:
Merci, monsieur le président.
Bonjour, mesdames et messieurs les membres du comité, et merci de l'invitation à venir comparaître devant vous.
Je suis heureuse d'entendre que le comité a l'intention d'entreprendre un examen complet et approfondi de la Loi sur la protection des renseignements personnels. C'était là mon premier et principal message pour vous aujourd'hui, soit que vous ne devriez pas vous contenter de n'apporter que quelques rapides solutions simples pouvant être casées d'ici le congé d'été.
Le gouvernement entretient avec les citoyens du pays une relation de confiance toute spéciale. Le gouvernement fédéral en particulier collecte, utilise et divulgue des renseignements personnels extrêmement sensibles au sujet d'individus qui, pour la plupart, n'ont en la matière aucun choix. Ils sont tenus de livrer les renseignements et doivent compter sur le gouvernement pour les protéger contre tout abus.
Dans le contexte de menaces toujours croissantes à la vie privée du fait de technologies nouvelles, nous estimons qu'il est impératif que le gouvernement fédéral ait un solide cadre législatif régissant l'utilisation et la divulgation par lui de données personnelles. La Loi sur la protection des renseignements personnels ne fait à notre avis pas ce travail.
Vous avez récemment entrepris un examen approfondi de la législation en matière de protection des données du secteur privé, exercice auquel j'ai participé. Je pense que vous êtes très bien placés pour entreprendre maintenant un examen semblable de la loi régissant le secteur public, loi qui, comme vous le savez, est beaucoup plus ancienne et a, bien franchement, besoin de beaucoup plus d'attention. Nous vous exhortons donc d'entreprendre un examen exhaustif de la Loi sur la protection des renseignements personnels dès l'automne, en vue, si possible, de recommander des modifications avant la fin de l'année 2008.
J'ai examiné les propositions de la Commissaire à la protection de la vie privée, plus particulièrement le rapport de juin 2006 et le plus récent ajout et le mémoire au comité. Je pense que vous avez là une très jolie carte routière pour les réformes requises en vue d'inscrire pleinement la Loi sur la protection des renseignements personnels dans le XXIe siècle. Nous appuyons la plupart des recommandations en matière de réforme de la Commissaire à la protection de la vie privée.
Nous n'avons pas entrepris d'examen détaillé de la Loi sur la protection des renseignements personnels et nous ne sommes pas en mesure de vous livrer un jeu complet de recommandations. De toute façon, je crois comprendre que ce n'est pas là votre propos pour le moment. Nous nous sommes donc plutôt concentrés sur certaines des lacunes de la loi qui ont été portées à l'attention de la Clinique dans le cadre de notre travail, soit par des particuliers canadiens ayant des plaintes précises, soit dans le cadre de nos travaux de recherche sur des thèmes comme le vol d'identité, les atteintes à la sécurité, les pratiques des agences et des tribunaux administratifs fédéraux en matière d'affichage en ligne de renseignements personnels, et bien d'autres choses encore.
J'ai déposé auprès du comité un mémoire écrit, auquel j'ai tout juste ce matin mis la dernière main, et il me faut m'excuser du fait que le document n'existe qu'en anglais. J'en ai donc fourni des copies en anglais seulement — encore une fois, toutes mes excuses, surtout auprès des membres francophones du comité. Je crois comprendre que le document sera traduit pour être ensuite distribué à vous tous.
Ce mémoire écrit renferme un certain nombre de recommandations précises en matière de réforme législative, et je vais maintenant en passer quelques-unes en revue.
Nous avons divisé les recommandations en catégories. Le premier volet qui requiert une réforme sérieuse est celui de la transparence et de la reddition de comptes. La loi a clairement été conçue pour maintenir un certain niveau de transparence et de reddition de comptes, mais nos recherches ont par exemple révélé qu'il nous est tout simplement impossible de déterminer la mesure dans laquelle le gouvernement fédéral recueille, utilise et divulgue des renseignements personnels, surtout dans le contexte de la sécurité nationale et de la circulation transfrontalière de données. La Loi sur la protection des renseignements personnels permet aux organes gouvernementaux de communiquer des renseignements personnels au sujet de Canadiens à des États étrangers pour des fins pouvant être contraires aux principes fondamentaux de la démocratie et de la justice, sans même la transparence limitée qu'assurerait, par exemple, l'exigence que de tels arrangements avec des États étrangers soient consignés par écrit et autorisés par la loi.
L'un de nos premiers points, donc, sous la rubrique transparence, est que le paragraphe 8(2) de la loi devrait être modifié pour exiger que les ententes et arrangements en matière d'échange d'information avec des entités ou des États étrangers soient établis par écrit, soient autorisés par une loi du Parlement et soient inscrits dans les règlements découlant de la Loi sur la protection des renseignements personnels.
Nous proposons également que le paragraphe 8(2) soit modifié pour exiger du gouvernement qu'il avise les citoyens de toute nouvelle utilisation ou divulgation non envisagée au départ lorsque les renseignements visés ont été recueillis, sauf, bien sûr, dans certains cas bien particuliers, où ce ne serait pas approprié.
Nous sommes tout à fait d'accord avec la Commissaire à la protection de la vie privée pour dire que les exigences en matière de rapport annuel de la part des organes gouvernementaux en vertu de l'article 72 doivent être renforcées et élargies afin que les Canadiens et les organisations comme la mienne, qui représentent les Canadiens, puissent savoir ce qui se passe dans les coulisses et exiger des comptes du gouvernement relativement aux obligations qui lui reviennent en vertu de la loi.
Enfin, nous convenons que l'article 63 de la loi devrait être modifié pour permettre au Commissaire à la protection de la vie privée de divulguer des renseignements au sujet des pratiques de traitement de l'information par le gouvernement, ce dans l'intérêt public — et pas simplement dans le rapport annuel du commissaire.
Une autre catégorie qui se rattache à cette question de transparence est celle des mesures visant à protéger les Canadiens contre tout traitement abusif de la part d'entités étrangères et de gouvernements étrangers en particulier. Nous avons, à la clinique, reçu beaucoup de plaintes et de doléances, notamment au sujet du Patriot Act américain et du droit des organismes d'application de la loi du gouvernement américain, en vertu de cette loi, d'accéder secrètement aux données relatives à quiconque et détenues, par exemple, par une société privée dans sa base de données sur sa clientèle.
Nous estimons donc que le gouvernement fédéral devrait envisager l'adoption de normes, premièrement, du genre de celles qu'ont adopté l'Europe et le Québec et qui exigent que les lois étrangères assurent une protection équivalente ou au moins comparable avant que le gouvernement n'autorise le transfert de données à un pays étranger.
Une autre approche serait tout simplement d'exiger que les institutions gouvernementales divulguant des données personnelles à des entités étrangères prennent des mesures pour identifier la fin à laquelle serviront les données et limitent, au moyen d'un contrat ou d'un autre mécanisme, l'utilisation subséquente des données par l'entité étrangère à cette fin précise.
Nous recommandons également que le gouvernement envisage d'inscrire dans la loi des mesures de protection supplémentaires, semblables à celles adoptées par le gouvernement de la Colombie-Britannique, pour bloquer notamment un accès direct par le FBI, par exemple, aux États-Unis, ou par d'autres agences de gouvernements étrangers, aux données personnelles sur des Canadiens dont le gouvernement du Canada a imparti la cueillette à des sociétés privées.
Nous recommandons également en la matière que l'alinéa 8(2)c) soit modifié pour établir clairement qu'il ne s'applique qu'aux seuls tribunaux canadiens. Cet alinéa est une exception à la règle de la divulgation avec consentement et autorise la communication
exigée par subpoena, mandat ou ordonnance d'un tribunal, d'une personne ou d'un organisme ayant le pouvoir de contraindre à la production de renseignements.
Le texte ne dit pas « d'un tribunal, d'une personne ou d'un organisme canadien », mais simplement « d'un tribunal, d'une personne ou d'un organisme ayant le pouvoir de ». L'on ignore donc si cela ne vise que les tribunaux canadiens ou bien englobe les tribunaux étrangers. Nous estimons que cela devrait être limité aux tribunaux canadiens.
Nous proposons également que l'alinéa 8(2)f) se limite à permettre la communication et l'utilisation subséquente d'information aux fins expresses identifiées par l'organisme qui fait la communication.
Il y a une autre réforme très importante dont nous estimons qu'elle est nécessaire. Nous trouvons stupéfiant, bien franchement, que la Loi sur la protection des renseignements personnels n'autorise pas le Commissaire à la protection de la vie privée ni les Canadiens à imposer leurs droits en découlant autrement que par le biais de leur droit à l'accès à l'information. La loi énonce tous ces droits et obligations mais ne comporte aucun mécanisme veillant à leur respect. Nous pensons que la loi doit être assortie d'un mécanisme d'exécution de tous les droits qu'elle renferme, et pas simplement les droits en matière d'accès à l'information. Nous sommes d'accord avec la Commissaire à la protection de la vie privée lorsqu'elle dit qu'elle-même et les Canadiens devraient avoir le droit de recourir aux tribunaux pour obtenir le respect de ces droits.
Nous croyons cependant également que la Commissaire à la protection de la vie privée devrait être habilitée à prendre des règlements. Nous estimons que cela non seulement augmenterait son poids auprès des organismes du gouvernement fédéral avec lesquels elle est appelée à traiter, mais offrirait également aux Canadiens un mécanisme d'exécution beaucoup plus accessible.
Nous appuyons d'autre part fermement ses recommandations en matière de « solutions simples » — par exemple, la prévention de la surcollecte de renseignements personnels de la part du gouvernement, englobant un critère de nécessité qui figure dans l'actuel article 4 et exigeant que les renseignements recueillis par le gouvernement concernent directement ses programmes ou ses activités. Cet article devrait être modifié pour dire « les seuls renseignements personnels que peut recueillir une institution gouvernementale sont ceux qui ont un lien direct avec et sont nécessaires pour ses programmes ou ses activités ».
Nous estimons par ailleurs que la définition du terme « renseignement » est périmée et qu'elle devrait englober tout renseignement, qu'il soit enregistré ou non enregistré. Plus particulièrement, nous soulignerions l'expansion de la vidéosurveillance privée et publique au Canada, et dont une part importante s'inscrit à l'intérieur d'une activité de surveillance continue. Les renseignements ne sont pas forcément enregistrés pour usage futur et ces renseignements, c'est-à-dire l'activité de surveillance elle-même, présentent un risque d'invasion de la vie privée des gens et devraient donc être couverts par la loi.
Nous convenons par ailleurs fermement que les évaluations des facteurs relatifs à la vie privée, qu'exige présentement la politique du Conseil du Trésor, devraient être une exigence de la loi. Ces évaluations sont à mon sens au coeur même du régime de protection des renseignements dans le secteur public. Dans le secteur privé, l'on compte davantage sur le consentement individuel; les sociétés privées sont tenues d'obtenir le consentement de l'individu concerné avant de pouvoir utiliser ou communiquer des renseignements personnels.
Cette règle de consentement n'existe pas dans le secteur public. Au lieu de cela, nous comptons sur le gouvernement fédéral pour entreprendre une analyse des ramifications de l'aspect respect de la vie privée dans le contexte de l'intérêt public et pour en bout de ligne prendre des décisions qui servent l'intérêt public. Bien sûr, nous comptons également sur des mécanismes de transparence et de reddition de comptes pour appuyer cela. Mais les évaluations des facteurs relatifs à la vie privée sont essentielles; elles remplacent en définitive l'exigence de consentement qui existe dans le secteur privé et devraient être une obligation en vertu de la loi. Elles ne devraient pas être le simple fait d'une politique.
Enfin, l'une des questions auxquelles nous avons consacré beaucoup de temps à la CIPPIC est le vol d'identité et la façon de prévenir et de combattre ce problème. Nous prônons de meilleurs incitatifs dans le secteur privé en vue de mesures de sécurité efficaces et d'avertissement des personnes dont les renseignements personnels ont été communiqués ou mis à la disposition d'intervenants dont l'accès n'était pas autorisé et qui pourraient vouloir s'en servir à des fins criminelles, lorsque cette communication a été faite par négligence ou par inadvertance.
Nous pensons que le même genre de règle devrait s'appliquer au secteur public, autrement dit qu'il devrait y avoir dans la loi une disposition — comme il en existe, par exemple, dans certaines lois provinciales que nous avons examinées — exigeant du gouvernement fédéral qu'il prenne des mesures de sécurité raisonnables pour protéger les renseignements personnels contre tout accès, usage ou communication non autorisé. Nous croyons que les exigences en matière de notification de violation de la vie privée que vous êtes en train d'examiner — que vous avez recommandées à l'égard de la LPRPDÉ et au sujet desquelles Industrie Canada est présentement en train de consulter le public — devraient également être incluses dans la loi.
Merci, monsieur le président. Je me ferai un plaisir de répondre à vos questions.
:
Et le comité a convenu de traiter de cette question sans débat, et il m'a donc fallu en arriver à une conclusion. J'étais au courant de cela, mais voilà quelle a été la décision. Il s'agit de circonstances peu habituelles. Il n'y a eu aucun débat, car les membres du comité voulaient liquider...
La décision demeure donc. La motion a été adoptée par six voix contre cinq et il en sera fait rapport à la Chambre, et c'est tout.
J'aimerais maintenant que nous passions aux témoins suivants.
Accueillons donc parmi nous M. Paul Colpitts, directeur, Division de l'accès à l'information, de la protection des renseignements personnels et des politiques de divulgation; Janet Rumball, directrice de la Division de la sensibilisation et consultation, Direction de l'initiative relative aux voyages dans l'hémisphère occidental et Direction générale de l'innovation, des sciences et de la technologie; et Caroline Melis, directrice générale, Direction des renseignements, Direction générale de l'exécution de la loi, qui nous viennent tous de l'Agence des services frontaliers du Canada. Bienvenue à vous tous.
Je pense que vous avez, sur la base de notre entretien avec le témoin qui vous a précédés, une assez bonne idée de l'intérêt que nous portons aux questions concernant la protection et l'échange transfrontaliers d'information dans le contexte de la Loi sur la protection des renseignements personnels, ainsi que du fait que nous avons, je pense, conclu, que l'examen de la Loi sur la protection des renseignements personnels dans son entier va demander beaucoup de temps. Notre intention est d'essayer d'en examiner certains éléments qui ont fait l'objet de recommandations en vue de modifications à la Loi sur la protection des renseignements personnels, afin que nous puissions au moins nous occuper des aspects dont nous pensons qu'ils pourraient être revus en vue d'améliorer sensiblement l'efficacité de la Loi.
Nous vous souhaitons à tous la bienvenue devant nous.
Monsieur Colpitts, vous-même et vos collègues auriez-vous une déclaration liminaire à nous faire?