ETHI Réunion de comité

    Monsieur le président, je m’appelle Mark Yakabuski. Si vous n’y voyez pas d’inconvénient, je vais prendre la parole en premier au nom du Bureau d’assurance du Canada.

    Pouvez-vous présenter vos collègues?

    Merci, monsieur le président.

    Je m'appelle Mark Yakabuski, et je suis vice-président aux Affaires fédérales et de l'Ontario du Bureau d'assurance du Canada. Mon collègue Randy Bundus est vice-président, conseiller juridique en chef et secrétaire général du Bureau d'assurance du Canada.

    Le BAC est heureux de pouvoir participer à l'examen de la Loi sur la protection des renseignements personnels et les documents électroniques, que j'appellerai loi fédérale sur les renseignements personnels pour abréger. Le BAC est l'association nationale qui représente les sociétés d'assurance habitation, automobile et entreprise.

    Nous avons participé activement à l'élaboration des lois sur la protection des renseignements personnels dans le secteur privé depuis le début des années 1990. Le BAC et ses membres sont des partisans très convaincus de la loi fédérale sur les renseignements personnels et des lois sur la protection des renseignements personnels de l'Alberta, de la Colombie-Britannique et du Québec.

    Ce matin, nous aimerions attirer votre attention sur trois points du mémoire que nous avons présenté au comité.

    Nous avons trois points à vous présenter. Nous savons que votre temps est précieux. Le premier point concerne les renseignements relatifs au produit du travail, question qui, nous le savons, a déjà été abordée par d’autres personnes qui ont témoigné devant le comité. Notre position sur les renseignements relatifs au produit du travail comprend deux éléments distincts, qui peuvent être réglés par une seule recommandation.

    La LPRPDE établit les règles régissant la collecte, l’utilisation et la communication des renseignements personnels, qui sont définis comme étant les renseignements concernant un individu identifiable. Toutefois, la Loi ne traite pas expressément des renseignements relatifs au produit du travail, c’est-à-dire les renseignements créés par une entreprise et ses employés au cours de leurs activités commerciales. Comme ce ne sont pas des renseignements personnels, ils ne sont pas assujettis à la LPRPDE. À notre avis, cependant, il est important de modifier la Loi pour reconnaître officiellement l’existence des renseignements relatifs au produit du travail. Permettez-moi de préciser pourquoi.

    Dans une économie compétitive – et nous savons que le Parlement veut que notre économie soit compétitive –, il est essentiel que les sociétés aient accès aux renseignements relatifs aux produits et aux services qu’elles achètent à d’autres entreprises, de manière à pouvoir les utiliser pour innover et améliorer les produits et services qu’elles offrent elles-mêmes à leurs clients.

    Sans accès aux renseignements relatifs au produit du travail, on freinerait l’innovation et la concurrence dans l’économie. Les compagnies d’assurance, par exemple, ont besoin d’avoir accès aux renseignements relatifs au produit du travail générés par les nombreuses entreprises dont elles achètent les produits et services. Nous devons ainsi pouvoir analyser la qualité, la durabilité et l’efficacité des réparations de véhicules que nous payons des milliards de dollars chaque année, afin d’être en mesure d’améliorer le service que nous offrons à nos clients. Si la LPRPDE n’est pas modifiée de manière à garantir l’accès aux renseignements relatifs au produit du travail, ce sont les Canadiens qui en feront les frais.

    Je prendrai l’exemple des données contenues dans le dossier d’une réclamation d’assurance pour illustrer le second aspect des renseignements relatifs au produit du travail. Ces dossiers contiennent à la fois des renseignements personnels sur le réclamant et des renseignements relatifs au produit du travail en ce qui concerne la gestion de la réclamation. La personne concernée a des droits en ce qui a trait aux renseignements personnels contenus dans le dossier, mais ces droits ne devraient pas s’étendre aux renseignements relatifs au produit du travail créés par la compagnie d’assurance elle-même, dans le but de gérer la réclamation. Il importe de reconnaître que cette information ne s’inscrit pas dans la définition des renseignements personnels.

    La question des renseignements relatifs au produit du travail est trop importante pour dépendre d’une interprétation de la LPRPDE. Elle devrait, à notre avis, être définie dans la Loi. Nous recommandons la solution adoptée par la Colombie-Britannique dans son Personal Information Protection Act, qui définit les renseignements relatifs au produit du travail et les exclut explicitement de la définition des renseignements personnels.

    Je demanderai maintenant à M. Bundus de parler des deux autres points de notre mémoire.

    Notre deuxième point porte sur la question de savoir si une personne peut se prévaloir de la LPRPDE pour avoir accès à ses renseignements personnels pendant qu’elle intente un procès à la compagnie d’assurance. Ce problème concerne d’une façon particulière les assureurs multirisques qui traitent non seulement avec leurs propres clients, mais aussi avec des non-clients – ou tierces parties – qui disent avoir subi des dommages ou des préjudices causés par un client de l’assureur. La relation qui existe entre la tierce partie et l’assureur est souvent antagoniste.

    Nos membres ont constaté que ces demandes d’accès ne sont pas faites dans le but de corriger des erreurs, comme c’est le cas dans le contexte de la LPRPDE, mais plutôt pour que la personne en question puisse utiliser les renseignements contenus dans le dossier de réclamation dans son procès contre l’assureur. Il faut mettre un terme à cette pratique car elle empêche les assureurs de s’acquitter de leur responsabilité juridique de défendre leurs clients en cas de procès.

    Nous recommandons de réviser la LPRPDE de façon que les règles de la procédure civile qui régissent l’accès aux renseignements pendant les procès aient préséance sur la Loi une fois que des poursuites judiciaires ont commencé.

    Notre troisième point reflète également la nature particulière du domaine des assurances multirisques, dans lequel les assureurs doivent enquêter sur les circonstances d’un accident. L’enquête consiste notamment à recueillir les déclarations des témoins de l’accident ou des gens qui ont des renseignements à cet égard. En général, la déclaration du témoin contient des renseignements le concernant, ses observations sur l’accident et des renseignements sur une autre personne impliquée dans l’accident. Cette autre personne est le sujet de la déclaration. La déclaration d’un témoin peut aussi bien confirmer la version des événements du réclamant que jeter un doute sur l’incident. Il est dans l’intérêt de tous que l’assureur recueille tous les faits et renseignements pertinents le plus rapidement et le plus exactement possible.

    La LPRPDE ne mentionnant pas expressément les déclarations de témoins, leur traitement aux termes de la Loi reste flou. On peut se demander d’abord quels renseignements personnels sont contenus dans une déclaration de témoin. À notre avis, les observations du témoin constituent ses propres renseignements personnels. Par conséquent, le témoin est libre de faire une déclaration à l’assureur.

    Selon certains, l’assureur devrait obtenir le consentement de la personne faisant l’objet de la déclaration avant de recueillir celle-ci. Cet argument est insensé. Il permettrait en fait au sujet de la déclaration d’empêcher le témoin de parler de ce qu’il a vu ou entendu.

    Nous recommandons de réviser la LPRPDE pour établir clairement que les renseignements personnels donnés par un témoin constituent ses propres renseignements personnels. La LPRPDE devrait aussi permettre qu’au cours de l’examen et du règlement de différends contractuels ou de réclamations pour pertes ou dommages, une organisation puisse recueillir, utiliser et communiquer la déclaration d’un témoin à l’insu du sujet et sans son consentement.

    Nous avons brièvement résumé ce matin trois questions qui nous intéressent particulièrement et avons proposé des solutions à leur égard. Nous serons heureux de répondre aux questions que vous pourriez avoir à ce sujet ou sur tout autre point de notre mémoire.

    Je vous remercie.

    Merci beaucoup, messieurs.

    À vous, monsieur Long.

    Merci beaucoup de m’avoir invité aujourd’hui.

    Je suis un consultant autonome spécialisé dans la protection de la vie privée. J’ai eu l’occasion de me familiariser avec tous les détails de la Loi sur la protection des renseignements personnels et les documents électroniques ou LPRPDE depuis qu’elle a été déposée au Parlement en 1998. Je suis en quelque sorte un expert en protection de la vie privée. Du moins, c’est ainsi que les gens me considèrent. Bien que je ne sois pas avocat – mes clients me disent d’ailleurs qu’ils en sont très heureux –, je suis prêt à essayer de répondre à toute question que vous auriez au sujet de la Loi et à vous faire part de tout ce que je sais à ce sujet.

    J’espère bien pouvoir engager un dialogue avec vous et avoir la possibilité d’aborder, du mieux que je peux, tout aspect de la Loi sur lequel vous voudriez m’interroger pour vous expliquer comment il fonctionne en pratique.

    La LPRPDE est une mesure législative importante. Elle établit les règles de base de la protection de la vie privée dans le domaine commercial et définit un cadre permettant d’en arriver à un certain équilibre entre le droit des citoyens de contrôler leurs renseignements personnels et la nécessité pour les entreprises de recueillir, d’utiliser et de communiquer ces renseignements à des fins raisonnables.

    Dans l’ensemble, cet équilibre entre les intérêts des citoyens et ceux des entreprises est bien maintenu. D’une façon générale, la LPRPDE est une bonne loi. En fait, ayant contribué à la rédaction du code de l’ACNOR sur lequel se base cette Loi, j’ai parfois trouvé tout à fait remarquable de noter à quel point cette mesure législative s’est révélée durable. Les principes de l’ACNOR étaient vraiment bien conçus et ont bien résisté à l’épreuve du temps, en dépit de la complexité de certains libellés.

    Malgré son manque de clarté, la Loi se base sur des concepts généraux solides qui permettent à des gens raisonnables de porter des jugements raisonnables sur la façon dont leurs renseignements personnels devraient être protégés. Ce processus d’examen constitue néanmoins une très importante occasion de corriger quelques problèmes pour rendre la Loi encore plus efficace pour les entreprises à certains égards et plus équitable pour le public à certains autres.

    Il y a des gens qui croient qu’il est trop tôt pour procéder à cet examen. À mon avis, ce n’est pas le cas. La Loi comporte des problèmes qu’il faut corriger tout de suite sur la base de l’expérience acquise au cours des six dernières années, des dispositions des lois de deuxième génération adoptées en Alberta et en Colombie-Britannique et des préoccupations croissantes suscitées dans le public par des questions telles que l’usurpation d’identité. Le travail qu’on fait actuellement à cet égard est extrêmement important et contribuera très sensiblement à faire de la LPRPDE une meilleure loi dans les années à venir.

    Assis à l’arrière de la salle, j’ai suivi attentivement ce que les autres témoins ont déclaré au cours des dernières semaines. J’ai décidé pour le moment de limiter mes observations officielles à sept questions. J’ai cru comprendre que mon mémoire n’a pas encore été traduit, mais qu'il sera distribué sous peu.

    Je crois que les sept questions abordées dans mon mémoire sont toutes importantes, même si certaines n’ont pas fait l’objet d’une grande attention. Je serais heureux de parler de n’importe laquelle d’entre elles. Elles portent sur les pouvoirs du commissaire, les obstacles à l’accès à la Cour fédérale, le consentement en situation d’emploi, la notification des intéressés en cas de perte de leurs renseignements personnels, la collecte de renseignements sans consentement, la collecte de renseignements à des fins de sécurité nationale et la collecte de renseignements à l’insu et sans consentement des intéressés aux fins du droit administratif.

    J’ai l’intention d’aborder dans cet exposé trois de ces sept questions. La première est la notification des intéressés en cas de perte de renseignements personnels par suite d'une infraction à la sécurité.

    L’usurpation d’identité est un grand problème qui touche l’ensemble du marché, et même les entreprises responsables qui protègent sérieusement leurs données et n’ont jamais eu de difficulté à cet égard. Le prix des infractions à la sécurité et de l’usurpation d’identité est assumé par l’ensemble du marché. Il entraîne une hausse du prix des biens et des services et réduit la confiance du public dans l’échange de données.

    Les entreprises responsables peuvent croire que les règles de notification en cas de perte de renseignements personnels devraient être laissées à leur discrétion. Personnellement, je ne doute pas que les entreprises responsables agissent de façon responsable à cet égard parce qu’elles tiennent à leur réputation, assument des responsabilités fiduciaires et doivent tenir compte de différents autres facteurs. Toutefois, comme l’a noté John Gustavson, président de l’Association canadienne du marketing, lorsqu’il préconisait l’adoption d’une loi sur la protection des renseignements personnels, le monde ne se compose pas exclusivement d’entreprises responsables.

    Nous avons donc besoin d’un mécanisme garantissant un comportement responsable sur le marché, surtout dans ce domaine.

    En matière de notification, je propose un modèle en quatre points qui, je pense, est clair, équitable, solide et réaliste et qui protège l’intérêt public.

    Premièrement, les entreprises auraient une obligation de notification qui s’appliquerait à tous les genres de renseignements délicats, et pas seulement aux données financières. Par exemple, la perte de dossiers médicaux peut causer autant de préjudice que la perte de renseignements pouvant entraîner l’usurpation d’identité.

    Deuxièmement, les organisations auraient, dans certaines limites, le pouvoir de déterminer quand avertir le public, mais ce pouvoir serait basé non seulement sur leur propre évaluation de la situation, mais aussi sur une norme objective, comme le critère de la personne raisonnable actuellement inscrit dans la Loi, qui imposerait aux organisations d’agir avec prudence.

    Elles auraient l’obligation d’informer le Commissariat à la protection de la vie privée chaque fois qu’une personne raisonnable le jugerait nécessaire et ce, dans un délai prescrit assez court après la perte des renseignements personnels. Dans mon modèle, lorsqu’une organisation informe le commissaire, elle décrit les répercussions de la perte, les efforts déployés pour les atténuer et la décision prise quant à la notification des intéressés. Si l’organisation décide de ne pas notifier les intéressés, ce qu'elle ne devrait pas faire dans la majorité des cas, elle doit expliquer les motifs de sa décision. Le commissaire à la protection de la vie privée pourrait alors contester cette décision.

    Le plus important, cependant, en matière de notification, c’est que nous avons besoin de moyens de mise en vigueur. À cet égard, je crois que le défaut de notification devrait constituer une infraction en vertu de la Loi si une telle notification peut être jugée nécessaire par une personne raisonnable. L’infraction serait sanctionnée de peines semblables à celles que la Loi prévoit dans le cas des autres infractions.

    Pour renforcer la mise en vigueur, je crois que la Loi devrait préciser que les droits accordés aux divulgateurs d’actes répréhensibles s’appliquent aux employés qui avertissent le commissaire à la protection de la vie privée de la perte de renseignements personnels.

    Mon deuxième point porte sur le consentement en situation d’emploi. J’ai réuni suffisamment de renseignements dans les dossiers d’enquête sur les plaintes déposées en vertu de la LPRPDE et dans les décisions de la Cour fédérale pour être convaincu que l’exigence de consentement à de nouvelles fins raisonnables au travail impose un énorme fardeau administratif aux entreprises et peut mener à des situations dans lesquelles l’employé exerce d’une manière arbitraire son droit de refuser son consentement alors que la collecte d’information est tout à fait justifiée.

    Les lois de l’Alberta et de la Colombie-Britannique prévoient ce problème, les législateurs de ces deux provinces ayant supprimé l’exigence de consentement en situation d’emploi et l’ayant remplacée par une norme imposant un motif précis qui soit raisonnable et lié à la personne en cause.

    Jusqu’ici, je n’ai pas eu connaissance de circonstances dans lesquelles le modèle de l’Alberta et de la Colombie-Britannique n’a pas bien fonctionné ou a occasionné des violations du droit des employés à la protection de leurs renseignements personnels.

    J’ai procédé à une analyse très détaillée de la question du consentement dans mon mémoire. J’espère que vous aurez l’occasion de l’examiner.

    Mon dernier point porte sur un sujet qui n’a pas beaucoup retenu l’attention jusqu’ici. Il s’agit des modifications apportées à la LPRPDE lors de l’adoption de la Loi de 2002 sur la sécurité publique, pour permettre à des organisations du secteur privé de recueillir, de leur propre initiative ou à la demande d’un organisme de sécurité nationale, de nouveaux renseignements au sujet de leurs clients, de leurs employés ou d’autres personnes à des fins liées à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales.

    Après l’adoption de ces modifications au lendemain des attentats du 11 septembre 2001, alors que la sécurité publique retenait particulièrement l’attention, la LPRPDE a commencé à s’appliquer dans un domaine très différent de l’activité commerciale ordinaire. Par suite de ces modifications, une organisation peut, de sa propre initiative ou à la demande de l’État, recueillir des renseignements habituellement réservés aux organismes de l’État et à l’égard desquels notre société a jugé bon de prévoir des protections constitutionnelles du niveau le plus élevé en vertu de la Charte des droits et libertés.

    Par suite de ces modifications, qui permettent à une entreprise de recueillir de nouveaux renseignements sur une personne parce qu’elle la soupçonne de constituer une menace à la sécurité ou qu’elle en a reçu la demande de la GRC ou d’un autre organisme de sécurité, nous courons le risque d’assister à des violations de droits garantis par la Charte.

    Comme vous le savez, les entreprises privées ne sont pas directement assujetties à la Charte. Dans certains cas, elles connaissent et comprennent mal les droits garantis et peuvent donc les violer en recueillant des renseignements d’une façon qui ne serait pas jugée raisonnable. De plus, si les entreprises privées sont sollicitées par des organismes de sécurité en vue de la collecte de tels renseignements en leur nom, nous risquons de voir ces organismes recourir à la LPRPDE pour se soustraire à leurs obligations en vertu de la Charte.

    Je me suis efforcé, dans mon mémoire, d’expliquer en détail la nature de mes préoccupations. Cette question est complexe. J’espère que vous prendrez le temps de lire mes observations détaillées et de les examiner soigneusement.

    Je dois souligner que je ne suis pas avocat et que je ne connais pas vraiment les subtilités du droit constitutionnel et des droits garantis par la Charte. Toutefois, à titre de consultant en protection de la vie privée qui a étudié très soigneusement les détails de la LPRPDE, je me suis rendu compte dès que j’ai vu les modifications apportées par la Loi sur la sécurité publique qu’il y avait un risque très réel de violation de la Charte, notamment de l’article 8 et peut-être de l’article 7, si les collectes prévues de renseignements se faisaient effectivement. Comme des droits constitutionnels sont en jeu, j’exhorte le comité à accorder à cette question l’attention qu’elle mérite et à recommander au Parlement de reconsidérer ces modifications en vue de les éliminer.

    Je vous remercie de m’avoir donné l’occasion de vous présenter ces observations. Je dois dire, pour conclure, qu’à titre de consultant en protection de la vie privée, je suis fréquemment appelé à répondre à toutes sortes de questions concernant la Loi au cours des séances de formation. Je serai donc heureux de répondre à toute question que vous auriez à ce sujet.

    Monsieur Long, nous sommes heureux d’avoir pu profiter des connaissances d’un expert comme vous. Merci beaucoup.

    Nous passons maintenant à Mme MacKenzie et Mme Bercovici, de la Compagnie d’assurance générale Dominion du Canada. Mesdames, vous avez dix minutes.

    Bonjour.

    Membres du comité, mesdames et messieurs, bonjour.

    Je m’appelle Ann MacKenzie. Je suis agent de la protection de la vie privée de la Dominion of Canada General Insurance Company. Je suis accompagnée aujourd’hui de Vivian Bercovici. Jusqu’à récemment, Vivian était l’avocate générale de notre société. Elle continue maintenant à nous conseiller à titre privé. Nous sommes heureuses d’avoir l’occasion de vous présenter directement notre point de vue et nos préoccupations.

    Nous avons fourni un cahier de documentation comprenant les mémoires que nous avons présentés en septembre 2006 au Commissariat à la protection de la vie privée au sujet de l’examen législatif. Le volume relié commence par une table de matières, suivie de notre mémoire d’aujourd’hui. Les différents onglets qui suivent comprennent des documents d’appui. Les versions française et anglaise sont séparées par les pages bleues. La traduction française de notre exposé verbal vous parviendra dans quelques jours.

    La commissaire à la protection de la vie privée a fourni au comité un résumé des mémoires que vous trouverez à l’onglet 5 de notre cahier. Je note que certains de nos points de vue exprimés dans le mémoire de septembre 2006 à la commissaire ne figurent pas dans le résumé du Commissariat. Nous avons l’intention aujourd’hui de concentrer nos propos sur deux questions : d’abord, le secret professionnel de l’avocat, la LPRPDE et la récente décision de la Cour d’appel fédérale dans l’affaire Blood Tribe; ensuite, le droit du défendeur d’en appeler d’une décision prise par le Commissariat à la protection de la vie privée en vertu de la LPRPDE.

    Vivian vous présentera maintenant notre point de vue au sujet de la primaire question, le secret professionnel de l’avocat, et de questions connexes.

    Je vous remercie.

    La décision rendue en octobre 2006 par la Cour d’appel fédérale dans l’affaire Blood Tribe a attiré l’attention sur la question du secret professionnel de l’avocat dans le contexte de la LPRPDE. Vous la trouverez à l’onglet 8 de notre cahier de documentation. Je sais que le cahier est assez encombrant, mais nous avons pensé qu’il serait commode de tout mettre ensemble. Je suis sûre que vous avez entendu parler de l’affaire Blood Tribe. Ayant suivi ces audiences, nous souhaitions présenter quelques observations sur des témoignages qui vous ont été présentés parce que le secret professionnel de l’avocat est un sujet extrêmement important.

    L’affaire Blood Tribe traite essentiellement de l’étendue des pouvoirs de la commissaire à la protection de la vie privée et de la façon dont ces pouvoirs sont exercés. Il s’agissait de déterminer ce que la Loi permet explicitement ainsi que les limites de l’interprétation discrétionnaire de ses dispositions. Pour analyser ces principes fondamentaux, nous devons considérer l’intention du législateur lors de l’adoption de la LPRPDE. Je voudrais vous demander de passer à la page 2 de notre mémoire, au premier onglet du cahier de documentation. Nous y parlons d’équilibre ainsi que de l’objet de la Loi. Vous pouvez lire ces passages quand vous en aurez l’occasion.

    Lorsque le Parlement a l’intention d’établir par voie législative une structure d’arbitrage de type ombudsman, comme c’est le cas dans la LPRPDE, je soutiens qu’il le fait ouvertement. Lorsque le Parlement a l’intention d’accorder des pouvoirs élargis, comme dans le cas d’un tribunal administratif autorisé à établir des règles, il le fait ouvertement. Si le Parlement souhaite imposer la communication de renseignements couverts par le secret professionnel de l’avocat, il le fait expressément. Le Parlement ne l’a pas fait dans la LPRPDE. Nous devons donc conclure que l’absence de dispositions expresses à cet égard n’est pas accidentelle. Pour nous, le Parlement ne souhaitait pas que le Commissariat à la protection de la vie privée ait le pouvoir d’exiger la production de documents couverts par le secret professionnel de l’avocat.

    Je vous prie de passer maintenant à l’onglet 8 du cahier. Au nom de la Cour d’appel fédérale, le juge Malone a écrit ceci dans la décision Blood Tribe...

    À quelle page?

    Je m’excuse. C’est au paragraphe 14 de la page 6, à l’onglet 8, tout près de la fin de la page.

    Je vous remercie.

    Le juge Malone a donc écrit ceci :

    À la page 8 de la même affaire, paragraphe 22, après avoir passé en revue les précédents pertinents, le juge dit :

    Mesdames et messieurs, le secret professionnel de l’avocat est au centre de l’ordre et de l’intégrité de notre système de justice. Une personne ou une partie à une procédure doit savoir avec certitude que toute communication qu’elle a avec son avocat restera confidentielle. Cela permet à l’avocat d’avoir des communications libres et exemptes de toute menace avec son client, ce qui facilite la préparation et la présentation d’une défense complète et énergique.

    Exprimer des réserves au sujet du secret professionnel de l’avocat, qui est ancré depuis des siècles dans la tradition de la common law, serait catastrophique. Je vous demande, pour vous en rendre compte, d’imaginer les conséquences sur le gouvernement d’une abrogation rétroactive et soudaine du privilège de l’exécutif. J’estime que les conséquences de la position de la commissaire à la protection de la vie privée au sujet du secret professionnel de l’avocat ne seraient pas moins considérables.

    Il est de la plus haute importance que les pouvoirs conférés soient clairs et qu’ils soient clairement interprétés. Il est de la plus haute importance que les pouvoirs d’interprétation de la commissaire soient compatibles avec notre système et nos pratiques juridiques.

    Le secteur de l’assurance reçoit de nombreuses demandes des avocats des demandeurs. Nos amis du Bureau d’assurance du Canada vous en ont déjà parlé. Il arrive souvent, lorsqu’une action en justice est envisagée et même après le dépôt d’une requête, que les avocats invoquent la LPRPDE pour demander la production de documents auxquels ils n’auraient pas droit en vertu de la common law ou des règles de procédure civile. Ces documents sont protégés par le secret professionnel de l’avocat, le privilège lié aux litiges ou les deux.

    Pouvez-vous attendre un instant?

    Bien sûr.

    Est-ce que les documents sont anglais seulement, monsieur le président?

    Nous avons une difficulté à laquelle vous pouvez peut-être remédier. Un membre du comité a signalé que les citations juridiques auxquelles vous vous reportez n'existent qu’en anglais. Au moins une partie de votre documentation n’est présentée qu’en anglais. Est-ce exact?

    Mais il n’est pas interdit qu’elle lise le texte en anglais.

    Par conséquent, madame Lavallée, tant que le témoin s’adresse au comité, c’est acceptable puisque nous avons l’interprétation. D’accord?

    Veuillez poursuivre.

    Je vous présente mes excuses.

    Madame Lavallée, invoquez-vous le Règlement?

    Je veux simplement expliquer qu'il est vraiment très difficile de suivre vos explications, étant donné qu'on n'a pas le texte en français. Vos propos sont traduits en français, mais quand vous faites référence à des documents rédigés en anglais, il nous est impossible de suivre.

    Je vous remercie. C’est un bon point à noter.

    Comme le texte n’est pas traduit et qu’il s’agit de documents juridiques... Les juges ont parfois leur propre jargon. Je vous prie donc de parler plus lentement quand vous aurez des citations.

    Merci beaucoup.

    Certainement.

    Je m’excuse. Vous serez peut-être soulagés d’apprendre que je n’ai plus d’autres extraits de jugements à citer.

    Merci.

    Je regrette d’avoir à vous interrompre, mais nous devons éclaircir ces questions.

    C’est très bien. J’ai heureusement des notes écrites.

    Je parlais donc des difficultés qu’on connaît dans le domaine de l’assurance parce qu’il arrive souvent que des avocats demandent des documents confidentiels pendant un procès.

    Je voudrais vous dire, avec respect, qu’il est très improbable que le Parlement ait envisagé une interprétation de la LPRPDE permettant de violer ainsi le secret professionnel de l’avocat. Le Parlement n’aurait pas sanctionné une interprétation de ce genre.

    Nous devons également demander ce qui arrive si la commissaire juge que des documents faisant l’objet d’une plainte ne sont pas couverts par le secret professionnel et doivent être communiqués. Qu’arrive-t-il alors?

    Ann MacKenzie va maintenant vous parler de cette question.

    D’après notre interprétation de la LPRPDE, un défendeur n’a pas un droit d’appel clair en cas de plainte déposée en vertu de la Loi. Nous avons soulevé cette question dans notre mémoire de septembre, à l’onglet 2, page 3, ainsi que dans notre mémoire d’aujourd’hui, page 5. Vous avez une traduction française de ce mémoire. Mes excuses.

    La question dont nous parlons aujourd’hui n’a pas été évoquée par la commissaire lors de son témoignage devant le comité. Elle ne figure pas non plus dans le mémoire du Commissariat ni dans le résumé des mémoires reçus de tiers. Nous croyons qu’il est très important d’attirer votre attention sur cette question.

    L’article 14 de la LPRPDE autorise le plaignant à en appeler d’une décision de la commissaire à la protection de la vie privée auprès de la Cour fédérale. Le défendeur n’a pas explicitement le même droit. Nous croyons que cette lacune devrait être corrigée dans le cadre de cet examen législatif. La commissaire à la protection de la vie privée est investie d’importants pouvoirs qui peuvent avoir des effets considérables sur des intérêts commerciaux. Accorder à une partie le droit d’appel en en privant l’autre partie est incompatible avec le critère d’équité de la common law. Nous demandons au comité d’envisager de recommander au Parlement de modifier la Loi de façon à prévoir explicitement un droit d’appel pour le défendeur.

    De plus, nous demandons au comité d’envisager d’examiner la pratique actuelle de la commissaire à la protection de la vie privée en ce qui concerne la divulgation des plaintes. D’après notre expérience, nous croyons que l’identité du plaignant n’est pas toujours communiquée au défendeur, pas plus que le texte original de la plainte. Le défendeur n’en reçoit qu’une paraphrase.

    La LPRPDE est censée constituer une directive générale en vue d’une approche réglementée de la collecte, de l’utilisation et de la divulgation de renseignements personnels. Elle n’a pas pour objet de créer un système de justice parallèle. Tous les Canadiens profiteraient d’une clarification des pouvoirs de la commissaire. Ainsi, chacun pourrait connaître avec confiance et certitude les critères appliqués.

    Pour conclure, je voudrais, au nom de la compagnie d’assurance Dominion, remercie le comité de nous avoir entendues aujourd’hui. Nous félicitons la commissaire à la protection de la vie privée et votre comité pour leur examen soigneux des questions en cause.

    Je vous remercie.

    Merci beaucoup.

    Vous avez tous abordé des questions importantes. Je suis sûr que les membres du comité auront des questions à vous poser.

    Notre façon habituelle de procéder consiste à faire des tours de table, chaque caucus disposant de sept minutes pour les questions et les réponses.

    Monsieur Pearson, vous pouvez prendre la parole en premier.

    Je voudrais m’excuser d’être arrivé en retard. Étant le député le plus récemment élu à la Chambre, je me suis trompé de salle.

    Madame MacKenzie, j’ai trouvé intéressants vos derniers propos dans lesquels vous avez dit que vous voudriez que les défendeurs bénéficient du même droit d’appel que les plaignants.

    Pouvez-vous me dire de quelle façon ce droit serait exercé? Ainsi, si un client se plaint, il a un droit d’appel s’il a des difficultés ou s’il a l’impression qu’il y a eu des manquements. De quelle façon cela peut-il s’appliquer au défendeur? De quelle façon le défendeur procéderait-il?

    Vous décrivez une situation dans laquelle, par exemple, le titulaire d’une de nos polices d’assurance présenterait une plainte à la commissaire. Celle-ci peut prendre une décision qui ne nous satisfait pas. Nous aimerions avoir la possibilité de faire appel en recourant à un processus officiel, pour demander à la commissaire de réviser sa décision. À l’heure actuelle, je crois que l’affaire va à la Cour fédérale. C’est un processus assez lourd, mais nous aimerions avoir également un droit d’appel, comme le plaignant.

    Ce serait donc de la même façon que pour le plaignant.

    Je vous remercie.

    Madame Lavallée.

    Dans le cadre de plusieurs témoignages, particulièrement ceux de M. Long et de M. Bundus, on nous a dit que l'assureur avait le devoir d'avertir son client lorsque celui-ci était touché par une violation de la loi. Comme vous le savez, les clients doivent confier à leur compagnie d'assurance des renseignements comme leur numéro d'assurance sociale, mais aussi des renseignements personnels sur leur situation financière, leur santé, leur hypothèque, et ainsi de suite. Il y a peu de renseignements personnels qu'on ne confie pas à son assureur. Ce qu'on vous confie est très important.

    Vous avez le devoir d'aviser le client — et c'est le minimum auquel on peut s'attendre — , mais une fois que celui-ci a été informé, où cela le mène-t-il et de quelle façon peut-il se protéger davantage?

    Je pose la question à M. Long ou à M. Yakabuski.

    Merci beaucoup, madame Lavallée.

    Comme vous le savez, le consommateur a le droit d'accéder à son dossier et de faire corriger tout renseignement personnel qui ne serait pas exact.

    Cela dit, nous avons constaté aujourd'hui qu'il fallait faire la distinction entre les renseignements personnels à proprement parler et les informations relatives au produit du travail, qui sont une tout autre chose.

    Randy, tu veux donner plus de détails sur cette question?

    J’ai effectivement quelque chose à ajouter à ce sujet. Si j’ai bien compris votre question, vous voulez savoir ce que le client peut faire une fois qu’il a été averti de la perte de ses renseignements personnels.

    Dans ce cas, le client aurait intérêt à vérifier tous ses comptes pour s’assurer que les relevés bancaires, les documents financiers, etc. n’ont pas été modifiés. Il devrait en outre s’adresser aux entreprises qui ont perdu ses renseignements personnels pour qu’elles l’aident à remédier à tout préjudice qu’il aurait subi.

    La perte de renseignements personnels est une affaire très grave. Nous en sommes très conscients, dans le secteur de l’assurance. Nous faisons donc tous les efforts possibles pour éviter que cela se produise. Toutefois, si cela devait arriver, il nous incomberait, à titre d’assureurs ou de membres du secteur, d’aider nos clients, de veiller aux bonnes relations avec la clientèle, de façon à remédier de la meilleure façon possible à tout préjudice causé.

    À mon avis, les entreprises devraient même assumer un plus grand fardeau. En effet, ayant elles-mêmes recueilli l’information, elles avaient la responsabilité d’en assurer la sécurité.

    En cas d’infraction à la sécurité, s’il s’agit de données financières, comme minimum pratique, l’obligation ne devrait pas se limiter à la notification. L’entreprise doit s’assurer que les intéressés ne souffrent d’aucun préjudice durable. Il est difficile de dire si cette obligation doit figurer dans la loi ou constituer une norme dont la commissaire à la protection de la vie privée encouragerait l’adoption au niveau pratique. Il n’y a cependant pas de doute que les entreprises devraient avoir l’obligation de remédier à toute perte. C’est seulement ainsi qu’elles peuvent vraiment corriger les effets de l’infraction à la sécurité. Si l’infraction se produit par leur faute, elles devraient avoir l’obligation de remédier à tout problème.

    Cela devrait comprendre des choses telles que les services de vérification du crédit. Les gens ne devraient pas avoir à découvrir ces choses par eux-mêmes. Si une infraction à la sécurité peut entraîner des incidents d’usurpation d’identité ou de vol à l’aide de cartes de crédit, l’entreprise responsable devrait être obligée de payer pour que les intéressés n’aient pas à subir un préjudice par suite de l’infraction.

    Monsieur Yakabuski, vous avez parlé des témoins dans le cas d'un accident. Si j'ai bien compris, vous devez obtenir l'autorisation des demandeurs ou des victimes avant de recueillir des informations auprès des témoins d'un accident. C'est bien ce que vous avez dit? Est-ce que ça correspond à la situation actuelle?

    On veut absolument que la loi soit amendée pour qu'il y soit indiqué de façon claire que l'on n'a pas besoin du consentement d'une tierce partie pour parler à un témoin. Il arrive que ce soit totalement impossible. On veut que le témoignage du témoin fasse partie des renseignements personnels du témoin. On veut que ce soit clarifié dans la loi actuelle, de façon à ce que ces situations ne se reproduisent plus.

    Est-ce que la situation n'est pas claire ou est-ce que pour recueillir le témoignage d'un témoin, vous devez obtenir la permission de la victime?

    À l'heure actuelle, la situation est plutôt floue, et nous voulons qu'elle soit clarifiée, tout simplement.

    Est-ce que cela vous a empêchés de recueillir le témoignage de certains témoins?

    C'est un empêchement, dans la mesure où une personne peut nous dire que nous n'avons pas le droit de recueillir un témoignage. Évidemment, cela peut causer des ennuis à bien des personnes, y compris aux témoins.

    Avez-vous des exemples de cas à nous donner ou s'agit-il simplement d'une situation que vous appréhendez? J'essaie de comprendre.

    Puis-je répondre à cette question puisque je travaille en fait pour une compagnie d’assurance?

    Oui, nous avons des cas où cela s’est produit. Par exemple, si une personne fait un procès à l’un de nos assurés pour un préjudice subi et qu’elle soutienne que notre assuré est responsable ou a causé lui-même certains dommages, il est déjà arrivé, s’il y avait des témoins de l’accident, que les avocats de la personne en cause nous disent : « Vous avez obtenu des déclarations de témoins sans avoir la permission de mon client. Vous ne pouvez donc pas les utiliser. » Ou encore : « Vous avez procédé d’une façon que nous ne pouvons pas accepter. » Nous avons donc des exemples car cela se produit assez fréquemment.

    Je vous remercie.

    C’est maintenant au tour de M. Martin.

    Merci, monsieur le président. Je remercie également les témoins.

    Je voudrais aborder trois sujets. Tout d’abord, l’obligation de notification en cas d’infraction à la sécurité intéresse beaucoup les Canadiens à l’heure actuelle, compte tenu des incidents de Winners et de la CIBC. C’était vraiment effarant.

    Compte tenu de ces événements, beaucoup d’entre nous, même au sein du comité, ne se rendent pas vraiment compte du fait qu’il y a chaque année 30 millions d’infractions à la sécurité aux États-Unis. Nous n’avons pas de nombres correspondants pour le Canada, mais comme nous avons un dixième de la population, nous pourrions peut-être supposer que nous avons 3 millions de cas de perte de renseignements sur les cartes de crédit. Nous ne parlons même pas ici des autres renseignements financiers détenus dans d’autres secteurs, comme celui de l’assurance. Nous n’avons pas d’obligation de notifier les clients, même si je remarque que des gens reçoivent de nouvelles cartes de crédit par la poste cette semaine. Un membre de mon personnel en a reçu une aujourd’hui, de même que d’autres à qui j’ai parlé.

    Les sociétés de crédit découvrent des infractions et prennent souvent des mesures correctives sans que leurs clients en souffrent. Toutefois, elles ne nous disent rien. Je crois que je pourrais bien changer ma façon de faire si je savais que les données de ma carte ont été perdues une, trois ou sept fois. Je pourrais aller faire mes achats ailleurs, etc. Je crois que j’ai le droit de savoir.

    Vous avez évoqué cette question, mais de quelle façon pouvons-nous remédier au problème? Chez nos voisins du Sud, 32 États ont inscrit dans la loi l’obligation de notification. Brièvement, monsieur Long, recommandez-vous que le Canada inscrive dans la loi l’obligation de notifier les intéressés de toute infraction à la sécurité?

    Je peux parler de cette question en premier. Je suis certainement d’accord avec vous, monsieur Martin, quand vous dites que nous avons besoin d’une obligation légale de notification inscrite dans la loi. Je crois que les Canadiens l’exigent pour être en mesure de faire confiance au monde du commerce électronique.

    Je ne préconise pas nécessairement l’adoption de l’approche américaine. La plupart des États américains se sont plus ou moins conformés au modèle de la Californie, qui est assez rigide : si un élément d’information faisant partie d’un ensemble particulier d’éléments est communiqué sous une forme non cryptée, il est obligatoire de notifier les intéressés.

    Je crois que, dans son témoignage devant le comité, David Loukidelis, qui suit le fonctionnement de ce modèle, a dit qu’il peut entraîner l’envoi d’innombrables avis qui vont finir par lasser les gens...

    Je crois, par conséquent, qu’il est nécessaire de laisser une certaine latitude aux entreprises pour qu’elles déterminent elles-mêmes s’il est opportun de notifier les intéressés. Cela devrait cependant se fonder sur des normes objectives, comme le critère de la personne raisonnable, qui est assez clairement défini dans la loi. Basé sur le délit de négligence, ce critère dit tout simplement que des personnes raisonnables doivent agir d’une manière prudente. C’est une chose qu’on peut considérer d’une façon très objective. Je crois que l’obligation devrait exister pour qu’en cas d’infraction à la sécurité – non seulement dans le cas des données financières, mais aussi en ce qui concerne les renseignements sur la santé ou toute autre information de nature délicate –, les entreprises soient obligées d’informer le public chaque fois qu’une personne raisonnable peut le juger nécessaire.

    Cela me fait penser à une autre question que je voulais soulever.

    Les renseignements sur la santé ont récemment été inscrits dans la LPRPDE, en 2002, je crois. Beaucoup d’entre nous semblent croire, en pensant à la LPRPDE, qu’elle a été rapidement rédigée pour que nous puissions nous conformer aux exigences de l’Union européenne: Pour être en mesure d’échanger des données de commerce électronique avec des pays européens, chaque pays doit mettre en place des mesures législatives comparables à la Directive sur la protection des données que l’UE a adoptée en 1995. Les Européens nous ont dit que, pour échanger des données avec eux, nous devrions avoir une protection comparable à la leur.

    Voilà qu’au Manitoba, les conservateurs ont vendu la société d’État chargée des données médicales de la province a une entreprise privée. Bien sûr, cette entreprise a été revendue à une société de Houston, au Texas, laquelle a été vendue à son tour à une société de Denver, au Colorado. Mes renseignements médicaux personnels sont maintenant gardés à l’étranger.

    À votre connaissance, les Américains ont-ils une protection comparable à celle que prévoient la Directive sur la protection des données de l’UE et la LPRPDE au Canada, de façon que je n’aie pas à craindre que mes renseignements médicaux ne soient vendus à Pfizer pour qu’elle puisse mieux cibler sa publicité ou autre?

    Monsieur Martin, j’ai fait des recherches à ce sujet. J’ai fait des vérifications auprès de l’ombudsman du Manitoba parce que vos observations précédentes, selon lesquelles vos renseignements médicaux se trouvaient aux États-Unis, m’avaient énormément intriguées.

    J’ai reçu l’assurance catégorique que vos renseignements n’étaient jamais sortis de la province. Je m’étais beaucoup intéressé à cette affaire, ce qui m’avait amené à faire des recherches parce que je rédige un bulletin intitulé Privacy Scan et que j’ai suivi de près ces audiences et les questions soulevées. Quoi qu’il en soit, je suis heureux de vous dire que, d’après l’ombudsman de la province...

    Je suis soulagé de l’apprendre...

    ... vos renseignements n’ont jamais quitté le Manitoba.

    … même si je n’en suis pas enchanté du point de vue politique, parce que j’utilisais souvent cet argument.

    Pour ce qui est de la question plus vaste des lois américaines, je dois dire qu’il existe des lois sectorielles assez énergiques dans les États au sujet des renseignements médicaux, des renseignements bancaires et des autres données spécialisées, comme les renseignements personnels des enfants. Il n’y a cependant pas de loi fédérale d’application générale sur la protection des renseignements personnels. Les Américains ont plutôt d’innombrables lois d’État.

    De quelle façon font-ils alors le commerce avec l’UE? Les Européens exigent une protection parallèle.

    Les États-Unis ont créé, par l’entremise du département du Commerce, ce qu’ils appellent un arrangement de « refuge sûr ». Les entreprises s’y inscrivent volontairement et, ce faisant, déclarent qu’elles se conformeront à un ensemble de règles sur la protection des renseignements personnels. Une fois qu’elles font cette déclaration, elles sont assujetties à la Loi américaine sur la Commission fédérale du commerce, qui interdit la publicité trompeuse. En cas de manquement aux règles, la Commission fédérale du commerce est habilitée à ouvrir une enquête et à porter des accusations. Les sanctions appliquées aux entreprises qui violent les dispositions de leurs déclarations sont assez sévères.

    C’est très intéressant.

    Monsieur Martin, permettez-moi d’ajouter que dans le domaine des assurances multirisques, les assureurs sont tenus par le Bureau du surintendant des institutions financières, le BSIF, de se conformer à des lignes directrices très strictes sur l’externalisation, qui assureraient une protection à cet égard dans le domaine des assurances multirisques.

    J’espérais que quelqu’un me poserait une question sur l’obligation de notification puisque je suis la seule agente de protection des renseignements personnels ici.

    Peut-être au prochain tour de table, madame MacKenzie.

    Monsieur Wallace.

    Voilà qui m’engage personnellement, n’est-ce pas? Je vais essayer de revenir sur ce point plus tard.

    Je voudrais pour l’instant parler de l’affaire Blood Tribe. Je veux être bien clair pour être sûr de comprendre. Je crois que nous n’avons abordé ce sujet qu’au cours d’une seule autre réunion, et je ne suis pas sûr que nous lui ayons attribué beaucoup d’importance.

    L’affaire est allée devant la Cour fédérale, qui a infirmé la décision de la province, n’est-ce pas? En fait, la Cour fédérale a appuyé votre position en soutenant que la commissaire n’est pas habilitée à passer outre au secret professionnel de l’avocat. Est-ce exact?

    Oui. Je vais demander à Mme Bercovici d’expliquer l’affaire. Je ne veux pas me vanter, mais je ne suis pas avocate non plus.

    La division de première instance de la Cour fédérale avait déclaré que la commissaire avait bien interprété ses pouvoirs en exigeant des documents couverts par le secret professionnel de l’avocat. Cette décision était vraiment incompatible avec la common law...

    C’est cela. La décision a donc fait l’objet d’un appel.

    … et les arrêts de la Cour suprême du Canada. Un appel a donc été interjeté auprès de la Cour d’appel fédérale, dont la décision se trouve à l’onglet 8 du cahier de documentation.

    Ayant lu le compte rendu du témoignage de la commissaire devant le comité, je crois savoir qu’elle a demandé l’autorisation d’en appeler de cette décision devant la Cour suprême du Canada. Nous ne savons pas encore si la Cour suprême a accepté d’entendre l’appel. La règle reste donc telle quelle pour le moment. La commissaire en a parlé dans son témoignage devant le comité. Même si, à part cela, la question n’a pas été très souvent abordée, elle n’en est pas moins extrêmement importante.

    Sur la base de la récente décision de la Cour d’appel fédérale et de la LPRPDE, dans sa forme actuelle, on peut dire que le secret professionnel de l’avocat reste protégé.

    C’est exact.

    Très bien, je voulais simplement en être sûr.

    Je vais maintenant vous donner l’occasion d’aborder la notification, si vous le souhaitez, madame MacKenzie. Est-ce que vous voulez...

    Je regrette, je n’ai pas immédiatement saisi.

    Je voulais dire en fait qu’à titre d’agente de protection de la vie privée, je travaille... La Compagnie d’assurance générale Dominion du Canada n’a jamais eu d’infractions à la sécurité, mais je ne serai pas trop favorable à des dispositions prescriptives concernant la notification et les procédures. Je vais vous présenter une analogie. C’est un peu comme une compagnie d’assurance qui doit s’occuper d'un client touché par une catastrophe. D’une façon générale, on peut définir les étapes à suivre pour circonscrire les dégâts, les évaluer, les déterminer et décider s’il convient d’informer les clients et de prévenir la répétition de la même chose l’avenir, mais on ne peut pas établir des prescriptions très strictes à cet égard. Autrement, on pourrait manquer l’occasion de répondre avec précision aux préoccupations des assurés.

    Je voudrais également dire que les compagnies d’assurance ont le devoir de faire preuve du maximum de bonne foi dans leurs relations avec leurs assurés. Nous croyons avoir déjà la responsabilité d’avertir nos clients et de les aider à remédier à la situation, si nous sommes responsables de ce qui est arrivé.

    Nous appuyons la position du Bureau d’assurance du Canada au sujet de la notification, position qui figure dans son mémoire. Pour ce qui est d’exiger la notification, il faudrait définir un seuil raisonnable. De plus, il faudrait notifier le client et non un quelconque tribunal administratif.

    Monsieur Long, je voudrais vous poser une question basée sur l’exposé de la compagnie d’assurance Dominion du Canada. La compagnie voudrait que nous inscrivions à l’article 14 un droit d’appel à la Cour fédérale pour les défendeurs. Qu’en pensez-vous?

    Cela est déjà arrivé. Je connais au moins un cas dans lequel le défendeur a obtenu le droit de demander un examen judiciaire d’une décision du Commissariat à la protection de la vie privée. Cette notion commence donc déjà à faire partie de la jurisprudence.

    Personnellement, je n’y vois pas d’inconvénient. Il y a des situations où cela est utile, je crois, mais elles sont assez rares. Il y a des situations dans lesquelles des organismes ont la ferme conviction qu’on n’a pas tenu compte de leur position ou qu’on a été injuste envers eux. Ne perdez pas de vue que ce ne sont là que des recommandations, et non des ordonnances exécutoires.

    J’ai été très surpris quand un organisme s’est adressé à la Cour fédérale pour contester non des ordonnances exécutoires officielles, mais de simples recommandations. Il l’a cependant fait et a obtenu le droit de faire entendre sa requête par la Cour fédérale.

    Je crois que cela crée un certain équilibre entre les différents intérêts. De plus, je ne vois pas en quoi cela peut nuire, surtout si une telle disposition n’est que rarement utilisée.

    Je voudrais poser une question aux représentants du Bureau d’assurance du Canada. Vous parlez dans votre mémoire de demandes provenant de personnes qui poursuivent des sociétés et peuvent vous dire que vous n’avez pas droit à vos propres renseignements personnels. Est-ce que cela se produit vraiment? Y a-t-il des gens qui le font? Obtiennent-ils gain de cause?

    Je dirais que cela arrive fréquemment. Je suis sûr qu’Ann peut le confirmer, étant proche des premières lignes dans sa compagnie.

    Nous sommes d’avis que ces gens peuvent avoir accès à ce genre de renseignements dans le cadre du processus judiciaire. Une fois un procès en cours, les procédures en place protègent les deux parties. Ces procédures découlent de longues années d’expérience des tribunaux dans ce domaine.

    Faire abstraction des procédures civiles en place parce qu’une demande a été présentée en vertu de la LPRPDE nous semble...

    Je voudrais simplement savoir si cela arrive. Ces gens obtiennent-ils gain de cause au sujet de leurs renseignements personnels?

    Oui, cela arrive. Les avocats des plaignants, qui représentent des gens ayant intenté des poursuites contre nos clients, nous présentent des demandes pour avoir accès aux renseignements. Nous n’avons pas d’inconvénients à leur communiquer ces renseignements, sauf que nous croyons que les documents couverts par le secret professionnel de l’avocat devraient rester confidentiels.

    Cela nous ramène à notre argument concernant le droit d’appel du défendeur, car cela ne devrait pas se produire. La Loi devrait l’établir expressément et sans ambiguïté.

    Nous avons également vu des décisions venant de commissariats à la protection de la vie privée qui, malgré la décision rendue dans l’affaire Blood Tribe, continuent d’exiger la production de documents protégés. Les commissariats se réservent le droit de déterminer si les documents sont protégés ou non et s’il convient ou non de les communiquer.

    Appartient-il au juge de décider?

    Non, ce sont les commissaires à la protection de la vie privée qui décident.

    La commissaire à la production la vie privée décide.

    Nous nous y opposons.

    Je peux citer un cas particulier dont je m’occupe actuellement. Nous avons déjà fait une divulgation complète dans le cadre de la procédure civile. La divulgation complète étant très précise, il faut tout mentionner. On doit dire tout ce qu’on a et tout ce qu’on n’a pas. Mais notre position est encore contestée. Le Commissariat à la protection de la vie privée continue à dire qu’il veut voir tout le dossier et qu’il décidera ensuite.

    Merci, monsieur Wallace.

    Merci, monsieur le président.

    Voilà qui met fin au premier tour de table à sept minutes.

    Nous passons maintenant au tour de table à cinq minutes.

    Je dois dire à titre personnel, et non à titre de membre du comité, que je suis d’accord avec Mme Bercovici au sujet du secret professionnel de l’avocat. J’ai assisté à l’affaiblissement de ce secret sous l’ancien commissaire à l’information, et cela continue avec la commissaire à la protection de la vie privée.

    Ma question s’adresse à Mme MacKenzie, à M. Bundus ou à vous, madame Bercovici. Elle porte sur les déclarations des témoins.

    J’ai l’impression que vous demandez presque que les compagnies d’assurance jouissent de privilèges. Il peut s’agir d’une enquête criminelle ou d’une enquête sur un accident de la route. Par exemple, pour la police, pour un procureur de la Couronne ou même dans une affaire civile, vous soutenez que ces déclarations ne devraient pas pouvoir faire l’objet d’une assignation. Est-ce bien là ce que vous voulez?

    J’aimerais avoir une réponse de Mme MacKenzie ou de M. Bundus.

    Non, ce n’est pas ce que nous avons dit. Nous n’avons pas soutenu qu’elles ne devaient pas faire l’objet d’une assignation ni qu’elles devaient être tenues confidentielles. Nous disons simplement qu’on ne devrait pas nous empêcher de défendre nos clients et d’assumer nos obligations juridiques en vertu d'une police d'assurance en nous interdisant de parler à des témoins.

    Je voudrais bien comprendre. S’il y a une dénonciation, ces documents n’ont pas à être produits, mais s’ils font l’objet d’une assignation, ils doivent l’être.

    Est-ce bien ce que vous dites?

    Je ne comprends pas...

    Avec tout mon respect, monsieur le président, je crois que nous parlons de deux questions différentes. Nous disons que la loi actuelle n’est pas claire au sujet des déclarations des témoins. Nous disons que nous devrions avoir le droit d’aller voir le témoin d’un accident pour obtenir une déclaration sans qu’une autre partie ait à donner son consentement pour que nous puissions le faire.

    Autrement dit, nous soutenons que si vous êtes témoin d’un accident, votre témoignage devrait être assimilé à des renseignements personnels vous appartenant en propre. Il devrait vous appartenir de donner une déclaration à la compagnie d’assurances si vous le souhaitez. Nous ne devrions pas avoir à obtenir au préalable le consentement d’une autre personne. Voilà la question qui se pose et qui devrait être précisée dans la loi.

    D’accord.

    Monsieur Stanton.

    Merci, monsieur le président. Je voudrais également remercier nos témoins d’aujourd’hui.

    Nous avons une discussion très intéressante sur quelques points extrêmement importants pour un grand secteur, celui de l’assurance. Je voudrais aussi vous remercier, monsieur Long, pour les renseignements que vous nous avez présentés ce matin.

    Ma première question s'adresse à M. Yakabuski.

    Elle porte particulièrement sur le domaine du produit du travail. Vous en avez parlé assez longuement, disant que les dispositions actuelles de la LPRPDE entravent l’innovation, la recherche, etc. En fouillant dans la documentation fournie par la compagnie d’assurance Dominion du Canada – je vous en remercie –, j’ai réussi à trouver ce que la commissaire à la protection de la vie privée a dit de la question du produit du travail.

    Elle se rend bien compte qu’il s’agit d’un domaine complexe, mais elle craint qu’une exemption générale des renseignements relatifs au produit du travail dans la LPRPDE permette des choses telles que la surveillance vidéo des employés. Qu’est-ce qui empêcherait cela de s’inscrire dans la définition des renseignements personnels? On peut se poser cette question. Je me demande si vous avez des observations à présenter sur les préoccupations exprimées par la commissaire à la protection de la vie privée.

    Ensuite, vous avez dit qu’il était possible en réalité de faire une distinction assez nette entre les renseignements concernant les employés, qui sont des renseignements personnels, et ceux qui se rattachent au produit du travail. Pouvez-vous m’en donner un exemple?

    Je laisserai Randy donner d’autres détails dans quelques instants, mais permettez-moi de dire, comme nous l’avons déjà mentionné, que cette formule a très bien fonctionné en Colombie-Britannique. Nous ne demandons rien d’autre que les dispositions qui figurent actuellement dans la loi de cette province. Je crois qu’elles donneront d’aussi bons résultats au niveau fédéral.

    Il est très clair, je crois, que nous ne parlons pas ici de renseignements sur les employés, qui constituent des renseignements personnels. Nous parlons plutôt de toutes sortes de statistiques que les entreprises produisent au sujet de leurs biens et services. Pour avoir une économie compétitive, nous devons veiller à ce que les renseignements de ce genre soient accessibles et fassent partie du domaine public, pour que les entreprises puissent profiter des succès réalisés pour améliorer leurs propres biens et services. Autrement, nous risquons de créer un ensemble d’oligopoles dans le pays.

    Du point de vue de la politique économique, il est essentiel que les renseignements concernant les biens et services d’une entreprise, qui sont produits dans le cadre de ses opérations, soient accessibles et ne soient pas considérés comme des renseignements personnels.

    Je fais une distinction très nette entre ces renseignements et ceux qui concernent les employés, dont la commissaire à la protection de la vie privée pourrait s’inquiéter.

    Puis-je intervenir?

    J’ai réfléchi assez longuement aux observations formulées par Jennifer Stoddart. Je crois qu’on peut assez facilement faire la distinction, dans une définition des renseignements relatifs au produit du travail, entre le résultat du travail et les procédés de travail, mais cela ne comprendrait pas la surveillance vidéo.

    Je n’ai pas l’impression que les préoccupations formulées par la commissaire dans ce cas soient très réalistes. Je ne veux pas interpréter ses propos, mais je dis honnêtement que j’ai essayé de les évaluer. Je crois certainement qu’il serait utile d’ajouter une définition du produit du travail dans la Loi, afin de préciser les choses pour les entreprises. Si on adopte la définition de la Colombie-Britannique, elle est telle qu’on ne pourrait pas y inclure des choses comme la surveillance vidéo. Je crois qu’on peut très facilement faire ce genre de distinction.

    Me reste-t-il encore du temps, monsieur le président?

    Une minute.

    J’ai une question à poser à M. Long.

    Monsieur Long, vous avez soulevé toute la question des modifications apportées par la Loi sur la sécurité publique et de la menace qu’elles représentent pour les droits garantis par la Charte. Vous dites qu’elles peuvent facilement entraîner une violation de ces droits. Pouvez-vous nous donner des circonstances ou des exemples dans lesquels cette menace existe? Pouvez-vous nous parler des risques que cela comporte?

    Volontiers. La LPRPDE autorise actuellement les entreprises à utiliser les renseignements qu’elles trouvent dans l’exercice normal de leurs activités. Si une entreprise s’aperçoit de quelque chose de suspect, elle peut certainement s’en servir et communiquer ensuite les renseignements à la GRC, au SCRS, etc.

    Par suite des modifications apportées par la Loi sur la sécurité publique, ce pouvoir a été étendu de telle sorte qu’une entreprise peut recueillir des renseignements... « Recueillir », ici, signifie obtenir des renseignements qu’on n’a pas déjà. Les entreprises peuvent donc recueillir de nouveaux renseignements dans le but de les communiquer plus tard à la GRC. Le fait que la Loi permette maintenant aux organisations et aux entreprises privées d’entreprendre, de leur propre initiative, sans directives et sans conseils, de recueillir de nouveaux renseignements sur leurs employés, leurs clients ou des tiers crée une situation dans laquelle il leur est facile de violer les droits garantis par la Charte, en faisant des choses pouvant être assimilées à une perquisition sans motif raisonnable. Par exemple, une société peut décider, sur la base de soupçons, de fouiller les casiers des employés pour une question de sécurité nationale. Je ne crois pas que la loi devrait permettre à des entreprises privées de recueillir de nouveaux renseignements à cette fin, simplement sur la base de soupçons. Dans le cadre d’une enquête antiterroriste, un tel seuil se situerait vraiment trop bas. Nous ne parlons même pas ici de cause probable. Il s’agirait simplement de soupçons. Je crois vraiment que c’est inquiétant.

    Ensuite, la GRC peut aller voir une entreprise et lui demander de recueillir des renseignements pour son compte, faisant d’elle un agent de l’État, peut-être dans des circonstances où elle ne peut peut-être pas elle-même obtenir un mandat. Je ne peux pas affirmer avec certitude que cela s’est déjà produit, mais c’est un aspect inquiétant de la loi. Je crois vraiment que vous devriez l'examiner et peut-être recommander au Parlement pour le moins de reconsidérer ces modifications.

    Je vous remercie.

    Monsieur Vincent.

    Merci, monsieur le président.

    Monsieur Yakabuski, cela me fait plaisir que vous soyez ici aujourd'hui. J'ai lu attentivement votre document. Je pense que c'est M. Bundus qui l'a écrit. Votre employeur doit sûrement être heureux de ce qui y est écrit. Commençons par le premier point, qui traite du produit du travail.

    À la page 4 de votre document, il est écrit :

    Vous allez voir un témoin pour prendre sa déposition, puis vous pouvez aller voir le client ou la personne qui a subi un préjudice et lui dire qu'une personne, un témoin, vous a dit telle et telle choses. Cependant, ce n'est pas assimilable à la personne parce que c'est seulement un témoignage. Vous pouvez donc dire n'importe quoi à l'assuré, entre autres choses que vous avez des preuves accablantes contre elle, mais vous n'avez pas besoin de divulguer vos sources.

    C'est vous qui décidez, parce qu'il s'agit de renseignements qui influenceront la façon dont l'assureur traitera la réclamation. Que l'affaire aille ou non devant les tribunaux, vous n'êtes pas obligé de le lui dire. Par contre, dès que cela ira devant les tribunaux, vous serez obligé de dévoiler vos sources. C'était la première chose.

    Il y a une deuxième chose. Dans le même document, à la page suivante, vous allez plus loin. En effet, vous parlez du dossier médical de l'assuré. Admettons qu'un assuré ait un accident et que vous vouliez aller fouiller dans son dossier médical pour savoir si, antérieurement, il n'y a pas eu quelque chose sur le plan de son anatomie. Voici ce que le document dit :

     Si je comprends bien, cela veut dire que vous pouvez aller voir le médecin, lui demander de vous énumérer toutes les ordonnances que cette personne a eues dans sa vie, et que cela ne devrait pas être considéré comme un renseignement personnel parce que le médecin en fait la délivrance dans le cadre de son travail.

    Allons plus loin. Vous faites souvent affaire avec la Colombie-Britannique et l'Alberta; on ne parle souvent du Québec dans votre document. On y dit aussi ceci :

    Le médical excepté, d'après ce que je peux comprendre! J'aimerais avoir plus d'explications sur la proposition du document. Voici ce qu'elle dit :

    Monsieur Vincent, il ne faut pas confondre les choses.

    D'abord, on parle de la déclaration du témoin, mais c'est une chose complètement à part. On veut tout simplement que la loi soit clarifiée afin qu'une compagnie d'assurance ou quelqu'un d'autre ait le droit de vous parler directement parce que vous avez été témoin d'un accident. À ce moment-là, ce que vous diriez ferait partie de vos renseignements personnels à vous. On veut que ce soit clarifié. C'est une chose à part.

    Ensuite, lorsqu'on parle des renseignements relatifs au produit du travail, on constate évidemment que les renseignements personnels sont sacrés. Vous et moi avons droit à nos renseignements personnels, évidemment. C'est le commissaire qui va juger de cela.

    On veut tout simplement qu'à l'intérieur de la loi soit reconnu le fait qu'il y a des renseignements qui ne sont pas personnels, qui sont relatifs au produit du travail, qu'il s'agisse du produit du travail d'une compagnie d'assurance, d'une épicerie du coin ou d'un grand constructeur d'automobiles.

    Il ne faut pas confondre les choses. On veut tout simplement qu'en se servant de la loi sur la protection des renseignements personnels, on ne tue pas l'économie canadienne.

    Ma question porte sur le fait que vous incluez dans les documents...

    Vous allez devoir attendre au prochain tour parce que votre temps de parole est écoulé.

    Monsieur Van Kesteren.

    Merci, monsieur le président. Je voudrais également remercier tous les témoins d’être venus aujourd’hui.

    Nous avons une séance aussi intéressante qu’informative. J’ai l’impression que nos réunions successives deviennent de plus en plus intéressantes et de plus en plus informatives.

    Je préfère être gentil. Je ne veux pas être méchant. En fait, nous voyons à quel point cette loi et ce projet de loi sont complexes. Lorsque j’ai été élu pour la première fois, j’ai eu la chance d’avoir Mme Stoddart comme voisine de table au cours d’un repas. Quand elle s’est présentée, je me suis dit : « Protection de la vie privée? C’est intéressant, je n’en ai jamais entendu parler auparavant. » Si le Canada compte 33 millions d’habitants, il est probable que 32 999 000 d’entre eux n’en ont jamais entendu parler non plus.

    En fait, je me souviens d’en avoir parlé à un député qui était venu assister à une réunion et qui avait plus d’expérience que moi. Il a également été surpris car lui non plus n’en avait jamais entendu parler. Je ne sais pas s’il s’agissait du commissaire à la protection de la vie privée, mais c’était l’un des commissaires.

    Je vais vous dire où je veux en arriver. Je l’ai déjà dit à certains d’entre vous et je l’ai répété en public au cours de la dernière réunion. Je crois vraiment que le secteur de l’assurance et celui des banques pourraient écrire un livre sur la protection de la vie privée. Je pense que vous avez fait du bon travail et qu’il est de votre intérêt de le faire.

    Quand je considère tout ce processus, je crois cependant que ce qui commence à arriver, c’est que l’homme moyen de la rue... Avant d’être élu à la Chambre des communes, j’étais dans les affaires. Je vous félicite pour votre travail, mais si j’avais eu dans les mains un mémoire comme celui-ci parlant de la protection de la vie privée, j’en aurais été terrifié.

    J’ai l’impression que les choses sont devenues tellement complexes que, sauf pour les banques, les compagnies d’assurance et peut-être les grands fabricants, comme Zellers, Wal-Mart et d’autres, cette mesure législative est presque incompréhensible. Elle nous entraîne dans des domaines dont je n’ai vraiment pas envie de m’occuper. C’est pour cette raison que j’ai bien aimé la recommandation proposant de laisser les choses telles quelles.

    Y a-t-il un moyen de contourner cela? Serait-il possible pour les secteurs que j’ai mentionnés et quelques autres intéressés de faire ce qu’ils ont à faire dans ces domaines et de nous laisser tranquilles? Est-il vraiment nécessaire que nous soyons tous entraînés dans ce courant de complexité?

    Je pose la question à quiconque veut y répondre.

    Avec un peu de chance, monsieur, les changements vont simplifier la loi et en faciliter l’application pour les petites entreprises. Certaines des recommandations que j’ai vues au cours des quelques dernières réunions devraient, si elles sont adoptées, faciliter les choses pour le secteur de la petite entreprise. Je crois que c’est un point important.

    Ensuite, il y a la question vraiment essentielle de l’éducation de la petite entreprise. À mon avis, le secteur n’est pas encore bien préparé. Voilà une tâche urgente pour la commissaire à la protection de la vie privée ainsi que pour le secteur privé, par l’intermédiaire des différentes associations, organisations, etc. Tous ces gens doivent faire davantage d’efforts pour renseigner la petite entreprise sur les principes fondamentaux de la loi.

    Dans la plupart des cas, si on ne recueille pas beaucoup de renseignements délicats, la loi est assez facile à comprendre et à appliquer. Elle semble complexe sur papier, mais, pour une petite entreprise, elle se résume à des règles très simples. Le problème, c’est qu’il n’y a pas eu jusqu’ici suffisamment d’efforts pour expliquer ces règles très simples aux propriétaires de petites entreprises. En faisant ces efforts, on réglerait beaucoup de problèmes.

    Toutefois, nous avons besoin d’apporter des modifications à la Loi elle-même afin de la rendre encore plus simple pour les entreprises et le public.

    Je vais essayer de suivre tout cela. Vous avez commencé par dire « avec un peu de chance ». C’est vraiment très bien, mais je suis un peu méfiant. Je voudrais que d’autres s’en occupent aussi. J’en reviens encore à ma question: Est-il possible que cette loi soit orientée sur un niveau général, de façon que les gens ordinaires...

    Je voudrais aborder un ou deux points, après quoi j’inviterai Vivian à nous donner quelques détails à ce sujet.

    Je voudrais d’abord dire qu’en ce qui concerne nos clients... Je parlerai non de la petite entreprise, mais de nos clients, parce que je joue aussi le rôle d’ombudsman chez Dominion. Je reçois toutes les plaintes et toutes les doléances. De toute évidence, nous ne nous attendons pas à ce que nos assurés nous écrivent dans un style législatif. S’ils ont une préoccupation, peu importe qu’ils ne sachent pas comment l’exprimer, notre rôle consiste à les aider.

    Toutefois, pour ce qui est de la complexité des textes législatifs, je vais laisser Vivian nous en dire davantage à ce sujet.

    Je vais être brève, mais, si vous le permettez... Je sais que la notion d’un avocat concis est difficile à concevoir, mais je vais vraiment essayer.

    Vous allez devoir être brève.

    Je vous remercie.

    Je suis bien d’accord avec vous. Dans le cas d’une loi omnibus comme celle-ci, qui s’adresse aussi bien à une entreprise d’une seule personne qu’à une grande compagnie d’assurance – car elle s’applique à l’ensemble des entreprises commerciales –, je crois qu’il est très difficile sinon impossible qu’elle soit très efficace.

    Vous savez, il s’agit essentiellement d’un énoncé de principes. La Loi visait à attirer l’attention sur le fait que l’information était transmise par voie électronique sans aucun contrôle. Grâce à la LPRPDE, on reconnaît maintenant la propriété des renseignements privés et les intérêts en jeu.

    Il serait probablement utile que la Loi conserve la forme d’un énoncé de principes, tandis que des lois spécialisées, comme la Loi sur les banques et la Loi sur les sociétés d’assurances, réglementent nos secteurs. Ces lois seraient très complexes, mais il y aurait des fonctionnaires qui connaîtraient à fond ces domaines. Il serait probablement préférable de déléguer les détails des questions de ce genre à ces secteurs. Ce serait avantageux. Je crois que cela se fait déjà dans différents secteurs.

    Je vous remercie.

    Nous passons maintenant à M. Martin.

    Je crois que c'est mon tour.

    Ce n’est pas encore votre tour. Vous êtes sur la liste, mais vous devez attendre votre tour.

    Ne suivez-vous pas l'ordre habituel?

    D’après les règles, ce n’est pas encore votre tour. J’applique les règles du comité.

    Monsieur Martin.

    Est-ce que j’ai la parole maintenant, monsieur le président?

    Vous avez la parole.

    Je m'excuse, monsieur le président, je ne comprends pas cette règle. Pouvez-vous me l'expliquer?

    Il y a un rappel au Règlement.

    D’après la règle, nous accordons cinq minutes à chaque caucus. Le deuxième tour de table se fait dans l’ordre suivant: libéraux, conservateurs, bloquistes, conservateurs, néo-démocrates, libéraux, conservateurs. Vous avez une période par tour de table. Vous devez donc attendre le troisième tour. Le NPD et le Bloc ont une période, tandis que les libéraux et les conservateurs, qui sont plus nombreux à la Chambre, ont plus d’une période.

    Monsieur Martin.

    Merci, monsieur le président. J’espère que cela ne sera pas déduit de mon temps de parole, qui est déjà bien court.

    Le Nouveau Parti démocratique et le Bloc font de l’excellent travail, monsieur Martin.

    Je vous remercie.

    Monsieur le président, je voudrais profiter de la présence d’experts au comité pour poser une question qui déborde un peu le sujet que nous examinons aujourd’hui. La Chambre des communes étudie actuellement le projet de loi C-31, qui modifie la Loi électorale du Canada. Le projet de loi prévoit notamment la présentation de pièces d’identité par les électeurs qui se présentent aux bureaux de scrutin...

    Une voix: [Note de la rédaction: Inaudible]

    Votre temps de parole n’est pas écoulé. Je ne veux pas empiéter sur votre temps.

    Je comprends. C’est probablement une chose dont nous pourrions parler à une réunion du comité de planification ou au cours des réunions consacrées à la structure.

    Madame Lavallée, un peu de silence, s’il vous plaît.

    Monsieur Martin, veuillez poursuivre.

    Je vous remercie.

    Le projet de loi C-31 impose aux électeurs de présenter deux pièces d’identité. De plus, il modifierait les listes permanentes d’électeurs, qui comprendraient maintenant le nom, l’adresse, le numéro téléphone et la date de naissance. Au cours des campagnes électorales que j’ai dirigées – je l’ai déjà fait quatre fois –, j’avais quelque 400 volontaires. Bien souvent, on arrache une page de la liste des électeurs et on dit à un volontaire : « Allez téléphoner à ces 50 personnes pour voir si elles vont voter pour nous. » Vous êtes des spécialistes de la protection des renseignements personnels. Qu’en penserez-vous si je distribue ainsi le nom, l’adresse, numéro de téléphone et la date de naissance de chaque électeur canadien à n’importe qui ou presque? N’est-ce pas là encourager l’usurpation d’identité?

    J’ai été surpris lorsque j’ai vu le projet de loi, notamment parce que la liste doit contenir la date de naissance. À mon avis, c’est l’élément le plus inquiétant parce que c’est un renseignement d’une nature plus personnelle que les autres. Le numéro de téléphone n’est pas un renseignement particulièrement délicat, à moins qu’il ne s’agisse d’un numéro confidentiel. Mais je ne serai certainement pas en faveur de l’inscription de la date de naissance sur des listes qui seraient à la disposition d’un grand nombre de personnes.

    Y en a-t-il d’autres qui veulent parler de cette question? Je sais qu’elle déborde un peu notre sujet, mais je voulais profiter de la présence d’experts.

    J’ai aussi une question concernant plus particulièrement la LPRPDE. Je sais que la loi québécoise régissant la protection des renseignements personnels dans le secteur privé interdit la transmission de renseignements personnels à l’extérieur du Québec, à moins qu’ils ne bénéficient à destination d’une protection semblable à celle qu’assure le Québec. C’est une recommandation que j’appuierais. Je l’ai peut-être manquée dans vos exposés. Est-ce que les organisations que vous représentez recommandent d’inclure dans la LPRPDE une disposition comparable?

    Monsieur Martin, parlez-vous du transfert de renseignements à l’intérieur ou à l’extérieur du Canada?

    Je pense au transfert de renseignements à l’étranger. L’Union européenne exige que ses partenaires commerciaux aient une protection comparable. Le Québec a une disposition du même genre. Je remarque en outre qu’un certain nombre d’organismes demandent que le Canada adopte la formule québécoise.

    Permettez-moi de préciser quelques points. Au Canada, nous avons l’habitude, lorsque nous avons des activités au Québec, en Colombie-Britannique ou dans une autre province, d’adopter les normes les plus strictes plutôt que les moins strictes.

    Quelle province a les normes les plus strictes?

    C’est une question intéressante parce que cela dépend du domaine. À certains égards, c’est le Québec. À d’autres, c’est l’Ontario ou la Colombie-Britannique. Nous choisissons ce qui convient le mieux à nos clients.

    Pour ce qui est des transferts de renseignements transfrontaliers, j’ai abordé brièvement la question tout à l’heure lorsque j’ai parlé des règles du BSIF sur l’externalisation. Mark peut probablement en parler plus en détail que moi.

    Je voudrais simplement ajouter que toutes les compagnies d’assurance sous réglementation fédérale du Canada sont assujetties aux règles du Bureau du surintendant des institutions financières. Les règles régissant le transfert de renseignements à l’étranger sont très strictes. Les transferts sont permis, mais ils sont soumis à l’examen du BSIF. Il est important qu'ils soient autorisés parce que c’est un domaine à caractère très international.

    Vous devez comprendre qu’une grande partie du capital nécessaire pour assurer les maisons, les entreprises et les véhicules du Canada est de source étrangère. Il y a donc nécessairement des transferts de renseignements. Je peux cependant vous assurer qu’ils sont déjà strictement réglementés.

    Sont-ils réglementés par voie législative? Recommandez-vous que cela figure dans la LPRPDE?

    Non. Je crois qu’il est préférable que ces transferts continuent à relever du surintendant des institutions financières. Le BSIF a les compétences financières nécessaires. C’est donc là que cela devrait se faire.

    Bien sûr, la LPRPDE s’applique à toutes les organisations commerciales, et pas seulement à celles de certains secteurs comme l’assurance. Je crois qu’une modification selon la formule du Québec serait utile. Il n’y a pas de doute que cette formule a renforcé la loi québécoise. La LPRPDE contient déjà cette norme dans une certaine mesure. Lorsqu’on transfert des données pour traitement, que ce soit à une autre province ou à l’étranger, on a l’obligation de mettre en place des sauvegardes, y compris de type contractuel, pour protéger les renseignements.

    De plus, la commissaire à la protection de la vie privée a donné beaucoup plus de détails sur ce qui devrait être imposé aux organisations, à son avis. Même si cela ne figure pas dans la Loi, des lignes directrices énergiques seront fournies au secteur des affaires au sujet des moyens de protection raisonnables à prévoir en cas de transfert de données à un autre pays pour traitement. Je crois donc que la LPRPDE deviendra aussi forte que celle du Québec grâce à ce genre de mécanismes.

    Je vous remercie.

    Monsieur Dhaliwal.

    Merci, monsieur le président.

    Je remercie également les témoins d’être venus aujourd’hui.

    J’ai parcouru le mémoire du Bureau d’assurance du Canada. Vous dites d’une façon assez catégorique que si vous n’avez pas accès aux renseignements relatifs au produit du travail, les Canadiens en feront les frais. Vous précisez, par ailleurs, que ces renseignements sont créés par une entreprise ou par des employés dans l’exercice d’une activité commerciale.

    Pouvez-vous mieux préciser ce que vous voulez dire par produit du travail? Vous recueillez également des noms, des âges et d’autres renseignements.

    Ce n’est pas ce que nous entendons par renseignements relatifs au produit du travail. Je crois que les renseignements personnels sont clairement définis dans la loi comme étant les renseignements concernant un individu identifiable. Il y a toutes sortes d’autres renseignements qui ne permettent pas d’identifier une personne en particulier.

    Je vais vous en donner un exemple. Prenons le secteur des soins de santé. Il est très important pour beaucoup d’entreprises d’avoir accès aux données concernant le nombre de patients dans le système, le coût moyen des services offerts et les endroits où les services sont dispensés. Ces données sont importantes parce qu’elles permettent à ces entreprises d’améliorer leurs services – j’essaie simplement de répondre à la question de M. Van Kesteren – et cela est plus important que jamais pour les petites entreprises du pays.

    À mon avis, si on ne distingue pas les renseignements relatifs au produit du travail et si la commissaire nous dit un jour que nous ne pouvons plus y avoir accès – sa déclaration la plus récente allait dans ce sens –, on ferait du tort aux petites entreprises de tout le pays qui veulent savoir ce que les grandes sociétés font pour pouvoir mieux leur faire la concurrence. Voilà essentiellement ce qu’il en est. Il s’agit de renseignements qui ne sont pas identifiables, des renseignements commerciaux dont d’autres intervenants de l’économie ont besoin pour créer, innover et améliorer des biens et des services. Nous ne croyons pas qu’il faille recourir aux lois de protection des renseignements personnels pour restreindre l’accès à ce genre de renseignements.

    Il y a aussi le revers de la médaille. Si quelqu’un peut avoir accès à son dossier personnel, nous lui donnerons évidemment le dossier contenant ses renseignements personnels. Nous soutenons cependant que ce dossier ne devrait pas contenir des renseignements relatifs au produit du travail, qui n’ont rien à voir avec une personne identifiable.

    Voilà donc les deux aspects de la question. Je crois qu’il est essentiel, dans une économie concurrentielle, que nous fassions cette distinction. Si vous ne pouviez apporter qu’une seule modification à la Loi, c’est celle-ci que je recommanderais.

    Croyez-vous qu’une modification de ce genre aurait des effets négatifs sur les individus? Je suis bien d’accord que ce serait utile pour les entreprises, et surtout aux petites entreprises, mais y a-t-il des conséquences négatives pour les individus ou la clientèle?

    Il pourrait y avoir des conséquences négatives pour certains et positives pour d’autres. Si je suis propriétaire d’une petite entreprise et que j’aie accès aux renseignements relatifs au produit du travail... Supposons que je sois agent immobilier et que je veuille développer mon entreprise. Je voudrais alors savoir où se trouvent les maisons qui se vendent à Toronto ou à Victoria. Si j’arrive à vendre davantage, il y aura peut-être un autre agent qui vendra moins de maisons.

    Il y a toujours des conséquences négatives, comme on peut s'y attendre dans une économie concurrentielle.

    Vous dites que la personne devrait avoir accès à son dossier et que, d’après le texte actuel de la Loi, les entreprises ne devraient exiger que des frais minimes. Vous dites par ailleurs que les entreprises devraient pouvoir facturer des frais raisonnables pour l’accès à l’information. Quelle distinction faites-vous entre des frais minimes et des frais raisonnables? Quelles sont les critères? Cela se trouve à la page 14 de votre mémoire à la Chambre des communes.

    Je vais essayer de répondre à cette question.

    Le concept de frais minimes pourrait impliquer de charger une personne peu expérimentée de préparer la réponse, tandis que des frais raisonnables tiendraient compte des ressources que l’entreprise affecte à la préparation de la réponse.

    Prenons l’exemple d’un dossier d’assurance, qui contient souvent beaucoup de documents. Une partie consiste en produit du travail de l’assureur. Un dossier de réclamation contient aussi des renseignements personnels. Pour maintenir les frais au minimum, on pourrait charger un employé très subalterne et sans expérience de l’analyse du dossier, ce qui pourrait avoir des conséquences fâcheuses. Par conséquent, il est nécessaire de charger du travail une personne ayant des compétences suffisantes. L’affectation de cette personne coûtera un peu plus que le minimum possible, mais le travail serait bien fait. Les frais raisonnables seraient donc les frais nécessaires pour charger une personne compétente de réunir les renseignements nécessaires à la réponse.

    Merci, monsieur Bundus.

    Monsieur Stanton.

    Merci, monsieur le président.

    Monsieur Yakabuski, je voudrais revenir sur la question du produit du travail, que nous n’avons pas vraiment examinée à fond. Je dirai tout d’abord que je conviens avec vous de son importance pour la recherche, la compréhension des produits et la commercialisation. Venant moi-même du secteur de la petite entreprise, je sais qu’il s’agit de renseignements très importants que la petite entreprise n’a pas les moyens de produire elle-même, comptant pour cela sur les grandes associations industrielles, qui ont davantage la possibilité de faire les calculs nécessaires.

    J’estime personnellement qu’il faut trouver des moyens d’en arriver à un équilibre approprié. Voyons d’abord ce qu’a dit la commissaire à la protection de la vie privée à ce sujet... Prenons votre exemple. Dans votre exposé, vous parlez des réparations de véhicules « que nous payons des milliards de dollars chaque année, afin d’être en mesure d’améliorer le service que nous offrons à nos clients ». De quelle façon la LPRPDE empêche-t-elle actuellement la communication de ces renseignements?

    Eh bien, lorsqu’il n’y avait pas une distinction claire entre les renseignements personnels et les renseignements relatifs au produit du travail... Prenons le cas d’un garage qui contribue à l’une des rares bases de données dont dispose l’industrie. Il saisit les données concernant les réparations, comme le temps consacré au travail, le coût, etc. Ces bases de données sont disponibles. Tous les membres de l’industrie les utilisent. Comme je l’ai dit, ils se servent des renseignements relatifs au produit du travail pour améliorer leurs propres biens et services. Si le propriétaire du garage ne veut pas donner à ses concurrents la possibilité d’obtenir les mêmes résultats que lui, il peut affirmer qu’il s’agit de renseignements personnels et qu’il ne veut les communiquer à personne. Nous serions alors tous perdants. C'est le risque que nous courons si nous n’adoptons pas une définition distincte des renseignements relatifs au produit du travail.

    Je peux vous donner des milliers d’autres exemples de fournisseurs de services qui refusent de communiquer les données concernant le nombre de patients qu’ils ont examinés, l’endroit où ils les ont vus et le coût des services dispensés.

    En ce qui concerne l’exemple que vous avez cité – qui est très bon, je dois dire –, n’appartient-il pas à l’entreprise elle-même de décider, par exemple si elle est membre d’une association qui partage ce genre d’information à ses propres fins?

    Comme vous le savez, dans les affaires, on communique des renseignements d’une multitude de façons tous les jours de la semaine. Si vous présentez ces renseignements à une organisation en disant qu’ils sont personnels et que vous ne voulez les communiquer à personne, vous empêchez tout échange.

    Dans sa conclusion 14, que vous citez dans votre mémoire, la commissaire à la protection de la vie privée soutient que « le sens de "renseignement personnel", bien que vaste, ne l’est pas assez pour englober tous les renseignements associés à un individu ». Elle ajoute: « L’ordonnance individuelle, quoiqu’elle puisse révéler des renseignements au sujet du patient, n’est pas, de façon significative, un renseignement concernant le médecin prescripteur comme individu ». Il s’agit plutôt d’un renseignement concernant le processus professionnel. On semble convenir que ce genre de renseignements devrait être accessible pour les raisons que vous et votre secteur avez mentionnées.

    Je répète donc: Pourquoi avons-nous besoin de dispositions plus prescriptives?

    Je connais bien les observations de la commissaire puisqu’elles figurent dans notre mémoire, mais le commissaire précédent n’était pas du même avis au sujet des renseignements relatifs au produit du travail. Ce genre d’incertitude n’est pas bon pour l’économie canadienne. Je crois qu’il incombe à la Chambre d’établir clairement que les renseignements relatifs au produit du travail doivent être accessibles à tous pour qu’il soit possible d’innover et d’améliorer les biens et services dans le pays. L’incertitude est improductive.

    Bien entendu, tout le monde a de bonnes intentions. Nous ne prétendons pas du tout le contraire, mais nous croyons que cette question est assez importante pour qu’il vaille la peine de la préciser dans la Loi, de façon que toutes les entreprises et les particuliers du Canada aient la certitude que les renseignements relatifs au produit travail sont accessibles.

    Je vous remercie.

    Madame Lavallée, la parole est à vous.

    Merci beaucoup.

    D'abord, je m'adresserai à M. Yakabuski, qui représente le Bureau d'assurance du Canada.

    Il y a quelque chose qui me turlupine beaucoup dans votre mémoire. C'est à la page 11 du document en français . Malheureusement, je ne sais pas à quoi cela correspond en anglais. Votre proposition dit que :

     Vous comprenez que si on se fiait toujours aux pratiques commerciales qu'on considère comme saines, on ne ferait aucune loi. C'est pour cela que je ne suis pas d'accord.

    Vous dites que c'est une proposition, mais c'est plutôt un principe que vous énoncez. Je trouve cela assez particulier, d'autant plus qu'il me semble qu'une compagnie d'assurance possède beaucoup de renseignements personnels sur un individu. Je l'ai dit plus tôt: c'est le genre d'entreprise qui a le plus de renseignements personnels à notre sujet, autant sur notre santé financière que sur notre santé physique. Par conséquent, elle a encore plus de devoirs que n'importe qui d'autre, et il n'y a rien de mieux que de mettre cela dans une loi pour s'assurer que tout le monde s'y conforme.

    Je dois indiquer que la loi actuelle ne prévoit pas que les contrevenants à la loi soient automatiquement connus. Quand j'ai appris cela, j'ai été sidérée. Je ne comprends pas qu'on protège l'identité des contrevenants et qu'on laisse à la commissaire le soin de décider s'il faut rendre public le nom des gens qui contreviennent à la loi.

    À mon avis, le devoir d'une entreprise est non seulement d'aviser ses clients quand elle s'est fait voler des renseignements qui peuvent les concerner, mais aussi, comme l'a dit M. Long plus tôt, de réparer les torts. J'aimerais que M. Long nous donne des explications à ce sujet.

     Normalement, ce genre de lettre est assez vague. On y dit qu'on s'est fait voler des renseignements, qu'on pense que notre nom en fait partie, qu'on ne croit pas cela puisse être très grave, mais qu'en raison d'une grandeur d'âme incommensurable, on tenait à nous en aviser, et c'est tout.

    La personne qui reçoit cette lettre ne sait pas exactement quels renseignements ont été volés, quelles démarches elle peut entreprendre ou quels sont ses recours. La compagnie est responsable de nos renseignements personnels, à mon avis. Aussi, elle doit être responsable non seulement de nous aviser en détail, mais aussi de réparer les torts.

     Je ne sais pas si vous voulez commenter, monsieur Yakabuski ou monsieur Long.

    Avec beaucoup de plaisir, madame.

    D'abord, je vous pose une question en contrepartie. Combien de fois avez-vous entendu parler d'un cas où une compagnie d'assurance de dommages au Canada avait violé la vie privée de quiconque?

    Ce renseignement n'est pas rendu public; il est remis à la commissaire à la protection de la vie privée du Canada qui, elle, décide si elle rend public ou non ce renseignement. À ma connaissance, elle n'a pas rendu beaucoup de renseignements publics ces trois dernières années.

    C'est justement parce que les compagnies d'assurance de dommages comprennent très bien que les renseignements personnels sont sacrés et qu'il faut les protéger ainsi.

    Nous sommes déjà assujettis à beaucoup de réglementations. Comme Mme Bercovici l'a déjà mentionné, l'ensemble des compagnies d'assurance sont assujetties à la loi de la bonne foi. C'est un principe de la common law qui est absolument sacré. Cela s'inscrit dans le contrat d'assurance entre un individu et une compagnie d'assurance. La Cour suprême du Canada a déjà constaté que, lorsqu'une compagnie viole le principe de la bonne foi, cela peut lui coûter des millions de dollars, madame.

    Le travail du gouvernement est de légiférer, mais pas trop. Lorsqu'on parle de renseignements relatifs au produit de travail, il y a un manque. Donc, je vous recommande de légiférer.

    Cependant, quand il s'agit d'une compagnie d'assurance et de la protection des renseignements personnels, il y a déjà beaucoup de réglementations en place, et il y a aussi le Bureau du surintendant des institutions financières. Il ne faut pas trop légiférer, madame.

    Merci.

    Le temps de parole est expiré, mais nous vous donnerons quelques instants pour répondre, monsieur Long.

    Merci beaucoup.

    Les législateurs n’adoptent pas des lois de protection des renseignements personnels pour obliger les bonnes sociétés à agir d’une manière responsable. Ils le font à cause des autres sociétés qui n’assument pas leurs responsabilités. La toute première enquête sur une plainte menée par le Commissariat à la protection de la vie privée de l’Alberta mettait en cause trois entreprises qui s’étaient débarrassées de dossiers personnels très détaillés, contenant un énorme volume de renseignements personnels et de données financières, en les mettant à la poubelle. Le fait n’a été découvert que lorsque la police d’Edmonton s’est rendu compte que ces dossiers étaient vendus à des voleurs d’identité et a pu avertir le Commissariat à la protection de la vie privée de l’endroit où ils avaient été pris.

    Nous avons besoin d’une disposition de notification des infractions à la sécurité, qui impose à toutes les entreprises d’agir d’une façon responsable. Le risque est grand. Même si les compagnies d’assurance sont irréprochables, beaucoup d’autres sociétés et de petites entreprises du Canada pourraient craindre pour leur réputation, préférer cacher le fait qu’elles ont violé la loi et ne dire à personne que leurs données ont été volées. Ainsi, votre crédit peut être compromis et, à moins que la police n’ait mené une enquête et découvert la source de la fuite, vous ne saurez jamais qu’il y a eu infraction à la sécurité. Je crois donc qu’il est nécessaire de prévoir dans la loi un mécanisme de divulgation et des sanctions pour inciter les petites entreprises à se conformer.

    Je vous remercie.

    Monsieur Dhaliwal.

    Je voudrais poser une question à M. Yakabuski. J’ai trouvé intéressant l’exemple du garage qu’il a donné.

    Je suis bien sûr d’accord avec vous au sujet des compagnies d’assurance. Je n’ai jamais eu connaissance, dans les dernières années, d’incidents ayant occasionné la divulgation de mes renseignements personnels.

    Vous avez donné l’exemple du garage. Les grands constructeurs automobiles comme General Motors et Chrysler ont de l’équipement qui permet de diagnostiquer les pannes des voitures. De petits garages se sont souvent adressés à moi pour me dire qu’ils n’ont pas accès à cette technologie. Que pensez-vous de cette situation? S’agit-il d’une question liée au produit du travail ou au produit d’une entreprise?

    Je ne crois pas qu’il s’agisse d’une question liée au produit du travail. Je suis au courant du problème dont vous venez de parler. Je peux même vous dire que j’ai eu un entretien, la semaine dernière, avec des responsables de l’Association des industries de l’automobile du Canada pour discuter des moyens de faciliter les discussions entre les constructeurs automobiles et les garages qui font des réparations partout au Canada, de façon à permettre à ces derniers d’accéder aux codes logiciels dont ils ont besoin pour réparer les véhicules. Tout cela fait partie des marchandages caractéristiques d’une économie dynamique. Il est évident que personne ne communiquera des renseignements de ce genre sans contrepartie. C’est donc une question qui nécessite des discussions. Nous serons là.

    Je voudrais maintenant revenir à la question des frais minimes et des frais raisonnables. Il y a des cas où les demandeurs pourraient ne pas avoir les moyens de payer, comme d’autres entreprises ou particuliers. À votre avis, qu’est-ce qu’il conviendrait de faire dans cette situation?

    C’est une question difficile. Vous souhaitez que les entreprises subventionnent le coût d’une telle demande d’accès. La difficulté, lorsque nous obligeons les assureurs ou les grandes entreprises à s’en tenir à des frais minimes, c’est qu’ils peuvent être soumis à différentes manœuvres. Au cours d’un procès, il est possible d’exercer des pressions sur eux en les menaçant de demander d’innombrables documents dont la recherche pourrait leur coûter très cher. Même si l’assureur ou le défendeur souhaite qu’une affaire soit réglée par les tribunaux, il peut être moins coûteux pour lui de payer une réclamation plutôt que d’avoir à répondre à une demande présentée en vertu de la LPRPDE. Par conséquent, c’est en pensant aux abus possibles de certaines parties, qui voudraient utiliser la LPRPDE comme arme dans le cadre de leur procès, que nous nous inquiétons de la responsabilité de répondre en contrepartie de frais minimes plutôt que de frais raisonnables.

    Y a-t-il d’autres observations à ce sujet?

    Je voudrais parler de la question des frais minimes. Je suis d’accord avec M. Bundus que les demandes de renseignements sont parfois abusives. S’il fallait réclamer des frais minimes à certaines occasions... J’ai une chose à dire. Les frais ne sont pas seulement assumés par les entreprises. Ce sont en fait les consommateurs qui doivent les payer. Plus il sera coûteux de faire fonctionner le système, plus les produits offerts aux consommateurs coûteront cher.

    Le problème ne se pose pas tous les jours, mais quand il se pose, il peut être assez grave. Il y a des gens qui abusent du système en multipliant les demandes portant sur des milliers et des milliers de documents, de façon à tout ralentir.

    Je crois par conséquent qu’il est raisonnable dans certains cas d’imposer des frais minimes. Nous le faisons dans le système judiciaire. Si nous nous présentons devant un tribunal et sommes tenus de produire des documents, il y a des frais auxquels personne ne s’oppose, pourvu qu’ils soient raisonnables. Il existe des normes à cet égard. C’est donc une chose qui arrive déjà. Elle est simplement prévue dans le processus.

    M. Long a quelque chose à ajouter, monsieur le président.

    Je crains, si l’on adopte une échelle mobile correspondant à des frais raisonnables, que ceux-ci se transforment en frais dissuasifs. Les gens auraient l’impression que le coût est inabordable et qu’on les empêche donc d’avoir accès à des renseignements essentiels auxquels ils ont le droit d’accéder.

    On peut recourir à d’autres moyens pour dissuader les demandeurs qui sont clairement de mauvaise foi ou qui agissent à des fins vexatoires. D’après la loi de la Colombie-Britannique, une entreprise peut s’adresser au commissaire provincial pour lui demander la permission de ne pas répondre à une demande qu’elle juge frivole, vexatoire ou de mauvaise foi. C’est peut-être un aspect que vous voudrez inscrire dans la LPRPDE.

    Si on commence à faire passer les frais de « minimes » à « raisonnables », terme particulièrement difficile à interpréter dans ce contexte... Je crois d’ailleurs qu’il est possible d’utiliser des tableaux pour déterminer ce que représente un coût minime, comme le coût de photocopies ou de choses de ce genre. Je ne pense pas que le demandeur devrait avoir à assumer le fardeau si l’entreprise lui dit qu’elle a besoin de faire des recherches pour déterminer ce qu’il convient de lui donner. Le fardeau devrait incomber à l’entreprise. Il serait injuste de l’imposer au demandeur. L’entreprise a recueilli les renseignements et les utilise ordinairement dans son propre intérêt. Le demandeur ne devrait donc pas avoir à payer un nouveau coût supplémentaire pour y avoir accès.

    Je vous remercie.

    Nous arrivons à la fin de notre séance. La présidence a une question à vous poser, monsieur Long, au sujet de la notification que vous avez mentionnée dans votre exposé. Je ne pense pas qu’un autre témoin... Je crois que vous êtes celui qui en a parlé le plus...

    Merci, monsieur le président.

    Effectivement.

    Si on l'a fait, je ne m’en souviens pas. Vous avez dit que si une entreprise ne respecte pas l’obligation de notification, quelle qu’en soit la forme, il devrait y avoir une sanction. Je trouve cela intéressant. Vous êtes-vous demandé qui serait habilité à imposer des sanctions? Les tribunaux ou le commissaire à la protection de la vie privée? C’est la première question.

    La deuxième est la suivante: À votre avis, quelle devrait être la peine minimale? Nous n’avons pas beaucoup de temps, mais j'ai une troisième question: Cette exigence devrait-elle s’appliquer aux sociétés étrangères qui ont des filiales au Canada? Je suis sûr que cette question va provoquer quelques remous parmi les représentants du secteur de l’assurance.

    S’il y a des filiales au Canada, elles sont soumises à nos lois dans la mesure où elles recueillent et utilisent des renseignements chez nous. Je crois que cela est clairement compris.

    Pour ce qui est des peines, l’article 28 de la Loi précise les infractions qui existent à l’heure actuelle. Il y a certainement des infractions prévues pour entrave à l’action de la commissaire à la protection de la vie privée dans l’exercice de ses fonctions. Les amendes s’échelonnent entre 10 000 $ et 100 000 $. En général, elles seraient imposées par l’entremise du procureur général et feraient intervenir une forme d’audience ou de procès visant à fixer le montant de l’amende. Il s’agirait cependant d’une infraction en vertu de la Loi.

    Pour ce qui est des infractions à la sécurité, toute organisation qui tairait sciemment des renseignements concernant une infraction à la sécurité, sans égard à l’intérêt public et en sachant qu’elle peut ainsi causer des préjudices ou des pertes au public, notamment en matière de cote de crédit, d’usurpation d’identité, etc. devrait être jugée coupable d’une grave infraction en vertu de la Loi. Il faudrait également prévoir une peine pour faire comprendre aux petites entreprises, qui n’ont peut-être pas les mêmes responsabilités que les grandes sociétés, qu’il s’agit d’une question grave qui ne doit pas être prise à la légère.

    Puis-je intervenir, monsieur le président?

    Oui, madame Bercovici.

    Je voudrais vous inviter à jeter un coup d’œil à l’onglet 4 de notre cahier de documentation. Il s'agit tout simplement du fascicule de témoignages que vous connaissez évidemment bien. C’est vers le bas de la page 4, dans les deux versions. Nous ne nous opposons pas à ce qu’il y ait une obligation de notification, ce qui revient à dire que nous sommes plus ou moins d’accord qu’il y en ait une. La question n’est pas de savoir s’il convient d’établir une obligation de notification ou si les gens ont le droit. Le problème est de déterminer le seuil. Dans le cas d’une loi fondée sur des principes ayant la portée de la LPRPDE, il est quasi impossible de concevoir un seuil raisonnable. Si vous regardez au bas de la deuxième colonne, vous verrez que la commissaire en convient très explicitement. Elle dit : « Oui, nous sommes en faveur du principe. Le problème consiste à savoir comment le réaliser. » Elle explique ensuite à quel point il est complexe et difficile d’essayer de transposer les solutions américaines au Canada. « À qui donne-t-on un avis? Quelle sera la portée? Cela portera-t-il sur tous les renseignements, ou seulement lorsqu’il y a un risque notable? Qui en assumera le coût? » Vers le milieu de la page 5, elle dit qu’elle recommande l’inscription dans la Loi d’une disposition de notification en cas de manquement à la sécurité. Elle reconnaît que le libellé exact serait extrêmement difficile à établir. Il y a ensuite une discussion concernant la nécessité de définir un seuil.

    Permettez-moi de dire, avec respect, que vous devriez envisager une sorte de déclaration de principe dans la LPRPDE, imposant la notification au-delà d’un certain seuil. Nous croyons cependant, surtout dans le cas de secteurs aussi complexes que les nôtres, que les détails de ce seuil et de son application devraient être laissés aux lois qui nous régissent et à ceux qui connaissent à fond notre façon de fonctionner. Vous pouvez définir des règles, mais il serait très difficile d’en établir qui puissent s’appliquer aussi bien à une banque qu’à une petite entreprise. Il y a ici un autre passage dans lequel la commissaire et son adjointe parlent des incidents de la CIBC. Vous pouvez avoir règle par-dessus règle. Cela n’empêchera pas des incidents de se produire de temps en temps. Elles ont dit que la CIBC avait pris toutes les mesures qui s’imposaient et avait d’excellents systèmes et de bonnes ententes. Il y a cependant des choses qui arrivent à l’occasion.

    J’estime donc que cela devrait être laissé à ceux qui connaissent à fond nos secteurs extrêmement complexes.

    Je vous remercie de votre intervention. Il ne nous reste plus de temps. Vous avez soulevé de nombreuses questions que le comité devra examiner. Je vous remercie de nous avoir fait profiter de vos connaissances.

    Merci beaucoup.

    La séance est levée.