ETHI Réunion de comité

    Bonjour. Nous en sommes à la 31^e réunion du comité. Difficile à croire, n'est-ce pas?

    Nous poursuivons notre examen de la LPRPDÉ. Nous accueillons aujourd'hui la Fédération canadienne de l'entreprise indépendante et l'Association des consommateurs du Canada. Comparaissent, au nom de la Fédération, Corinne Pohlmann, directrice, et Lucie Charron, analyste de la politique, et au nom de l'Association, Margaret Anne Ireland, directrice. Bruce Cran aurait aimé être ici, mais il est à Vancouver, enseveli sous la neige.

    Bienvenue à tous. Vous avez une dizaine de minutes pour présenter vos exposés. Après quoi, nous passerons aux questions.

    Nous allons commencer par Mme Pohlmann.

    Bonjour. Je m'appelle Corinne Pohlmann. J'assure la direction des affaires nationales auprès de la Fédération canadienne de l'entreprise indépendante. Je suis accompagnée aujourd'hui de notre analyste de la politique, Lucie Charron, qui va m'aider à répondre aux questions.

    J'occupe ce poste depuis environ un an. Avant cela, j'ai été directrice des affaires provinciales de la FCEI, en Alberta, pendant six ans. Mon travail consistait à assurer la mise en oeuvre de la Loi sur la protection des renseignements personnels et à analyser son incidence sur les petites et moyennes entreprises albertaines. En fait, jusqu'à mon départ, il y a environ un an, je siégeais au comité consultatif ministériel sur la loi albertaine relative à la protection des renseignements personnels. Le comité était chargé d'évaluer la façon dont les PME s'adaptaient à la loi dans cette province.

    J'aimerais vous dire quelques mots au sujet de la FCEI. La Fédération est une organisation apolitique sans but lucratif qui est totalement financée par les 108 000 membres qu'elle regroupe, des petites et moyennes entreprises indépendantes présentes dans tous les secteurs de l'économie et dans toutes les régions du pays.

    Vous devriez avoir devant vous une série de diapositives. La première vous donne le profil des membres. Vous remarquerez que nos membres représentent de manière générale le milieu des affaires, milieu qui, comme vous le savez, est dominé par les petites et moyennes entreprises.

     Le tableau au haut de la page suivante indique que plus de 97 p. 100 des entreprises canadiennes comptent moins de 50 employés. Ces entreprises représentent environ 45 p. 100 du PIB canadien, et emploient presque 60 p. 100 de la population active. Elles créent le gros des emplois au Canada.

    Le tableau suivant a été établi à partir de données fournies par Industrie Canada. Il montre qu'entre 1993 et 2003, près d'un million d'emplois ont été créés, dont presque 80 p. 100 par des petites entreprises comptant moins de 100 employés.

    Pourquoi vous montrer ces chiffres? Pour illustrer l'importance croissante des PME, et pour vous encourager à tenir compte de l'impact qu'ont les décisions des pouvoirs publics sur cette composante de l'économie canadienne. Ce qui semble anodin aux yeux d'une grande entreprise peut avoir des conséquences significatives pour la petite entreprise : coûts additionnels, confusion, paperasserie administrative et stress accru pour le propriétaire moyen.

    Quelles sont les questions qui préoccupent les PME? Le tableau de la page suivante dresse la liste des priorités de nos membres, que nous consultons de façon suivie au moyen de sondages. Nous colligeons les données tous les six mois. Ces renseignements nous permettent de définir les domaines dans lesquels nous devons intervenir en tant qu'organisation.

    J'aimerais attirer votre attention sur la deuxième priorité des PME: la réglementation gouvernementale et les formalités administratives. Il n'y rien d'étonnant à cela, le coût de la réglementation ayant tendance à être plus élevé pour les petites entreprises. C'est, d'ailleurs, ce qu'indiquent les données de la FCEI et de l'OCDE. Elles s'appuient sur les constatations qui se dégagent d'analyses menées au Québec et aux États-Unis : plus l'entreprise est petite, plus le coût de la réglementation, par employé, est élevé.

    Voilà pourquoi nous accueillons favorablement les engagements pris par la Colombie-Britannique, le Québec et Terre-Neuve-et-Labrador, qui ont promis d'évaluer et d'alléger la réglementation et les formalités administratives avec lesquelles doivent composer les entreprises. Plus récemment, nous avons appris avec grande satisfaction que le gouvernement fédéral allait réduire de 20 p. 100 les formalités administratives imposées aux entreprises.

    Ce qui m'amène à la LPRPDÉ. Les membres de la Fédération présents dans les provinces et les territoires qui n'ont pas encore adopté une telle loi doivent se conformer à la LPRPDÉ lorsqu'il est question de renseignements touchant les consommateurs. Je tiens à préciser que nous ne sommes pas des experts des aspects techniques de la loi. Notre rôle, ici, consiste à vous expliquer comment les PME s'adaptent à la loi.

    D'abord, nos membres sont à la fois des consommateurs et des propriétaires d'entreprises. Ils tiennent à ce que les renseignements personnels les concernant soient protégés. Ils sont également conscients de la nécessité de protéger la vie privée de leurs clients et employés.

    En 1996, nous avons demandé à nos membres si, à leur avis, le gouvernement fédéral devait se doter d'une loi nationale relative à la protection de la vie privée. Nous avons reçu plus de 10 000 réponses. Comme en fait état le tableau au haut de la dernière page, nos membres se sont dits en faveur de l'adoption d'une loi nationale qui vise à protéger les renseignements personnels. Conclusion : la Fédération ne s'est jamais prononcée contre l'adoption d'une telle loi. En fait, nous croyons que cette loi, pour être véritablement efficace, doit être mise en oeuvre par les PME à l'échelle du pays. Toutefois, il ne faut pas qu'elle soit compliquée ou que son application entraîne trop de dépenses. Notre travail consiste à faire en sorte que la loi soit facile à comprendre et qu'elle n'impose pas un fardeau significatif aux petites entreprises.

    En fait, la LPRPDÉ est une loi efficace du point de vue des petites entreprises, car elle évite les solutions prescriptives et accorde aux entreprises la marge de manoeuvre dont elles ont besoin pour satisfaire ses exigences. La loi reconnaît que les entreprises ne gèrent pas toutes de grandes quantités de données personnelles, et que la nature de ces données peut varier considérablement d'un secteur à l'autre, et d'une entreprise à l'autre.

    Par ailleurs, la loi établit un équilibre entre la protection des intérêts des consommateurs et le besoin de savoir des entreprises, dont le rôle est de fournir des produits et des services. Comme on l'a mentionné, nos membres appuient l'adoption d'une loi nationale sur la protection de la vie privée —après tout, ce sont des consommateurs, mais également des propriétaires d'entreprises qui doivent parfois avoir accès à des renseignements personnels pour être en mesure de desservir le grand public ou leurs employés.

    Nous appuyons le fait que la loi prévoie un processus qui repose sur les plaintes. Les règlements et les formules administratives peuvent constituer un fardeau pour les propriétaires de petites entreprises, qui ont tendance à porter plusieurs chapeaux : responsable des ressources humaines, des ventes, du marketing — ainsi de suite. Habituellement, c'est le propriétaire qui se charge d'assurer la protection des renseignements personnels. Nous estimons que la plupart font déjà ce qu'ils peuvent pour protéger les renseignements personnels en leur possession : il s'agit là d'une bonne habitude d'affaire. Toutefois, ils n'ont peut-être pas eu le temps de le formaliser sur papier.

     Le fait d'avoir un processus axé sur les plaintes atténue le stress ressenti par le propriétaire d'une PME qui, autrement, peut craindre de faire l'objet d'une vérification ou de se voir imposer une amende s'il ne s'est pas conformé en tous points à la lettre de la loi.

    Nous croyons également que le principe de l'ombudsman fonctionne bien. Il est moins intimidant pour le propriétaire d'une petite entreprise d'entrer en contact avec le bureau du commissaire pour discuter avec lui de questions portant sur la conformité à la loi.

    La LPRPDÉ s'applique depuis trois ans à l'ensemble du secteur privé. La Fédération a reçu des centaines d'appels de petites entreprises à l'échelle du pays qui se demandaient comment se conformer à la loi. Pour répondre aux questions, nous avons créé, sur notre site Web, une page spéciale qui renferme des liens menant à d'autres informations sur le sujet. Nous avons préparé un document qui résume les obligations des entreprises. Vous en avez un exemplaire devant vous. Nous offrons également à nos membres des cours en ligne gratuits sur la façon de gérer les renseignements personnels en vertu de la LPRPDÉ.

    La plupart des appels ont été reçus lors de l'étape de mise en oeuvre de la loi, en 2004. Toutefois, nous continuons d'en recevoir régulièrement. Les questions les plus courantes portent sur la conformité à la loi — de manière plus précise, l'adoption d'une politique de confidentialité pour les clients et les employés et l'existence d'un modèle à cet égard. Nous savons que l'Alberta et la Colombie-Britannique ont mis au point un modèle pour les PME. Nous encourageons le commissaire à faire la même chose pour la LPRPDÉ.

    Enfin, vous voulez sans doute savoir dans quelle mesure les PME se conforment à la LPRPDÉ. Nous n'avons pas de données précises là-dessus, mais ... certains membres de l'Alberta se sont vu poser la même question, mais sur la loi provinciale instaurée en même temps.

    Vous allez trouver, à la dernière page, nos constatations. La plupart des petites entreprises de la province, soit entre 70 et 80 p. 100, connaissent l'existence de la loi, mais seul un faible pourcentage d'entre elles ont élaboré une politique relative à la protection des renseignements personnels. La bonne nouvelle, c'est que la taux de conformité augmente, 40 p. 100 des répondants affirmant s'être dotés d'une politique écrite en 2006, contre 31 p. 100 en 2005.

    Qu'est-ce que cela signifie? Pour l'instant, nous ne voyons pas la nécessité de modifier en profondeur la loi. Nous souhaitons que la LPRPDÉ soit reconduite pour que les PME puissent se familiariser davantage avec celle-ci. Apporter des changements si tôt dans le processus compliquerait inutilement les choses, puisqu'il serait plus difficile pour les PME de se conformer. Autrement dit, il nous faut plus de temps pour bien comprendre le plein effet de la loi sur les PME et les consommateurs.

    Entre temps, la FCEI va continuer d'aider ses membres, et les petites entreprises en général, à comprendre leurs obligations en vertu de la loi.

    Merci.

    Merci, madame Pohlmann.

    Avant de céder la parole à Mme Ireland, je voudrais vous parler du document — le voici — qui s'intitule « Législation relative à la protection de la vie privée ». Ce document a été préparé il y a déjà un bon moment de cela. Est-ce l'exemplaire le plus récent que vous avez? Il traite de l'entrée en vigueur de la loi.

    Oui, c'est l'exemplaire le plus récent, mais notre site Web contient, en fait, des données qui sont plus à jour. Le cours que nous offrons en ligne a également été actualisé.

    Merci.

    Madame Ireland.

    D'abord, M. Cran souhaite vous faire part de ses regrets. Il n'a pu quitter Vancouver en raison de la tempête de neige qui a frappé la ville, hier.

    Je m'appelle Margaret Ireland. Je fais partie du conseil d'administration de l'Association des consommateurs du Canada.

    Nous tenons à vous remercier de nous avoir invités à comparaître devant vous.

    L'Association des consommateurs du Canada, fondée il y a 60 ans, est un organisme bénévole indépendant sans but lucratif qui compte un bureau national, à Ottawa, et des représentants provinciaux-territoriaux. L'Association a pour mandat d'informer et d'éduquer les consommateurs sur les enjeux dans le marché, de promouvoir les intérêts des consommateurs auprès des gouvernements et du secteur privé, et de résoudre des problèmes dans le marché.

    Lorsque la LPRPDÉ a été mise en oeuvre, nous commencions à peine à nous rendre compte des diverses façons dont les renseignements personnels pouvaient être utilisés à mauvais escient. Il s'est maintenant écoulé suffisamment de temps pour voir quelles améliorations doivent être apportées à la loi. Le vol de renseignements personnels contenus dans les bases de données d'entreprises échappe à tout contrôle. Les lignes directrices facultatives sont tout à fait inutiles. Il faut mettre en place des règles strictes pour protéger les Canadiens, et prévoir des sanctions sérieuses pour ceux qui exposent les consommateurs à des risques. À notre avis, le Commissariat à la protection de la vie privée doit doté de pouvoirs réels. L'adoption de règlements et de peines efficaces, appliqués de manière rigoureuse, contribuerait pour beaucoup à améliorer la vie de tous les jours des consommateurs canadiens.

    Il est temps d'abandonner les lignes directrices facultatives qui s'appliquent à la protection des renseignements personnels et d'adopter des règlements qui obligent les entités à se doter de règles claires qui régissent le type de renseignements pouvant être recueillis, leur utilisation, leur durée de conservation et les mesures destinés à les protéger. Ces règlements, de même que l'imposition de peines sévères en cas de non-respect de ceux-ci et l'établissement de règles visant à notifier les citoyens quand des données les concernant sont compromises, vont contribuer à réduire les conséquences désastreuses qu'entraîne le vol d'identité.

    Limiter la collecte de renseignements au strict nécessaire constitue un premier pas. Nous avons des réserves au sujet de la nature des renseignements recueillis auprès des consommateurs et la façon dont ces renseignements sont utilisés. Nous aimerions que des limites soient imposées à la durée de conservation des renseignements recueillis, et que l'envoi de ces données à l'étranger soit restreint. Ensuite, une entreprise n'a pas vraiment de raison de conserver le numéro de carte de crédit ou de débit d'un consommateur dans son système informatique pendant de longues périodes, sauf si la relation avec ce client l'exige.

    Par ailleurs, nous aimerions que le processus permettant de dissimuler les relevés des transactions automatisées par carte de crédit et de débit soit achevé d'ici la fin de l'année. Nous sommes contre l'idée d'envoyer à l'étranger des renseignements sur la situation financière ou la santé de Canadiens. L'envoi de ces renseignements nous expose à des risques inutiles, et ne présente aucun intérêt pour le consommateur.

    Pour terminer, je vais être franche. Nous ne croyons pas que le droit des entreprises commerciales de recueillir des données personnelles sur les consommateurs à des fins de commercialisation l'emporte sur le droit du consommateur de se sentir en sécurité en cette ère marquée par le piratage informatique, la fraude et le vol d'identité. La seule façon de protéger les données est de ne pas les rendre disponibles en premier lieu.

    Merci.

    Bien. Votre exposé était très direct. Merci beaucoup.

    Je vois qu'il y a un léger désaccord entre les témoins, ce qui devrait donner lieu à une discussion intéressante.

    Nous allons entreprendre un premier tour de sept minutes. Monsieur Dhaliwal, vous avez la parole.

    Merci, monsieur le président.

    Je tiens à remercier les témoins d'être venus nous rencontrer.

    Ma première question s'adresse à Mme Pohlmann. Vous dites, dans votre exposé, que la plupart des entreprises au Canada sont des petites entreprises. Pouvez-vous me dire quels défis pose la LPRPDÉ aux petites entreprises?

    Leur plus gros défi consiste à comprendre les obligations qu'elles ont en vertu de la loi. La plupart des petites entreprises au Canada n'ont pas de grandes quantités de renseignements personnels à traiter. Bon nombre d'entre elles ne font pas directement affaire avec le public, de sorte qu'il est difficile pour elles de comprendre ce qu'elles doivent faire pour se conformer à la loi.

    C'est là leur principal problème : elles veulent se conformer à la loi, mais ne savent pas comment. Ironiquement, la plupart d'entre elles font sans doute déjà ce qu'elles sont tenues de faire. Elles ne l'ont tout simplement pas formalisé sur papier, et c'est là leur plus grand défi. Donc, le fait d'avoir un outil qui peut les aider à définir, sur papier, les mesures qu'elles doivent prendre pour protéger les renseignements touchant les consommateurs et les employés... C'est ce que réclament bon nombre d'entre elles, même si, en vertu de la LPRPDÉ, la plupart ne sont pas tenues de le faire. Je dirais que c'est sans doute leur plus gros défi.

    Vous dites qu'elles ne savent pas comment protéger les renseignements. Savez-vous si des violations ont été relevées auprès des petites entreprises qui appliquent la LPRPDÉ?

    Non. S'il y a eu violation, c'est sans doute parce que les entreprises n'étaient pas conscientes de ce qu'elles étaient censées faire en premier lieu. Mais à ma connaissance, aucune violation grave n'a été recensée chez une petite entreprise.

    Vous expliquez, dans ce document, ce que l'on entend par renseignements personnels. La définition est très longue. Certains témoins nous ont dit, notamment, que nous devrions établir une distinction entre les renseignements personnels et les renseignements liés à l'emploi. Vous parlez ici de dossiers médicaux, de numéros d'identification, de dossiers de crédit, ainsi de suite. À votre avis, où devons-nous tracer la ligne entre les renseignements personnels et le produit de travail?

    Il est difficile de répondre à cette question. Je n'ai pas de connaissances juridiques ou techniques là-dessus. Bon nombre de propriétaires de petites entreprises se demanderaient probablement quels renseignements personnels ils voudraient voir protéger si ces renseignements les concernaient. C'est sans doute l'approche qu'ils utiliseraient pour distinguer les renseignements qui doivent être protégés de ceux qui ne doivent pas l'être. À mon avis, les dossiers médicaux et les dossiers de crédit, entre autres, doivent être protégés.

    Par ailleurs, nous avons été obligés d'établir une définition de portée nationale pour tenir compte du fait que certaines provinces ont des lois qui régissent les renseignements médicaux et d'autres, pas. Nous avons essayé, par ailleurs, de lui donner une perspective un peu plus holistique — la LPRPDÉ n'est pas la seule loi à prendre en considération. Les petites entreprises ont des responsabilités à assumer en vertu d'autres lois dans certaines provinces.

    Devrions-nous clairement définir ce que nous entendons par produit de travail, ou devrions-nous laisser aux petites entreprises le soin d'interpréter cette notion au cas par cas?

    Je pense qu'il serait préférable de procéder au cas par cas. Définir un produit de travail — franchement, je ne sais pas vraiment ce que cela veut dire, et je ne pense pas non plus qu'une petite entreprise le saurait. Cela fait partie du problème. Ce ne serait peut-être pas une mauvaise idée de peaufiner la définition pour pouvoir établir plus facilement la distinction. Toutefois, cela risquerait de compliquer les choses, car l'entreprise sous réglementation fédérale en Alberta ou en Colombie-Britannique est assujettie à des règles différentes.

    Monsieur le président, est-ce que Mme Ireland souhaite faire un commentaire?

    Concernant les relations avec les employés, ainsi de suite, ce n'est pas le genre de questions que nous examinons. Nous nous concentrons uniquement sur les consommateurs, les enjeux qui les intéressent, les renseignements personnels qui les concernent.

    Même si vous défendez les intérêts des consommateurs, croyez-vous que les petites entreprises devraient recueillir des renseignements personnels et des renseignements liés à l'emploi? Nous parlons des petites entreprises et des dossiers médicaux. Les médecins constituent tous des petites entreprises. Ils font partie de cette catégorie. Voilà où je veux en venir.

    À votre avis, où devons-nous, du point de vue du consommateur, tracer la ligne? Par exemple, une personne se rend chez un médecin. Elle ne donne pas son nom, sa date de naissance, son origine ethnique, ainsi de suite, mais elle divulgue le genre de médicaments qu'elle prend, le genre de maladie qu'elle a ou le genre de traitement qu'elle reçoit ou ne reçoit pas. Est-ce que ce sont, pour vous, des renseignements personnels ou des renseignements liés à l'emploi?

    Je vois où vous voulez en venir. Le secteur de la santé est quelque peu différent, car il y a de nombreuses personnes qui divulguent probablement plus de renseignements sur leur état de santé que sur un autre aspect de leur existence.

    Dans une large mesure, je fais confiance à mon médecin, ce qui fait que j'ai une bonne opinion du système de soins de santé. Je n'ai aucune difficulté à divulguer certains renseignements, même si ceux-ci peuvent faire partie de leur produit de travail. Je m'attends à ce qu'ils gardent ces renseignements confidentiels.

    Pour l'instant, nous n'avons pas vu beaucoup de cas où des renseignements médicaux ou personnels ont fait l'objet de violations. Ce problème n'a pas la même ampleur que le piratage d'une banque de données, le vol de numéros de cartes de crédit, ou autre chose du genre; il semble se situer à un autre niveau.

    Mis à part ce cas d'atteinte à la confidentialité des renseignements personnels dans le domaine médical, y a-t-il un domaine particulier où une telle atteinte...

    Notre seule préoccupation a été ce cas particulier où des renseignements médicaux ont été envoyés à l'extérieur du pays à partir de la Colombie-Britannique. Cela n'a pas été bien géré.

    Et ces renseignements ont fini dans les poubelles et dans la rue.

    Effectivement, et c'est en partie pour cela que nous nous opposons à l'envoi de renseignements personnels à l'étranger. Tant et aussi longtemps qu'on les conserve ici, ils sont assujettis à la LPRPDE et aux règlements, et nous pensons qu'il est plus facile d'en contrôler l'accès ainsi.

    Merci.

    Monsieur Vincent, vous disposez de sept minutes.

    Merci, monsieur le président.

    Ma question s'adresse à Mme Pohlmann. On a fait allusion tout à l'heure aux produits du travail, et je vois que vous nous parlez des renseignements personnels que sont l'âge, le poids, le statut social, les mesures disciplinaires et le dossier de crédit.

    Pour vous, les produits du travail pourraient-ils correspondre aux renseignements personnels que vous énoncez dans votre document?

    Vous n'avez pas le document?

    Non, je n'ai pas le document. J'avais tout donné au greffier. Je m'excuse.

    D'accord, mais pour vous, qu'est-ce que le produit du travail concerne?

    Ce sont notamment l'adresse du bureau d'emploi de la personne, l'adresse courriel de l'employé qui est donnée à l'employeur. Bref, ce sont tous les détails que possède la compagnie qui s'appliquent à un employé et qui font partie de son travail.

    La plupart des petites et moyennes entreprises n'utilisent pas beaucoup de renseignements. Parfois, des détaillants en utilisent, par exemple sur les cartes de crédit, mais il existe déjà des façons de protéger ces renseignements dans les systèmes.

    Je ne connais pas très bien la question des renseignements sur le travail. Je ne sais pas très bien quels détails sont importants pour cette réglementation.

    Vous parlez des détaillants. Cela me frappe, parce qu'un rapport d'étude publié en 2006 disait que, sur 64 détaillants travaillant sur Internet, pratiquement aucun n'était au courant des exigences de la loi.

    Qu'en pensez-vous? Vous disiez que vous aviez offert un petit cours. À quoi ce petit cours correspond-il dans le cadre de la formation des membres de votre association?

    Je vais répondre en anglais parce que cela m'est plus facile.

    Le cours lui-même n'est en fait qu'un survol de la LPRPDE et des responsabilités en découlant. Il décrit essentiellement les règles prévues par la LPRPDE et les éléments dont nos membres ont besoin pour élaborer un modèle, et leur explique ce qu'ils doivent faire pour protéger les renseignements concernant leurs clients.

    Le cours n'est pas plus détaillé que cela. Il est conçu pour permettre à nos membres de se familiariser avec les renseignements personnels et de savoir ce qu'il faut faire pour les protéger. Il vise également à leur donner la capacité de déterminer à quel point l'information qu'ils ont entre les mains est de nature personnelle. Par ailleurs, s'ils détiennent des renseignements d'une plus grande importance, il leur faudra peut-être aller chercher de l'aide pour savoir comment les protéger.

    Donc, nous ne leur disons pas comment procéder. Nous leur indiquons essentiellement des lignes directrices et ce dont ils ont besoin pour passer à l'étape suivante.

    Lorsque ces gens veulent détruire des renseignements personnels qu'ils possèdent depuis quelques années, le font-ils d'une façon particulière? Dans les entreprises où vous travaillez, y a-t-il une façon précise de détruire ces documents, ou peut-on les retrouver dans les poubelles et un peu partout? Y a-t-il des mesures à prendre pour détruire ce genre de documents?

    Il y a aussi un commerce de listes de membres, de listes d'employés ou de renseignements personnels qui se fait entre entreprises. Avez-vous pris connaissance de faits semblables?

    Dans notre organisation?

    Oui.

    Oui. Notre organisation a une politique de confidentialité, qui est affichée sur notre site Internet. Lorsque nous n'avons plus besoin de certains renseignements sur les entreprises, qui se trouvent dans nos dossiers et bases de données, nous les détruisons.

    Nous remettons notre politique de confidentialité à nos membres qui nous demandent comment en rédiger une : il s'agit de préciser le genre de renseignements qu'on recueille en tant qu'organisme, et ce qu'on fait pour les protéger. Nous utilisons notre politique comme exemple pour nos membres.

    Comment procédez-vous pour détruire ces documents?

    En passant les dossiers à la déchiqueteuse. Et si les renseignements sont dans la base de données, on les efface.

    D'accord, parce que nous avons vu des gens mettre de tels documents dans des boîtes qu'ils ont ensuite placées dans des bennes à ordures. Il est assez courant que les petites entreprises ne prennent pas la peine de penser à la protection des renseignements personnels des gens.

    Vous n'êtes pas davantage au courant de faits semblables? Vous savez ce qui se passe chez vous, mais vous ne savez pas ce qui se passe chez les membres de l'association que vous représentez.

    Avez-vous aujourd'hui des recommandations à nous faire concernant la protection des renseignements personnels?

    Nous pensons que la loi actuelle n'a pas eu le temps d'être véritablement mise en oeuvre. Nous voudrions qu'elle le soit intégralement pour que les PME s'y conforment totalement. Je pense qu'il a fallu un certain temps avant d'enclencher le tout.

    Je pense que les PME n'apprécient guère les règlements normatifs parce que, de manière générale, elles ont du mal à s'y conformer. Plus un règlement est strict, plus il leur est difficile de l'observer. Mais en leur proposant une approche fondée sur les principes, on leur permet de décider elles-mêmes de la meilleure façon de traiter les renseignements personnels des clients.

    J'aimerais vous rappeler que nos membres sont également des consommateurs. Ils estiment qu'il est important d'avoir une loi nationale sur la protection des renseignements personnels. Ils feront de leur mieux pour protéger ces renseignements. Je pense l'approche que vous adoptez maintenant est davantage efficace pour les aider à se conformer aux impératifs de protection des renseignements personnels. Tenter d'être encore plus stricts ne fera qu'entraîner davantage de confusion et de craintes.

    Je cède maintenant la parole à M. Tilson, puis nous commencerons la deuxième série de questions, en commençant par M. Pearson.

    Merci, monsieur le président.

    J'aimerais poser une question. Certains témoins ont laissé entendre qu'on devrait modifier la loi de façon à rendre obligatoire la notification d'une violation de la confidentialité des renseignements. L'année dernière ou la précédente, de nombreux renseignements confidentiels se sont retrouvés dans un parc à ferraille du sud des États-Unis. Puis il y a eu le cas de Winners, il y a quelques semaines. La CIBC a égaré des données concernant 470 000 clients, dont leurs noms, adresses, signatures, dates de naissance, numéros de comptes de banque, renseignements sur les bénéficiaires ou numéros d'assurance sociale.

    Une nouvelle est sortie ce matin. J'ignore ce qu'il en est des journaux, mais à la télévision, on a révélé que la CIBC — je pense que c'était elle — envoyait de nouvelles cartes de crédit à tous ses clients, sans expliquer pourquoi. Quelle en est la raison? Est-ce dû à la perte de tous ces renseignements?

    Je comprends comment fonctionnent les affaires. Qu'il s'agisse de grandes banques ou d'entreprises, les coûts d'une notification seraient incroyables. D'un côté, je comprends le dilemme, mais de l'autre, les gens veulent savoir. Ils veulent savoir si quelqu'un a leur numéro d'assurance sociale, ou même leur nom.

    Nos deux groupes de témoins pourraient-ils se prononcer là-dessus? Ma question est celle-ci: la notification d'une atteinte à la confidentialité des renseignements personnels devrait-elle être obligatoire?

    En fait, je crois que l'incident que vous évoquez concerne la Banque de Montréal. Ces derniers jours, nous avons reçu des appels à ce sujet. Certaines personnes ont par exemple reçu une lettre où on leur disait de téléphoner; lorsqu'elles l'ont fait, elles n'ont obtenu aucune réponse au bout du fil. D'autres se sont présentées à quelque part, et au moment d'utiliser leur carte de crédit, on leur a dit qu'elle n'était plus valide. Ou encore, étant donné qu'un si grand nombre de personnes avaient reçu leurs cartes en même temps, lorsqu'elles ont tenté d'appeler pour les faire activer, les lignes étaient occupées.

    Au cours des derniers jours, nous avons donc reçu un certain nombre d'appels téléphoniques à ce sujet. Cela nous préoccupe beaucoup. Les consommateurs peuvent très difficilement savoir qui a des renseignements sur eux, quels sont ces renseignements et où on les conserve.

    Si une violation de confidentialité se produisait et que quelqu'un mettait la main sur votre numéro de carte de crédit ou d'assurance sociale, vous pourriez l'ignorer pendant des mois; entre-temps, les dommages seraient faits. Quant au vol d'identité, il peut entraîner la destruction d'une cote de crédit ou l'incapacité à obtenir une hypothèque. Parfois, un dossier de crédit peut avoir une incidence sur l'emploi, parce que certains employeurs le vérifient avant d'embaucher quelqu'un.

    La loi devrait-elle être modifiée de façon à ce qu'il soit obligatoire d'informer les consommateurs ou le public de toute forme de bris de confidentialité, que ce soit...

    Absolument.

    Les banques, ou du moins les intervenants du milieu des banques — et j'espère que je ne déformerai pas leurs propos — se sont présentés et ont dit que s'il y avait des signes de fraude, ils en aviseraient leurs clients.

    C'est une déclaration assez vague, mais c'est ce qu'ils ont dit.

    Nous sommes absolument convaincus qu'une notification devrait être obligatoire. Ce serait aussi une bonne chose d'expliquer aux gens pourquoi on a changé leurs cartes de crédit. Personne n'a reçu d'explications; on s'est contenté de distribuer de nouvelles cartes. Évidemment, cela éveille toutes sortes de soupçons dans l'esprit des gens, d'où les appels téléphoniques que nous recevons.

    Personnellement, il y a deux ans, la Banque de Montréal m'a fait la même chose. On m'a téléphoné pour me dire qu'on m'envoyait une nouvelle carte et que je ne devais plus utiliser celle que j'avais. Quand j'ai demandé pourquoi, on a dit ne pas pouvoir me répondre. Lorsque j'ai insisté, on m'a fait la même réponse.

    D'accord. J'aimerais savoir ce que la FCEI pense de la question.

    Je crois que, lorsqu'un risque est associé à l'information divulguée, il est important qu'on en avise les intéressés. Je pense que les entreprises devraient être obligées d'informer leurs clients d'une violation majeure en matière de divulgation d'information — par exemple, renseignements sur les cartes de crédit, numéros d'assurance sociale, dossiers médicaux. Je crois cependant qu'il y a probablement divers degrés de violations et que, parfois, cette violation peut être assez mineure et n'aura pas d'incidence importante pour le public.

    L'autre aspect de la question, qui pourrait selon moi préoccuper le monde des affaires et nos membres, c'est le fait qu'ils peuvent n'être même pas au courant de la raison de cette atteinte à la confidentialité. On peut leur avoir volé quelque chose, par exemple, ou peut-être n'était-ce pas vraiment leur faute.

    C'est un genre de situation qui peut devenir difficile et où l'on a peut-être, selon moi, la responsabilité d'envoyer une notification aux personnes concernées. En même temps...

    Devrait-on apporter une modification à la loi?

    Je pense que cela dépendrait du niveau de violation. Si celle-ci représente un risque pour le client, je pense que oui, on devrait être tenu d'en aviser...

    Et si on ne le fait pas? Quelqu'un a une idée?

    On propose de les envoyer en Sibérie.

    Est-ce qu'il me reste du temps, monsieur le président?

    Vous avez une minute, mais Mme Ireland pourrait vouloir ajouter quelque chose. Dans sa déclaration d'ouverture, elle a dit qu'on devrait appliquer des peines dignes de ce nom.

    Nous aimerions qu'on prévoie des peines rigoureuses en cas d'importants bris de confidentialité. Je pense à un incident comme celui de Winners. J'irais jusqu'à affirmer qu'on devrait envoyer une notification à chaque client et être assujetti à des pénalités allant jusqu'à 100 000 $, montant qui augmenterait avec chaque incident. Il faudrait y aller franchement.

    Et du côté de la Fédération canadienne de l'entreprise indépendante?

    Cela dépendrait de la manière dont s'est produite la violation de la confidentialité. Je pense que, parfois, les entreprises n'en ont pas conscience ou n'en sont pas responsables.

    Imposer une peine de 100 000 $ à une petite entreprise — par opposition à une grande banque — l'acculerait à la faillite. Quand on parle des niveaux d'importance des violations et de l'impact de celles-ci sur le monde des affaires, je pense qu'on doit faire très attention en empruntant cette voie.

    Merci, monsieur Tilson.

    C'est une période de questions de cinq minutes, monsieur Pearson.

    Bonjour à tous.

    Ma question concerne ce que vous avez dit durant votre exposé. Vous avez demandé au milieu des affaires si le gouvernement fédéral devait déposer une loi nationale sur la protection de la vie privée; en Alberta, 52 p. 100 des gens interrogés ont répondu oui.

    Dans le tableau, plus bas, il est question de la sensibilisation au besoin de protéger les renseignements personnels en Alberta. En 2005, cette sensibilisation était de 80 p. 100, et en 2006, de 70 p. 100. Il me semble que nous allons dans la mauvaise direction. J'aimerais que vous nous expliquiez pourquoi, car nous avons souvent entendu parler du modèle albertain. Cela m'intrigue.

    Oui. C'est en partie attribuable au fait que la question a été légèrement modifiée. En 2005, on demandait aux gens s'ils étaient conscients de leur obligation de protéger les renseignements personnels, tandis qu'en 2006, on leur a plutôt demandé s'ils connaissaient la Loi sur la protection des renseignements personnels.

    Ainsi, je crois que la première question portait davantage sur la conscience qu'on avait de détenir des renseignements confidentiels. On ignorait peut-être l'existence d'une loi à cet égard. Je vous dirais que le pourcentage est probablement encore de 80 p. 100 en Alberta. Selon nous, c'est donc une légère différence de formulation qui explique cet écart.

    D'accord, merci.

    Des chambres de commerce ont comparu ici il y a quelque temps, et elles nous ont dit avoir diffusé beaucoup d'information sur leurs sites Internet pour informer leurs membres des exigences en vertu de la LPRPDE. Je leur ai demandé quels commentaires les entreprises leur en donnaient. Comprenez-vous où je veux en venir? Il ne s'agit pas seulement de tenter de fournir des directives aux gens et de les sensibiliser. Ont-ils trouvé cela trop coûteux? Quels genres de mécanismes avez-vous mis en place pour que vos membres vous fournissent de la rétroaction?

    Notre organisation se fonde fortement sur les sondages. En fait, la seule région qui a fait l'objet d'une étude est l'Alberta, mais l'autre moyen d'enquête dont nous disposons est nos conseillers partout au pays qui traitent quotidiennement les demandes des membres. Ces trois dernières années, nous avons probablement reçu des milliers d'appels de la part de petites entreprises concernant cette question. En préparation à ma comparution, j'ai examiné de nombreux registres de ces appels, et je dirais, comme je l'ai mentionné dans mes remarques préliminaires, que nous avons reçu le gros d'entre eux en 2004, avec l'entrée en vigueur de la loi, alors que les gens tentaient de comprendre ce qu'ils avaient à faire.

    Cependant, nous continuons de recevoir des appels de façon très régulière. Je dirais que 90 p. 100 d'entre eux portent fondamentalement sur le respect de la loi et la façon de rédiger une politique de confidentialité. Les gens souhaitent seulement savoir ce qu'ils doivent faire pour rédiger cette politique et s'assurer qu'ils sont en conformité avec la loi.

    C'est pourquoi j'hésite à inclure des renseignements prescriptifs; dans ce cas-là, au lieu de penser aux mesures à prendre pour réellement protéger les renseignements personnels — comme le fait, je crois, l'approche fondée sur les principes —, on se contentera de s'assurer que la politique de confidentialité adhère à un règlement particulier de la loi, sans nécessairement penser à ce qu'on peut améliorer dans l'entreprise. L'approche fondée sur les principes permet à nos membres de songer au meilleur moyen de traiter les renseignements, et nous tâchons de les guider. Lorsque nous déterminons qu'ils ont beaucoup de renseignements personnels à protéger, nous leur recommandons de voir un consultant qui les aidera à organiser le tout.

    Ma dernière question est celle-ci. En réponse à une question de M. Dhaliwal, vous avez déclaré qu'il serait préférable de procéder au cas par cas. Des témoins qui ont comparu devant nous nous ont dit que prendre des décisions en procédant ainsi rendait aléatoire la planification de l'avenir, notamment. Pourriez-vous commenter?

    Je pense que cela renvoie au fait que les politiques de confidentialité varient d'une entreprise à l'autre, car chacune a une quantité différente de renseignements à protéger. Je crois qu'on aurait tort, par conséquent, de s'attendre à ce que cette méthode s'applique universellement.

    Notre crainte, c'est qu'on fixe la barre toujours plus haut, de façon à créer des règles qui conviendront aux banques, mais pas aux petites entreprises. Ce que nous aimons de cette loi, c'est sa souplesse — le fait que c'est une approche fondée sur les principes et qu'elle permet aux entreprises de faire ce qu'elles estiment le mieux pour atteindre l'objectif ultime, soit la protection des renseignements personnels. Nous voudrions qu'il en soit toujours ainsi, parce que, si la loi devait devenir davantage prescriptive, nous craignons que nos membres ne sachent plus comment s'y prendre.

    À ce comité, nous avons entendu des affirmations selon lesquelles les petites entreprises préféraient cette façon de faire, alors que les grandes entreprises, elles, préféraient...

    Que la loi soit davantage prescriptive.

    Oui, c'est exact.

    Merci, monsieur le président.

    Merci.

    M. Van Kesteren, suivi de M. Ouellet.

    Merci à tous de votre présence. C'est un plaisir de vous voir. Je suis membre de votre organisation depuis 1987, et je peux dire que vous rendez un fier service aux petites entreprises.

    Je dois admettre qu'en lisant les dispositions de la loi, il me vient à l'esprit des images de l'époque où j'exploitais une concession; c'est exactement ce dont vous avez parlé. Nous avons vu ce genre de situation. Comme vous l'avez mentionné, nous nous sommes dit que cette loi était exactement ce qu'il nous fallait.

    Je m'intéresse à la responsabilité, à l'accès à l'information. Nous devons nommer un commissaire interne à la protection des renseignements personnels. Vous avez absolument raison, ces choses constituent une réelle entrave pour les petites entreprises.

    Tandis que nous commençons à examiner toute cette question du commissaire à la protection de la vie privée, il semble qu'il y ait — et j'aimerais que vous vous prononciez là-dessus — une ligne de démarcation. Je parle également des consommateurs. Une grande partie des problèmes et de la gravité de la dimension de la protection des renseignements personnels semble davantage concerner les grandes entreprises. Lorsque je regarde votre tableau et que je vois ces chiffres incroyables — je les connais, mais ils me renversent à chaque fois —, et quand je pense que les petites entreprises sont le moteur de notre économie...

    Ai-je raison de penser cela? Pourriez-vous me dire ce qu'il en est? Cela concerne-t-il davantage les grandes entreprises, qui pourraient peut-être enfreindre la loi? Le danger est-il équivalent en ce qui a trait aux PME?

    Nos deux groupes de témoins pourraient-ils me répondre brièvement? Madame Ireland?

    Je dirais de but en blanc que beaucoup de petites entreprises connaissent personnellement leur clients. Je crois que cela les pousse à vraiment protéger les personnes qu'ils connaissent. Il s'agit de leur gagne-pain.

    En s'agrandissant, les entreprises connaissent un peu moins leurs clients. Donc, des systèmes doivent être mis en place, et ces possibilités d'abus peuvent se produire. Je crois que c'est en grande partie pour cela que les petites entreprises ne commettent pas d'infraction, parce qu'elles sont vraiment conscientes de leurs responsabilités lorsqu'ils s'agit de protéger les personnes qu'elles connaissent et sur lesquelles elles comptent.

    Madame Ireland, est-ce que les petites entreprises vous préoccupent autant que les grandes? Ai-je raison de le croire?

    Nous vous rejoignons dans votre orientation générale. Habituellement, les petites entreprises ne collectent pas autant de renseignements. Elles ne peuvent pas y avoir accès aussi facilement qu'un pirate informatique. Elles connaissent souvent leurs clients.

    Pour ce qui est de la divulgation des renseignements personnels par des petites entreprises, ils sont souvent divulgués accidentellement de manière inappropriée; il ne s'agit pas d'une divulgation massive du genre où les cartes de crédit sont envoyées partout, etc.

    La situation est carrément différente pour les petites entreprises. Nous ne rencontrons pas les mêmes problèmes.

    Il apparaît clairement que les témoignages présentés sont différents. Il y a deux points de vue. Il y a ceux qui disent que nous ne devrions rien changer. Je me demande si nous pourrions faire quelques ajustements qui permettraient aux consommateurs de se sentir un peu plus à l'aise et que les petites entreprises, le vrai moteur de notre industrie, ne rencontrent pas d'obstacles et que nous ne souffrirons pas plus tard? Il y a une minute, Bruce a dit que les entreprises font payer aux consommateurs tout ce que nous leur demandons avec pour résultat des coûts plus élevés.

     Nous n'avons pas fait d'étude, mais les appels téléphoniques que nous recevons indiquent qu'un très petit nombre de consommateurs connaissent la loi — savent qu'il y a une loi, qu'ils peuvent se plaindre et aller chez un ombudsman. Ils ne savent rien et ça c'est un problème.

    Il est possible que si plus de personnes connaissaient la loi... Comme l'a dit le député ici présent, des enquêtes ont révélé que beaucoup de petites entreprises ignorent qu'elles sont touchées par la loi ou même qu'il y a une loi, surtout les petites boutiques familiales. Une plus grande sensibilisation pourrait peut-être aider à résoudre ce problème.

    Je ne sais pas si c'est un atout ou un inconvénient, mais j'ignore le nombre de législateurs qui connaissent bien l'effet de cette loi. J'étais là quand nous l'avons adoptée et je peux vous dire que, depuis que je fais partie du comité, j'ai appris beaucoup de choses sur les conséquences de la loi que nous avons adoptée. Donc, nous sommes tous dans le même bateau et nous voulons protéger les consommateurs tout en reconnaissant qu'il y a beaucoup de problèmes.

    M. Ouellet, puis M. Stanton.

    Merci.

    Madame Pohlmann, ma question s'adresse à vous parce que vous dites surtout, si je comprends bien, que vous baseriez toutes les informations sur un code d'éthique, plus ou moins. Vous dites que les gens, surtout dans les petites entreprises, font attention à ce qu'ils font, etc.

    Quand on regarde votre tableau, on s'aperçoit que 56 p. 100 des entreprises membres de votre fédération, ce qui constitue un grand nombre, sont composées d'une seule personne, ne comptent pas d'employés. Cela veut donc dire que ce ne sont pas des gens qui ont nécessairement de l'aide pour détruire les informations qu'ils ont eues. Cela veut dire aussi que ce sont des gens qui peuvent les passer en bloc.

    Même si on dit que les petites entreprises sont moins à risque que les grandes parce qu'il peut se produire, dans les grandes entreprises, des erreurs qui touchent beaucoup de monde, il reste quand même que, dans les petites entreprises — et j'en sais moi-même quelque chose —, les renseignements se transmettent souvent d'une personne à l'autre.

    Avez-vous une façon de prévoir que les renseignements ne se passeraient pas d'une personne à l'autre dans les petites entreprises? C'est fait de la façon suivante: les gens se connaissent, s'appellent et demandent des renseignements sur telle ou telle autre personne. Finalement, la personne qui connaît celle qui est visée par la demande de renseignement n'est plus celle qui détient le renseignement; c'est quelqu'un d'autre qui l'a.

    Comment, dans votre code d'éthique, voyez-vous qu'on puisse limiter ce genre de transfert, dans le cadre de l'aspect volontaire dont vous avez parlé?

    Je ne crois pas avoir parlé d'un code de déontologie en termes de...

    Non, c'est moi qui ai dit cela parce que je pense que si c'est volontaire, c'est parce que c'est un code d'éthique.

    Oui, mais c'est basé sur ce qu'on avait recommandé aux membres de notre fédération. Mais pour les petites entreprises...

    Je ne crois pas que vous puissiez arrêter cela. Je ne sais pas comment ce serait possible et je pense que le défi qui se pose au comité est d'équilibrer le fait que les gens veulent que leurs renseignements soient protégés et le fait qu'ils veulent aussi le côté pratique. Ils veulent aussi pouvoir acheter en ligne. ils veulent pouvoir monter leur propre petite entreprise ou une entreprise unipersonnelle, puis trouver des clients en leur téléphonant. Je pense que le défi que doit relever le comité est de trouver le juste équilibre entre cette protection et les demandes des consommateurs.

    Pour ce qui est d'entraver les projets d'une personne pour créer une entreprise et lui dire qu'elle ne peut pas téléphoner à quelqu'un pour lui donner des renseignements, premièrement je ne sais pas qui pourrait contrôler cela et deuxièmement, c'est ainsi que sont créées les entreprises. C'est ainsi qu'elles s'agrandissent. C'est ainsi qu'elles établissent des contact et des réseaux et Il sera difficile, à mon avis, d'essayer de qualifier cela de renseignements sur le produit du travail.

    Je ne sais pas si je vous ai donné la réponse que vous attendiez, mais je pense qu'il serait difficile d'essayer d'arrêter cela et je crois que, dans une certaine mesure, l'esprit d'entreprise sera étouffé.

    Merci.

    Madame Ireland, avez-vous la même opinion sur la difficulté de controler les renseignements dans les petites entreprises? C'est ma première question.

    Ma deuxième question est la suivante. Vous avez dit tout à l'heure qu'il faudrait une loi qui punisse les gens, qui comporte même des amendes importantes. Comment, selon vous, pourrait-on modifier la loi afin d'avoir une façon d'identifier les imperfections qui peuvent se produire? Autrement dit, à part les cas dont on parle dans les journaux, comment peut-on trouver les compagnies qui ne détruisent pas les informations après un certain nombre de mois. Comment peut-on faire cela?

    Je commencerai par répondre à la deuxième question, comment pouvons-nous nous assurer que quelqu'un respecte la loi? Les lois sont mises en vigueur, nous encourageons les citoyens à les respecter et nous faisons de notre mieux. C'est une question qui est toujours d'actualité avec ce genre de choses. Il s'agit toujours d'un processus éducatif. Des fois, on sensibilise les gens et des fois, il faut les pousser dans la bonne direction.

    Il m'arrive souvent d'être assez bienveillante envers les êtres humains. Je crois que la plupart des personnes ne sont pas mauvaises. Si nous leur expliquons ce dont il s'agit et la raison pour laquelle quelque chose doit être fait, elles le feront. Mais il y a aussi des personnes qui, pour des raisons quelconques, adoptent une approche de laisser-faire, ce sont probablement celles qui méritent d'être réprimandées.

    J'essaie de me rappeler de la première question.

    Je vous ai demandé s'il existait un danger que les informations circulent d'une petite entreprise à une autre, sans revenir à la source. On sait que les gens des petites entreprises qui n'ont pas d'employés n'ont pas beaucoup de temps pour retourner en arrière dans les filières?

    J'ai déjà été seul dans une petite entreprise et je sais qu'on continue toujours vers l'avant le lendemain, on ne retourne pas dans les filières pour les vider. Dans ce cas, on peut s'attendre à ce que ce soit normal. Les gens ne sont pas là simplement pour tenir un bout de bureau, ils sont là pour travailler et continuer à gagner de l'argent. Autrement, ils tombent. Ils sont seuls. Et 56 p. 100 des gens ici sont seuls.

    Alors, comment peut-on leur demander? Peut-on s'attendre d'eux qu'au bout d'un certain temps, ils laisseront tomber les informations qu'ils ont eues?

    Je vais demander aux témoins s'ils ont des commentaires à faire sur cette question, puis nous passerons à M. Stanton.

    Très rapidement, je pense que cela se rapporte à l'une de nos suggestions sur la limite de la quantité de renseignements pouvant être recueillie et sur la diminution sensible du temps durant lequel ils devraient être gardés. S'ils sont gardés durant très peu de temps, s'ils sont détruits une fois par mois ou même tous les quatre-vingt-dix jours, il n'y a pas de problème.

    Un commentaire, madame Pohlmann?

    Je vais répéter seulement que ce que j'ai dit. Les petites entreprises connaissent leurs clients. Elles font leur possible. La plupart sont conscientes de leurs responsabilités sociales et savent qu'il est important de protéger leurs propres renseignements, nous croyons qu'elles font leur possible pour protéger les renseignements d'autrui.

    Merci.

    M. Stanton, puis M. Peterson.

    Merci, monsieur le président.

    Ma question s'adresse à vous, madame Ireland. Dans votre déclaration, vous n'avez pas mâché vos mots au sujet de ce que j'appellerai l'impartition, à défaut d'un autre terme, ou le fait que des sociétés obtiennent ce qui dans certains cas sont des renseignements personnels et utilise une tierce partie qui peut être à l'étranger.

    Cela est autorisé dans la LPRPDÉ, au quatrième alinéa de l'article 4.1 qui dit essentiellement que ces tierces parties doivent fournir au moins un degré comparable de protection pour ces types de services.

    Par exemple, le témoignage de l'Association des banquiers canadiens a mentionné que l'impartition est une réalité aujourd'hui et qu'en fait elle rendait l'entreprise plus concurrentielle et donc, les consommateurs profitent de prix plus concurrentiels.

    Êtes-vous contre cela uniquement par principe? Pouvez-vous nous expliquer pourquoi devrait-on contester autant fait que ces tierces parties fournissent le même niveau de protection?

    Un certain nombre de personnes nous ont fait part de leurs préoccupations à ce sujet. Ces préoccupations portaient sur le fait que les renseignements étaient envoyés dans un autre pays où la protection peut ne pas être aussi sûre qu'ici. Oui, une société peut être responsable ici, mais va-t-elle vraiment garantir que dans un pays étranger les renseignements seront aussi bien protégés que dans notre pays où elle se charge directement de les protéger?

    L'autre chose, c'est que dans les pays étrangers, les compagnies étrangères sont soumises aux règlements de leurs propres gouvernements. Un certain nombre de personnes ont soulevé cette question devant nous, surtout parce que le gouvernement américain a été très agressif dernièrement dans la collecte de renseignements. Elles ne veulent pas que leurs renseignements soient envoyés aux États-Unis parce qu'elles ne veulent pas que le gouvernement américain s'occupe de leurs affaires. Quoi qu'il en soit, c'est quelque chose qui préoccupe les consommateurs.

    Je crois que nous avons entendu des témoignages à ce sujet.

    Vous avez, en soulevant un autre point, parlé en termes généraux de resserrer la LPRPDÉ en affermissant les protections, les amendes et le pouvoir d'exécution. Nous avons entendu d'autres témoignages relatant des situations et des circonstances montrant que la législation relative à la protection de la vie privée actuelle n'a aucun effet sur les banques. Par exemple, dans un certain cas, une personne âgée pourrait se sentir intimidée à un guichet de banque et donner des renseignements pendant que quelqu'un fait est juste derrière elle. Ils se sont exprimés avec beaucoup d'éloquence, à mon avis, sur la nécessité d'exceptions dans l'intérêt public. Dans ce genre de circonstances exceptionnelles — comme l'exemple que je viens de donner — la banque pourrait contacter un parent ou quelqu'un d'équivalent. Or, la LPRPDÉ ne le permet pas.

    Seriez-vous en faveur de ce genre d'exceptions dans l'intérêt public, dans une situation où il est évident que le client qui n'est pas prêt à divulguer ce type de renseignements se sente intimidé ou menacé?

    C'est une situation dont je peux parler, parce que j'ai travaillé dans une grande banque où tout le personnel était formé pour ce genre de situation quand il fallait refuser de servir le client. Nous devions les renvoyer chez eux. Dans certains cas, tel que celui de personnes âgées, on pouvait leur suggérer de revenir avec un membre de la famille ou quelqu'un d'équivalent. Mais nous avions reçu directement des ordres de refuser de faire une transaction ou de les servir.

    Cela se passait où j'ai travaillé, mais je comprends la frustration. Il m'est arrivé plusieurs fois de vouloir téléphoner au fils du monsieur âgé de 87 ans qui voulait acheter 50 000 $ d'or alors qu'il n'avait que 52 000 $ dans son compte

    Ce que nous espérons faire ici, c'est empêcher que quelqu'un soit victime d'une telle fraude.

    Donc, je ne sais pas, mais je peux comprendre l'envie de faire cela. Y a-t-il une autre façon de procéder?

    C'est exactement ce que nous recherchons ici, et bien sûr il y a eu beaucoup de témoignages à cet effet.

    Finalement, en ce qui concerne la FCEI, madame Pohlmann, pourriez-vous nous faire part de ce que vous avez constaté en Alberta avec la PIPA? Quels genre d'obstacles ont été érigés par cette loi pour les petites entreprises en Alberta? Nous avons beaucoup parlé d'harmonisation.

    Pour une petite entreprise, la Personal Information Protection Act en Alberta va en fait plus loin que la LPRPDÉ parce qu'elle a aussi un pouvoir de rendre des ordonnances. Cela fait qu'elles sont un peu plus intimidées de contacter le Commissariat à l'information et à la protection de la vie privée, mais cette question se pose moins. Ça s'est plutôt étendu aux renseignements sur l'employé.

    En ce qui concerne l'effet que cela a eu sur nos membres dans cette province; l'importance que cela a pris au niveau des petites et moyennes entreprises est incroyable, parce qu'à l'exception des 56 p. cent qui n'ont pas d'employés, toutes les entreprises ont des employés, pour la plupart. Elles avaient de graves interrogations sur la façon de traiter cette question. Cela a créé beaucoup de confusion. Beaucoup de personnes qui nous ont téléphoné voulaient savoir si elles pouvaient donner ou non des références ou même si elles pouvaient téléphoner pour avoir des renseignements sur l'employé. Il y a eu beaucoup de questions et beaucoup de confusion au sujet de ce qu'elles pourraient faire avec leurs employés et de ce qu'elles ne pourraient pas faire avec leurs employés, quel lien la loi avait-elle avec les droits de la personne, les normes d'emplois, etc.

    Elle n'a pas été très bien conçue, donc nous avons fini par travailler beaucoup avec le gouvernement provincial pour mettre en place des outils et des documents. Il y a maintenant beaucoup d'informations dans cette province à cause de cette loi, mais je pense qu'elle n'a fait qu'ajouter une angoisse de plus chez nos membres en Alberta.

    Nous avons maintenant M. Peterson, M. Tilson et M. Vincent. Ceux qui veulent poser une question peuvent le signaler au greffier.

    Monsieur Peterson.

    Madame Ireland, est-ce que je vous comprends bien quand vous dites que vous voulez des règles prescriptives beaucoup plus précises sur le type de renseignements pouvant être recueillis, la durée qu'ils seront gardés, etc.? Cela serait-il valable aussi pour les grandes banques, les grands et petits magasins de détail et les chaînes par opposition aux propriétaires uniques, etc.? Ces règles devront-elles être adaptées à chaque type d'entreprise particulier ou seront-elles uniformisées?

    Je ne sais pas s'il est nécessaire d'avoir des règles uniformisées, mais nous pouvons limiter les demandes de renseignements. Est-ce qu'une compagnie de téléphone a besoin de votre numéro d'assurance sociale?

    Ce sera une règle. Les compagnies de téléphone ne peuvent pas demander les numéros d'assurance sociale.

    Non, en ont-elles besoin? c'est comme cela qu'il faut poser la question. De quoi ont-elles besoin? Quel est le minimum dont elles ont besoin pour mener leurs activités?

    Certaines compagnies peuvent avoir besoin du numéro d'assurance sociale

    Oui, une banque où vous avez des investissements et des intérêts créditeurs aimerais avoir votre numéro d'assurance sociale afin que Revenu Canada puisse vous réclamer de l'argent.

    Vous voulez donc une règle qui autorise les banques, mais pas les compagnies de téléphone, de recueillir les numéros d'assurance sociale. Est-ce le genre de règles prescriptives dont vous parlez?

    Je ne pense pas que nous avons besoin d'être aussi prescriptifs, mais je crois que nous avons besoin de meilleures lignes directrices.

    Pouvez-vous nous suggérer ce qu'elles pourraient être?

    Nous aimerions vraiment qu'il y ait des lignes directrices indiquant que le numéro d'assurance sociale ne peut être demandé que s'il est absolument nécessaire pour Revenu Canada. Que les numéros de cartes de crédit ne peuvent pas être gardés dans les banques de données pendant longtemps. Une fois qu'une transaction est effectuée, le numéro de carte de crédit n'est pas nécessaire sauf en cas de relation permanente.

    Que voulez-vous dire par relation permanente? Quelqu'un peut utiliser sa carte de crédit pour acheter un billet d'avion tous les huit mois. S'agit-il d'une relation permanente ou non?

    Personnellement, je ne pense pas que c'en soit une, mais des gens payent leurs factures de téléphone cellulaire chaque mois avec leur carte de crédit. C'est fait automatiquement.

    Parce qu'ils gagnent des milles aériens.

    Ça veut dire quoi, une relation permanente?

    Si vous faites une transaction par mois, il s'agirait d'une relation permanente. Je ne pense pas que le fait d'acheter un billet d'avion une fois par année puisse être considéré comme une relation permanente.

    Alors, vous envisageriez une règle qui dit que si vous faites une transaction ou plus par mois, vous pouvez garder le numéro de carte de crédit de la personne...

    S'il s'agit de quelque chose qui est automatique, un débit mensuel, alors, je ne pense pas que ce soit déraisonnable.

    Ce que je devrais faire en tant que commerçant, si j'avais une transaction par carte de crédit, c'est vérifier chaque mois et le 32^e jour, si la carte de crédit en question n'a pas été utilisée une nouvelle fois, je devrais faire disparaître ce numéro de carte de crédit de mes dossiers. Est-ce ce que vous proposez?

    Non, mais je dirais que lorsqu'un client met un terme à son contrat, pour lequel il avait signé pour une période de temps déterminée pendant laquelle vous pouviez débiter sa carte de crédit, alors, dans ce cas, vous devriez effacer cette carte de crédit.

    Cela est très différent des transactions permanentes une fois par mois. Je peux comprendre une loi qui dirait que si le personne met fin à un contrat comportant l'utilisation de votre carte de crédit, peut-être que vous devriez faire disparaître ce numéro de carte de votre système, mais...

    Je ne me suis pas exprimée de manière assez précise. Dans les cas où les gens acquittent leur facture de téléphone cellulaire, leur abonnement à un club de santé, ce sont des contrats. Ce sont des contrats permanents pour lesquelles ils sont facturés sur une base permanente. Comme je l'ai dit, une fois par année ou une fois tous les huit mois, des billets d'avion ou un achat dans un magasin de jeans, ne constituerait pas une relation permanente. Il n'y a aucune raison pour laquelle ils auraient besoin de garder votre numéro de carte de crédit pendant 90 jours.

    Merci.

    Monsieur Tilson.

    Le président a tout à fait raison, je ne devrais pas parler à leur place, mais je crois percevoir qu'un très grand nombre de députés ne savent pas ce qu'est cette loi. Beaucoup d'entre nous ne savent même pas comment prononcer son nom. Dieu sait ce que pensent les francophones. Il y a peut-être un débat en française pour savoir comment elle se prononce.

    Cette loi est en gestation depuis, je ne sais pas moi, quelques années. L'an dernier, le budget de la commissaires était de 6 millions de dollars. Cette année, il est de 16 millions de dollars et cela est dû, en grande partie, à la question qui est devant nous en ce moment.

    La commissaire a comparu et nous a dit qu'une grande partie de son budget était liée à l'éducation, comme l'on dit des témoins. La personne ordinaire ne sait absolument rien à ce sujet, que vous soyez une grande banque ou un nettoyeur à sec quelque part.

    Il y aura toutes sortes de modifications. Le personnel doit nous préparer une liste de modifications qui ont été proposées par des témoins. Si la chose est trop difficile à l'heure actuelle, si les membres du public la trouvent trop difficile à l'heure actuelle — et cette question s'adresse aux deux témoins, en particulier la Fédération canadienne de l'entreprises indépendante —, que feront-ils lorsque nous ajouterons toute une série de modifications? Allons-nous les rendent fous? Sans parler des coûts, mais juste comprendre... les gens pourraient violer la loi sans même le savoir.

    La question que je vous pose est la suivante. Si l'on prend tout cela en considération, si l'on prend en considération ce qu'il en coûte au gouvernement, si l'on prend en considération ce qu'il en coûte pour faire l'éducation des organismes individuels et de leurs membres, qu'il s'agisse des chambres de commerce ou des entreprises indépendantes ou quoi que ce soit d'autre, est-ce que notre rapport au Parlement ne devrait pas indiquer que peut-être, nous devrions attendre un peu? Si jamais nous devons faire des modifications, peut-être devrions-nous la rendre moins lourde.

    Oui, c'est très certainement notre recommandation. À dire vrai, il faut plus de temps pour bien comprendre les répercussions de cette loi particulière, telle qu'elle existe à l'heure actuelle, sur la communauté des petites entreprises et sur les consommateurs. Je pense effectivement que l'éducation est certainement l'élément le plus important dans tout cela.

    Mais je suis allé plus loin que cela. J'ai demandé si nous ne devrions pas la rendre moins lourde.

    Moins lourde? Je pense qu'il doit y avoir une simplification pour ce qui est de comprendre quels sont les obligations, parce qu'à l'heure actuelle, l'obstacle le plus important pour nos membres, c'est cette politique qu'ils doivent mettre en place. Ils savent qu'ils doivent élaborer une politique, une politique par écrit, mais ils ignorent ce que cela suppose ou comment cela est censé fonctionner.

    Ce qui est nécessaire, à mon avis, c'est de créer des outils; nous devons trouver une façon de simplifier les choses pour qu'on sache plus clairement ce que devrait comprendre cette politique, et encore une fois, sans que vous ayez à vous rendre chez un consultant et à dépenser des milliers de dollars pour qu'il fasse cette politique pour vous.

    Pour être bien franche avec vous, la LPRPDE ne nous préoccupe pas beaucoup, parce qu'elle est un peu plus souple que d'autres. C'est une approche de principe. Elle n'est pas prescriptive de nature. Mais il faut que vous la gardiez dans un langage très simple.

    Notre proposition, c'est de la laisser dans son état actuel. Laissez-la faire son chemin chez les citoyens canadiens et les entreprises canadiennes pendant encore quelques années. Laissez-leur le temps de comprendre quelles sont leurs obligations. Utiliser ce temps pour éduquer non seulement les entreprises, mais également les citoyens.

    Je pense qu'une grande partie de cette question, c'est le fait que les gens veulent bénéficier du côté pratique, comme je l'ai dit auparavant, mais ils veulent également que leurs renseignements personnels soient protégés. Parfois, vous ne pouvez avoir les deux. Vous devez en sacrifier un pour avoir l'autre. Je pense que c'est là que se trouve le défi.

    Allez-y, madame Ireland.

    Je pense, encore une fois, que nos points de vue sont presque identiques. Il faut que ce soit un processus éducatif. À l'heure actuelle, les consommateurs ne connaissent pas leurs droits. Ils ne savent pas qu'ils peuvent se plaindre. Ils ne savent pas à qui se plaindre. Ils ne savent pas ce qu'ils peuvent faire si leurs renseignements personnels sont compromis.

    Dans bien des cas, lorsque l'information du consommateur est compromise, il ne s'agit pas d'une crise majeure. Il arrive, à l'occasion, que quelque chose de désastreux se produise, surtout dans le cas de l'usurpation d'identité. Cela a des conséquences incalculables sur la vie d'une personne — son travail, sa maison, sa famille et son mariage. C'est très sérieux.

    Avons-nous besoin de plus d'éducation? Absolument. Nous avons fait de notre mieux pour éduquer les consommateurs au sujet de la loi et de leur droit en matière de vie privée. Avec ce genre de chose, c'est toujours un travail ardu. Qu'est-ce que vous pouvez faire? Qu'est-ce que vous ne pouvez pas faire?

    Est-ce que la commissaire devrait faire cela ou devrions-nous laisser cette question aux consommateurs?

    Est-ce que la commissaire peut adopter une approche à deux volets...

    Eh bien, je pense que la commissaire fait un excellent travail, du mieux qu'elle puisse faire dans les circonstances, et elle essaie d'éduquer le public. Elle voyage partout et parle à des groupes. La question est la suivante. Est-ce qu'il est possible pour elle d'assurer une éducation appropriée ou devrions-nous dire aux groupes, les entreprises indépendantes, les chambres de commerce — cela peut être n'importe qui —: « Vous avez l'obligation d'éduquer vos membres également », et remercier tous ces gens?

    Absolument. Je pense que nous pouvons continuer dans la même voie en ce qui concerne l'éducation, avec ces choses que fait la Commissaire à la vie privée. Je ne vois pas pourquoi nous lui enlèverions cette responsabilité.

    Ce n'est pas ce que je suggérais.

    Merci, monsieur le président.

    J'adore provoquer, madame Ireland. Mais simplement pour vous donner une nouvelle occasion de réfléchir, la question de M. Tilson était plutôt intéressante, parce qu'il a suggéré ceci: est-ce que le comité devrait envisager a) de ne rien faire du tout ou b) de rendre la loi encore moins lourde? Et, évidemment, la Fédération canadienne de l'entreprise indépendante était tout à fait d'accord. Si j'ai bien compris, cela est contraire à votre déclaration liminaire.

    Merci. Nous nous sommes égarés dans la partie éducation.

    Nous ne croyons pas qu'il faudrait rendre la loi moins lourde. Nous pensons qu'il faudrait la rendre plus claire, plus précise, de sorte que les consommateurs puissent savoir quels sont leurs droits et ce qu'ils peuvent faire, à qui ils peuvent s'adresser, ce qui est permis et ce qui n'est pas permis. Je pense que beaucoup de petites entreprises aimeraient savoir ce qui est permis, ce qui n'est pas permis, ce qu'elles peuvent faire, ce qu'elles ne peuvent pas faire. Parfois, simplement savoir que : « Voici ce que nous devons faire; alors, très bien, c'est ce que nous allons faire »... Il est difficile d'essayer de se dépêtrer dans un domaine où il n'y a pas de règles véritables et où vous n'êtes pas vraiment certain de ce que vous êtes censé faire — « Peut-être que si nous faisons ceci, cela ira, mais peut-être que non, comment savoir? » .

    La dernière personne à poser des questions est M. Vincent.

    Merci, monsieur le président.

    Je trouve très inquiétant d'entendre parler les consommateurs et les représentants des industries. Ils disent que nous allons peut-être attendre des années pour savoir ce qu'on va faire de ça. Je ne vois pas où est la problématique.

    Je pense que le gros bon sens ordinaire devrait s'appliquer. Qu'est-ce qu'un renseignement personnel? Chacun de nous possède un permis de conduire; nous possédons tous des renseignements personnels. On sait donc ce que sont des renseignements personnels. On sait également lesquels on ne veut pas divulguer à n'importe qui, soit le numéro d'une carte de crédit ou quoi que ce soit.

    Donc, selon moi, la responsabilité devrait revenir à toute personne à qui le consommateur donne des renseignements personnels. De plus, ces personnes ou ces entreprises qui sont en possession de nos renseignements personnels en deviennent les gardiens. À ce moment-là, si des documents sont perdus, si des éléments sont donnés à d'autres personnes, la responsabilité devrait d'abord revenir à la personne à qui on a donné ces renseignements personnels.

    Deuxièmement, dans la loi, il devrait y avoir un article qui stipule que tous les inconvénients, les coûts, y inclus ceux des cartes de crédit, que la personne a dû payer parce qu'on a perdu ses renseignements personnels, devraient être à la charge de l'entreprise qui les a perdus, et non du consommateur qui a fait confiance à ces entreprises.

    Que pensez-vous de cette réflexion? On devrait inverser la charge. Le propriétaire d'une entreprise devrait être en mesure de garder des renseignements personnels d'autres personnes, d'autres consommateurs, comme si c'étaient les siens.

    Une voix: Oh, oh!

    M. Robert Vincent: Je m'excuse de vous déranger. C'est parce qu'on ne savait pas où on s'en allait dans ce dossier.

     Que pensez-vous de responsabiliser un peu plus les entreprises face à la perte de renseignements personnels? Pensez-vous qu'on peut les sensibiliser afin qu'elles assument la responsabilité qui leur revient et qu'elles étudient la loi pour savoir ce qu'elles peuvent faire avec cela? J'aimerais entendre votre point de vue à ce sujet.

    Monsieur Vincent, nous vous remercions de l'information que vous nous transmettez concernant votre position au moment où nous allons entreprendre nos discussions.

    Je crois qu'il y a une responsabilité du côté des entreprises et du côté des consommateurs. Je crois que les propriétaires de petites entreprises recueillent l'information dont ils ont besoin pour faire une transaction qui est demandée par le consommateur et qu'ils utiliseront cette information pour réaliser la transaction concernant ce service ou ce bien particulier. Si vous commencez à limiter l'information qu'ils peuvent recueillir, ils pourraient ne pas être en mesure de fournir le service ou le côté pratique que le consommateur réclame. Je pense que c'est un défi. Je pense que la plupart des entreprises estiment qu'elles ont la responsabilité de protéger cette information. Je pense que nous avons besoin de plus de temps avec la loi actuelle et d'éducation pour nous assurer qu'elles comprennent leurs responsabilités à cet égard.

    Mais je pense que les consommateurs ont la responsabilité — et c'est ici que l'élément éducation devient si important — également de savoir quelle information ils devraient donner et ce qu'ils devraient remettre en question. Je crois que cela fait également partie de cette question.

    Mais je pense qu'il est important de ne pas essayer de définir chaque élément d'information qu'une entreprise peut recueillir. Je pense qu'il s'agit d'un exercice difficile, parce que les consommateurs demandent certains types d'information et cela pourrait limiter la capacité de l'entreprise de fournir le service et pourrait même amener l'entreprise à renoncer à offrir ce service parce qu'elle ne peut demander l'information dont elle a besoin.

    Je pense que vous vous êtes un peu écartée de ma question.

    Si, pour faire affaire avec une entreprise, le consommateur doit fournir son numéro de carte de crédit ou son numéro d'assurance sociale, c'est à cette entreprise, et non au consommateur, de savoir ce qu'il va advenir des renseignements. Comme consommateurs, nous nous plions aux exigences de l'entreprise. Si nous transmettons nos renseignements personnels à cette entreprise en toute connaissance de cause, nous considérons néanmoins qu'elle fera preuve d'autant de responsabilité que nous à l'égard de nos propres renseignements. Je pense qu'en tant que consommateurs, vous avez les mêmes attentes.

    Il ne faudrait pas vous retrouver dans une situation où, ayant perdu vos renseignements personnels, les gens de l'entreprise ne vous téléphoneraient pas par crainte que ce soit publié dans les journaux. Il ne faudrait pas non plus que quelqu'un s'empare de votre identité et vous fasse par la même occasion passer pour une criminelle. Est-ce à vous, comme consommateur, d'assumer toute la responsabilité, ou est-ce à l'entreprise qui a laissé ces renseignements se perdre?

    Je pense que l'entreprise a une responsabilité et qu'elle fera ce qu'elle peut, mais si l'entreprise perd de l'information parce qu'on la lui a volée, par exemple, il lui serait difficile de le savoir, pour revenir...

    Si mes données personnelles sont aux soins de votre compagnie, je m'attends à ce qu'elles restent au sein de votre entreprise et que personne d'autre n'y ait accès. C'est votre responsabilité.

    Oui. Et je crois, sauf erreur, que la loi actuelle confère cette responsabilité aux employeurs ou aux propriétaires d'entreprise, et ils essaient, en vertu des règles actuelles, de faire en sorte de pouvoir protéger cette information du mieux qu'ils peuvent.

    Dans le cas des petites entreprises, la réalité, c'est qu'elles ne recueillent pas une énorme quantité de renseignements. L'information qu'elles recueillent concerne des personnes qu'elles ont tendance à connaître et à bien connaître. Je crois que la très grande majorité d'entre elles croient qu'il s'agit d'une information qu'elles vont protéger du mieux qu'elles peuvent. Elles veulent se conformer aux règles. Elles comprennent la nécessité de protéger les renseignements personnels, parce que ces gens sont eux-mêmes des consommateurs et que d'autres affaires se produisent partout...

    Je crois qu'elles estiment qu'elles ont une responsabilité et elles feront ce qu'elles peuvent pour protéger cette information.

    Merci, monsieur Vincent.

    Alors, c'était la dernière personne à poser des questions. J'aimerais remercier nos...

    Une question?

    Oui. Merci.

    Un peu plus tôt, on a parlé de transmettre des connaissances sur la loi aux gens qui doivent l'appliquer, soit dans la petite entreprise ou dans les entreprises de plus grande envergure. Une bonne question a été posée à ce sujet. On a précisé que le commissaire parcourait le Canada et donnait des conférences sur la loi, de façon à ce que les gens puissent être au courant de ce qui doit être fait.

    Ne pensez-vous pas que le gouvernement pourrait assumer une plus grande responsabilité, en ce qui concerne la transmission des connaissances aux gens concernés, en prenant exemple sur ce qui se fait dans le cas du Code national du bâtiment? Le gouvernement fédéral publie ce code tous les cinq ans environ, et à cette occasion, certains de ses représentants parcourent l'ensemble du Canada pour faire part aux gens des nouvelles dispositions, même s'il n'y en a que quelques-unes.

    Il y a aussi des formations qui permettent aux gens d'obtenir une certification, par exemple dans le cas de l'ISO, du LEED ou, au Québec, du Novo-Climat. En outre, on octroie de plus en plus de certifications aux ingénieurs pour de courtes formations. Celles-ci peuvent durer une, deux ou trois heures, par exemple.

    Ne pensez-vous pas qu'on pourrait faire en sorte que les gens des petites, moyennes ou grandes entreprises connaissent beaucoup mieux la loi, si on leur demandait d'obtenir une certification sur les renseignements?

    Je pense qu'il s'agirait d'un exercice très vaste et difficile, principalement parce que la plupart des petites entreprises ne conservent pas tellement de renseignements privés. Des groupes comme la nôtre font beaucoup de travail pour essayer d'informer leurs membres. Ce dont ils ont besoin, ce sont des outils. Ils n'ont pas le temps. Lorsque vous avez trois employés et que vous êtes propriétaire, sortir pour une séance de certification de deux ou trois heures vient nuire à vos activités de ce jour-là, et si vous ne traitez pas beaucoup de renseignements, je ne vois pas cela comme étant une façon vraiment utile d'aider les entreprises à se conformer.

    Cela pourrait être différent si vous étiez un entreprise qui traite avec une énorme quantité de renseignements personnels et confidentiels, mais je pense que pour la très grande majorité des petites entreprises, cela serait vu comme une autre tracasserie administrative du gouvernement et ne permettrait pas d'obtenir les résultats escomptés, comme cela devrait être le cas.

    Madame Ireland, avez-vous un petit commentaire à faire sur cela?

    C'est une tâche difficile. L'éducation du consommateur demande beaucoup de temps. Elle doit se faire sur une base continue. Elle doit être répétée. Malheureusement, chaque année nous avons un nouveau groupe de consommateurs et ils ont tout à apprendre. Dans des cas comme ceux-là, nous constatons qu'il arrive souvent que les consommateurs, qu'il s'agisse de la loi sur la protection des renseignements personnels ou de certaines autres lois, ne commencent à s'intéresser à ces questions que lorsque cela les touche personnellement. Si vous vous promenez dans la rue et que vous demandez aux dix premières personnes que vous rencontrez si elles savent quelque chose de la loi sur la protection des renseignements personnels ou si elles connaissent leurs droits en matière de vie privée, 9,5 d'entre elles vous répondront qu'elles n'en savent rien.

    Oui, nous pensons qu'il doit y avoir de l'éducation — plus il y en aura, mieux ce sera; plus elle sera continue, mieux ce sera. Mais comme je l'ai dit, c'est une tâche difficile.

    Merci beaucoup.

    Je remercie nos témoins. C'est un groupe intéressant. Nous vous remercions d'être venus et de nous avoir fait partager votre expérience et vos points de vue et d'avoir si bien représenté vos membres au cours de nos audiences aujourd'hui.

    Avant de lever la séance, je dois faire un rappel. Mardi, nous n'aurons qu'un seul témoin, qui vient de la GRC. Je convoque la réunion à 9 h 15, alors si vous êtes ici à 9 h et que vous nous cherchez, n'arrivez pas à 9 h. C'est 9 h 15 mardi matin.

    Merci. La séance est levée.