ETHI Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
CANADA
Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique
|
l |
|
l |
|
TÉMOIGNAGES
Le jeudi 8 février 2007
[Enregistrement électronique]
[Traduction]
Bonjour à tous. Nous avons quelques minutes de retard et j'aimerais commencer.
Vous êtes à la 29e séance du comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique. À l'ordre du jour, conformément à l'ordre de renvoi du 25 avril 2006 et à l'article 29 de la Loi sur la protection des renseignements personnels et les documents électroniques, nous procédons à un examen de la loi prévu par la loi.
[Français]
[Traduction]
[Français]
[Traduction]
Nous n'avons pas besoin d'avoir le quorum pour commencer la séance. Je veux bien rendre service, mais si les députés ne sont pas là —
Nous devions commencer à 9 heures. Les gens traînent. Nous avons donc le droit de commencer.
[Français]
[Traduction]
Le seule problème, c'est s'il y a un vote, et comme ce n'est pas le cas, à moins que vous ne me cachiez quelque chose, nous pouvons commencer.
Nous accueillons deux témoins, aujourd'hui : Mme Anita Fineberg, conseillère de IMS Health Canada, et M. Dave Carey, de la National Association for Information Destruction - Canada.
Nous accordons généralement 10 minutes à chaque groupe pour leurs remarques liminaires, après quoi les membres du comité auront sans doute des questions à vous poser.
Je vous remercie d'être venu et de nous faire votre exposé.
Madame Fineberg, nous allons commencer avec vous, vous pouvez nous présenter vos collègues.
Très bien. Comme vous l'avez dit, je m'appelle Anita Fineberg. Je suis chef de la protection des renseignements personnels et conseillère juridique d'entreprise pour IMS Health pour le Canada et l'Amérique latine.
Ceux qui m'accompagnent ce matin sont Gary Fabian, vice-président des affaires publiques et des relations gouvernementales.
Et le Dr Léo-Paul Landry, membre de notre conseil consultatif médical national et ancien chef de la direction et secrétaire général de l'Association médicale canadienne. Le Dr Landry nous apporte le point de vue des médecins sur la question et il a une expérience et une expertise particulières dans la province de Québec.
J'aimerais d'abord remercier le comité d'avoir donné à IMS l'occasion de paraître devant vous aujourd'hui. Avec la permission du comité, Gary vous donnera d'abord des renseignements sur l'entreprise IMS Health, sur ce que nous faisons, sur les données que nous recueillons et sur notre contribution à l'avancement de la santé, puis je vous expliquerai les répercussions de la LPRPDE sur notre entreprise et la raison pour laquelle nous sommes ici aujourd'hui.
Bonjour. Je m'appelle Gary Fabian et je travaille chez IMS Health depuis plus de 20 ans et j'y ai joué toutes sortes de rôles. En tant que vice-président des affaires publiques, je collabore étroitement avec les communautés de médecins, de pharmaciens et de chercheurs partout au Canada, surtout dans le domaine de l'utilisation optimale des médicaments.
IMS Health est le principal fournisseur mondial de renseignements, de recherches statistiques et de services de consultation aux secteurs de la pharmacie et des soins de santé. Nous suivons plus d'un million de produits à l'échelle mondiale, aidant les intervenants du domaine des soins de la santé à mettre en oeuvre des décisions fondées sur des données probantes.
Nous exploitons notre entreprise au Canada depuis 1960. Notre siège social canadien se trouve à Montréal, où nous avons quelque 850 employés. Nous avons un autre bureau à Toronto où travaillent 85 personnes, de même qu'un petit bureau satellite à Edmonton, en Alberta.
Nous recueillons des données auprès de plus de 6 500 sources au Canada, y compris les hôpitaux, les pharmacies, les fabricants de produits pharmaceutiques, les grossistes et les médecins, en vue de fournir des renseignements détaillés sur le diagnostic et le traitement des maladies, notamment sur les habitudes de prescription et sur les tendances dans l'utilisation des produits pharmaceutiques.
Nous tenons la plus grande base de données d'ordonnances au Canada. Nous gérons à peu près tous les renseignements relatifs à la distribution, à la consommation et à l'utilisation des produits pharmaceutiques au Canada, à une grande exception près : nous ne recueillons pas et nous ne divulguons pas de renseignements personnels nominaux de patients, si bien que la vie privée de ceux-ci n'est jamais en danger. Nous déployons beaucoup d'efforts pour veiller à ce que la vie privée des patients soit toujours protégée.
Depuis le début de l'exploitation de notre entreprise au Canada en 1960, nous n'avons jamais connu de violation de la vie privée des patients; nous n'avons jamais reçu de plainte selon laquelle la vie privée d'un patient aurait été compromise; nous n'avons jamais reçu d'un patient une plainte selon laquelle sa relation avec son médecin aurait été compromise d'une manière ou d'une autre; nous n'avons jamais reçu d'un médecin une plainte selon laquelle sa relation avec un patient aurait été mise en péril. C'est la réalité et elle est contraire aux conjectures non fondées.
[Français]
Nous fournissons des produits et des services d'information aux gouvernements, aux chercheurs, aux prestataires de soins de santé, aux organismes de réglementation et au secteur privé, c'est-à-dire les sociétés pharmaceutiques et biotechnologiques, pour soutenir l'utilisation sûre et efficace des médicaments, l'évaluation des politiques pharmaceutiques, la mise en oeuvre des pratiques exemplaires et les analyses économiques. Dans les recherches dirigées par les médecins, on se sert des données d'IMS pour mesurer les répercussions des initiatives de formation médicale continue sur les pratiques prescriptrices. Les initiatives d'amélioration de la qualité pour l'emploi des antibiotiques en Colombie-Britannique, l'élaboration de nouvelles lignes directrices en matière de prescription de Ritalin aux enfants du Québec et une étude à long terme sur l'emploi des psychothérapies dans les troubles dépressifs associés à la sclérose en plaques, actuellement en cours dans l'Ouest du Canada, tous ces travaux ont bénéficié des données d'IMS. Ce sont nos clients commerciaux payeurs qui nous ont permis d'investir dans l'élaboration et la production des renseignements les plus opportuns et les plus à jour, et de les fournir gratuitement aux chercheurs dans le domaine de la santé.
Du côté gouvernemental, nous avons fourni des données au Conseil d'examen du prix des médicaments brevetés pour l'aider dans l'établissement des prix des médicaments de marque dans le passé, et actuellement pour la surveillance des prix des médicaments génériques au Canada. Santé Canada est aussi un client important d'IMS et utilise nos renseignements pour évaluer les tendances actuelles d'utilisation des médicaments et pour élaborer des politiques de santé. D'autres ministères du gouvernement, autant provincial que fédéral, font souvent appel à l'expertise d'IMS pour des raisons similaires.
Nous sommes conseillés par un conseil consultatif médical qui se compose de trois éminents médecins : le Dr Léo-Paul Landry, qui est ici avec nous et qui représente le Québec, le Dr Bill Orovan, qui représente l'Ontario, et le Dr Larry Olhauser, qui représente l'Ouest. Nous interagissons avec de nombreux médecins chercheurs dans plusieurs milieux, comme les universités et d'autres centres d'excellence en recherche.
Nos données sont neutres, c'est-à-dire que nous ne faisons pas de jugement sur la valeur de tel ou tel traitement particulier, et sont utilisées par d'autres pour soutenir la médecine factuelle et la prise de décisions en matière de politique dans des domaines cruciaux comme le contrôle des coûts des médicaments, l'évaluation des tendances d'utilisation et l'élaboration de lignes directrices en matière de prescription. Notre objectif est de veiller à ce qu'on dispose des données les plus détaillées, les plus valides et les plus opportunes possible pour soutenir des décisions fondées sur des preuves.
[Traduction]
Je suis chef de la protection des renseignements personnels depuis 2000. Nous étions alors l'une des premières sociétés canadiennes à avoir un tel poste. Je me suis jointe à IMS en quittant le ministère de la Santé de l'Ontario où j'avais fourni des conseils juridiques au ministère sur toutes les questions liées à la protection des renseignements personnels auxquelles était confronté le secteur public provincial dans l'administration de la Loi sur l'accès à l'information et sur la protection des renseignements personnels dans le secteur public. J'ai travaillé pour le Commissariat à l'information et à la protection de la vie privée de l'Ontario pendant plusieurs années. Mon expérience dans le domaine des questions liées à l'accès à l'information et à la protection des renseignements personnels s'étend donc au gouvernement, aux organismes de réglementation et maintenant au secteur privé.
Vous vous souvenez sans doute que Gary a mentionné une des bases de données clés d'IMS, qui identifie des médicaments qui ont été prescrits par des médecins identifiés. J'insiste encore pour dire que nous ne recevons aucun renseignement permettant d'identifier un patient. Nous n'avons pas accès aux dossiers d'ordonnance comme tels. Les renseignements que nous recevons au sujet des habitudes de prescriptions des médecins sont divulgués sous forme regroupée d'au moins 30 médecins, et en général les groupes en question sont plus grands que cela, si bien que les habitudes de prescription d'un médecin ne nous sont jamais révélées. À la place, le client reçoit un rapport qui indique un nombre pour tous les médecins nommés dans le groupe.
Un médecin peut avoir accès aux renseignements d'ordonnance qui le concernent en présentant une demande à IMS. Ce service est gratuit. IMS révèle seulement les renseignements sur une base individuelle au médecin ou comme l'exige la loi.
Alors que faisons-nous ici aujourd'hui? Nous sommes ici pour demander au comité de considérer une modification légère et technique à la LPRPDE visant à clarifier et à codifier la définition de renseignement sur le produit du travail de telle sorte à assurer une certitude dans la loi et à exclure cette définition de la définition de renseignement personnel et, par conséquent, de la portée de la loi.
Comme vous le savez, la définition de renseignement personnel dans la LPRPDE est renseignement au sujet d'un individu identifiable, puis la définition se poursuit pour exclure le nom, le titre ou l'adresse ou le numéro de téléphone d'un employé d'une organisation. La question est de savoir si les renseignements que reçoit IMS des pharmacies au sujet des ordonnances d'un médecin sont assujettis à la LPRPDE.
Lorsque la loi a été rédigée et débattue, nous avions des doutes quant à la question de savoir si la portée en apparence vaste de la définition engloberait les renseignements d'ordonnance, ce qui ne semblait pas être l'intention du législateur. Avant même que la loi entre en vigueur, nos fournisseurs de données et nos clients avaient exprimé des préoccupations au sujet des renseignements d'ordonnance, en raison du manque de clarté dans la LPRPDE. Dès que la loi est entrée en vigueur en 2001, nous avons été informés par le commissariat qu'il avait reçu deux plaintes au sujet de nos pratiques. Dans les plaintes en question, on alléguait que nous avions contrevenu à la LPRPDE étant donné que nous recueillions des renseignements personnels sans le consentement des médecins.
À l'automne de 2001, la commissaire fédérale à publié ses constations sur les deux plaintes prises ensemble, concluant que les renseignements d'ordonnance ne constituent pas des renseignements personnels, mais plutôt des renseignements sur le produit du travail, et ne sont donc pas assujettis à la LPRPDE.
L'un des plaignants, ancien concurrent d'IMS, a traîné l'affaire jusqu'en Cour fédérale, où elle a été rejetée avec le consentement de toutes les parties au printemps de 2004.
En collaboration avec Industrie Canada, nous avons proposé qu'un règlement clarificateur soit promulgué en vertu de la LPRPDE afin de veiller à ce que l'intention du législateur soit clairement établie et précise que les renseignements en question n'étaient pas assujettis à la LPRPDE. Cependant, le ministère de la Justice a donné l'opinion qu'une telle clarté devait être fournie dans une modification à la loi, plutôt que dans un règlement. Nous avons suivi son conseil et nous sommes ici aujourd'hui pour demander une telle modification.
Pourquoi est-ce nécessaire? Nous et d'autres intervenants dont vous avez entendu parler, travaillons toujours dans un contexte d'incertitude. Malgré les conclusions de la commissaire, une autre plainte contre IMS sur la même question pourrait être déposée auprès de la commissaire du jour au lendemain. Comme on vous l'a dit, la commissaire pourrait faire une constatation différente, car elle n'est pas obligée de suivre la conclusion précédente. Comme vous pouvez le constater, il s'agit d'un environnement pénible et incertain dans lequel exploiter une entreprise et pour prendre des décisions au sujet des investissements en cours en technologie, en infrastructure et en ressources humaines dans nos bureaux canadiens du Québec, de l'Ontario et de l'Alberta.
Sans compter que d'une manière tout aussi importante, l'environnement canadien en matière de protection des renseignements personnels a été le théâtre au cours des années de la reconnaissance explicite de la conclusion de la commissaire sur le produit du travail. Vous avez entendu dire de la part des représentants du ministère de l'Industrie que la Colombie-Britannique dispose d'une loi provinciale essentiellement similaire sur la protection des renseignements personnels dans le secteur privé, soit le PIPA. Cette loi est entrée en vigueur en janvier 2004 et codifie en fait la conclusion de la commissaire; elle comporte une définition des renseignements sur le produit du travail, qui se trouve à être explicitement exclue de la définition de renseignement personnel.
Certainement.
Vous avez entendu de nombreux témoins qui ont comparu devant votre comité aujourd'hui qui appuient une exclusion spécifique pour la définition des renseignements sur le produit du travail : David Loukidelis, le commissaire à la protection de la vie privée de la Colombie-Britannique, qui a dit que la définition dans la législation de la Colombie-Britannique n'a pas créé de problème; Edith Cody-Rice et Don Brazier, au nom de FETCO; l'Association du barreau canadien dans son sommaire qui a été présenté à Industrie Canada; le Bureau d'assurance du Canada; et l'Association canadienne des compagnies d'assurance de personnes.
L'exclusion en ce qui concerne le produit du travail, que nous avons proposée en tant qu'amendement à la dernière page de notre mémoire, s'appuie sur la définition donnée dans la législation de la Colombie-Britannique. Elle répond aux préoccupations éventuelles dont ont parlé la commissaire fédérale et le professeur Bennett en ce qui a trait à l'interprétation qui pourrait faire en sorte que les activités de surveillance d'un employé échappent à la portée de la loi. Cette définition est assez large pour inclure bon nombre de renseignements sur le produit du travail dont vous ont parlé des témoins et elle est assez étroite pour exclure le type de renseignements sur le produit du travail sur lesquels les témoins s'entendaient pour dire qu'ils étaient qualitativement différents des renseignements personnels et qui devraient être protégés en vertu de la loi.
Merci. Je m'appelle Dave Carey, je suis vice-président de Iron Mountain Secure Shredding et le président bénévole élu de NAID Canada. Je suis accompagné de Robert Johnson, directeur exécutif de la NAID et de NAID Canada.
Au nom de la National Association for Information Destruction, NAID Canada, je voudrais remercier le comité de l'occasion qui m'est donnée de m'adresser à vous ici aujourd'hui.
NAID Canada est une association commerciale sans but lucratif pour l'industrie de la destruction des renseignements protégés. Les membres NAID Canada, comme ceux de ses organisations soeurs aux États-Unis et en Europe, offrent des services commerciaux allant du déchiquetage sécurisé des dossiers papier supprimés jusqu'à la destruction de renseignements contenus dans les dossiers électroniques.
Nous considérons l'invitation à venir nous adresser à vous ce matin comme étant une indication que les décideurs du monde entier comprennent de plus en plus que la protection des renseignements personnels à la fin de leur cycle de vie est tout aussi importante que la protection de ces renseignements pendant leur vie utile. Nous ferons des recommandations afin que cela se reflète dans la loi.
NAID Canada et ses associations soeurs dans d'autres pays ont acquis une réputation de défenseurs vigilants des consommateurs et de ressources crédibles et fiables pour les décideurs. On a demandé à notre association de donner des conseils sur la destruction appropriée de renseignements au Commissariat à la protection de la vie privée du Canada; au Commissaire à l'information et à la protection de la vie privée de l'Ontario; aux gouvernements de l'Ontario, de l'Alberta et de la Colombie-Britannique; à la U.S. Federal Trade Commission; au comité des services financiers de la U.S. House of Representatives et au British Standards Institute.
Cela dit, nous ne sommes pas venus ici aujourd'hui tout simplement pour vous rappeler que les renseignements personnels jetés aux rebuts devraient être d'abord détruits. Il s'agit là d'un principe de protection des renseignements qui est fondamental et bien accepté. Cependant, nous aimerions vous faire part du fait que les gouvernements doivent fournir une meilleure orientation afin d'assurer que ce principe est respecté et ainsi vraiment protéger ses citoyens. Nous soutenons que vous avez l'occasion de le faire en modifiant la LPRPDE.
Même avec la LPRPDE et d'autres règlements provinciaux applicables en place, des renseignements personnels sont couramment abandonnés ou jetés sans avoir été détruits auparavant. Permettez-moi de vous en donner quelques exemples.
En septembre 2005, une société cinématographique a obtenu plusieurs centaines de boîtes de papier de bureau d'un centre de recyclage qu'elle devait utiliser pour reproduire la scène de la tragédie du World Trade Centre. En fait, l'entreprise de recyclage a livré des dossiers médicaux confidentiels pour répondre à cette demande. Ces dossiers qui étaient des plus personnels ont alors été éparpillés par le vent dans les rues du quartier d'affaires de Toronto.
Tout récemment, on a signalé que des employés d'une banque avaient déposé des renseignements confidentiels dans des bacs à déchets accessibles au public. L'enquête a révélé que la banque avait des politiques et des procédures inadéquates pour assurer la destruction appropriée des renseignements.
En mars 2006, un représentant du gouvernement de la Colombie-Britannique a vendu des bandes magnétiques lors d'une vente aux enchères publiques qui contenaient 77 000 dossiers médicaux, notamment des dossiers de patients avec des diagnostics délicats. Un mois plus tard, à Winnipeg, les dossiers dentaires de centaines de citoyens ont été trouvés dans une benne à rebuts.
En vérité, ces incidents n'ont d'unique que le fait qu'ils ont fait les manchettes. Il ne faudrait pas beaucoup de temps pour trouver, n'importe quand, des renseignements personnels qui ont été jetés, qui sont intacts et accessibles au public. Le fait qu'on s'en débarrasse de façon imprudente en les jetant dans des bennes à rebuts ou dans des poubelles en est l'exemple évident. Il ne faut pas oublier non plus que le recyclage à lui seul ne constitue pas une destruction sûre des renseignements. Il est possible que les documents demeurent intacts pendant longtemps et puissent faire l'objet d'un manquement au respect de la vie privée avant qu'ils ne soient recyclés.
La protection de la vie privée n'est plus simplement une question de droit de la personne. Une violation des droits des autres en jetant aux rebuts nonchalamment leurs renseignements personnels contribue considérablement à ce qui est devenu une épidémie mondiale de vols d'identité. Selon une étude qui a été faite aux États-Unis, la vaste majorité des vols d'identité est attribuable à l'accès aux renseignements personnels grâce à des moyens de faible technicité comme fouiller dans des bennes à rebuts. En effet, des agents d'application de la loi aux États-Unis ont récemment exposé des réseaux élaborés de criminels organisés qui capitalisaient sur cette source de renseignements personnels facilement accessible. On a constaté que ces réseaux fonctionnaient selon une hiérarchie, ceux qui étaient au bas de l'échelle vont chercher les renseignements dans les bennes à rebuts, les remettent ensuite à ceux qui occupent un rang supérieur et qui ont été formés pour exploiter ces renseignements.
Seulement aux États-Unis, une nouvelle génération de mesures législatives a commencé à paraître, par exemple la FACTA et toute une série de lois d'État. Ces lois sont conçues non seulement pour protéger la vie privée, mais aussi pour mettre fin à la vague de vols d'identité. Par conséquent, il y a une différence marquée dans le libellé de la réglementation concernant l'élimination des renseignements.
Alors que dans le passé, la mention de l'élimination des renseignements dans un règlement nécessitait l'imposition de limites à l'accès non autorisé, les nouveaux règlements améliorés exigent dorénavant que des mesures soient prises pour que les renseignements personnels soient détruits avant leur élimination. De plus, la nouvelle génération de mesures législatives exige que de telles mesures de sécurité soient documentées dans les politiques de l'organisation. Nous sommes ici pour demander respectueusement à votre comité de rehausser la capacité de la LPRPDE de protéger les citoyens du Canada en adoptant une approche semblable. Les exigences relatives à la destruction des renseignements doivent figurer clairement dans les lois. C'est la seule façon de mettre fin aux atteintes inutiles à la vie privée.
Nous avons plus de recommandations à formuler pour faire en sorte que cette protection soit efficace. Nous nous attarderons à celles qui nous apparaissent les plus importantes.
Pour faire en sorte que les exigences visant la destruction des renseignements personnels soient pleinement efficaces, NAID Canada recommande que la destruction des renseignements soit clairement définie comme étant la destruction physique des dossiers de façon à les rendre inutiles et à rendre impossible la récupération de l'information ». Il est essentiel d'inclure dans la mesure législative cette définition. Le concept ne peut faire l'objet de différentes interprétations comme c'est le cas actuellement.
De plus, nous recommandons que toute organisation qui recueille ou entrepose des renseignements personnels se dote d'une politique en matière de destruction des renseignements et des documents. Cela forcera les organisations à réfléchir à une telle politique et à sa mise en oeuvre et à faire en sorte que la politique soit conforme à la définition que nous venons de vous donner.
Nous préconisons aussi des exigences contractuelles plus strictes pour les dépositaires de renseignements et les tierces parties chargées du traitement des renseignements. Les contrats qui lient ces parties doivent décrire clairement les responsabilités de la tierce partie, les politiques, et les procédures. Le contrat doit aussi indiquer clairement que la tierce partie reconnaît être assujettie aux mêmes obligations que les dépositaires primaires relativement à la protection des renseignements personnels en vertu de la LPRPDE.
Nous recommandons également qu'il soit exigé des dépositaires de renseignements qu'ils donnent avis aux personnes dont les informations pourraient être visées par les atteintes à la sécurité. Dans le passé, ces avis n'étaient donnés que dans les cas les plus sensationnels de violation de la sécurité des données électroniques. Toutefois, il y a un peu plus d'un an, le comté de Los Angeles a jugé qu'il fallait aviser les habitants de Los Angeles, des millions d'entre eux, dont les dossiers papier n'avaient pas été détruits correctement. Nous recommandons que la LPRPDE soit modifiée de façon à exiger un avis lorsqu'il y a atteinte aux données électroniques mais aussi quand les dossiers papier ne sont pas détruits correctement.
En terminant, toutes nos recommandations figurent déjà dans des règlements sur la protection des renseignements personnels ailleurs dans le monde. Le vol d'identité est un fléau qui prend de l'ampleur et qui ne connaît aucune frontière. Quand un gouvernement ressert la protection des renseignements personnels, les criminels se déplacent vers les endroits où les exigences de la loi sont moins strictes et moins bien définies. De plus, n'oubliez pas que nous traitons nous-mêmes des informations personnelles et que, à ce titre, nous sommes pleinement conscients d'être aussi assujettis à ces règles et de devoir assumer les conséquences de toute violation.
En terminant, je vous raconterai une anecdote qui prouve l'importance pour tout gouvernement de bien réglementer la destruction des renseignements personnels. En mai 2002, l'État américain de la Géorgie a adopté la première véritable loi sur le déchiquetage aux États-Unis. Environ deux semaines plus tard, notre directeur administratif a reçu un appel du vice-président à l'exploitation d'une importante compagnie d'assurances que tous ici présents connaissent bien. Ce monsieur voulait savoir si NAID pouvait lui transmettre une liste de nos membres en Géorgie afin que les nombreux bureaux de réclamations puissent se conformer à la nouvelle loi. Bien sûr, nous avons été heureux d'accéder à sa demande, mais notre directeur a ajouté qu'il pouvait aussi lui envoyer une liste des membres de NAID se trouvant dans les autres États américains. Sans même prendre le temps de réfléchir, le client a répondu que cela ne serait pas nécessaire parce qu'il n'y avait pas de loi sur le déchiquetage dans les autres États.
J'aimerais pouvoir vous dire que vos conseils et vos encouragements suffiront à empêcher la destruction bâclée des renseignements personnels. Malheureusement, l'expérience nous a prouvé que des directives plus claires sont nécessaires. Surtout, la loi doit définir précisément ce qu'est la destruction des renseignements.
Merci de nous avoir invités à témoigner aujourd'hui. Nous restons à votre service si nous pouvons vous aider dans vos efforts en vue de mieux protéger la vie privée des Canadiens. Merci.
Je vous remercie, ainsi que tous les témoins, d'être venus aujourd'hui.
Je sais que mes collègues ont des questions à vous poser et selon notre procédure, il y aura des séries de questions. Pour la première série de questions, chacun disposera de sept minutes pour les questions et les réponses.
Je commence par M. Pearson.
Merci, monsieur le président.
Merci d'être venus et d'avoir fait le point sur la situation pour nous.
Ma question s'adresse à Mme Fineberg.
Au fil de nos séances, nous entendons souvent parler de la distinction entre les renseignements personnels et le produit du travail; nous savons donc qu'il y a une distinction à faire, et nous savons aussi que la commissaire à la vie privée reconnaît cette distinction. Mais il me semble que cette distinction est beaucoup moins claire quand on doit se prononcer au cas par cas. Je sais que cela rassure certaines gens, mais, pour les entreprises, il est difficile de planifier à long terme.
J'aimerais savoir ce que vous en pensez. J'aimerais aussi que vous nous disiez en quoi cela influe sur la planification à long terme dans votre propre domaine.
Merci.
La difficulté que présente l'approche au cas par cas proposée par la commissaire, c'est qu'elle ne donne aucune directive établie par le Parlement à la commissaire qui doit interpréter chaque cas. Dans une telle situation, c'est la commissaire qui établirait l'orientation politique, la commissaire ne serait pas tenue d'appliquer l'orientation politique établie par le Parlement et le gouvernement. C'est d'autant plus important pour ce qui concerne les renseignements personnels par opposition au produit du travail, parce que la définition déterminera si l'information en question est assujettie à la loi, si la loi s'applique à cette information ou non.
Pour ce qui est de l'incidence que cela pourrait avoir sur notre entreprise en particulier, il est certain que l'approche au cas par cas ne donne de certitude à personne. Comme nous l'avons indiqué, une plainte déposée demain pourrait faire l'objet d'une décision bien différente de celle qui a été rendue hier. En dernière analyse, aussi, la Cour fédérale pourrait rendre une décision différente.
Nous menons des projets de recherche à long terme et, pour ce faire, nous utilisons des données pour examiner les tendances à long terme. Pour ces projets, il nous faut la certitude de pouvoir continuer à recueillir des données auprès du groupe de gens à l'étude.
La commissaire semble reconnaître la distinction qualitative entre les renseignements personnels et le produit du travail; nous comprenons donc difficilement pourquoi cette orientation politique ne devrait pas apparaître clairement dans la loi même, comme c'est le cas en Colombie-Britannique, par exemple.
[Français]
Je m'adresse à Mme Fineberg et j'aurai aussi une question à poser à M. Landry.
Vous dites dans votre mémoire :
Nous sommes ici pour demander au Comité de considérer une modification légère et technique à la LPRPDÉ visant à clarifier et à codifier la définition de « renseignements sur le produit du travail » [...]
Premièrement, quel intérêt avez-vous à voir les ordonnances?
Deuxièmement, si l'on modifie la loi en ce qui concerne les ordonnances d'un médecin, n'importe quelle compagnie d'assurance pourra avoir accès à ces ordonnances. N'y aurait-il pas concordance entre ces deux éléments?
On essaie de distinguer ces deux éléments. Le produit du travail, quant à nous, ne contient aucun renseignement sur le patient. C'est la distinction que nous faisons. On peut voir les renseignements que contient une ordonnance, soit ce que le médecin a prescrit. Cependant, le commissaire fédéral a rendu une décision selon laquelle ces renseignements ne sont pas des renseignements personnels.
Si l'ordonnance contenait des renseignements personnels sur le patient, évidemment, ce serait très différent. Mais comme nous n'avons pas accès à l'ordonnance comme telle, nous ne pouvons obtenir aucun renseignement sur le patient. C'est la distinction qu'on tente de faire quand on parle du produit du travail.
D'accord. Toutefois, si on modifie la loi, tout le monde pourra s'en servir. Si on dit que les ordonnances médicales sont un produit du travail, une compagnie d'assurance pourra demander au médecin d'une victime d'un accident de la route ou autre de consulter le dossier médical de cette personne. De cette façon, il pourra voir quels médicaments lui ont déjà été prescrits pour soigner un problème de dos, par exemple. Cela permettra à la compagnie d'assurance de dire que cette personne avait déjà une faiblesse au dos et que, par conséquent, l'accident n'est peut-être pas la cause de son problème de dos actuel.
Serait-il possible que quelqu'un puisse se servir de ces renseignements à des fins autres que celles que vous préconisez?
[Traduction]
Dans l'exemple que vous donnez, le dossier médical ne contiendrait pas de renseignements personnels sur le patient ou sur la personne qui, dans votre exemple, a été impliquée dans un accident et souffre de douleurs lombaires. Nous ne serions pas — La définition que nous proposons pour le produit du travail n'inclurait aucun renseignement qui nous permettrait d'identifier le patient ou la victime de l'accident dans ce cas particulier.
Ce dont nous parlons, pour reprendre un exemple qui a été donné par bien des témoins, ce sont des documents, des notes de service, des avis et de la correspondance qui ont été rédigés par certaines personnes dans le cadre de leurs fonctions pour une organisation. Cela n'inclurait pas des renseignements personnels sur qui que ce soit, comme leur état de santé, leurs croyances religieuses, par exemple. Disons qu'une entreprise demande à un de ses employés d'aller rencontrer un client pour tenter de lui vendre un truc quelconque. À son retour, l'employé rédigera un rapport pour son supérieur décrivant cet entretien, le nombre de trucs que le client s'est dit intéressé à acheter et ceux qui ne lui plaisaient pas. Ce rapport est ce que nous considérerions comme un produit du travail du vendeur qui l'a rédigé. C'est là le genre d'information qui devrait, selon nous, être soustrait de l'application de la LPRPDE à titre de produit du travail.
[Français]
Les renseignements que nous détenons sur un médecin ne sont pas personnels non plus parce qu'ils sont vraiment un produit du travail. Sa religion, son salaire, ses préférences, ses habitudes ou la sorte de voiture qu'il ou elle conduit ne sont pas des renseignements auxquels on a accès, car ce sont des renseignements personnels.
Je comprends votre point de vue et je suis d'accord sur ce que vous demandez.
Prenons un exemple concret. Quelqu'un glisse dans votre cour et fait une demande de remboursement ou d'indemnité. Je sais que vous parlez de traitements plus importants que celui-là. Si on dit au médecin que ce ne sont pas des renseignements personnels puisque c'est un produit du travail, j'ai peur que la compagnie d'assurance ne puisse demander au médecin traitant de la personne de dire que c'est un produit du travail. On décriminalise cela en un sens et on pourrait s'en servir de cette façon.
Monsieur le président, me permettez-vous de répondre?
En règle générale, dans le milieu hospitalier, la situation est relativement simple. Si une personne subit un préjudice lors d'un accident ou d'un incident quelconque et qu'une compagnie demande un rapport médical pour étudier la situation, il est dans l'intérêt de la personne qui a subi le préjudice, l'accident ou la blessure de donner son autorisation. Les choses se passent ainsi 99,9 p. 100 du temps.
Là où cela pose problème, c'est quand la partie adverse demande des renseignements que la partie lésée refuse de divulguer. Habituellement, cela se règle entre les procureurs des parties. En règle générale, cela ne pose pas de problème.
Les compagnies d'assurance nous posent la même question et abordent les mêmes aspects. Le produit du travail que sont les ordonnances qui figurent au dossier ne devrait-il pas faire l'objet d'une surveillance excessive ou être considéré comme des renseignements personnels? Si c'est le cas, est-ce pour que les médecins puissent consulter le dossier d'une personne qui a été accidentée et voir les ordonnances? Si on dit que ces renseignements sont le produit du travail, ces documents ne sont pas confidentiels. Je veux faire la part des choses.
Il est difficile de répondre à tous les aspects que vous soulevez. On n'a pas étudié ce dossier et on n'a pas entendu les représentations de l'industrie. Personnellement, je ne peux pas répondre.
Tout ce que je peux vous dire, c'est que nous, à IMS Santé Canada, n'avons pas accès aux dossiers de patients et ne voulons pas y avoir accès. On ne peut pas parler de 100 p. 100 car il existe toujours des exceptions, qui sont d'ailleurs couvertes par la loi, mais dans 99,999 p. 100 des cas, on utilise l'information générée par ce qu'on appelle le produit du travail dans la relation médecin-patient pour améliorer les services à la population sans connaître l'identité du patient.
[Traduction]
Merci. Monsieur Vicent et Docteur Landry, il faudra attendre le prochain tour de questions pour cela.
Monsieur Martin.
Merci, monsieur le président, merci aux témoins.
Je suis en train de feuilleter les documents d'IMS. Je m'excuse de ne pas avoir été présent pour l'exposé, mais j'ai jeté un coup d'oeil aux remarques
Je m'intéresse à quelques questions générales qui vont au-delà de ce qui se trouve dans votre mémoire. Le devoir d'aviser est un point qui, bien entendu, est régulièrement soulevé dans le cadre des délibérations du comité. Notre examen de la LPRPDE va bientôt toucher à sa fin, et nous allons formuler des recommandations. Je voudrais connaître l'opinion des deux témoins à ce sujet.
L'autre point concerne les échanges transfrontaliers de données. Certains pays interdisent le transfert de données vers d'autres pays qui n'ont pas de protection similaire. Je voudrais également connaître votre avis à ce sujet.
Quant à l'IMS, madame Fineberg, je constate qu'à la page 3 de vos remarques, vous écrivez que votre rôle est de fournir « des produits et des services d'information aux gouvernements, aux chercheurs, aux prestataires de soins de santé, aux organismes de réglementation et au secteur privé, c'est-à-dire aux sociétés pharmaceutiques et biotechnologiques, pour soutenir l'utilisation sûre et efficace des médicaments », etc. Arrive-t-il que les sociétés pharmaceutiques et biotechnologiques souhaitent obtenir d'IMS non pas des renseignements personnels mais des renseignements au sujet de la fréquence de demandes de certains types de médicaments, ou encore de ce qui se passe avec certains types de traitements dans certains pays, afin de se faire une idée des produits les plus populaires, les plus utilisés, etc.? Est-ce l'un des services de renseignement que vous proposez aux sociétés pharmaceutiques et biotechnologiques?
L'un des aspects fondamentaux de notre base de données, du fait qu'elle est à ce point complète et couvre tout le pays, est notre capacité de fournir au milieu de la recherche, au secteur pharmaceutique et aux gouvernements également, des données comparatives. Le type d'analyses dont vous parlez peut se faire assez facilement. Cela peut se faire en fonction des provinces, ou même en fonction des régions au sein d'une province, ce qui permet d'établir des comparaisons et de constater s'il existe des différences entre une région et une autre.
Et que se passe-t-il si ces renseignements sont utilisés non pas à des fins médicales et scientifiques, mais à des fins commerciales?
Pour le secteur pharmaceutique, c'est aussi quelque chose d'important. Ils veulent savoir où leurs médicaments sont administrés, si possible pourquoi, et s'il existe des écarts entre les différentes régions du pays. Ce sont des renseignements précieux pour ce secteur puisqu'il permet aux sociétés d'évaluer leur efficacité ou l'efficacité de leurs médicaments.
Monsieur Carey, je pense que les deux premières questions s'adressaient également à vous. Souhaitez-vous répondre?
Merci de votre question.
Tout d'abord au sujet de l'obligation d'informer les gens de tout événement compromettant la confidentialité de renseignements les concernant, NAID considère cette exigence importante, non seulement pour protéger la personne dont les renseignements risquent d'avoir été divulgués, mais aussi pour dissuader quiconque de traiter à la légère l'information qui lui est confiée, pourvu que l'on prévoie des sanctions rigoureuses en cas de manquement. S'il y a obligation de prévenir les personnes visées, les organisations qui détiennent des renseignements personnels s'efforceront beaucoup plus sérieusement d'éviter de tels incidents.
En ce qui concerne le transfert de données d'un pays à l'autre, la question s'est déjà posée, tout d'abord lorsque l'Union européenne a adopté des règles de protection des données et de communication de données avec les États-Unis, qui avaient un retard sur ce plan à l'époque. Elle s'est également posée entre le Canada et les États-Unis après l'adoption de la Patriot Act par nos voisins du Sud, entre autres.
À mon avis, c'est une question de gros bon sens. Selon notre association, le sens commun dicte que les renseignements personnels concernant les citoyens d'un pays ne devraient pas pouvoir être communiqués ou transférés à un pays qui n'offre pas les mêmes garanties.
Ce que vous dites est très utile pour nous parce que nous avons récemment envisagé de confier à un sous-traitant, la Société Lockheed Martin, la collecte de nos données de recensement, ce qui a causé bien des remous. Finalement, cela ne s'est pas fait, que je sache, mais nous nous inquiétions à cause de la Patriot Act.
Si notre comité recommandait l'imposition de restrictions strictes au transfert de données à un autre pays, cela empêcherait une quantité colossale de renseignements d'entrer aux États-Unis, n'est-ce pas?
On a jusqu'ici généralement abordé la question par l'application de mécanismes de règle libératoire, lesquels sont négociés même dans... peut-être pas aux États-Unis, mais à l'intérieur de l'organisation. Bien entendu, si les États-Unis adoptaient une loi qui l'emportait sur cette règle ou permettait d'y déroger, cela causerait aussi des difficultés.
En ce qui concerne cette règle libératoire, aussi appelée règle refuge, si l'information ne se trouve ni au Canada ni aux États-Unis, mais dans une autre zone sûre qui serait ce « refuge », qu'arrive-t-il?
Permettez-moi d'expliquer ce que j'entends par zone sûre. Étant donné l'afflux d'information de l'Europe vers l'Amérique du Nord, après avoir adopté des règles de protection des données, la Federal Trade Commission des États-Unis, de concert avec un comité de travail de l'Union européenne, a mis au point un processus permettant aux entreprises de s'engager à respecter certaines normes grâce auxquelles elles pouvaient certifier qu'elles respectaient les directives de protection des données.
Mais il n'y aurait pas dans ce cas de loi prévoyant des sanctions en cas de manquement. Qui veillerait au respect des directives?
Cela incomberait à l'entreprise. Ainsi, les avions de United Airlines se sont vus refuser la permission d'atterrir en Suisse pendant environ deux heures parce que cette compagnie aérienne avait recueilli des données dont la collecte n'était pas nécessaire selon les directives de protection des données.
Je pense que, toujours en Suisse, la société Coca-Cola a dû fermer ses portes ou a été menacée de devoir le faire parce qu'elle recueillait plus d'information que nécessaire. Tout ce que la Suisse pourrait faire contre une multinationale qui refuserait de se plier aux règles en vigueur en Suisse, ce serait de lui interdire d'opérer sur son territoire...
Au sujet de la circulation transfrontalière de données, nous ne gardons pas de renseignements personnels médicaux aux États-Unis, mais je vous signalerais que la commissaire fédérale a émis deux ordonnances qui traitent précisément de cette question. Elle a statué que les mécanismes contractuels entre une compagnie au Canada qui soustrait des données —
Merci, monsieur le président.
Je remercie les témoins d'être venus ce matin. Comme je n'ai que sept minutes, je vais tâcher de répartir mon temps le plus également possible, parce que j'ai des questions à poser à chacun des groupes représentés aujourd'hui.
Tout d'abord, je m'adresserai à Mme Fineberg. Dans la recommandation qui figure à la page 34 de votre mémoire, le texte même de votre proposition concernant votre information et la façon d'inclure cette exception dans la définition des renseignements personnels.
Dans votre deuxième recommandation, qui porte sur la définition de « renseignements sur le produit de travail » l'alinéai) précise « ne comprend pas les renseignements personnels au sujet d'un individu identifiable qui n'a pas préparé, compilé ou divulgué les renseignements ». Ensuite, on aborde la question de la surveillance. Je suis heureux qu'on l'ait abordée.
Voici ma question. Dans la pratique, de qui parlons-nous en fait, de qui s'agit-il? Pourriez-vous me donner un exemple concret de qui serait exclu?
Comme nous avons déjà parlé de la question des ordonnances ou du dossier médical, je vais me servir de cet exemple pour illustrer ce dont traite le premier article.
Disons que vous avez une ordonnance. C'est de l'information rédigée par un médecin, mais si elle renferme des renseignements identifiables sur le patient — par exemple si le nom du patient y figure toujours — cette partie-là de l'ordonnance constitue des renseignements personnels au sujet d'un individu identifiable, le patient, qui n'a pas préparé, compilé ou divulgué de l'information. Ainsi, si les deux parties en cause sont identifiées — le rédacteur du document, c'est-à-dire le médecin, et le sujet de l'information personnelle —
— en effet, le patient — il ne s'agit pas d'un produit de travail, si bien que l'information n'est pas exclue.
Reprenons le même exemple, mais avec une ordonnance où aucun élément permettant d'identifier le patient ne figure et c'est encore une fois le médecin qui l'a rédigée. À ce moment-là, ce document contient des renseignements sur le produit de travail.
Pour résumer, disons que les renseignements sur le produit de travail incluent, par exemple, les rapports et d'autres documents préparés par des individus ou des groupes dans le cadre de leurs fonctions professionnelles, mais s'il y a des renseignements personnels inscrits dans —
Vous avez dit que malgré les décisions rendues par le Commissariat à la protection de la vie privée et la Cour fédérale, vous craignez qu'en l'absence de cette clarification, il y ait une autre plainte qui pourrait inciter la commissaire à adopter un point de vue différent.
Quelle a été la position de la commissaire jusqu'ici sur des questions de ce genre? A-t-elle — ou a-t-il par le passé — pris des décisions qui allaient à l'encontre de la jurisprudence dans ce type de dossiers?
J'aimerais clarifier une ou deux choses sur ce point. L'ancien commissaire a publié sa conclusion au sujet des plaintes dans la situation d'IMS. La Cour fédérale ne s'est pas prononcée à ce sujet, la question ayant été rejetée avec l'accord unanime des parties.
L'an dernier, le commissariat a publié une conclusion, pas sur ce type d'information en particulier mais sur l'information dont disposent les agents immobiliers. La conclusion, dans ce cas, était que l'information en question constituait en fait des renseignements personnels. En conclusion, certains commentateurs ont affirmé que cela devait avoir infirmé la décision dans la cause d'IMS, si bien que la pratique d'IMS —
Je regrette de vous interrompre, mais je voudrais qu'on aille de l'avant. Merci beaucoup.
Monsieur Carey, la direction que vous semblez adopter serait très bonne pour votre secteur, et je crois que nous comprenons ce dont il s'agit. À votre connaissance, les manquements dont vous parlez ont-ils jamais fait l'objet de plaintes auprès du Commissariat à la protection de la vie privée?
Sans entrer dans les détails de chaque cause, je peux vous dire qu'elles ont chacune été traitées au niveau provincial, par les commissaires à la protection de la vie privée et des renseignements au niveau de la province; il y a eu des enquêtes et les conclusions ont été publiées ou doivent être bientôt publiées dans chacune des causes.
Ils se sont produits en Ontario. L'incident sur le plateau de tournage d'un film s'est déroulé à Toronto.
Selon vous, le recours mené à terme dans le cas de ces manquements était-il insuffisant? Voici ce que j'entends dire: la LPRPDE inclut déjà des interdictions contre ce type de divulgation de renseignements personnels. Un élément inhérent de la loi telle qu'elle existe est que les organismes qui détiennent des renseignements personnels sont tenus de les protéger, la façon de les protéger — qu'il s'agisse de destruction une fois les renseignements devenus inutiles ou de quoi que ce soit — leur incombant. Mais vous suggérez qu'il faut les prendre par la main et leur dire ce qu'ils doivent faire de ces renseignements. Pensez-vous que les responsabilités qui incombent actuellement à ces organismes sont insuffisantes?
Certaines directives sont déjà fournies, effectivement. Ce que nous demandons, comme vous l'avez dit, ce sont des directives plus claires, indiquant spécifiquement que les renseignements doivent être détruits quand ils sont jetés et précisant ce que constitue cette destruction, en plus des autres recommandations. Si nous le recommandons, c'est parce que, de par le monde, on a constaté que le type de directives qui existent actuellement étaient insuffisantes pour se traduire par des actes dans la pratique. Comme nous l'avons signalé, dans ces cas qui ont fait couler beaucoup d'encre, la réalité montre que ce sont des façons de procéder tout à fait habituelles, regrettablement, si bien qu'il est fréquent qu'elles ne fassent pas l'objet d'un rapport. En conséquence, la loi telle qu'elle existe actuellement est peu respectée.
Nous pensons que le nombre de manquements et la gravité de ces manquements diminueraient avec une loi mieux libellée.
Merci, monsieur Stanton.
Cela conclut notre première série de questions et de réponses. Nous passons maintenant à une série de cinq minutes.
Nous commençons avec M. Dhaliwal.
Merci, monsieur le président.
Merci aussi aux membres du panel de s'être déplacés.
Comme l'a dit Mme Fineberg, dans votre secteur, il n'y a pas eu un seul manquement à la protection de la vie privée et des renseignements personnels. Par ailleurs, certaines personnes disent que la recherche pourrait être plus pointue et cibler un patient ou un médecin. Que pensez-vous de cette situation particulière, quand il s'agit de produits du travail et de renseignements personnels?
En ce qui concerne les renseignements personnels, IMS appuie depuis longtemps le droit des patients à voir leur vie privée protégée. Certains ont laissé entendre que les renseignements dont nous disposons peuvent permettre parfois d'identifier une personne; je voudrais affirmer qu'il est clairement illégal, au Canada, qu'IMS réunisse, utilise ou divulgue un renseignement identifiable sur un patient sans le consentement de cette personne. Nous avons en place toute une série de mesures pour nous assurer que cela n'arrive pas.
Un témoin que vous avez entendu auparavant, le docteur Rosenberg, je crois, a suggéré que, d'après un travail effectué il y a quelques années aux États-Unis, certaines personnes risquaient d'être identifiées par des renseignements du domaine public. Mais la situation aux États-Unis est bien différente de ce qu'elle est au Canada, où il existe une Loi sur la protection de la privée et des lois provinciales qui empêchent la mise à disposition de bases de données, telles que nos listes d'électeurs, nos listes d'immatriculation de véhicules, les données de l'état civil, etc. D'ailleurs, un chercheur d'Ottawa a récemment tenté de répéter ces études américaines et a constaté que c'était impossible. Si le comité le souhaite, je pourrai vous donner la référence, par la suite.
Comme je l'ai dit, il n'y a jamais eu d'infraction à la protection des renseignements personnels d'un patient. En ce qui concerne les renseignements que détiennent les médecins, soit dit au passage, il existe depuis plusieurs années un code de pratique qui explique précisément comment nous traitons toutes ces données. Nous sommes transparents; ce code est affiché sur notre site Web. Il y figure depuis plusieurs années et il s'appuie sur des principes de l'Association canadienne de normalisation, dont le code figure en annexe de la LPRPDE.
Qui plus est, nous faisons l'objet d'une vérification externe à chaque année, par le QMI, qui relève de la CSA. L'agrément le plus récent que nous avons obtenu figure dans les documents que nous vous avons distribués.
Quant à l'autre question, nous entendons dire fréquemment que le Québec et la Colombie-Britannique ont leurs propres mesures législatives et qu'elles sont de loin supérieures à la LPRPDE. Êtes-vous de cet avis?
En fait, au niveau des provinces, ce sont la Colombie-Britannique, l'Alberta et le Québec qui ont des mesures législatives à peu près similaires. Je crois que ce que le comité a entendu dire jusqu'à présent est que l'on trouve en Colombie-Britannique et en Alberta ce que la commissaire a qualifié de loi de protection de la vie privée de seconde génération. Peut-être conviendrait-il de s'en inspirer, en tirant les leçons de l'expérience de ces provinces et de leur façon d'en tenir compte.
Je crois aussi que quand la commissaire a témoigné devant le comité, votre vice-président, M. Tilson, lui a spécifiquement demandé si, selon elle, il existait dans les mesures législatives du Québec des dispositions dont il conviendrait de s'inspirer pour la LPRPDE. Selon mon souvenir, elle a répondu que, vu l'évolution des choses, c'étaient plutôt les lois de seconde génération qui existaient en Colombie-Britannique et en Alberta dont le comité devrait peut-être s'inspirer.
Vous réunissez des données que vous fournissent les médecins. Quelle position les collèges de pharmaciens ou de médecins ont-ils adoptée sur la question de ce que nous appelons les produits pharmaceutiques outre-frontière?
L'Association nationale des organismes de réglementation de la pharmacie n'a pas adopté de politique officielle et autorise la collecte de renseignements.
En ce qui concerne la Colombie-Britannique, c'est une question qui a déjà été soulevée par le passé et le règlement administratif en question remonte à un certain temps. Il est entré en application en 1997, contre la volonté du collège, à la suite d'une décision du ministère de la Santé de la Colombie-Britannique. Le conseil d'administration du collège a voté par la suite de modifier ce règlement administratif, mais le gouvernement de la Colombie-Britannique n'a pas encore approuvé la modification.
Merci, monsieur le président.
Mes questions s'adressent essentiellement à nos amis de la National Association for Information Destruction. C'était particulièrement intéressant pour moi parce que, il y a bien longtemps, je m'occupais de gestion de l'information sur papier, pour TAB Canada. Je ne sais pas si vous avez entendu parler de TAB. Nous avions une section qui traitait des politiques et autres directives sur la gestion des dossiers. Je ne m'occupais pas de ce secteur-là, mais je savais de quoi il retournait.
La LPRPDE a-t-elle fait une différence en tant que loi? Je sais qu'il existait une loi, ou, du moins, des lignes directrices, en matière de gestion de l'information, sur la durée pendant laquelle il fallait conserver des documents, sur la date à laquelle ils devaient être détruits, etc.
Pourriez-vous commencer par clarifier pour moi deux choses? Votre société s'occupe-t-elle à la fois d'entreposage et de destruction? Et la LPRPDE a-t-elle apporté des changements à ces lignes directrices — je ne sais plus si c'étaient des lignes directrices ou une loi — que j'ai évoquées, celles qui portaient sur le temps pendant lequel il était nécessaire de garder les dossiers, etc.?
Pour répondre à votre première question, il y a différentes tailles de sociétés. Par exemple, ma société s'occupe de gestion des dossiers, soit l'entreposage sur support magnétique et sur papier et le déchiquetage. Mais la plupart de nos membres sont des sociétés de destruction seulement, qui déchiquettent.
Voulez-vous répondre à la deuxième question, Bob?
La deuxième question était de savoir si la LPRPDE avait changé le comportement des organismes en ce qui concerne la destruction? Était-ce cela?
C'était effectivement une partie de la question. L'autre partie de la question était de savoir s'il n'existait pas déjà des lois dans d'autres domaines sur —? Nous recommandions fréquemment aux gens, si les renseignements devaient être conservés pendant cinq ans, de se débarrasser de tout ce fatras après cinq ans, pour ne pas le laisser s'accumuler — ou après sept ou neuf ans, j'oublie quel était le délai. Cela a-t-il changé?
Il reste des obligations de conserver les documents stipulées par la loi. Il est souhaitable de garder les renseignements aussi longtemps qu'ils sont utiles, si on y a accès. Dans une politique prudente de gestion des dossiers, il est bon de se débarrasser des dossiers devenus inutiles, dossiers qu'il n'y a plus lieu de conserver; et il est bon de le faire régulièrement, pour éviter de sembler suspect en cas de destruction. S'il y a une destruction alors qu'un procès débute une semaine plus tard, et que c'est une destruction opinée, vous risquez d'être vu d'un mauvais oeil. Tous ces éléments entrent en ligne de compte. Mais il n'existe pas d'obligation de se débarrasser des dossiers après un certain temps; cette obligation n'a jamais existé. Quant à la façon dont on se débarrasse des documents, il y a très peu de lignes directrices à ce sujet, hormis...
Il s'agit donc essentiellement de lignes directrices. Entendu.
On a fait état des lois sur la protection de la vie privée en Alberta et en Colombie-Britannique. Comportent-elles des exigences en matière de destruction?
En Alberta, la Personal Information Protection Act est un peu plus claire que la LPRPDE, mais guère. Cela a toujours été le cas. Même si on remonte à 1990 et à la Loi sur la protection des renseignements personnels et les documents électroniques, adoptée à cette époque, on constate que, malgré une définition plus claire ou des directives plus claires quant à la destruction et une recommandation de détruire les renseignements personnels quand on s'en débarrasse, aucune définition de cette destruction n'est fournie; or, on peut interpréter la destruction de bien des façons.
Votre organisme a-t-il pris le temps — Je sais que d'autres témoins présents aujourd'hui se sont inspirés d'une loi qui existe en Colombie-Britannique et veulent que la question des produits du travail soit incluse dans la loi fédérale. Avez-vous, quant à vous, le libellé précis de ce que vous aimeriez voir figurer dans la loi?
C'est un libellé que nous avons fourni aux États-Unis et à l'Union européenne quand on nous l'a demandé. Nous ne l'avons pas préparé pour le Canada, mais il nous serait facile de vous le procurer.
J'étais intéressé par votre question sur la nécessité d'aviser. Certains de vos membres s'occupent uniquement de destruction mais d'autres, parmi les plus importants, s'occupent également d'entreposage, ce qui veut dire que vous détenez des données sur les gens, données parfois hautement privées, que vous entreposez. Affirmez-vous qu'aucun des manquements mentionnés plus tôt n'impliquait une société d'entreposage?
Non, ce n'est pas ce que nous disons. Il y a eu des incidents. Nous demandons à ce que l'on nous accorde une certaine considération et crédibilité, vu que nous représentons nos intérêts, jusqu'à un certain point, en étant présents aujourd'hui. J'imagine que vous entendez rarement un secteur vous demander de rendre plus contraignants les règlements qui s'appliquent à lui; ils affecteront nos membres. Mais il y a eu des violations de la vie privée du fait de certains de nos membres qui s'occupent d'entreposage; elles auraient été couvertes, voire pénalisées, si la loi était plus contraignante.
[Français]
Je vous remercie d'être venus et je vous prie d'excuser mon retard, qui était bien involontaire.
Ma question s'adresse aux représentants de IMS et concerne le produit du travail.
Dans votre allocution, je crois que c'est Mme Fineberg qui a mentionné que vous aviez fourni au comité certains libellés pour une telle modification. Je viens tout juste de recevoir une copie de votre mémoire et je n'ai pas trouvé ces définitions.
Dans la version anglaise, elles sont à la page 34, je crois. Dans le version française, elles sont à la page 42.
Votre recommandation se lit comme suit :
La recommandation d'IMS pour une modification technique de la LPRPDÉ comporte deux volets :
(1) QUE la définition de « renseignements personnels » telle qu'on la trouve à l'article 2(1) de la loi soit modifiée de sorte qu'elle se lise comme suit :
« renseignements sur le produit du travail » signifie renseignements au sujet d'un individu identifiable, mais ne comprend pas le nom, le titre ou l'adresse d'entreprise ou le numéro de téléphone d'un employé d'une organisation, ou les renseignements sur le produit de travail.
ET
(2) QUE la définition de « renseignements sur le produit de travail » soit ajoutée à l'article 2(1) de sorte qu'il se lise comme suit :
« renseignements sur le produit de travail » signifie renseignements préparés, compilés ou divulgués par un individu ou par un groupe dans le cadre de ses responsabilités relativement à sa profession, à son emploi ou à son entreprise. Le terme ne comprend pas :
(i) les renseignements personnels au sujet d'un individu identifiable qui n'a pas préparé, compilé ou divulgué les renseignements;
(ii) les renseignements recueillis, utilisés ou divulgués aux fins de la surveillance des lieux de travail.
Ce sont les deux suggestions que vous faites. Est-ce exact?
[Traduction]
Il n'y a pas de choix, dans la façon dont nous proposons une modification. Les deux éléments doivent fonctionner de concert. Il faut tout d'abord ajouter une exclusion supplémentaire à la définition des renseignements personnels, telle qu'elle figure actuellement dans la LPRPDE, exclusion portant sur les renseignements du produit du travail. Puis, pour y parvenir, il faut une autre modification à la loi, une définition de ce qui constitue des renseignements sur le produit du travail. C'est ce que vous trouvez dans la deuxième partie.
Dans la définition des renseignements sur le produit du travail, après la première phrase, vous avez: « Le terme ne comprend pas: les renseignements personnels au sujet d'un individu identifiable qui n'a pas préparé, compilé ou divulgué les renseignements » — c'est un libellé qui s'inspire de celui de la loi de Colombie-Britannique — qui dit « les renseignements recueillis, utilisés ou divulgués aux fins de la surveillance des lieux de travail. » Si nous suggérons ceci dans les modifications, c'est pour répondre aux préoccupations exprimées par un ou deux des témoins ayant comparu devant le comité, notamment par la commissaire fédérale.
[Français]
[Traduction]
[Français]
À mon avis, une personne peut croire que ses informations personnelles sont en péril. Il se peut — et ce sont des choses qui se sont produites dans le passé — qu'il y ait des patients qui croient que, parce que nous recueillons des informations venant d'une ordonnance, celles-ci pourraient être en péril, mais ce n'est pas le cas.
Donc, il est possible que certains patients pensent cela. Mais autrement...
Spécifiquement au Canada ou dans un secteur, certains médecins ne sont pas nécessairement contents que nous recueillions ces informations.
C'est assez facile de répondre, monsieur le président. D'après notre expérience, les médecins qui s'y opposent ne connaissent pas la compagnie et ses produits. On a eu l'occasion de s'asseoir avec des médecins qui se posaient des questions ou qui avaient des besoins de recherche. À partir du moment où ils ont compris ce qu'on faisait, ils ont été entièrement d'accord. D'ailleurs, c'est la tendance actuelle, et de plus en plus de médecins veulent avoir leur profil personnel.
[Traduction]
Merci, monsieur le président, et merci aux témoins qui ont bien voulu venir aujourd'hui.
Je voudrais clarifier une chose. Nous avons entendu toute une série de témoins et, pour l'essentiel, la seule chose que vous suggérez est une modification portant sur les renseignements privés par opposition aux renseignements sur les produits. Autrement dit, la loi telle qu'elle existe vous satisfait pleinement. Vous voudriez simplement la voir clarifiée dans ce domaine.
Oui, nous estimons que, dans l'ensemble, la LPRPDE fonctionne bien, dans ses répercussions sur notre société; sur cette question particulière, toutefois, nous pensons qu'il serait bon que la LPRPDE soit clarifiée.
Nous avons reçu énormément d'information et, à part tous les témoignages alarmistes, je pense que je peux réduire la question à ceci. Du moins, c'est ce que je constate.
L'autre chose que je trouve intéressante, messieurs, c'est votre exposé — Serait-il possible de modifier simplement la loi pour préciser que toute l'information doit être stockée et que si elle est déplacée elle doit l'être d'une certaine manière ou alors être déchiquetée?
Je vais commencer et vous voudrez peut-être ajouter quelque chose.
Ce que nous souhaitons, c'est une instruction officielle sur le moyen de détruire quelque chose qui n'est plus utile. Lorsqu'une chose n'a plus d'utilité, il faut la détruire. Nous avons constaté que « il faut la détruire » c'est trop vague; nous souhaitons une directive qui dit, détruisons-la, déchiquetons-la, autre chose, mais quelque chose de clair.
Je dois reconnaître que dans l'industrie nous passons beaucoup de temps à nous creuser les méninges pour définir le mot « destruction » alors que pour ceux qui y ont au moins réfléchi le sens peut sembler clair. Il est raisonnable de penser que le sens du mot « destruction » est simple, mais il est néanmoins sujet à interprétation et c'est pourquoi nous vous demandons de définir précisément ce que vous entendez par le mot « destruction » et de l'expliquer aux lecteurs.
Nous avons inclus une définition, mais nous allons aller encore plus loin et vous fournir le libellé que nous fournissons à d'autres groupes comme le vôtre.
Alors, supprimer l'information ne veut pas dire qu'elle disparaît, si j'ai bien compris? Non.
Monsieur Martin.
Merci, monsieur le président.
La plupart des témoins que nous avons entendus dans le cadre de cette étude nous parlent de détails précis qui touchent à leurs secteurs d'activités. Mais, comme vous êtes des experts dans le domaine de la protection des renseignements personnels, j'aimerais aborder avec vous une question d'ordre plus général qui n'est pas souvent mentionnée.
La Loi sur la sécurité publique, le projet de loi C-7, adoptée en 2004, a modifié en profondeur la LPRPDE. Elle autorise des organismes du secteur privé à agir comme mandataires de l'État pour recueillir des renseignements personnels, sans consentement, à la seule fin de divulguer cette information au gouvernement.
Suite à ces modifications, le SCRS ou la GRC auraient maintenant le pouvoir de demander à une entreprise de recueillir de nouvelles données que ces organismes ne pourraient peut-être pas obtenir autrement et utiliser les pouvoirs que leur accorde la LPRPDE pour faire des enquêtes à la demande de ces organismes qui dans d'autres circonstances seraient contraires à la Charte des droits et libertés. À titre d'experts de la protection des renseignements personnels, vous a-t-on déjà fait part de cette préoccupation? Je sais que ça ne concerne peut-être pas votre secteur d'activités.
Je m'adresse à l'un ou l'autre d'entre vous. Il ne nous reste que quelques minutes.
Madame Fineberg.
Je suis au courant de cette préoccupation, mais je m'en remets aux autres experts qui ont comparu devant le comité pour ce qui est des détails.
Cela préoccupe grandement le grand public. En tout cas l'affaire Winners-TJX-CIBC dont les journaux ont parlé inquiète tout le monde qui redoute le vol de leur identité personnelle. Mais je pense que nous avons franchi une limite au-delà de laquelle nous étions jamais allés auparavant avec notre version de la Patriot Act, en ce qui concerne la portée et les pouvoirs. La GRC pourrait charger votre entreprise de fouiller les dossiers qu'elle stocke pour y trouver mon nom et le lui fournir.
Est-ce une chose que vous avez envisagée au sein de votre entreprise.
Encore une fois, avec tout le respect que je vous dois, je ne suis pas d'accord. J'ai une réaction en tant que citoyen. Je suis ici au nom de l'industrie de la destruction des renseignements à cet égard, alors je dirais que tant que les documents sont bien détruits à la fin de leur vie utile, nous sommes très heureux, mais —
Nous revenons au déchiquetage.
Je pense que c'est une préoccupation importante. Encore une fois, vous n'êtes pas venus ici pour en parler, mais le public en général devrait être au moins au courant de cette question, sinon très préoccupé par cette question. Cette Loi sur la sécurité publique a été adoptée sans faire beaucoup de bruit. Je me souviens qu'à la Chambre des communes nous étions tous contre le projet de loi C-36, la Loi antiterroriste, en raison des pouvoirs très étendus qu'il prévoyait, mais notre comité n'existait pas à l'époque, en 2004. C'est le plus récent comité permanent de la Chambre des communes. Mais il n'avait pas été créé à ce moment-là, alors je ne suis pas certain que le projet de loi ait fait l'objet d'une analyse aussi détaillée que celle que l'on fait par rapport à la LPRPDE.
Je n'ai pas grand-chose à ajouter. S'il me reste du temps, c'est la seule chose sur laquelle j'aimerais vous entendre, mais vous avez choisi de ne pas en parler, alors —
En tant que citoyen, en tant que Canadien, cela me préoccupe, et je crois que mon entreprise, qui s'occupe de la gestion des dossiers, n'aimerait pas être déléguée, comme vous le dites, pour commencer à passer à travers des dossiers afin de trouver des renseignements pour — Je pense que cela serait très difficile.
De quel côté irait votre loyauté? Écoutez, vous avez une obligation et une promesse contractuelle envers les gens dont vous avez des dossiers qui doivent être gardés confidentiels, mais la GRC ou le SCRS pourraient dire que vous avez une deuxième obligation envers eux de ne pas les garder confidentiels, mais de les transmettre.
Absolument. Nos contrats stipulent que le respect de la vie privée et la confidentialité de nos clients en général sont des facteurs très importants, mais de toute évidence la loi —
Le Dr Rosenberg a déclaré que dans bien des cas il est assez simple de réidentifier les patients. Comment IMS s'y prend-il pour faire en sorte que cela soit impossible?
Il y a plusieurs façons de faire. Tout d'abord, les informations que nous recevons de nos fournisseurs de données passent par un logiciel qui les débarrasse de tout ce qui concerne le patient. Ensuite, nous avons des moyens technologiques de veiller à ce que tout soit éliminé. En outre, toutes nos dispositions contractuelles interdisent quoi que ce soit qui puisse identifier pour nous un patient.
Comme je l'ai déjà indiqué, nous avons toujours défendu les droits des patients à la protection de leurs renseignements personnels en matière de santé et le recueil de quoi que ce soit qui puisse identifier un patient est illégal au Canada, non seulement en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques mais également aux termes de toutes les autres lois sur la protection des renseignements personnels. Nous sommes convaincus que toute organisation qui pourrait se livrer à ce genre d'activité se verrait demander des comptes et encourrait des sanctions prévues dans la loi.
En effet, je pense à la question de Mme Lavallée et je vous remercie de la poser à nouveau. Très simplement, sous réserve de ce qu'a dit le Dr Landry, personne, à ma connaissance, très honnêtement. Je crois que vous avez entendu tout un éventail d'organisations représentatives qui ont comparu devant vous et se sont déclarées favorables à cette distinction. Il y a une chose —
Mon seul problème est le suivant. Je ne suis pas sûr que l'amendement que vous avez suggéré est la façon de faire. Je ne verrais pas d'inconvénient à proposer un amendement déclarant qu'IMS n'enfreint pas la loi. Toutefois, par exemple, l'amendement que vous avez proposé est tout à fait différent de ce qu'a prévu la Colombie-Britannique.
Il ajoute un élément à la partie 2, cette petite exclusion, pour s'assurer que l'on ne capte pas par inadvertance des informations de surveillance en milieu de travail, comme l'a demandé la commissaire. Vous avez entendu les témoignages de différents groupes et vous savez qu'il y a toute une gamme d'informations d'ordre professionnel qui préoccupent différentes organisations.
Il y a notamment le problème des informations que contiennent les ordonnances mais toute note, lettre, opinion, tout document fait par des employés ou des membres de professions libérales dans le cadre de leurs responsabilités professionnelles, si nous ne prévoyons pas cette exclusion du produit de travail, pourrait bien être considéré comme des renseignements personnels.
Je sais qu'en Colombie-Britannique, le commissaire a parlé de la question d'accès et que le comité a examiné les préoccupations des PME quant à la mise en application de telles dispositions. Des ex-employés pourraient dire que tout ce qu'ils ont écrit ou tout document sur lequel ils ont inscrit leur nom lorsqu'ils travaillaient pour vous doit être considéré comme des renseignements personnels. Ils pourraient s'en aller, présenter une demande d'accès à tout cela, à tous les courriels. Pour l'entreprise, en particulier pour les plus petites entreprises, ce pourrait être un travail énorme.
Monsieur le président, j'aimerais bien que quiconque, peut-être des témoins que nous avons déjà entendus, s'inquiète du libellé même de cette amendement, vienne nous en parler.
Y a-t-il une association qui protège l'autre côté de votre entreprise — les pêcheurs de poubelles, par exemple?
Je ne pense pas qu'ils se soient encore groupés bien que j'aie là un article sur une bande de voleurs qui se spécialisaient en pêche dans les poubelles pour trouver des renseignements privés à exploiter ainsi.
Tout à fait c'est la première source d'information pour le vol d'identité. C'est l'accès papier. Il ne s'agit pas d'intrusion par haute technologie.
Pêcheur de poubelles — c'est une des principales choses qu'ait appris le comité durant cette séance.
Allez-y, monsieur Wallace.
Merci, monsieur le président.
Une toute petite complémentaire parce que vous m'avez poliment interrompu.
Je voulais demander aux responsables de la gestion de l'information ce qu'il en était des avis. Je voulais vous entendre dire que vous vouliez élargir cela ou exiger des avis plus détaillés. La commissaire nous a déjà dit — et elle va revenir — que le système d'avis actuel est suffisant et que, si possible, il n'y a pas besoin de donner avis et la question est réglée à l'interne. Ainsi, cela ne dérange personne et ça suffit.
Avez-vous sondé vos membres afin qu'ils sachent qu'ils seront tenus d'aviser les intéressés, d'après ce que vous nous dites aujourd'hui, si les exigences à ce sujet sont modifiées et si, pour toute intrusion, l'intéressé devrait être informé?
J'ai l'impression qu'il y a des tas de dossiers au Canada qui sont entreposés près d'entrepôts et il arrive qu'ils soient détruits, d'autres fois qu'ils ne le soient pas. Le risque est donc plus élevé dans votre cas. J'aimerais donc savoir de façon certaine que je peux dire que j'ai entendu votre organisation que vous avez sondé vos membres et qu'ils estiment que vous avez en effet raison de dire que vos processus consistant à aviser les gens devraient être améliorés par rapport à ce qu'exige aujourd'hui la LPRPDE.
Une des raisons pour lesquelles NAID Canada et NAID Europe sont une source aussi crédible d'information est que nous ne prenons pas toujours des positions qui sont économiquement les meilleures pour nos membres. Notre mission et notre charte nous commandent la défense des consommateurs.
Nous sommes soutenus par le secteur privé. Nous avons décidé d'exiger que nos membres prennent une assurance responsabilité civile professionnelle qui leur a coûté très cher et j'ai reçu beaucoup de courrier haineux à ce sujet mais c'était la chose à faire. Dans ce cas, nous estimons que la notification est nécessaire. Nos membres sont favorables à ce que NAID participe à des exercices semblables du fait de cette crédibilité et continuent à appuyer l'association, même si nous prenons ce genre de positions.
Cela dit, si nous allions demander à nos membres — et nous ne l'avons pas fait — ce qu'ils en pensent, ils verraient certainement l'avantage que cela présente pour le consommateur ainsi que pour leur secteur que d'exiger qu'une notification soit donnée non seulement pour les intrusions électroniques à sensation mais également pour les risques que présente le vol de document papier dans les poubelles.
Si quelqu'un entre par effraction dans un entrepôt, vole quelques boîtes et que tout cela se retrouve dans la rue à Toronto, si l'on sait que ça vient d'Iron Mountain, cela pourrait être très dommageable pour l'entreprise. Êtes-vous en train de me dire que vous êtes prêt à prendre ce risque?
Dans notre cas particulier, oui, absolument. Nous avons une politique de notification interne pour des situations exactement semblables. Même sans votre loi, en tant qu'entreprise de gestion de dossiers, nous avons une politique interne de notification.
Voilà qui met fin au deuxième tour.
Trois autres personnes veulent poser des questions.
J'en ai une courte à poser à Mme Fineberg.
Je représente une région qui compte beaucoup de petites villes et de villages. Tout le monde sait tout sur tout le monde. C'est super. Vous avez dit que l'information que vous recevez est anonyme. C'est peut-être le cas dans la grande ville, mais il est étonnant comment les gens sont au courant de tout dans les petites localités. Votre voisin peut savoir tout ce que vous faites.
Est-il possible que les gens recoupent les éléments d'information que vous avez, de sorte que l'information n'est plus anonyme?
Je viens moi-même d'une de ces petites villes, au fait.
Les données sont examinées sous divers angles précisément pour éviter ce genre de problèmes. Nous avons demandé à des statisticiens de McGill d'examiner une base de données interne pour savoir s'il est possible de procéder à des recoupements qui permettraient de déterminer l'identité de quelqu'un. Les spécialistes nous ont répondu que non. Le contrat de travail de nos employés leur interdit de faire quoi que ce soit avec les données à part les traiter à l'interne pour les besoins de l'opération.
Le problème, c'est que les gens devinent. Les gens sont très forts à ce jeu. Je ne veux pas en faire tout un plat. Je veux seulement dire que dans la région que je représente — et c'est le cas d'autres membres du comité — les gens n'ont aucun mal à recouper ces éléments d'information. C'est tout ce que j'ai dit. Ils défient même les experts.
Monsieur Dhaliwal.
Merci, monsieur le président.
Ma question s'adressera encore une fois à IMS. Je vais reprendre là où s'est arrêté M. Pearson.
Quand il s'agit de planification à long terme, je peux comprendre pourquoi ces définitions de produit de travail et de renseignements personnels sont très importantes. D'un point de vue commercial, je comprends pourquoi ce cas est couvert.
Je me demande comment le travail que fait IMS pourrait aider le consommateur d'une petite localité comme celle de M. Tilson. En quoi êtes-vous utile aux localités de ce genre? Y a-t-il des avantages pour elles?
C'est l'exemple parfait, je crois, de situations où les données d'IMS, l'existence d'une base de données aussi exhaustive — et c'était là certaines de questions abordées dans mon exposé.
Nous avons fait énormément de travail dans les milieux de la recherche sur des maladies précises comme le traitement des infections et les antibiotiques. Une campagne de sensibilisation a été lancée en Alberta, appelée « Do Bugs Need Drugs? », et ils avaient besoin d'information complète et fiable pour voir si le programme était efficace. Nous avons pu donner à la petite localité de l'information sur l'efficacité du programme et sur la question de savoir s'il y avait eu un changement dans la consommation générale d'anti-infectieux. C'était des choses très simples, comme montrer aux gens à se laver les mains, la propreté et des choses comme ça, jusqu'à ne pas demander à votre médecin un anti-infectieux à chaque consultation parce que vous avez mal à la gorge.
Sans nos renseignements, ils auraient été incapables de dire si les habitudes des gens avaient changé, si les ordonnances des médecins étaient différentes et si les gens consommaient moins d'anti-infectieux. C'est un excellent exemple de succès dans une petite localité.
De même, on a fait beaucoup de travail pour le Collège des médecins du Québec concernant la consommation de ritalin par les enfants. Ils n'avaient pas de données justificatives sur la question. C'est un exemple parfait. Il y avait des problèmes d'information et de santé qui mettaient en cause les enfants, les médecins et les parents. Ils avaient besoin de données empiriques solides et nous avons pu les leur fournir.
En l'absence du genre de renseignements que nous compilons, ce serait impossible à obtenir. Personne d'autre n'a cette information. Les gouvernements ne l'ont pas et les autres établissements de recherche non plus.
[Français]
Je vais revenir à la définition que vous avez donnée des produits du travail. Vous dites: « [...] renseignements préparés, compilés ou divulgués par un individu ou par un groupe dans le cadre de ses responsabilités [...] »
Je ne vais pas refaire la lecture. Je voudrais poser une question à M. Carey du National Association for Information Destruction - Canada.
Cette définition correspond-elle aux produits du travail que vous avez? Quand vous recevez des documents à déchiqueter ou à détruire d'une quelconque façon, pouvez-vous dire que vous recevez des produits du travail?
[Traduction]
Nos membres fournissent un service dans un environnement relativement amoral et antiseptique. On retient nos services pour détruire des supports qui contiennent de l'information. Nous ne nous soucions nullement de ce que contient le support, hormis le fait que le client qui a embauché un de nos membres veut qu'il soit détruit correctement. Nous ne savons donc pas si c'est de l'information sur la concurrence qu'il veut faire détruire, des renseignements personnels sur ses clients ou si ce n'est que la méthode qu'il a choisie pour se débarrasser de tous ses supports pour que personne ne les voit au moment de leur destruction et sache ce qui en est advenu. La méta-information qui peut y figurer ou la nature de l'information n'est d'aucun intérêt pour nous une fois que le marché a été passé avec nous pour le détruire.
[Français]
Les documents que vous recevez contiennent quand même des renseignements qui ont été préparés, compilés ou divulgués par un individu ou par un groupe dans le cadre de ses responsabilités relativement à sa profession, à son emploi ou à son entreprise. Est-ce exact?
[Traduction]
[Français]
[Traduction]
Avec tout le respect que je vous dois, je ne pense pas que la distinction entre renseignement privé, renseignement personnel ou produit du travail s'applique à notre cas parce que les services que nous offrons sont offerts parce que le client nous les a demandés. En situation idéale — et c'est ce que nous essayons de créer — nos employés ne prennent jamais connaissance de l'information et en ignorent donc la teneur. À certains égards, il s'agit pour nous entièrement de produits du travail parce que nous n'avons pas le moindre intérêt pour ce qui figure dans les documents. Nous les manipulons de manière très sécurisée parce que c'est ce que le client veut de nous. Nous n'avons aucune idée de ce qui se trouve dans les supports ni de leur origine.
Peut-être que la meilleure façon de voir les choses est de dire que nous considérons que tout ce que nous recevons — c'est ce que stipule notre charte — est imminemment confidentiel et privé. Ça ne l'est peut-être pas. Ce peut être des produits du travail entièrement dépouillés de toute information permettant d'identifier la personne. Ce n'est pas à nous de décider. On nous embauche pour traiter le document avec le plus de confidentialité possible, et c'est ce que nous faisons.
[Français]
Ma question s'adresse aux représentants de IMS Health Canada.
Vous donnez souvent l'exemple des ordonnances. D'abord, est-ce que chaque pharmacien consent à vous donner des informations sur les ordonnances? Y en a-t-il qui refusent? Ont-il le droit de refuser?
Ils ont le droit de refuser.
Nous travaillons par échantillonnage. Il y a plus de 7 500 pharmacies au pays. Dans un premier temps, cela n'est pas nécessaire et, dans un deuxième temps, nous n'avons pas les moyens d'aller chercher les informations auprès de chacun. Dans une entreprise comme la nôtre, on fait des projections pour atteindre les niveaux universels.
Pour répondre directement à votre question, rien n'oblige un pharmacien à nous fournir des informations si il ou elle ne le veut pas le faire.
Si je comprends bien, les gens qui s'opposent à votre définition sont les professionnels de la santé qui peuvent être identifiés dans le cadre de vos travaux. Peuvent-ils être identifiés?
Encore une fois, comme Mme Fineberg l'a expliqué au tout début, c'est justement pour protéger cet aspect, jusqu'à un certain point. Nous fournissons toujours nos informations dans un grand agrégat de données. Il y a toujours un minimum de 30 médecins, mais il peut y en avoir jusqu'à 150 ou 1 000 qui font partie d'un groupe.
Donc, c'est vraiment impossible de cibler un médecin et de dire que c'est lui qui a prescrit telle chose. Il fait partie d'un groupe qui a prescrit un certain type de médicament. Tel est l'objectif. Il ne s'agit pas de cibler les informations aussi précisément.
[Traduction]
La question s'est posée lors de l'audition d'un témoin; on nous a dit que les pharmaciens de Colombie-Britannique avaient adopté une résolution selon laquelle ils refuseraient de communiquer l'information.
Madame Fineberg, êtes-vous au courant de cela et avez-vous quelque chose à dire à ce propos?
Tout à fait. Il s'agit en fait d'une référence à un règlement administratif adopté par le Collège des pharmaciens de la Colombie-Britannique en 1997. Le collège a été enjoint par le ministre de la Santé de la province à l'époque de modifier ses statuts pour interdire la divulgation de toute information permettant d'identifier un médecin à des fins commerciales.
Depuis 1997, le conseil d'administration du Collège des pharmaciens a voté — trois fois, je crois — pour modifier cet article afin de lever l'interdiction, mais comme l'article doit être approuvé par le gouvernement provincial au moyen d'un décret, ce n'est toujours pas chose faite.
Il y a le règlement administratif, comme on vient de vous le dire, et il y a la LPRP de Colombie-Britannique, qui exclut les produits de travail, ce qui exclurait ce type d'information. Du point de vue juridique, il y a des avis selon lesquels parce que dans un cas il s'agit d'une loi, la LPRP, et de l'autre simplement les statuts d'un collège, l'exclusion imposée par la LPRP prévaut sur le règlement du collège. Mais il y a aussi la réalité pratique de l'activité commerciale.
Merci.
Il y a actuellement à la Chambre des communes une autre loi à l'étude qui pourrait avoir des conséquences et à propos de laquelle j'aimerais avoir votre avis. On veut changer la liste permanente des électeurs pour éviter la fraude électorale. Il y a eu un seul cas de fraude lors des dernières élections fédérales, aucun dans les précédentes et trois dans les élections qui ont précédé. Mais la liste permanente des électeurs comporte maintenant votre nom, adresse, numéro de téléphone et date de naissance.
Quelque 200 bénévoles ont participé à ma campagne électorale, et il n'est pas inhabituel de prendre une page de la liste des électeurs et de la donner à un de vos bénévoles en lui disant d'aller frapper à la porte de ces 50 personnes. Vous qui êtes spécialiste des questions de vie privée, avez-vous quelque chose à dire à ce propos? Les fouille-poubelles adorent trouver les dates de naissance; c'est comme un NIP.
Oui. Tout ce que je dirais, c'est que lorsque l'on examine les règlements concernant la protection des renseignements, souvent nous recommandons que la définition de renseignements personnels soit élargie.
Nous avons mentionné la loi sur le déchiquetage de l'État de la Géorgie, que nous aimons donner en exemple. La loi excluait les numéros de téléphone comme renseignements personnels, comme le fait la LPRPDE. Notre association est contre cela, parce que comme c'est toujours le cas, c'est la possibilité de recouper plusieurs renseignements qui donnent la masse critique —
Mais c'est quelque chose que vous pouvez trouver dans l'annuaire. Le nom, l'adresse et le numéro de téléphone, c'est facile à trouver.
Je sais, mais si c'est associé à un numéro de compte et à une adresse et au nom, cela devient un jeu pour les experts: combien d'éléments leur faut-il pour reconstituer le tableau?
C'est précisément ce que je veux dire. Les choses que vous excluez sont celles qu'ils vont rassembler pour compléter le tableau.
Alors si le gouvernement le fait pour vous au moyen de la liste permanente des électeurs, n'est-ce pas une invitation à l'usurpation d'identité?
Je dirais seulement que la solution au problème est de contrôler de près ce qu'il advient de ces renseignements supplémentaires, la date de naissance, une fois qu'on s'en est servi pour ce qui est censé être nécessaire, à savoir confirmer l'identité de l'électeur pour éviter la fraude : qu'il disparaisse de tout autre document et qu'il ne circule plus.
C'est intéressant.
Mes autres questions nous ramènent aux — Vous voulez tout détruire!
Des voix: Oh, oh!
Je reviens sur le témoignage du commissaire à la vie privée de la Colombie-Britannique. Il a soulevé la question de la vente ou de la cession d'une entreprise. Parfois, la base de données ou la liste des clients est l'élément le plus précieux de l'entreprise. Il disait que dans sa province l'information est protégée; j'imagine que l'obligation du respect de la vie privée est transmise au repreneur.
Estimez-vous que la LPRPDE devrait être modifiée dans le même sens? Estimez-vous aussi que les personnes devraient avoir la possibilité de se voir supprimées de la liste? Autrement dit, les gens devraient-ils être prévenus?
Par exemple, pour le recensement, je ne veux pas que Lockheed Martin possède mes renseignements personnels. Il avait même été question d'un boycott au Canada si Lockheed Martin obtenait les résultats du recensement; les gens n'allaient pas coopérer. Estimez-vous que les gens devraient avoir l'occasion de se faire supprimer d'une liste si une entreprise est vendue et que la LPRPDE devrait prévoir ce cas?
Personnellement, j'aimerais avoir plus de temps pour y réfléchir avant de me prononcer. Je peux effectivement m'imaginer que quelqu'un s'inquiète et ça me semble être une idée raisonnable d'être prévenu si une entreprise à laquelle j'ai donné des renseignements est reprise par une autre.
À tout le moins, nous recommanderions qu'un contrat précise très clairement la responsabilité fiduciaire, la chaîne de possession et les obligations en vertu de toute réglementation existante dans le territoire donné où l'information a été confiée à celui qui en a la garde.
Cela pourrait être utile du point de vue juridique, mais si j'ai une dent contre cette compagnie? Qu'arrive-t-il si non seulement je n'aime pas la compagnie qui est vendue ou celle qui achète mon information mais que je ne veux avoir rien à voir avec elle? Est-ce que je n'ai pas le droit de retirer l'information que j'ai confiée à la compagnie A, que je ne veux pas voir dirigée par la compagnie B? Où sont mes droits?
Il y a le côté pratique — et ensuite je pense que le fondement de toute loi sur la vie privée en tant que question des droits fondamentaux est que c'est la personne concernée par les renseignements qui doit décider en bout de ligne où l'information peut aller. Si c'est le point de départ, je pense que cela répond à votre question.
Je ne sais pas. Vous pourriez lui demander. Mais ces questions devraient s'adresser à d'autres témoins, s'ils veulent répondre.
La seule chose que je dirais, c'est que je pense que certains des témoins, y compris le commissaire à la vie privée de la Colombie-Britannique, envisageaient la question dans le contexte de ce qu'une organisation peut révéler à propos de ses clients ou de ses employés dans la perspective d'un achat, d'une fusion ou d'une acquisition. Les lois de la Colombie-Britannique et de l'Alberta prévoient toutes deux ce cas, parce qu'il arrive qu'une compagnie ne puisse pas légalement communiquer l'information à qui que ce soit, employés ou clients, qu'une transaction soit en cours, parce que cela contreviendrait aux lois sur les valeurs mobilières, s'il s'agit d'une compagnie négociée en bourse.
Je vais reprendre là où j'en étais quand j'ai posé ma question à M. Fabian.
Vous avez dit combien cela allait aider les petites localités comme celles de M. Tilson et de Mme Fineberg et beaucoup d'autres, en matière de recherche et de développement. Quand vous consignez cette information sur les ordonnances, pouvez-vous établir la distinction entre ce qui sert à des fins commerciales et ce qui sert à la recherche et au développement?
En complémentaire, j'aimerais savoir si vous n'avez pas cette information à des fins commerciales, quelles sont les conséquences pour le consommateur?
Je pense que la distinction entre ce qui sert à des fins commerciales et ce que j'ai déjà décrit se trouve dans l'exemple des compagnies pharmaceutiques qui dépensent d'énormes quantités d'argent pour la recherche et le développement pour trouver de nouveaux remèdes. Elles doivent élaborer une stratégie. Il faut qu'elles comprennent les états de la maladie et ce qui se dessine pour l'avenir.
Nous avons une population vieillissante qui s'inquiète beaucoup du type de médicaments qui devront être créés. Les compagnies pharmaceutiques doivent enrôler des médecins pour effectuer des essais cliniques, fournir de l'information aux médecins pour assurer leur apprentissage permanent et fournir de l'information générale sur leurs produits à l'ensemble des médecins et des pharmaciens.
Voilà donc la distinction nette que vous pouvez faire entre l'emploi des antibiotiques que je vous ai donné, où il y a de véritables travaux de recherche clinique, et les besoins de type plus commercial.
Il y a des tas de secteurs dans lesquels il est certainement impossible de faire cette distinction claire à propos de la recherche. Gary a mentionné les essais cliniques et l'utilisation des informations par les sociétés pharmaceutiques qui veulent aviser les médecins de tels essais. Nous conviendrons probablement tous que les essais cliniques sont de la recherche en matière de santé. Alors, où faire la distinction? Où faire cette distinction quand on parle de fournir des renseignements et informer les professionnels de la santé sur des produits et services particuliers?
Il est dans bien des cas difficile, me semble-t-il, de faire la distinction des fins purement commerciales et des fins de recherche. L'autre chose qu'il ne faut pas oublier, évidemment, c'est qu'au Canada, de nos jours, une bonne partie de la recherche faite en matière de santé, en particulier sur les produits pharmaceutiques, se fait dans le secteur privé.
Vous avez l'un et l'autre parlé.
Et le Dr Landry? Qu'en pense-t-il, en tant que médecin, quelles seraient à son avis les conséquences si la définition de produit de travail n'est pas clairement définie dans la loi, du point de vue du consommateur?
Je vais répondre de cette façon. Le concept de produit de travail, comparé au concept de protection des renseignements personnels ne porte pas sur les mêmes intérêts. Le produit du travail sert à informer le fournisseur, dans une relation fournisseur-consommateur, dans notre cas médecin-patient. Ce produit est donc un outil qui informe le fournisseur partie à cette relation, en vue d'offrir un meilleur service.
Nous sommes actuellement dans une situation où les chefs de file de l'éducation permanente en médecine découvrent progressivement l'intérêt des informations que nous pouvons fournir. Certains veulent s'en servir, certains s'en servent, utilisent ces outils pour aider les médecins à définir leurs propres besoins dans le contexte de la poursuite de ces études. Ceux qui comprennent l'intérêt de ce produit seraient perdus si nous ne pouvions pas continuer à le leur fournir. Au fur et à mesure que nous voyons des médecins et que nous leur expliquons ce que nous avons et le service que nous pouvons leur offrir, nous les voyons ouvrir les yeux et découvrir que c'est en effet intéressant. D'ailleurs, cela va bien plus loin que ce qu'ils avaient pu imaginer.
J'espère répondre ainsi à votre question.
Nous en arrivons à la fin de notre séance et j'aimerais poser une question à nos amis d'IMS.
J'aimerais vous lire une citation du Business Law Journal, du numéro d'octobre 2006. Il s'agit d'un article de Lisa M. Austin. Je ne sais pas si vous le connaissez. Il présente l'autre côté de la médaille. J'aimerais vous demander ce que vous en pensez.
C'est aux pages 31 et 32 :
Même si la commissaire à la protection de la vie privée affirme que les renseignements contenus dans les ordonnances ne donnent pas beaucoup d'information sur le médecin, il est important de comprendre que les sociétés pharmaceutiques recherchent ces informations en partie parce qu'elles jugent que c'est intéressant. Elles utilisent ces informations pour compiler des profils d'ordonnance personnalisés des médecins qu'elles peuvent ensuite utiliser pour cibler leurs efforts de marketing, pratique que beaucoup de médecins n'apprécient pas si cela est fait à leur insu et sans leur autorisation.
C'est donc l'autre côté de la question et j'aimerais que vous me disiez ce que vous en pensez.
Je me demande comment je vais répondre à cette question.
Cela ne correspond pas à la réalité du Québec. Il faut dire tout d'abord que toute la profession médicale québécoise sait exactement ce que nous faisons. Comme l'a dit Anita, tout se trouve sur notre site Internet. Les professionnels de la santé au Québec reçoivent le journal d'IMS. Nous faisons de gros efforts pour fournir toute l'information, de sorte que ce que nous faisons est connu à l'échelle de la province. C'est une chose.
Deuxièmement, je peux comprendre que certains n'aiment pas cette pratique. Toutefois, bien des médecins n'aiment pas que des représentants de compagnies pharmaceutiques les contactent alors que les produits qu'ils proposent n'ont rien à voir avec leur spécialité. De plus en plus de médecins limitent leur pratique à certains domaines et ils souhaitent traiter avec les compagnies pharmaceutiques qui offrent des produits liés à leurs domaines d'intérêt. Notre activité, en partie, vise à aider l'industrie pharmaceutique à cibler les médecins qui effectivement utilisent ou prescrivent les médicaments fabriqués par des compagnies en particulier.
Cependant, ils ne contactent pas ainsi les médecins qui ne s'intéressent pas à leurs produits, si bien que c'est avantageux. En fait, on constate un avantage marqué grâce à cette pratique, car, et ce sont des cas que je connais personnellement, les médecins établissent un rapport avec les représentants de compagnies pharmaceutiques et obtiennent d'eux des renseignements scientifiques, en particulier au sujet des effets secondaires. Et c'est une réalité.
Ainsi, il y a deux semaines, j'étais en milieu hospitalier et j'ai eu vent de cela, après quoi nous avons rencontré les représentants. Toute la façon de procéder des représentants des compagnies pharmaceutiques a évolué au fil des ans. L'accent est désormais davantage sur les renseignements scientifiques, de sorte que c'est avantageux. Cela présente ici l'envers de la médaille de votre argument.
Je tiens à remercier les membres des deux groupes d'être venus nous donner leur opinion. Vous avez stimulé le débat entre nous et je vous en remercie. Encore une fois, merci d'être venus.
Avant de lever la séance, je signale aux membres du comité que notre président, M. Wappell, va revenir la semaine prochaine. Nous sommes presque à la fin de notre examen et je pense que sous peu, nous allons demander que l'on prépare le rapport. D'habitude, les gens de la Bibliothèque, Mme Holmes ou quelqu'un d'autre, préparent un résumé des recommandations faites par les témoins, les amendements proposés. Voici la question que je me pose: attendons-nous la toute fin, d'avoir entendu le ministre — et je pense que le ministre et la commissaire vont venir bientôt — ou préparons-nous une ébauche de rapport avant d'entendre leurs témoignages, afin que nous puissions leur faire part des amendements proposés par les témoins que nous avons entendus de sorte qu'ils puissent nous transmettre leurs commentaires au moment où ils comparaîtront?
Je ne vous demande pas de répondre maintenant. C'est sans doute une chose dont s'occupera le président quand il reviendra mais je fais cette remarque dès aujourd'hui afin que nous réfléchissions à la façon dont nous allons préparer notre rapport. Je vous laisse là-dessus.
Encore une fois, merci d'être venus.
La séance est levée.