui sera suivi par messieurs Peterson et Tilson.

    Merci, monsieur le président.

    Je suis d'avis — je l'ai déjà dit hier — que l'industrie de l'assurance aurait probablement pu écrire un livre sur la protection des renseignements personnels. Je crois que vous avez fait du bon travail. Je crois qu'il y a toujours place à l'amélioration. Nous avons entendu des questions fantastiques, et nous avons besoin d'orientation à certains égards.

    Une chose me préoccupe, par contre. J'ai déclaré hier que la majeure partie de cet enjeu tient à la naissance de l'ère de l'information et de choses qu'aucun de nous ne pouvait prévoir ou anticiper.

    J'aimerais poser une question, et je crois que je devrais l'adresser à vous, madame Philp. Avec Sun Life, par exemple, ou dans l'industrie de l'assurance en général, lorsque vous exercez vos activités à l'étranger, comme en Chine... je crois savoir que, dans ce cas particulier, vous jouissez d'un avantage sur les autres entreprises, dans la mesure où vous êtes doté d'un système intégré. Dans un contexte comme celui de la Chine, où ils sont propriétaires à 50 p. 100 ou le gouvernement est un partenaire, quelles sortes de mesures de protection pouvez-vous offrir lorsque vous êtes doté d'un système intégré? Par exemple, dans le cas du gouvernement de notre pays, je crois que notre police d'assurance a été souscrite chez Sun Life. Quelles mesures de protection permettent de veiller à ce que cette information ne soit pas divulguée?

    Je ne sais pas exactement quels systèmes nous partageons avec la Chine, ni même si nous en partageons. Je crois que nos activités là-bas sont tout à fait distinctes. Je suis pratiquement certaine qu'il n'y a pas de partage de notre accès à l'information du Canada avec la Chine, à part, peut-être, à l'échelon des affaires, pour les administrateurs, et des résultats financiers de l'entreprise, par opposition aux renseignements personnels.

    Quant au Régime de soins de santé de la fonction publique géré par Sun Life, aucune personne à l'extérieur du Canada ne peut accéder à l'information concernant ce régime.

    D'accord.

    L'autre chose qui m'intéresse concerne ce que vous avez mentionné au sujet des demandes présentées par des avocats. Je suppose qu'ils obtiendraient l'accès en vertu de la Loi sur l'accès à l'information. Une partie de cette information est utilisée dans le cadre de procès — ai-je bien compris? Est-ce un aspect qui devrait être prévu, peut-être dans le Code criminel, afin que l'information obtenue au moyen des mécanismes d'accès à l'information ne soit pas admissible devant un tribunal? Vous êtes-vous penchés sur cette question?

    Frank pourrait peut-être répondre à cette question.

    C'est vraiment un aspect qui doit être examiné dans le contexte de la loi régissant la protection des renseignements personnels, car c'est dans cet instrument qu'on prévoit le droit d'accès et qu'on établit une liste d'exemptions. Dans notre mémoire, nous mentionnons l'exemple du Québec, où l'on a examiné la situation et conclu que certains renseignements ne devraient pas toujours nécessairement être accessibles en tout temps. Il faut analyser la situation et déterminer où la divulgation de cette information pourrait nous mener. Ce n'est pas le but de la loi relative à la protection des renseignements personnels, du moins celle du Québec. On a donc pris des mesures supplémentaires en vue de limiter davantage les situations où l'information peut être divulguée. Or, la démarche du Québec se compare davantage à la LPRPDÉ qu'à toute autre loi.

    Alors, il suffit de modifier certaines règles?

    Oui, il suffit de faire cela et d'examiner la règle adoptée par le Québec et tenter d'adopter une règle qui abonde dans le même sens.

    D'accord, c'est tout.

    Monsieur Peterson.

    Monsieur Zinatelli, vous dites que lorsqu'il y a atteinte à la vie privée, il est pratique courante pour les entreprises d'aviser systématiquement la Commissaire à la protection de la vie privée. Croyez-vous qu'une telle façon de faire devrait être rendue obligatoire?

    À vrai dire, dans les cas dont j'ai eu connaissance, il y a eu signification d'avis. Est-ce que cela devrait être obligatoire? Je crois que la question de l'établissement d'un processus obligatoire devrait être envisagée plus tard. Et je vais vous donner l'une des raisons pour lesquelles nous devons le faire plus tard.

    Mais pas aujourd'hui.

    Et cette raison, c'est que diverses parties, dont la Commissaire à la protection de la vie privée, élaborent actuellement toutes sortes de règles relatives aux avis.

    Le président nous a parlé de deux autres situations où, si je ne me trompe pas, l'Ontario et une autre province...

    La Colombie-Britannique.

    ... ont adopté de telles lignes directrices.

    Alors, attendons de voir quel sera le consensus à l'égard de la nature de ces règles, et nous pourrons décider ensuite.

    Je suis d'accord. Merci.

    Madame Philp, dans votre exposé, vous vous êtes surtout attachée au fait qu'une harmonisation pourrait se révéler avantageuse. Avez-vous établi une estimation du temps perdu en raison de double emploi et du chevauchement des lois provinciales? Avez-vous des histoires d'horreur à nous raconter? À quel point les chevauchements sont-ils marqués? Je suis certain que vous pouvez en voir beaucoup, du point de vue de votre entreprise.

    Oui, j'en vois, et je le vois lorsque nous sommes confrontés aux actes frauduleux commis non pas par nos employés, mais bien par les employés d'un employeur. Et ma première question vise à déterminer dans quelle province nous sommes -- au Québec, en Colombie-Britannique ou en Alberta -- , car je veux savoir comment nous allons composer avec la situation et déterminer si nous devons obtenir le consentement de la personne visée pour divulguer l'information à d'autres parties.

    Et il y a d'autres situations où nous assurons l'administration du régime d'avantages sociaux autogéré d'un employeur. Nous agissons à titre non pas d'assureurs, mais bien de mandataires; nous nous chargeons de l'administration. Lorsqu'un employé -- l'employé d'une telle entreprise -- commet un acte frauduleux, nous ne pouvons divulguer cette information à l'employeur sans le consentement de l'employé que si nous sommes en Alberta ou en Colombie-Britannique.

    Merci.

    Je tiens à vous dire à quel point j'apprécie vos exemples précis sur la façon dont nous pourrions éliminer les doubles emplois et les chevauchements.

    La chambre a dit de ne pas modifier la LPRPDÉ pour l'instant. Seriez-vous disposé à changer votre position et à nous permettre d'apporter les changements mis de l'avant par les assureurs, concernant les doubles emplois et les chevauchements, afin de favoriser une harmonisation accrue?

    C'est un aspect qui nous préoccupait beaucoup, en particulier à l'époque où la Colombie-Britannique et l'Alberta examinaient leurs lois respectives, surtout lorsqu'on a commencé des démarches à l'échelon fédéral. C'était environ à la même époque.

    J'entendais constamment des membres mentionner à quel point cette situation les inquiétait. Il y a des cas particuliers, et je crois qu'on vous a très bien décrit les aspects à l'égard desquels il y a peut-être encore des préoccupations. Mais, de façon générale, si vous me demandez si cette question préoccupe toujours l'ensemble de mes membres, je vous répondrais non. Alors, je n'ai rien de particulier à vous suggérer, et je n'ai certainement aucune intention de contester les dires de nos amis du secteur des assurances de personnes.

    David, avez-vous quelque chose à ajouter? Non? D'accord.

    Merci, monsieur Peterson.

    Monsieur Tilson, et ensuite M. Dhaliwal. C'est la dernière personne qui figure sur ma liste pour l'instant.

    D'accord, merci.

    Je tiens à signaler aux témoins de la Chambre de commerce que je représente une très belle localité ontarienne qui porte le nom d'Orangeville.

    Parlez-vous d'Orange County?

    L'un de vos membres, l'un des membres de la chambre de commerce locale de cette collectivité savait que je suis membre du comité —j'y siège depuis un certain temps —, et il m'a dit qu'il trouvait les dispositions de la LPRPDÉ tout à fait embêtantes. Il a dit que c'est un exemple de... Pour certaines promotions qu'il lance, si une personne fait affaire avec lui relativement souvent, il possède le nom, l'adresse et le numéro de carte de crédit ainsi qu'une foule d'autres renseignements au sujet de personnes. Alors, chaque fois qu'il lance une promotion à l'intention de ses clients, il doit obtenir le consentement de ses clients.

    J'aimerais donc savoir si la chambre de commerce, à l'échelon local, provincial ou national, a procédé à une analyse de rentabilisation liée à l'application de la LPRPDÉ par les entreprises.

    En deux mots, monsieur le Président, non, nous n'avons effectué aucune analyse de ce genre. Et l'application de cette loi et son incidence sur les entreprises n'est pas bien différente de celles de la plupart des lois.

    Eh bien, disons qu'il le fait depuis longtemps et qu'il a l'habitude de le faire, mais, d'après ce qu'il m'a dit, il a eu beaucoup de mal au début.

    Qu'un si grand nombre d'entreprises s'adonnent à une si grande diversité d'activités pour attirer des clients, c'est le propre d'un marché dynamique où la concurrence est féroce. Peu, selon moi, se plaignent de devoir se plier à une loi. Est-ce devenu un thème récurrent?

    Monsieur Gray, vous allez probablement convenir du fait que cette question ne fait pas l'objet de plaintes répétées de la part des membres. Je ne veux d'aucune façon minimiser la préoccupation soulevée par cette entreprise, mais cela ne reflète pas l'opinion générale, selon moi.

    Je m'excuse, mais si vous me permettez d'interrompre, je connais M. Nelson aussi. Je ne connais pas les détails de la situation de votre commettant, mais je ne suis pas certain qu'il doive nécessairement obtenir le consentement chaque fois qu'il lance une promotion. Je crois qu'il y a des façons d'obtenir une forme de consentement global.

    Il peut obtenir un consentement général. Ce n'est pas la question. Que pensez-vous de ces choses?

    Oui, et je suis certain que sa chambre de commerce pourrait l'aider s'il communiquait avec elle.

    Monsieur Murphy, je crois que c'est vous qui avez signalé que la Commissaire a témoigné devant notre comité à plusieurs reprises, et qu'elle a déclaré qu'une grande part de ses activités consiste à informer le public. C'est à cela qu'une grande part de son budget est consacrée : informer le public au sujet de cette question. Vous avez déclaré, je crois, que votre site Web fournit de l'information sur la LPRPDÉ.

    Oui, c'est exact.

    Est-ce que cette information est accessible actuellement?

    Certainement, oui.

    Fournissez-vous un lien permettant d'accéder au site de la Commissaire à la protection de la vie privée?

    Si vous me permettez de vous interrompre, monsieur Tilson, Mike et moi-même avons parlé de cela hier, et, aujourd'hui, nous nous intéressons au processus. L'information est là, mais, à la lumière de ce qui ressort de notre témoignage, nous allons prendre des mesures pour que les membres la trouvent plus facilement. Nous allons établir un lien permettant d'accéder directement au site Web de la Commissaire à la protection de la vie privée, où les membres trouveront de nombreux outils efficaces. Nous offrons également un accès à l'information à laquelle Mike a fait allusion précédemment —nos clauses de contrat et nos modèles —, et nous veillerons à ce que les membres les trouvent plus facilement.

    Si vous me permettez de revenir en arrière un instant, je me charge des questions touchant la protection des renseignements personnels à la chambre de commerce. D'ailleurs, demain, nous allons rencontrer des représentants de l'ACTI et de l'ACM en vue de discuter de l'adoption de principes plus rigoureux en matière d'éducation du public et de la façon dont nous pourrions collaborer à cet égard, et de commencer à réfléchir à ce projet de lignes directrices relatives aux avis d'atteinte à la vie privée.

    Je tiens à répéter aux membres du comité que la démarche va dans les deux sens. D'ailleurs, nous diffusons un bulletin d'information aux deux semaines et nous tenons toujours les membres au courant de ce qui se passe dans le domaine de la protection des renseignements personnels et d'autres questions. Mon nom et les dossiers dont je suis responsable sont indiqués sur le site Web, alors les membres peuvent toujours me donner un coup de fil, surtout les petites entreprises qui ne possèdent pas les ressources nécessaires pour le faire elles-mêmes.

    Et, dans le domaine de l'assurance, y a-t-il un volet d'informations du public dans vos sites Web?

    Nous travaillons avec nos entreprises membres. De fait, l'une des raisons d'être de notre association est de veiller à ce que nos membres soient au courant de faits nouveaux dans le domaine de la protection des renseignements personnels. D'ailleurs, quand le projet de loi a été déposé, en 1994 et encore en 2001, et lorsque la loi albertaine est entrée en vigueur, nous avions préparé, par exemple, en collaboration avec les organismes de réglementation et nos sociétés membres, des listes de questions et réponses permettant à nos entreprises d'avoir les bons renseignements, des renseignements à jour, et d'informer ensuite leurs clients, comme l'a déclaré Mme Philp plus tôt. L'éducation de nos membres compte vraiment parmi nos principales fonctions.

    Cette série de questions faisait suite aux questions de M. Pearson au sujet de la rétroaction que vous avez reçue. Je vous remercie d'avoir philosophé sur les préoccupations éventuelles de vos membres, des deux groupes. Vous nous les avez toutes présentées.

    Monsieur Tilson, vos six minutes sont presque écoulées.

    D'accord.

    Monsieur Dhaliwal, nous pouvons vous inscrire de nouveau sur la liste si vous voulez poser une autre question.

    Merci, monsieur le président. Ma question est pour MM. Murphy et Gray.

    Quand vous mettez de l'avant des recommandations selon lesquelles vous ne voulez aucun changement ou toute autre recommandation, sont-elles formulées unilatéralement par votre organisme, ou tenez-vous compte de l'opinion des autres petites chambres de commerce? Avez-vous fait appel à leurs commentaires au moment de formuler ces recommandations?

    Les idées que nous avons exprimées découlent d'une croyance fondamentale selon laquelle, pour composer avec... J'ai deux choses à dire sur la question. Tout d'abord, pour la plupart de nos membres, et cela comprend certainement les chambres de commerce plus modestes, nous ne nous intéressons à cette question que depuis trois ans, ce qui, dans le contexte de l'adoption de lois au Canada n'est pas bien longtemps.

    Ajoutez à cela les commentaires du Commissariat à la protection de la vie privée... et je crois que l'arrivée de la commissaire actuelle a presque coïncidé avec cette période, en janvier 2004, où la majorité des entreprises canadiennes ont été assujetties à la loi.

    Comme la commissaire elle-même vous l'a dit, elle a de nombreuses préoccupations à cet égard, car elle doit se charger de questions internes au lieu de s'intéresser au travail fondamental lié à la mise en oeuvre de la loi.

    En conséquent, le processus ne fait que commencer, et nos recommandations reflètent ce fait.

    Pour ce qui est de déterminer si cela touche l'ensemble de nos membres, je dirais que oui, tout à fait. Lorsqu'on en est à la troisième année d'un projet de loi, en particulier un projet de loi qui influe sur un si grand nombre de nos membres, on ne peut que conclure que la démarche est préliminaire.

    Le fait de modifier la loi aujourd'hui, au moment où nombre de membres s'affairent toujours à en assimiler le contenu et à se donner les outils nécessaires pour appliquer les éléments importants qu'elle contient, compliquerait inutilement les choses, selon moi.

    Laissez-moi seulement ajouter que le mémoire que nous avons présenté à la Commissaire à la protection de la vie privée en septembre était fondé sur une résolution stratégique adoptée par la chambre canadienne à l'occasion de son assemblée générale annuelle de 2005, à laquelle toutes les chambres locales assistent. Cette résolution a donc été adoptée par plus de 250 membres à l'échelon local. Nous insistons énormément sur la base et sur sa mise en valeur, et notre démarche découle de ce principe.

    Mais la chambre est également dotée d'un comité interne qui s'intéresse aux questions touchant la protection des renseignements personnels. Bien sûr, les membres de ce comité me font part de leurs commentaires -- et il en va de même de nos entreprises membres, et c'est de cette façon que nous avons préparé notre mémoire vers la fin de l'été. J'avoue qu'il a été difficile d'amener certaines personnes à travailler sur ce dossier pendant que s'écoulent les derniers moments de la saison estivale, mais notre mémoire résume les opinions de tous les intervenants, c'est-à-dire la chambre et ses entreprises membres ainsi que nos autres associations, comme le Conseil canadien du commerce de détail. Tout le monde a contribué à l'élaboration de ce document condensé.

    Ma prochaine question, monsieur le président, est destinée à M. Gray.

    C'est une bonne initiative de votre part, d'avoir versé dans votre site Web de l'information sur la LPRPDÉ, mais, comme l'a dit M. Pearson, toutes ces petites entreprises ont leurs propres défis à relever si elles veulent renforcer leur position, car elles sont la colonne vertébrale de toute collectivité.

    Vous serait-il possible de fournir cette information sous une forme très simplifiée, en langage courant, afin que ces gens puissent consulter le site Web et prendre connaissance de cette information?

    C'est une très bonne question. Mike Murphy et moi-même en parlions justement hier. Lorsque nous avons consulté notre site Web, nous avons constaté que l'information n'est pas aussi facile à trouver qu'elle pourrait l'être. Alors, nous nous affairons — aujourd'hui même, et nous espérons offrir un accès à cette information sur le site Web principal dès lundi — à ajouter un message selon lequel nos modèles sont là et de l'information sur ce que nous avons établi précédemment. En outre, notre site Web principal s'assortira d'un lien permettant d'accéder au site Web du Commissariat à la protection de la vie privée. Cela va aider les membres à mieux se préparer.

    Pour donner suite à cette démarche, Mike a également mentionné que nous allons relancer une campagne de sensibilisation — nous avons un bulletin d'information bimensuel.

    Alors, nous faisons tout notre possible pour informer les gens. Cela dit, à la lumière de mon expérience des dernières années au sein de la chambre, les membres ne posent qu'assez rarement des questions sur ce sujet, alors je crois savoir qu'ils comprennent les obligations et les responsabilités que leur confère la loi.

    J'apprécie tout le travail que font les chambres de commerce, mais c'est une question à l'égard de laquelle je crois — car je suis moi-même exploitant d'une petite entreprise et membre de la chambre de commerce — que nous n'avons pas réussi à transmettre l'information aux petites entreprises. Vous pourriez peut-être offrir un lien permettant d'accéder aux divers organismes locaux comme les chambres de commerce locales, afin qu'ils puissent reproduire cette information sur leurs sites Web. Ce serait un pas en avant pour ce qui est d'informer la petite entreprise.

    Merci. Nous prenons bonne note de cette recommandation.

    Merci beaucoup.

    Monsieur Gray, je crois que vous ne devriez pas tenir pour acquis que les gens comprennent parce qu'on ne vous pose pas beaucoup de questions. C'est, du moins, ce que je pense. Je crois que c'est peut-être même le contraire. Sils ne comprennent pas ce dont il s'agit, ils ne consulteront pas la section d'information, ils n'y prêteront même pas attention et, par conséquent, ne vous poseront aucune question.

    Je suis d'accord. Nous ne recevons pas beaucoup de questions à ce sujet, c'est vrai, mais, pour revenir à la question de M. Dhaliwal, nous allons revoir nos communications relatives à ce dossier, si vous voulez. J'en suis presque à espérer que cela va stimuler la discussion afin qu'un plus grand nombre d'organismes — y compris les PME — comprennent. Si elles ont des questions, nous les invitons à nous téléphoner, et nous pourrons les aider.

    Je ne suis pas concepteur de page Web; de fait, je dois admettre que j'utilise rarement mon ordinateur. Mais ne vous contentez pas d'utiliser l'acronyme LPRPDÉ, car personne ne sait de quoi il s'agit.

    Oui.

    Parlez plutôt de « questions liées à la protection des renseignements personnels », ou quelque chose comme cela.

    Oui, c'est ce que nous avons fait.

    D'accord. Bon.

    Monsieur Tilson.

    Merci.

    Au risque de me faire accuser par le président de vous contre-interroger, j'aimerais poser une question.

    Ma question porte sur le pouvoir discrétionnaire de l'entreprise, ce qu'il a tenté de préciser, de déterminer, pour quelque raison que ce soit, s'il faut aviser les clients. C'est ce que croient comprendre les deux groupes, si je comprends bien.

    À vrai dire, si vous me permettez d'apporter une précision, je dirais qu'en général, la décision appartient tout d'abord à l'organisme, mais qu'au bout du compte, c'est la Commissaire à la protection de la vie privée du Canada qui doit trancher.

    Mais il n'y a aucune obligation de signaler cela à la Commissaire à la protection de la vie privée.

    Pas immédiatement.

    Jamais, plutôt.

    Eh bien, dans un grand nombre de cas, ce n'est certainement pas la voie que nous recommanderions.

    Mais personne ne le saura jamais.

    Si vous consultez la loi, il en va de même lorsque vient le temps de déterminer quelle forme de consentement doit être utilisée. C'est la même chose lorsque vient le temps de déterminer jusque où peut aller l'accès aux renseignements personnels que vous avez dans vos dossiers. C'est la même chose lorsque vient le temps de déterminer, finalement, ce qu'on peut considérer comme des renseignements personnels.

    Dans tous ces cas, l'organisme doit nécessairement prendre la décision initiale. Mais la Commissaire à la protection de la vie privée a le dernier mot, si on l'invite à trancher, et elle peut publier ses conclusions afin que tous les organismes puissent en tirer des leçons et tirer avantage de ces directives pour aller de l'avant.

    Je comprends. Les cas récents mentionnés dans les médias, et la découverte de renseignements personnels dans un parc à ferrailles en Virginie occidentale, il y a un an, sont si extrêmes. Si de telles affaires avaient été étouffées et avaient fini par s'ébruiter, l'image publique des entreprises, des banques ou des sociétés de crédit aurait souffert terriblement. Ils ont bien réagi. Mais je suppose qu'il y a des situations d'une gravité beaucoup moindre où une entreprise décide, pour une raison ou une autre, de n'aviser personne, qu'il s'agisse de la Commissaire à la protection de la vie privée, du client concerné ou de la clientèle.

    Ce qui m'amène à la question du commerce international dont vous avez parlé, avec la Chine ou avec d'autres pays. Tout autre pays qui a des filiales ici ou qui exerce des activités au Canada, dans le domaine de l'assurance ou dans un autre domaine, n'est pas tenu de signaler quoi que ce soit, n'est-ce pas? Si une telle entreprise est avisée d'une atteinte à la vie privée, il n'y aura aucune répercussion si elle garde le silence. N'est-ce pas?

    J'essaie de comprendre vos exemples.

    D'accord. Évidemment, ce qui s'est passé récemment à l'égard de la question de la signification d'avis me laisse perplexe. Des personnes ont trouvé d'énormes quantités de renseignements personnels, des noms et des numéros d'assurance sociale. Devrait-on aviser les gens?

    La réponse qui semble se dégager des témoignages, c'est qu'on va parler s'il y a des signes d'activités frauduleuses. Mais autrement, il n'y a aucune obligation; cela ne crée même pas une obligation. Rien n'oblige une société, qu'elle soit canadienne ou étrangère, à révéler quoi que ce soit à la Commissaire à la protection de la vie privée et aux clients.

    Je crois qu'il y a peut-être bien une obligation dans un grand nombre de cas.

    Pardon?

    La Commissaire à la protection de la vie privée se penche actuellement sur certains de ces systèmes.

    Comme nous l'avons déjà mentionné, nous travaillons avec le commissariat en vue d'élaborer un ensemble de lignes directrices brèves relatives à la signification d'avis. Mais la commissaire a tout le loisir de diffuser ces conclusions au cas par cas lorsque de tels problèmes surviennent. Je crois que, tout récemment, nous l'avons vue ouvrir une enquête sur T.J. Maxx.

    Cela va mener à la formulation d'une conclusion qui nous permettra de savoir que, dans ce genre de cas, lorsqu'il y a une telle quantité d'informations en jeu, on a le devoir de signifier un avis ayant telle ou telle forme. Je crois que ces outils sont déjà là.

    D'accord. De toute façon, la position mise de l'avant dans votre résumé, c'est qu'il faut attendre un peu, et que vous espérez qu'on mette sur pied des lignes directrices ou un code déontologique, ce dont quelqu'un a déjà parlé, et qu'on mette à l'essai de tels mécanismes avant de s'appuyer trop sur l'adoption de lois.

    C'est essentiellement la position des deux groupes. Effectivement, vous faites oui de la tête, tous les deux.

    Oui.

    Merci, monsieur le président.

    Merci, monsieur Tilson.

    Notre dernier intervenant sera M. Vincent.

    Merci, monsieur le président.

    Je vais poursuivre dans la même veine que tout à l'heure. Je suis perplexe. S'il y a un vol ou quelque chose qui se passe dans une de vos organisations, vous estimez avoir le loisir de dévoiler ou de faire quelque chose, que ce soit au niveau de la Chambre de commerce du Canada, des entreprises ou, comme j'ai pu comprendre, des assurances.

    La loi ne pourrait-elle pas prévoir, dès qu'un parti prend connaissance d'un vol ou de quelque chose du genre, qu'on avise le commissaire afin qu'il mène une enquête pour connaître les répercussions d'un tel événement sur les renseignements personnels des gens qui font affaire avec vos organisations?

    Ne devrait-il pas y avoir un article dans la loi qui englobe ce genre de problématique, au lieu de laisser à l'organisation le soin de juger de la pertinence de dévoiler ou pas?

    En général, cela demeure un risque d'affaires. Je pense que l'entreprise doit s'assurer que le fait de divulguer une information n'entraînera pas un problème plus grand que la solution au problème. En ce sens, beaucoup de ces choses relèvent de la routine quotidienne. Des procédures seront automatiquement adoptées et les firewalls s'adapteront en conséquence. Les compagnies ont des systèmes de gestion des risques, et ces choses seront donc endiguées très rapidement. La procédure deviendra très lourde, si on est obligé de notifier à chaque fois le régulateur. Chaque cas le moindrement important sera traité conjointement avec le régulateur.

    Je suis d'accord avec vous. Si vous croyez que c'est important, le commissaire pourrait décider, sans que le processus soit lourd et mette la compagnie en péril, que c'est correct et qu'il n'ira pas plus loin dans ce dossier, qu'il n'a pas besoin de divulguer des renseignements. Toutefois, qu'une tierce personne prenne une décision dans un dossier donné sans laisser à la compagnie elle-même...

    Je comprends votre point de vue. Cela risque d'être plus dommageable pour la compagnie, mais pas pour le consommateur. Les consommateurs qui font confiance à une compagnie peuvent donner des renseignements personnels. Je ne parle pas seulement de vous, mais de l'ensemble des gens qui font confiance à cette compagnie et qui savent que leurs renseignements personnels sont en sécurité. Or, on s'aperçoit aujourd'hui que ce n'est plus si sûr.

    Notre recommandation avait pour but d'examiner ces choses et, au moyen de directives, d'établir une façon de faire qui profiterait à tout le monde et de ne pas passer complètement à un autre extrême, soit de devoir informer le commissaire de toutes les situations, ce qui pourrait être contre-productif pour la conduite des affaires.

    D'accord.

    J'ai demandé plus tôt à M. Murphy de parler d'Internet. En 2006, la Clinique d'intérêt public et de politique d'Internet du Canada a publié une étude portant sur 64 détaillants en ligne afin de savoir s'ils se conformaient à la loi. Cette étude a révélé qu'un certain nombre de détaillants ne respectaient pas les exigences fondamentales de protection des renseignements personnels.

    Croyez-vous que le problème mis au jour par cette étude reflète le fait que les entreprises ne sont pas au courant des exigences de la loi, n'en font aucun cas et espèrent ne pas se faire prendre, tout en continuant à fonctionner n'importe comment?

    C'est la principale question en ce qui concerne le volet relatif à l'éducation des entreprises, en particulier la nécessité de monter la barre, si vous me permettez l'expression, en ce qui concerne les connaissances, chose que la Commissaire à la protection de la vie privée considère comme l'un des objectifs de son bureau, et je crois qu'elle préférerait affecter davantage de ressources à cela qu'à certaines des choses qu'elle a dû faire au début de son mandat.

    Dans un monde idéal, tout le monde comprend les obligations que confère la loi. Je veux dire, est-ce le cas à l'heure actuelle? Je n'oserais jamais dire une telle chose, vu le nombre d'entreprises qui ont pignon sur rue, mais de notre point de vue, du point de vue je crois, des entreprises du Canada, pour ce qui est de s'adapter à cette loi, je reprendrai les paroles de la Commissaire à la protection de la vie privée et j'affirmerai que le système fonctionne bien. Je crois qu'elle a déclaré cela non seulement ici, mais ailleurs aussi. C'est sur cette prémisse fondamentale que nous amorçons la discussion. Alors, je crois que notre position de départ est relativement solide, et que nous cherchons des moyens d'améliorer continuellement la situation.

    Je m'en tiens à cela, monsieur le président.

    D'accord, ainsi, nous terminons sur une bonne note.

    Madame Philp, messieurs, je tiens à vous remercier au nom des membres du comité. Je suis certain que, à la lumière des questions qu'on vous a posées aujourd'hui, vous voyez que le comité s'intéresse énormément à cette question.

    Je vous souhaite bonne chance dans votre remaniement du site Web, et bonne chance avec vos membres. Je sais que, si j'étais exploitant d'une petite entreprise, cette loi, qui s'ajoute à de nombreuses autres lois que les gouvernements imposent aux entreprises, me laisserait perplexe. Alors, merci beaucoup d'avoir témoigné aujourd'hui et de nous avoir prodigué des conseils.

    Madame, messieurs les membres du comité, notre prochaine réunion aura lieu mardi à 9 h. Je serai probablement absent, alors j'ai demandé à M. Tilson d'assurer la présidence ce jour-là. Merci.

    La séance est levée.