ETHI Réunion de comité

    Bonjour chers collègues.

    Ce qui figure à l'ordre du jour, c'est la poursuite de notre étude de la Loi sur la protection des renseignements personnels. Notre témoin d'aujourd'hui est M. David Flaherty, professeur émérite de l'Université de Western Ontario, mon alma mater.

    M. Flaherty nous a fourni des notes qui vous ont été distribuées. Je ne pense pas qu'il va les lire, mais il va mettre en lumière ou préciser quelques-uns des éléments de ses notes et peut-être formuler quelques observations au sujet d'autres questions ou enjeux auxquels nous devrions réfléchir comme dans le cadre de notre étude.

    Bienvenue monsieur Flaherty. Je vous remercie de prendre le temps de venir ici pour nous faire profiter de votre sagesse. Vous avez la parole, monsieur.

    Merci.

    Je vais commencer en français, puis je parlerai en anglais parce que pour des choses plus compliquées comme la protection de la vie privée, il est plus facile pour moi de parler en anglais.

    Je suis aussi en décalage horaire. C'est une autre bonne raison.

    J'ai l'impression d'être presque deux fois plus vieux que la Loi sur la protection des renseignements personnels. J'ai commencé à travailler sur les questions relatives à la protection des renseignements personnels lorsque j'étais un jeune étudiant de Montréal suivant des cours à l'Université Columbia, en 1964. J'ai fait du lobbyisme en faveur de cette loi dans les années 70 à la Chambre des communes pendant les années Trudeau et au sein du gouvernement de Joe Clark. J'ai travaillé pour chacun des commissaires à la protection de la vie privée du Canada depuis Inger Hansen, qui a été la première personne à jouer en quelque sorte le rôle de commissaire dans le cadre de la partie IV de la Loi canadienne sur les droits de la personne. Le seul commissaire pour lequel je n'ai pas vraiment travaillé, c'est le regretté Georges Radwanski. Je les ai tous connus.

    Comme universitaire, j'ai écrit des livres sur la Loi sur la protection des renseignements personnels, sur ses origines, sur son élaboration, sur son application et ainsi de suite. J'ai rédigé des études de cas en rapport avec la protection des données et des renseignements personnels en Europe — en Suède, au Danemark et dans beaucoup d'autres pays —, alors j'ai pu faire des comparaisons.

    En 1993, par un coup très heureux du destin, je suis devenu le premier commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique, le poste venant d'être créé, et j'ai aussi eu la chance de pouvoir m'installer à Victoria. J'ai passé six ans en congé sabbatique de l'Université Western, ce qui était intéressant, parce que je pouvais y retourner quand je voulais, mais je me suis épris de la Colombie-Britannique et je travaille là-bas depuis 1999.

    Je suis d'abord et avant tout consultant en matière de protection des renseignements personnels et d'accès à l'information. Je travaille surtout dans le domaine de la santé; dans ce domaine, les questions relatives à la protection des renseignements personnels sont très sérieuses, vu l'existence des dossiers de santé électroniques et de ce genre de chose. J'ai des clients nationaux. J'ai pas mal travaillé avec le gouvernement fédéral. Je pourrais vous donner un exemple d'un ministère du gouvernement fédéral qui s'en tire assez bien au chapitre de la gestion des renseignements personnels, et ce ministère, c'est Santé Canada, et ce succès m'est en partie attribuable, parce que pour me récompenser de quelque chose que j'ai fait pour le sous-ministre aux alentours de 2001, on m'a invité à faire ce que j'appelle un examen de la gestion des renseignements personnels à Santé Canada. Les responsables de ce ministère ont établi une structure, un service de conseils stratégiques qui compte environ 35 personnes et qui conseille Santé Canada sur les questions relatives à la protection des renseignements personnels.

    Ça a bien tombé, du moins pour moi, quand en décembre dernier... Je conseille la commissaire à la protection de la vie privée du Canada, Jennifer Stoddart, depuis qu'elle occupe le poste, c'est-à-dire depuis trois ou quatre ans. Je la connais en fait depuis près de 20 ans, parce que nous sommes tous deux historiens du droit canadien, et parce que ça fait depuis tout ce temps-là que je publie ses travaux, depuis le début des années 80.

    Bref, elle et ses collègues m'ont invité, à titre d'expert indépendant — et j'insiste là-dessus — à rédiger un essai sur la nécessité de procéder à la réforme de la Loi sur la protection des renseignements personnels. J'ai écrit cet essai de 45 pages dont elle vous a parlé, et c'est pour ça que je parle avec vous aujourd'hui. Mon essai est pratiquement terminé. Le ton est celui d'un universitaire et il est franc, et je vais essayer de vous faire part de mes réflexions sur certains des éléments de ce texte dans ce que j'ai à vous dire aujourd'hui, mais, dans un sens, vous m'avez déjà dépassé, parce que vous êtes déjà en train de vous occuper des détails de la méthode à adopter pour améliorer la Loi sur la protection des renseignements personnels, des petites choses que vous pouvez faire et des dix mesures à prendre rapidement qu'elle vous a proposées. Ce que j'ai fait, c'est plutôt un survol général des motifs pour lesquels il faut procéder à cette réforme.

    Une comparaison que je ferais, pour vous parler de la Loi sur la protection des renseignements personnels, qui était un texte progressiste à l'époque, c'est que si vous aviez acheté une maison il y a 25 ans et que vous ne l'aviez ni entretenue ni décorée, vous vous trouveriez à vivre aujourd'hui dans un endroit délabré. La Loi sur la protection des renseignements personnels est, si l'on veut, un texte législatif délabré. Je dis quelque part que c'est une loi qui est risible par rapport à ce dont nous avons besoin.

    Ça sonne très bien en français:

risible; c'est encore meilleur en français.

    C'est vraiment une loi lamentable. J'ai encore jeté un coup d'oeil dessus ce matin, dans Internet. J'ai trouvé ça tordant. Il n'est pas étonnant que mes clients du gouvernement fédéral ne se soucient pas trop de la Loi sur la protection des renseignements personnels et de ses exigences: il n'y a pas grand-chose là-dedans. Il n'y a pas beaucoup de viande dans le sandwich. Cette loi ne respecte pas les normes nationales en matière de protection des renseignements personnels.

    Le Parlement a adopté la LPRPDE en 2000. Je suis sûr que ce chapelet de lois sur la protection des renseignements personnels vous rend fou. C'est en faveur de l'adoption de cet excellent texte législatif visant le secteur privé, la Loi sur la protection des renseignements personnels et des documents électroniques, que j'ai fait du lobbyisme en 1999-2000. Ce texte comprend ce que nous appelons la norme nationale en matière de protection des renseignements personnels, qui est fondée sur dix principes.

    Tout ce que la plupart d'entre vous avez besoin de savoir, c'est qu'il y a dix commandements en matière de protection des renseignements personnels, c'est-à-dire ces dix principes. Il devrait y avoir une certaine ouverture par rapport à ce qu'on fait avec les renseignements personnels. Il devrait y avoir aussi une certaine responsabilité: quelqu'un doit gérer la boutique. Il faut préciser les motifs pour lesquels on recueille des renseignements personnels. Il faut aussi limiter l'usage, la collecte et la divulgation des renseignements personnels. Il faut obtenir le consentement de la personne intéressée; c'est la disposition de la norme relative à la protection des renseignements personnels que j'appelle la disposition sur l'adultère, parce que c'est celle qui est essentielle. Il n'y a absolument aucune exigence relative au consentement dans la loi fédérale sur la protection des renseignements personnels; c'est une honte.

    Je me suis laissé dire que la fonction publique n'adopterait jamais une norme touchant le consentement. D'accord, mais pourquoi pas? Pourquoi les fonctionnaires ne devraient-ils pas avoir notre consentement explicite ou implicite ou encore ne devraient-ils pas nous donner un avis lorsqu'ils nous demandent des renseignements personnels?

    Ensuite, on est censé assurer un niveau raisonnable de sécurité. Il n'y a absolument aucune exigence relative à la sécurité dans la loi fédérale sur la protection des renseignements personnels. Pouvez-vous imaginer ça, à notre époque de vol d'identité et d'atteintes à la confidentialité des données? Ça ne veut pas dire qu'il n'y pas de sécurité, mais le fait est qu'il n'y a pas de normes établissant un niveau raisonnable de sécurité et permettant à la commissaire à la protection de la vie privée de vérifier ce qui se fait.

    Il y a aussi le droit d'accès à vos propres renseignements personnels, de formuler des plaintes concernant la protection des renseignements personnels et ainsi de suite. C'est quelque chose qui est assez bien fait dans la loi fédérale sur la protection des renseignements personnels. C'est à peu près la seule chose qui est bien faite là-dedans.

    À l'époque où la loi a été promulguée, c'est-à-dire en 1979, 1980, 1981 et 1982, je pensais que c'était quelque chose d'extraordinaire. J'ai participé au processus qui a mené à son adoption. Cependant, ce texte ne fait plus le poids, pour dire les choses simplement. Plus précisément, la Loi sur la protection des renseignements personnels ne vous permet en rien de faire valoir nos droits en matière de protection des renseignements personnels, les droits que nous confère la Constitution et les droits que nous confère la Charte des droits et libertés. Elle échoue fondamentalement à protéger les Canadiens dans le cadre de la relation qu'ils entretiennent avec le gouvernement fédéral, au chapitre de la protection de leurs renseignements personnels.

    Je peux vous raconter, si vous voulez, l'histoire du gouvernement ontarien, qui a modifié la loi relative à l'adoption pour permettre à certaines personnes d'obtenir l'accès aux renseignements personnels concernant les personnes adoptées contre la volonté de ces personnes. Ann Cavoukian, commissaire à l'information et à la protection de la vie privée de l'Ontario, s'est battue contre ça pendant tout le processus, mais en vain. Cependant, un groupe de plaignants dirigé par l'avocat Clayton Ruby s'est adressé à la Cour suprême de l'Ontario. J'ai joué bénévolement le rôle de spécialiste de la protection des renseignements personnels dans cette affaire, et nous avons fait invalider les parties de la loi en question en faisant valoir les droits conférés par la Charte aux plaignants dans le domaine de la protection des renseignements personnels.

    Je dirais aux Canadiens que, avec le temps, ils vont contester la constitutionnalité de la loi en raison de l'insuffisance de la protection offerte à l'échelon fédéral pour ce qui est des renseignements personnels et des données. Je pense que ce serait une bonne chose.

    Lorsque j'ai travaillé pour le bureau de la commissaire à la protection de la vie privée, c'était de façon indépendante. Les gens de ce bureau ne me disent pas quoi faire. Vous serez heureux d'apprendre que presque tout ce que la commissaire à la protection de la vie privée du Canada et les gens qui travaillent avec elle ont dit est tout à fait sensé à mes yeux. Mon essai peut vous donner l'impression que je trouve que tout ce qu'on propose est parfait en ce qui concerne la nécessité de moyens de sensibilisation et différents éléments qui font partie des dix mesures à prendre rapidement dont Mme Stoddart vous a fait part. Je suis tout à fait d'accord avec elle et avec ses collègues. Je vous assure que je suis très indépendant. Certaines de ces personnes sont derrière moi, mais je ne suis pas Pinocchio, et ils ne me dictent pas ce que dois dire. Il se peut qu'ils prennent des notes lorsque je dis quelque chose qui déroge à la ligne de parti, mais ce n'est pas grave. Je suis ici pour vous dire ce que je pense et ce qu'on devrait faire selon moi.

    L'idée dont je fais la promotion, que d'aucuns voient comme une idée assez radicale, mais que, pour ma part, j'aime beaucoup, c'est celle d'investir la commissaire à la protection de la vie privée du Canada du pouvoir de formuler des ordonnances, du pouvoir de réglementation. Je regrette de devoir vous dire qu'il est beaucoup trop facile de faire fi du bureau de la commissaire à la protection de la vie privée du Canada. Dans un sens, ce n'est qu'une boîte à paroles. Tout ce que la commissaire peut faire, c'est de vous dire que vous devez faire ce qui est bien et ne pas faire ce qui est mal, mais vous n'avez pas à l'écouter. Je l'ai agacée avec ça hier. Dans les observations que j'ai rédigées, j'ai dit d'elle que c'est un tigre édenté. Mais j'ai remplacé ça par un chien de garde édenté, parce que je vois la commissaire à la protection de la vie privée comme notre chien de garde pour ce qui est de la protection de nos renseignements personnels, qui formule, affaire après affaire, les intérêts qui sont en jeu par rapport à la protection des renseignements personnels, et puis qui aide les organismes publics, les institutions gouvernementales — et il y en a 250 qui sont visés par la Loi sur la protection des renseignements personnels — à apprendre à se conformer à ces règles et règlements.

    C'est vrai que dans les années 80 j'étais d'accord avec John Grace, puis avec Bruce Phillips, pour dire que le rôle d'ombudsman qui consistait à donner des conseils, et ainsi de suite, était satisfaisant. On ne l'écoute pas. Le truc, pour être écouté, c'est d'avoir le pouvoir de dire: « arrêtez de faire ça. »

    Il y a deux ans, à l'hôpital d'Ottawa, il y a eu le cas malheureux d'une pauvre patiente qui était là pour une intervention chirurgicale à coeur ouvert. À son arrivée à l'hôpital, la patiente a dit aux gens qui s'occupaient d'elle que son ex-mari et sa nouvelle conjointe travaillaient là. Mais qu'il y avait un conflit entre son ex-mari et elle concernant la garde des enfants, et la patiente voulait être tout à fait sûre que la confidentialité de son dossier serait préservée. Le couple d'employés de l'hôpital, ou du moins la femme, a tout de suite consulté le dossier. Par la suite, l'ex-mari de la patiente lui a dit qu'il avait vu son dossier, qu'il savait qu'elle était à l'hôpital pour subir une intervention chirurgicale au coeur, et ainsi de suite.

    Mme Ann Cavoukian, commissaire à l'information et à la protection de la vie privée de l'Ontario, a le pouvoir de formuler des ordonnances dans le cadre de la Loi sur l'accès à l'information et à la protection de la vie privée de l'Ontario et de la Loi sur la protection des renseignements personnels sur la santé ou LPRPS, qui régit le traitement de toute l'information sur la santé dans les secteurs public et privé de l'Ontario. Elle a déjà utilisé ce pouvoir — la situation était grave à ce point — à l'hôpital d'Ottawa: faites ceci, faites cela, mais ne faites pas ça. Ce pouvoir de formuler les ordonnances n'est peut-être pas utilisé très souvent, mais c'est une arme ou un outil pour forcer la fonction publique à trouver des solutions pragmatiques aux problèmes qui surviennent.

    J'ajouterais, pendant que j'y pense, que la fonction publique, dois-je dire avec regret, n'a pas encore appris à composer avec l'existence de la commissaire à la protection de la vie privée du Canada. La dernière personne à qui les fonctionnaires veulent communiquer leurs plans, c'est la commissaire. Ils attendent que tout soit pratiquement achevé et prêt, un projet de loi déposé devant le Parlement concernant quoi que ce soit qui pourrait constituer une ingérence dans la vie privée des Canadiens, pour lui en parler — ils attendent presque qu'il soit trop tard, ils la placent devant le fait accompli. Il faudrait consulter la commissaire à la protection de la vie privée du Canada dès le début du processus. À ce chapitre, le dossier des fonctionnaires n'est pas très reluisant; ils n'ont pas peur d'elle.

    J'argumente aussi, dans mon mémoire, en faveur de l'intégration à la Loi sur la protection des renseignements personnels d'un cadre visant ce que nous appelons la « gestion du risque relatif aux renseignements personnels ». Dans mes rencontres quotidiennes et hebdomadaires avec mes différents clients, ce que je fais pour attirer l'attention des conseils de direction, des PDG, des cadres supérieurs, ou, comme dans le cas présent, des députés, c'est que je parle de la gestion du risque relatif aux renseignements personnels. Vous savez tous ce qu'est la gestion du risque pour avoir travaillé dans le milieu des affaires, au gouvernement ou ailleurs. Il s'agit donc ici de gestion du risque relatif aux renseignements personnels.

    Au cours des 10 ou 15 dernières années, nous avons élaboré des mécanismes que nous devrions intégrer à la Loi sur la protection des renseignements personnels de façon que toute organisation fédérale où les renseignements personnels occupent une place importante — c'est-à-dire les organisations qui recueillent, utilisent et divulguent beaucoup de renseignements personnels —nomme ce que nous appelons un « dirigeant de la protection des renseignements personnels ». Il y en a un à la Banque de Montréal, comme chez Aéroplan, Bell Canada, Intel, Microsoft, Oracle, Sun Microsystems et Maximus Inc. Toutes ces sociétés ont un dirigeant de la protection des renseignements personnels. Pourquoi? Parce que le bureau d'un dirigeant de la protection des renseignements personnels est un centre d'expertise en la matière. C'est un centre de ressources. En plaçant ce dirigeant suffisamment haut dans la hiérarchie de l'organisation, au moins au niveau des directeurs, on s'assure que les membres de l'organisation lui prêtent attention. Ils acquièrent ainsi le réflexe de s'adresser au dirigeant de la protection des renseignements personnels et aux employés qui travaillent pour lui lorsqu'ils ont besoin de conseils sur cet enjeu qui touche l'ensemble du gouvernement.

    L'autre chose, c'est qu'ils devraient faire des évaluations des facteurs relatifs à la vie privée. J'ai contribué, avec des Néo-Zélandais et quelques concitoyens canadiens, à définir toute l'idée des évaluations des facteurs relatifs à la vie privée. J'effectue régulièrement ce genre d'évaluation. C'est une activité d'un genre très hermétique, presque un travail de chercheur universitaire. Je rédige ces évaluations dans une forme que j'ai moi-même établie. Je vais faire en sorte que Nancy reparte avec de la documentation — dont certains documents qu'elle a déjà vus — sur la façon dont je fais ce genre de choses.

    Les évaluations des facteurs relatifs à la vie privée donnent des résultats extraordinaires lorsqu'on les applique à de nouvelles bases de données ou à de nouvelles applications de nature délicate. Ces évaluations se font dans le cadre des lignes directrices du Conseil du Trésor, mais celles-ci ne sont que des lignes directrices. J'aimerais qu'elles deviennent obligatoires de par la loi: les bonnes évaluations, et non les mauvaises, qui ne sont qu'un survol des différents éléments qui en font l'objet. J'aimerais qu'il soit également obligatoire de les présenter au bureau de la commissaire à la protection de la vie privée aux fins de vérification, ainsi que de les afficher dans le site Web pour que les gens puissent les consulter. Je pense qu'il est possible de consulter des évaluations de deux ou trois systèmes d'information sur les passagers des lignes aériennes dans Internet.

    Pour ce qui est de la formation sur la protection des renseignements personnels, il y a plus de 200 000 fonctionnaires, et nombre d'entre eux n'ont pas suivi ce genre de formation depuis longtemps. Ils ne comprennent pas les dix principes de la protection des renseignements personnels ni ne seraient capables de déceler un problème qui devrait pourtant leur sauter aux yeux. Évidemment, il y a aussi des fonctionnaires qui possèdent ces connaissances, mais ce sont des connaissances temporaires. Ce qui se passe, aujourd'hui, c'est qu'on leur demande de répondre à un questionnaire qui prend 20 minutes à faire, puis de passer une épreuve de 30 minutes, une fois l'an, ce qui leur permet d'obtenir la confirmation dans leur dossier de RH qu'ils ont suivi une formation sur la protection des renseignements personnels. Comme je vous l'ai dit déjà, on sera en mesure de reconnaître que l'un des principes de base de la protection des renseignements personnels est en jeu.

    On parle beaucoup, ces jours-ci, à la suite du rapport de la vérificatrice générale, des ententes concernant les échanges de données et l'absence de ce genre d'ententes entre le gouvernement fédéral et les provinces au chapitre de la surveillance en matière de santé publique. C'est tout simplement ridicule. Pourquoi ne conclut-on pas ces ententes? Parce que c'est un paquet de troubles: il faut négocier avec les provinces, les provinces veulent inscrire les règles dans les documents, puis il faut suivre ces règles. Et devinez quoi? Les commissaires de la protection de la vie privée des provinces et des territoires peuvent venir vérifier ce que vous faites — et il est clair qu'ils devraient le faire.

    J'ai oublié de mentionner tout à l'heure que mon argument en faveur du pouvoir de formuler des ordonnances découle largement du fait que, au Québec, en Ontario, en Colombie-Britannique et en Alberta, provinces où les lois sur la protection des renseignements personnels sont pas mal bien formulées, le commissaire possède ce pouvoir. Dans les années 90, j'arrivais à attirer l'attention du gouvernement de la Colombie-Britannique, du gouvernement néo-démocrate de Glen Clark, entre autres. Vous pouvez imaginer à quel point c'était agréable d'être commissaire à la protection de la vie privée à l'époque. La vie était assez belle grâce à l'existence des évaluations des facteurs relatifs à la vie privée et au fait que j'arrivais à attirer leur attention parce que j'avais le pouvoir de leur ordonner de faire quelque chose.

    Je veux également vous transmettre l'idée suivante: la Loi sur la protection des renseignements personnels et la LPRPDE ont été le produit d'un leadership politique et d'un leadership dans la fonction publique. C'est Perrin Beatty qui a fait adopter la première loi sur la protection des renseignements personnels en présentant un projet de loi d'initiative parlementaire à la Chambre des communes en 1980. Puis, Francis Fox, d'un autre parti, avec l'arrivée du gouvernement Trudeau, a fait adopter la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels. Ça, c'est du leadership politique. Dans les années 90, le besoin s'est fait sentir de réglementer le secteur privé, et c'est Allan Rock, ministre de la Justice, et John Manley, ministre de l'Industrie, qui ont pris le taureau par les cornes et qui ont dit oui, c'est ça que nous devons faire.

    S'il y a quelque chose que vous puissiez faire... À mon avis, le gros du travail dans ce dossier a été fait par le ministère de la Justice.

    J'ai oublié de vous dire qu'on a publié il y a 20 ans un rapport intitulé Une question à deux volets, qui portait sur la période de 1984 à 1987 et sur la faiblesse de la Loi sur la protection des renseignements personnels et la nécessité de l'améliorer. Devinez qui a joué le rôle de spécialiste de la protection des renseignements personnels pendant trois ans. Moi. Qu'avons-nous tiré de cela, sous le gouvernement Mulroney? Rien. Rien n'a été fait. Il y a eu certaines modifications au chapitre des politiques.

    Toutes les recommandations que nous avons formulées il y a 20 ans sont encore pertinentes, mais que s'est-il passé dans l'intervalle? Internet, le World Wide Web, l'omniprésence de l'informatique — imaginez qu'il faille essayer d'utiliser la vieille Loi sur la protection des renseignements personnels pour controler ce genre de chose.

    Le leadership politique venait aussi des gens que j'appelle les « entrepreneurs du domaine des politiques ». Dans les années 70, il y avait trois ou quatre hauts fonctionnaires — Barry Strayer, qui est maintenant à la Cour fédérale, Gill Wallace, qui a été par la suite sous-procureure générale de la Colombie-Britannique, et j'ai oublié les autres noms — qui avaient compris que c'était de s'inscrire dans un mouvement international que d'instaurer des pratiques saines en matière de gestion des renseignements personnels au gouvernement fédéral. L'Ontario et le Québec ont suivi. En fait, ça a été le Québec en premier, même avant le gouvernement fédéral, en 1981, d'après mes souvenirs. J'ai entendu dire que vous alliez bientôt recevoir Paul-André Comeau, qui est l'un de mes anciens collègues du temps que j'étais commissaire à la protection de la vie privée. Il connaît la situation du Québec beaucoup mieux que moi.

    Je crois que vous devez aussi, comme politiciens — c'est le dernier point que je vais aborder, à tout le moins, dans mon exposé — vous demander pourquoi le gouvernement fédéral, la bureaucratie, les sous-ministres ne veulent pas d'une Loi sur la protection des renseignements personnels plus puissante? Ce serait un paquet de troubles. Il faudrait qu'ils fassent les choses avec beaucoup plus de soins qu'en ce moment. Leur pouvoir s'en trouverait limité. Cette espèce de chaos ne pourrait plus exister dans le domaine des renseignements personnels des Canadiens.

    Ils ont beaucoup de pain sur la planche, je dois dire. Ils doivent s'occuper de beaucoup d'autres dossiers. Cependant, la Loi sur la protection des renseignements personnels, tout comme la Loi sur l'accès à l'information, touche tous les domaines. Partout au gouvernement fédéral on recueille des renseignements personnels, on les utilise, on les divulgue, on les conserve pour toutes sortes de fins pendant très longtemps dans des bases de données de plus en plus massives, et il y a de plus en plus d'échanges de données entre des organisations gouvernementales.

    Je n'ai rien contre l'impartition. Je serais heureux de parler de l'impartition en Colombie-Britannique avec vous. C'est un sujet que j'aborde dans mes notes d'allocution. Je n'ai rien contre les échanges de données, s'il y a consentement. Si je décide de faire ma déclaration d'impôt en ligne, j'offre mon consentement. C'est exactement ainsi que les choses devraient se passer. Tous nos échanges avec le gouvernement du Canada devraient être fondés, dans la mesure du possible, sur le fait que nous donnons notre consentement.

    En 1999-2000, pendant le processus d'adoption de la LPRPDE, je faisais du lobbyisme pour le compte d'Industrie Canada à titre de consultant rémunéré. Les représentants de l'Association des pharmaciens du Canada nous ont dit qu'ils allaient fermer les pharmacies du pays si nous adoptions cette loi. Pourquoi? Parce que chaque fois qu'un client se présenterait avec une ordonnance, le pharmacien allait devoir lui lire ses droits relatifs à la protection des renseignements personnels. Nous leur avons répondu que c'était une idée folle et que nous allions avoir recours au consentement implicite.

    Lorsque je présente une ordonnance à mon pharmacien, pourquoi pensez-vous que je le fais? Pour lui donner quelque chose à lire? Non: je veux qu'il la remplisse. Je consens donc implicitement, comme vous, à ce qu'il utilise mes renseignements personnels aux fins de l'ordonnance. Sauf que s'il commence à m'appeler pour me proposer personnellement de nouveaux produits pour mon problème de santé, ce ne serait pas long avant que je formule une plainte devant la commissaire à la protection de la vie privée. Il s'agirait d'un usage tout à fait inacceptable de mes renseignements personnels. Cet usage ne correspond pas à la déclaration d'objectifs de la collecte de renseignements personnels.

    J'espère que mon exposé, en plus des 30 autres points que j'aborde dans mon mémoire, va vous mettre en appétit. J'ai déjà été enseignant, alors je serais particulièrement heureux de vous aider à comprendre certaines de ces choses. Vous qui n'êtes pas du domaine n'avez pas de raisons particulières d'avoir un diplôme universitaire en protection des renseignements personnels 301.

    Merci.

    Merci beaucoup, monsieur Flaherty.

    Nous allons maintenant passer rapidement à la période de questions.

    Monsieur Dhaliwal, s'il vous plaît, vous avez sept minutes.

    Merci.

    Merci, monsieur Flaherty, de vous être joint à nous. Je veux également vous féliciter d'avoir travaillé toute votre vie à la législation relative à la protection des renseignements personnels. Je suis certain que nous pouvons profiter de votre expérience.

    Vous avez formulé une observation au sujet de la bureaucratie lorsque vous parliez de la législation sur la protection des renseignements personnels. Que faut-il améliorer, au Canada, dans le domaine de la protection des renseignements personnels? Les lois? Les politiques? L'application de ces politiques? S'agit-il plutôt d'un problème de goulot d'étranglement?

    Lorsqu'il s'agit d'élaborer une stratégie de gestion du risque relatif à la protection des renseignements personnels, la première chose dont on a besoin, c'est d'une loi.

    Lorsqu'on a introduit la première loi sur l'accès à l'information en Ontario, aux alentours de 1983 ou 1984, ce que j'ai dit aux journalistes, c'est qu'il valait mieux, à mon avis, avoir une loi quelconque que pas de loi du tout. C'était avant que je ne voie ce texte. Il était pitoyable, ce qui fait qu'on ne l'a jamais adopté. M. Ian Scott, lorsqu'il est devenu procureur général, a pris l'initiative et il a rédigé la chose lui-même dans son cabinet. C'est le modèle que nous utilisons aujourd'hui en Alberta et en Colombie-Britannique. Vous voyez ce que le leadership peut permettre d'accomplir. Si vous n'avez pas une bonne loi, donc, vous avez un problème.

    C'est à l'annexe 1 de la LPRPDE, qui se trouve à être le modèle de code de protection des renseignements personnels de l'Association canadienne de normalisation, qu'on trouve les dix commandements en matière de protection des renseignements personnels. C'est le fruit d'une collaboration entre le secteur public et le secteur privé au milieu des années 90. Les fins finauds comme moi disent: « C'est un excellent code. Pourquoi ne pas lui donner force de loi? » On lui a donné force de loi dans le cadre de la LPRPDE. C'était comme faire des dix commandements une loi d'une façon ou d'une autre.

    Si vous n'avez pas une bonne loi, vous avez un problème, mais il vous faut aussi des politiques en matière de protection des renseignements personnels. Ainsi, vous avez besoin de dirigeants de la protection des renseignements personnels, d'une équipe, de bonnes ententes de respect de la confidentialité, d'un site Web contenant une foire aux questions pour la population et d'évaluations des facteurs relatifs à la vie privée pour faire en sorte que le système fonctionne.

    Je ne suis pas sûr d'avoir entièrement répondu à votre question. J'ai déjà commencé à faire de l'obstruction, et nous n'en sommes qu'à la première question.

    Vous avez travaillé en Colombie-Britannique, et vous avez fait l'éloge du travail que le gouvernement de la Colombie-Britannique a fait avec vous. Pouvez-vous nous expliquer ce que le gouvernement de la Colombie-Britannique a fait pour moderniser ses lois en matière de protection des renseignements personnels?

    Si mon successeur, M. David Loukidelis, qui a comparu devant vous dans le dossier de la LPRPDE l'an dernier, était ici — et, bien sûr, il m'a dit ce que je devais dire ici, alors je dois me souvenir de tout ce qu'il m'a dit de dire, pas seulement en réponse à la présente question —, il parlerait de la nécessité pour le gouvernement de la Colombie-Britannique de nommer un dirigeant de la protection des renseignements personnels. Récemment, j'ai conseillé à une grande université de la Colombie-Britannique de nommer un dirigeant de la protection des renseignements personnels. Je travaille en ce moment pour deux société d'État de cette province, et elles ont besoin de dirigeants de la protection des renseignements personnels.

    La loi de la Colombie-Britannique date de 1993. Elle n'est pas trop dépassée. Elle n'est pas à jour pour ce qui concerne les dossiers de santé électronique, et il faut que le gouvernement de la Colombie-Britannique continue d'investir dans la gestion de la protection des renseignements personnels.

    Il y a dans cette province des dirigeants de l'information. Il devrait y avoir aussi des dirigeants de la protection des renseignements personnels, et ils pourraient travailler ensemble, parce qu'il faut associer protection des renseignements personnels et sécurité. Il y a beaucoup de ressources dans le domaine de la sécurité, et, trop souvent, il n'y en a pas suffisamment du côté de la protection des renseignements personnels.

    Je ne clamerais pas que le gouvernement de la Colombie-Britannique fait un travail irréprochable dans le domaine de la protection des renseignements personnels. Lorsqu'une nouvelle loi est adoptée, il y a une période qui est comme une lune de miel, c'est normal, puis les ressources diminuent, l'intérêt diminue, la formation sur la protection des renseignements personnels s'affaiblit, et il faut que quelqu'un, par exemple un nouveau commissaire, remette le système sur les rails, et c'est plus ou moins là où vous en êtes avec cette vieille loi sur la protection des renseignements personnels après 25 longues années.

    Nous voyons que votre étude est également fondée sur ce qui se fait dans d'autres pays, notamment en Allemagne, en Suède, en France et aux États-Unis. Pouvez-vous nous parler des mesures novatrices prises par ces pays dans le domaine de la protection des renseignements personnels, comparativement à ce que nous faisons ici?

    Je vous conseille d'éviter le modèle européen pour ce qui est de la protection des données. C'est trop compliqué. Le modèle est axé sur les règles. Il s'inspire de la directive européenne. C'est un modèle très légaliste. Il relève plutôt du droit que de la pratique.

    Ce qui m'intéresse, ce sont les politiques. Qu'est-ce qui se passe dans la pratique? La devise du milieu de la protection des renseignements personnels, c'est: comme organisation, dites ce que vous faites et faites ce que vous dites. Que vous gériez un concessionnaire automobile, une pharmacie ou Santé Canada, dites ce que vous faites avec les renseignements personnels que vous recueillez et joignez l'acte à la parole en vous conformant aux règles. J'ai écrit des choses au sujet de ces pays européens. Mes connaissances ne sont pas aussi à jour qu'elles l'étaient lorsque j'écrivais des livres et lorsque j'ai publié mon gros livre sur cinq pays en 1989. C'est là que j'ai appris comment faire les choses — en observant ce qu'on faisait ailleurs.

    Je pense qu'il n'y a pas grand-chose à apprendre des pays de l'Europe continentale. Dans mon essai, je parle beaucoup du fait que le but ultime, c'est de mettre en place des mécanismes de protection des renseignements personnels et de sécurité qui soient robustes, pour faire en sorte que nous ne finissions pas par vivre dans des sociétés de surveillance. Le livre que j'ai écrit en 1989 s'intitulait Protecting Privacy in Surveillance Societies. Les gens pensaient que c'était au sujet de l'Union soviétique, la Chine continentale ou quelque chose du genre. En fait, je parlais de l'Allemagne, de la France, de la Suède, des États-Unis et du Canada. La plupart d'entre nous pensons que c'est le Royaume-Uni qui est le pire exemple d'une société de surveillance du monde anglophone, une société dans laquelle on vous surveille constamment. La surveillance de la santé publique, la surveillance des cas de cancer dans des cohortes, entre autres, sont des exemples de bonne surveillance. Il y a une aussi une mauvaise surveillance.

    Il y avait un très bon éditorial hier dans le National Post. L'article s'intitulait « A bad day for Big Brother ». Les étudiants ou des chercheurs du Royaume-Uni ont dit: Vous savez, nous sommes le pays du monde qui a le plus investi dans les caméras de surveillance. On nous surveille en permanence. La plupart du temps, ces caméras ne fonctionnent pas. Elles sont inutiles pour ce qui est de prévenir les actes criminels. La résolution est trop mauvaise pour qu'on discerne quoi que ce soit, et les personnes qui doivent regarder ce qui se passe à l'écran s'ennuient à mort. Ce n'est pas le genre de pays dans lequel je veux vivre. Je ne veux pas qu'on me surveille constamment. Je n'arrive pas à imaginer pourquoi on pointerait une caméra de surveillance sur moi. Si l'on décide de faire un enregistrement vidéo, ça va, si je donne mon consentement.

    Le but ultime, c'est d'éviter d'être surveillé en tout temps pour de mauvaises raisons. Si nous sommes tous soupçonnés d'être des terroristes, je veux qu'on me surveille sans répit aucun. Si c'est une question d'application de la loi, nous pouvons trouver l'équilibre entre le droit des citoyens au respect de leur vie privée et l'application de la loi et la sécurité nationale. Je pense que la commissaire à la protection de la vie privée en sait beaucoup plus que moi sur la sécurité nationale, en particulier. Vous voyez, ce n'est pas comme si nous, les défenseurs de la protection des renseignements personnels, voulions nuire à l'application de la loi ou nous occuper de la pornographie juvénile ou des autres maux de la société, quels qu'ils soient. Nous voulons simplement savoir à l'avance quelles vont être les règles et comment on va utiliser les renseignements personnels recueillis.

    Je me suis entendu à merveille avec le chef adjoint de la police de Vancouver et avec les gens de la police de Victoria aussi. Ils faisaient ce qu'ils avait à faire, et je les observais. Lorsque je me suis aperçu qu'ils laissaient ouverts sur leur bureau les carnets dans lesquels ils notaient le nom des prostituées notoires, je leur ai demandé si c'était nécessaire de laisser ces carnets là où tout le monde pouvait les voir ou s'ils ne pouvaient pas mettre au point un système de collecte de données un peu moins rudimentaire. Chaque fois que quelqu'un compose le 911, combien de temps faut-il conserver cette information?

    La conservation et la suppression des données sont de bonnes choses. J'ai des clients qui conservent des dossiers vieux de 50 ans. Ils n'ont jamais détruit un dossier. Pourquoi?

    D'accord.

    Nous allons passer à Mme Lavallée.

    C'est dommage de vous interrompre alors que vous êtes sur une si bonne lancée, mais j'ai des questions à vous poser aussi, monsieur Flaherty.

    D'abord, j'aimerais vous remercier pour votre texte, que je me suis empressée de lire. Certains passages pour le moins particuliers m'ont étonnée. Vous avez dit que la loi actuelle est presque inutile et même risible dans le contexte du XXI^e siècle.

    J'aime les mots.

    Moi aussi, j'aime les mots, et c'est pour cette raison que j'aime les utiliser correctement. Je ne pense pas qu'on puisse aller jusque là. Vous avez dit cela davantage pour attirer notre attention que parce que vous le pensiez. Il reste que cette loi, telle que libellée actuellement, protège certaines de nos informations. De toute façon, je ne veux pas prendre tout mon temps de discussion pour parler de vos qualités et de votre style littéraire.

    Je voudrais revenir sur les 10 recommandations de la commissaire. Vous avez dit être en contact étroit avec elle et que vous aviez une communauté d'idées à certains égards. Vous avez étudié les 10 recommandations de la commissaire. Y en a-t-il sur lesquelles vous n'êtes pas d'accord?

    Non, mais quand je les ai lues ce matin, j'ai coché les recommandations 1 à 4 et 9 parce que je les trouvais plus importantes que les recommandations 5 à 8.

    Je veux m'assurer qu'on a les mêmes numéros. La 10^e recommandation concerne la transmission des informations transfrontalières. Vous dites que cette recommandation ne fait pas partie de vos priorités.

    Ça me fatigue un peu d'entendre parler de flux de données transportées: en 1987, le rapport Une question à deux volets nous recommandait d'étudier sérieusement les flux de données transportées dans le cas des renseignements personnels; or, il n'y a pas grand-chose qui a été fait à ce sujet. Les responsables ont commandé une étude, que je n'ai pas eu à réaliser moi-même. C'est un groupe de chercheurs de l'UQAM, l'Université du Québec à Montréal, qui s'en est chargé. Rien ne s'est fait par la suite d'un point de vue législatif.

    J'ai donné une conférence sur les dossiers de santé électroniques à Vancouver, mardi après-midi. J'ai parlé du Patriot Act américain et de ce qu'il en coûte aux contribuables de la Colombie-Britannique pour se conformer aux lois spéciales qui ont été adoptées en réaction au Patriot Act. Les contrats établis ont bénéficié d'un droit acquis.

    Au meilleur de ma connaissance, le bureau de crédit Equifax se situe à Atlanta. Tous les mois, les opérations sur ma carte Visa sont traitées à Atlanta, et la commissaire à la protection de la vie privée a dit que ça allait. De fait, il y a des flux massifs de données personnelles que nous avons approuvés, qui nous paraissent logiques. Maintenant, il y en a une partie qui se retrouve en Inde où le travail est confié en sous-traitance, entre autres.

    Là où je veux en venir, c'est qu'il nous faut connaître la direction de ces flux de données. Je précise dans mon mémoire que j'ai servi de conseiller à la commissaire quand celle-ci a réalisé sa vérification sur l'Agence des services frontaliers du Canada et sur les flux d'information à notre sujet de part et d'autre de la frontière avec les États-Unis. J'ai un doctorat en histoire des États-Unis. C'est une matière que j'ai enseignée pendant de nombreuses années. Je ne suis pas le moindrement anti-américain; mon idée n'est pas de m'opposer aux États-Unis pour le simple fait de m'opposer, mais nous ne pouvons simplement pas envoyer nos renseignements personnels aux Américains de l'autre côté de la frontière sans qu'il y ait d'accord sur l'échange des données qui précisera ce à quoi les données doivent servir.

    Il nous faut un relevé de ce qui se produit; or, ça n'existe pas en ce moment. La commissaire a affirmé que son pouvoir s'arrêtait à la frontière. L'Agence des services frontaliers du Canada, si elle doit effectuer des échanges de données de part et d'autre de la frontière, devrait savoir ce qu'elle fait.

    M. Dhaliwal a mentionné les États-Unis. Aucun pays dans le monde ne compte plus de lois sur la protection des renseignements personnels que les États-Unis, mais aucun ne compte un assortiment de lois plus futiles à ce sujet que les États-Unis. J'exagère à peine. Les lois ne sont pas appliquées sauf si une affaire se retrouve dans les tribunaux. Il n'y a pas de commissaire à la protection de la vie privée dans presque tous les États américains. La même remarque vaut pour le gouvernement fédéral. La Commission fédérale du commerce abat une besogne utile en rapport avec les droits des consommateurs.

    Le modèle américain est extrêmement décentralisé. Il dépend beaucoup des tribunaux, entraîne d'importantes dépenses et est très difficile à moduler. Nos données s'en vont là-bas. Nous ne savons pas ce qui leur arrive, et personne n'est aux commandes. Je ne crois certainement pas que le directeur ou le président, enfin je ne connais pas son titre, le type à la tête du Département de la sécurité intérieure, est un bon gardien de mes renseignements personnels. Il n'est même pas d'avis que les empreintes digitales représentent des renseignements personnels délicats.

    Je n'arrive pas à comprendre. Êtes-vous en faveur de la recommandation 10?

    Oui.

    Vous êtes en faveur.

    Ce n'est pas simple de dire oui, n'est-ce pas?

    Vous pouvez dire yes aussi, j'aurais compris.

    Je suis d'accord sur les 10 recommandations.

    Mais vous trouvez qu'il n'y en a pas suffisamment.

    Pardon?

    Vous trouvez qu'il en manque quelques-unes.

    Oui.

    Je voudrais revenir sur le pouvoir quasi judiciaire que vous voudriez qu'on accorde à la commissaire. Vous savez qu'elle ne veut pas d'un tel pouvoir. Il n'y a pas là de communauté d'idées. Vous ne vous entendez pas là-dessus. Vous dites qu'elle a besoin d'un pouvoir quasi judiciaire, car sinon personne ne la prend au sérieux. J'ai de la difficulté à comprendre pourquoi la commissaire ne veut pas que les gens la prennent au sérieux.

    Ne pas laisser la commissaire à la protection de la vie privée savoir ce qui se passe, c'est trop facile.

    J'adopte le ton du tribun pour faire valoir certains points, et j'exagère un peu pour les faire valoir. Ce n'est pas comme si personne n'écoutait la commissaire à la protection de la vie privée du Canada, mais songez au nombre de fois qu'elle a produit un rapport majeur — il y a eu en juin 2006, en particulier — sur la réforme de la Loi sur la protection des renseignements personnels. Or, le ministère de la Justice n'a rien fait. Quant à moi, je crois que le destinataire le plus important de son message est Rob Nicholson, le ministre de la Justice, qui devrait dire à son satané de sous-ministre de faire quelque chose.

    Vous savez ce que c'est que d'être piégé par un paradigme ou une certaine façon de penser, une façon de voir le monde. Nous pouvons tous en être des victimes à des périodes particulières. Cela fait 25 ans que le Commissariat à la protection de la vie privée existe. Certaines personnes qui se retrouvent ici parmi nous y sont depuis les débuts, en 1982. Il est difficile de se défaire de la mentalité à laquelle on est habitué.

    Mon grand ami Bruce Phillips me lancerait des projectiles parce que j'affirme que le commissaire à la protection de la vie privée devrait disposer du pouvoir de rendre des ordonnances. C'est que, lui, il croit qu'il pourrait y arriver en ergotant simplement, ou en discutant. À mon avis, ce n'est pas suffisant en 2008 ni pour l'avenir.

    À un moment donné, je vous ai dit que je ne suis pas futurologue. Je suis historien. Je ne sais pas quel genre de loi sur la protection des renseignements personnels il vous faut pour les 25 prochaines années, mais... je m'excuse.

    C'est moi qui suis désolée parce que c'est mon temps qui est écoulé, et non le vôtre.

    Là où je veux en venir, c'est qu'il faut se tourner vers l'avenir et non pas rester dans le passé pour déterminer ses besoins, et c'est là que le pouvoir de rendre des ordonnances prend beaucoup d'importance.

    Puis-je proposer que les membres du comité gèrent un peu aussi, eux aussi, les interventions du témoin.

    Monsieur Tilson.

    J'aimerais parler du pouvoir de rendre des ordonnances.

    Je crois que nous sommes tous impressionnés par certaines des compétences que vous possédez et sommes heureux du fait que vous êtes venu nous présenter vos observations. Vous devez bien voir la question de la vie privée dans votre soupe et dans vos rêves. C'est à votre honneur.

    J'ai rêvé à mon témoignage de ce matin. C'était peut-être un cauchemar, que je n'ai pas enregistré comme il faut.

    Oui.

    Par le passé, la commissaire a déjà affirmé qu'elle devrait disposer du pouvoir de rendre des ordonnances. Je soupçonne que c'est votre avis aussi, car vous siégez à son comité consultatif et que vous la connaissez depuis des années. Je comprends cela.

    Vous avez été le premier commissaire à la vie privée en Colombie-Britannique. Là, entre 1993 et 1999, vous avez rendu 320 ordonnances. Il m'intéresserait de savoir quel pourcentage des ordonnances en question portait sur la question de la protection des renseignements personnels et quel pourcentage avait trait à l'accès à l'information.

    Presque toutes représentaient des décisions liées à la Loi sur l'accès à l'information, mais bon nombre d'entre elles comportaient un aspect protection des renseignements personnels. Je vous donne beaucoup d'information de façon assez rapide.

    Le pouvoir dont je disposais, c'était celui d'ordonner qu'on cesse de faire tel usage des renseignements personnels ou qu'on commence à poser tel acte en rapport avec les renseignements personnels. Par exemple, à l'occasion d'une vérification sur les lieux de B.C. Hydro, sur les lieux même, j'ai découvert qu'on utilisait le numéro d'assurance sociale des gens, en 1994, pour garder la trace des clients et envoyer les factures. J'ai dit: « Faites cesser cela. Vous ne pouvez pas faire cela. » Ils ont donc cessé de faire cela. Je n'ai pas eu à rendre une ordonnance ou à faire quoi que ce soit d'autre.

    C'est très bien.

    J'imagine que je veux en venir au fait que, à mon avis, nous avons décidé il y a un certain temps qu'il ne conviendrait pas d'avoir un seul commissaire qui serait chargé à la fois de la protection des renseignements personnels et de l'accès à l'information. Nous avons pris cette décision-là point à la ligne.

    Le commissaire, David Loukidelis, a-t-il pris un certain nombre de décisions semblables, et les décisions en question ont-elles surtout eu trait à l'accès à l'information?

    La plupart des problèmes touchant la protection des renseignements personnels se règlent à la suite d'une enquête, d'une plainte, d'une vérification ou d'une visite des lieux. Je croyais que vous alliez parler du contrôle judiciaire.

    J'y viens. Je prépare simplement le terrain.

    C'est bien.

    Évidemment, à ce moment-là, une médiation est envisagée. Une enquête est envisagée. Nous envisageons des enquêteurs qui parlent, des gens qui posent des questions. Peut-être y a-t-il une autre façon de procéder, indépendamment du processus de médiation. Tout cela est très bien.

    La commissaire sensibilise le grand public à la question; la commissaire nous sensibilise. La commissaire tient lieu de conseiller au Parlement, à nous aussi, aux membres du public également, elle applique des programmes de sensibilisation, prononce des conférences partout au pays, établit un site Web, procède à des enquêtes. Il y a probablement d'autres tâches que j'oublie.

    Je veux donc poser la question: si elle obtient le pouvoir de rendre des ordonnances, est-ce qu'elle sera liée à une sorte de conflit? Je ne parle pas de médiation; je parle de quelqu'un qui instruirait vraiment la preuve et rendrait des ordonnances. Il faudrait que cette personne-là ait une formation universitaire assez approfondie et peut-être aussi une certaine formation juridique. Nous sommes en train d'établir une commission quasi judiciaire. Je me demande donc s'il y aurait là une sorte de conflit.

    L'ex-député du NPD Dave Barrett m'a posé le même genre de question la première fois où je l'ai rencontré, en 1994 ou 1995, au moment où il venait tout juste de publier ses mémoires. De temps à autre, les gens demandent s'il y a un conflit entre le travail du commissaire à l'information et celui du commissaire à la protection de la vie privée. Or, il n'y en a pas. Le premier porte sur l'information générale, le deuxième s'attache à des renseignements personnels permettant d'identifier une personne.

    Je ne suis pas prêt à vous donner une analyse critique du travail de la commissaire actuelle ou de ses prédécesseurs. Il y a une partie du travail qui se fait dans ces bureaux-là qui est devenu trop empreint de légalisme. Dans le cas de l'accès à l'information, en vérité, si vous devez rendre des ordonnances, vous devez verser vraiment dans le légalisme.

    Si vous lisez les rapports d'enquête sur maintes questions que j'ai rédigés ou que mon successeur a rédigés, que la commission québécoise a préparés, qu'Ann Cavoukian a signés, à propos de questions comme celles de l'hôpital d'Ottawa — de fait, elle a rendu une ordonnance, mais, essentiellement, c'était un récit qui disait: voici ce qui est arrivé à l'hôpital d'Ottawa — c'est le genre de truc qui se trouve sur le site Web, et cela suppose toujours l'intervention de gens qui ont une formation juridique.

    Le bon côté de la chose — et je veux m'assurer de le dire —, c'est que même si la commissaire dispose du pouvoir de rendre des ordonnances, l'ordonnance serait assujettie à un examen des tribunaux, et il ne s'agirait pas du pouvoir de rendre des ordonnances sur n'importe quoi. En ce moment, les moyens dont elle dispose pour s'adresser aux tribunaux sont par trop limités, comme elle vous l'a si joliment expliqué. Elle peut seulement s'adresser à la Cour fédérale en rapport avec quelques petits sujets. Tout au moins, elle devrait pouvoir intenter une procédure en rapport avec une série beaucoup plus vaste de sujets et faire en sorte que les tribunaux entrent dans la danse.

    Je comprends tout cela. Je ne sais pas ce qu'il en est des autres groupes parlementaires, mais je ne crois pas que le nôtre se soit encore formé une opinion à propos de ce pouvoir de rendre des ordonnances. Personnellement, je comprends certains des arguments que vous avez soulevés. Je prends en considération le coût de l'affaire. Enfin, mon Dieu, nous ne pouvons...

    Elle est venue témoigner il y a quelque temps. Elle ne dispose même pas du personnel nécessaire pour éliminer l'arrérage qu'il y a en ce moment. Il faudrait investir une somme d'argent faramineuse pour engager des avocats, des conseillers, des gratte-papiers. Ce serait incroyable. Elle ne dispose pas des ressources nécessaires pour faire ce qu'elle fait déjà.

    C'est parce que la Loi sur la protection des renseignements personnels sous sa forme actuelle l'oblige à accueillir un grand nombre de plaintes quasiment futiles. C'est pourquoi elle veut se défaire de l'obligation de faire enquête sur pratiquement toutes les plaintes faites.

    À mon avis, il est scandaleux qu'il faille attendre un an avant qu'une plainte fasse l'objet d'une enquête en matière de protection des renseignements personnels. C'est difficile du point de vue de vos commettants. C'est inacceptable. Par contre, dans un grand nombre de plaintes, c'est encore et toujours la même chose qui est répétée.

    Cela m'intéressait beaucoup plus d'aller dans les hôpitaux et les prisons, de constater ce qui s'y produit, de faire des enquêtes. J'ai examiné la situation à la B.C. Cancer Agency, où j'ai trouvé toutes sortes de choses. Nous sommes retournés une autre année et sommes parvenus à tout faire corriger. Et je disposais de 25 employés.

    Les enquêteurs ne se chargent-ils pas maintenant d'une sorte de médiation? N'est-ce pas ce qu'ils font?

    Oui, mais les progrès semblent très lents parce que les gens ne peuvent pas déclarer qu'une personne donnée est ce que j'appelle pour moi-même un « client assidu ». Il y a un type en particulier qui m'a donné 100 causes à régler. C'était ridicule. J'ai essayé de le pénaliser. Je l'ai fait pour deux ou trois ans. Les tribunaux ont déclaré que je ne pouvais pénaliser quelqu'un que pendant un an.

    Savez-vous? Je vais peut-être changer d'idée à ce sujet, mais, pour être bien franc, je crois que si nous accordons à la commissaire le pouvoir de rendre des ordonnances, c'est le processus entier qui s'arrêtera net. Quelqu'un réussira peut-être à me convaincre du contraire, mais en écoutant ce que vous avez dit et ce qu'elle a dit elle-même, pour dire qu'elle n'arrive pas à faire son travail en ce moment, si nous avions toutes ces autres... ce serait massif. Je crois que ça s'arrêterait net, c'est tout le processus qui s'arrêterait.

    C'est une position qui se défend. N'oubliez pas: il y a 217 000 fonctionnaires; 140 personnes travaillent au bureau de la commissaire à la protection de la vie privée. Il y a 86 000 employés chez Postes Canada, qui sont tous censés se conformer à la Loi sur la protection des renseignements personnels.

    Voilà.

    Le comité va certainement approfondir tout ce débat une fois qu'il aura entendu le reste des témoins.

    Monsieur Pearson, vous disposez de cinq minutes.

    Merci, monsieur le président.

    Bienvenue, monsieur Flaherty. Il est bien de vous avoir parmi nous aujourd'hui.

    J'aimerais vous poser une question sur les évaluations des facteurs relatifs à la vie privée, mais, avant de le faire, je crois que M. Tilson poursuivait un bon filon.

    Vous avez parlé de la commissaire à la protection de la vie privée de l'Ontario. J'aimerais savoir si ses pouvoirs sont limités de quelque façon.

    Oui, à coup sûr.

    Pouvez-vous nous expliquer quelles sont les limites en question?

    Quand j'ai transmis ma communication à la commissaire de l'Ontario, à mes amis... je connais tous ces commissaires. Je travaille avec eux. Je leur sers d'expert-conseil. Ils m'engagent pour certaines choses. De fait, je crois que la commissaire à la protection de la vie privée peut et doit même recourir davantage à des experts-conseils et à des cabinets d'avocats lorsqu'elle a affaire à de gros arrérages. On trouve là bon nombre de personnes qui possèdent une expertise en protection des renseignements personnels. Notamment des consultants.

    Ça vous plaît comme déclaration intéressée? Je travaille déjà pour les divers commissaires en question.

    Quoi qu'il en soit, elle dispose d'un personnel de 100 ou 120 employés. C'est une grande organisation. Elle s'occupe du secteur de la santé en entier, des municipalités et du gouvernement provincial en Ontario. Elle mène la charge dans un très grand nombre de questions capitales, par exemple l'identification par radiofréquences et le chiffrement biométrique.

    La Loi sur la protection des renseignements personnels sur la santé lui confère un pouvoir de rendre des ordonnances qui est nettement plus vaste. C'est comme cela: plus la loi est adoptée tardivement, plus elle est bonne et plus elle comporte de pouvoirs. Celle-là a été édictée en 2004. Vous rigolerez en apprenant qu'elle fait 120 pages et que le guide non juridique qui l'accompagne en fait 800. Je pourrais essayer de vous convaincre du fait que tout cela est très simple, mais c'est simple si on décide de s'en tenir aux 10 commandements de la protection des renseignements personnels; ça devient compliqué dès qu'on commence à appliquer les notions dont il s' agit.

    Son travail consiste à appliquer les règles en question, de manière complexe, en effectuant des enquêtes et des trucs du genre...

    Comme je l'ai dit, je souffre un peu du décalage horaire. Je ne me souviens plus de la question que vous m'avez posée au départ.

    Ce n'est pas grave, je comprends.

    Ses pouvoirs ne sont pas illimités.

    Ce n'est pas un pouvoir illimité, non.

    Vous devez vous rappeler qu'un parlement, une assemblée législative, un gouvernement peut agir comme bon lui semble. Je me suis opposé à PharmaNet en Colombie-Britannique. Glen Clark et son gouvernement sont allés de l'avant quand même. C'est tout à fait acceptable. Personne n'a l'idée de conférer des pouvoirs absolus à ces gardiens de la vie privée. Par contre, je veux que les gens les écoutent. C'est le meilleur argument que je puisse trouver. Au gouvernement fédéral, on n'écoute pas bien le Commissariat à la protection de la vie privée. Je le sais parce que je fais du travail d'expertise conseil pour les organismes du genre. Je sais ce qui se passe. Et ce n'est pas bon, du point de vue de la protection de la vie privée.

    Merci.

    J'essaie encore de comprendre ce que sont les évaluations des facteurs relatifs à la vie privée, surtout à la lumière de ce que nous a dit la commissaire à la protection de la vie privée. Pouvez-vous me dire comment cela fonctionne en ce moment? Et puis, pouvez-vous dire aussi si la politique à cet égard devrait selon vous être l'objet d'une loi?

    Oui, je suis tout à fait d'accord pour dire que cette politique-là devrait faire l'objet d'une loi, mais je ne veux pas d'une série d'évaluations génériques qu'il faudra employer chaque fois que le système des renseignements personnels est modifié. Tout système de renseignement personnel d'importance à Santé Canada ou Service Canada ou encore Revenu Canada — je ne sais plus comment on l'appelle de nos jours — devrait faire l'objet d'une évaluation des facteurs relatifs à la vie privée, pour que les Canadiens qui s'intéressent à la question puissent consulter le site Web et voir: « Ah, voilà ce qu'on fait de mes renseignements personnels. »

    Mon client préféré, c'est l'Institut canadien d'information sur la santé. L'institut compte 18 grandes bases de données. C'est comme Statistique Canada dans le domaine de la santé, comme vous le savez probablement déjà. On y trouve 18 évaluations des impacts sur la confidentialité, comme on les appelle dans leur site Web, au www.CIHI.ca, sous la rubrique « Confidentialité et protection des données ». J'ai rédigé la première ébauche de chacune d'entre elles de concert avec le personnel là-bas. Il y en a une qui porte sur les avortements thérapeutiques. L'ICHI compte une base de données sur les avortements thérapeutiques? Oui. Est-ce qu'on y trouve des données qui permettent d'identifier les personnes? Non. La base de données s'accompagne-t-elle de très solides mesures de sécurité? Fait-elle l'objet de vérifications? Fait-elle l'objet de contrôles? Oui. Est-ce qu'elle existe pour une bonne cause? Oui. Si vous ne croyez pas qu'elle existe pour une bonne cause, vous pouvez vous opposer à ses responsables.

    L'évaluation sert à tracer le portrait d'une base de données. Pourquoi existe-t-elle? Quels en sont les usages prévus? Pourquoi faut-il disposer de cette information de toute façon? Est-ce fondé? Quels sont les renseignements personnels qu'on réunit? Quels sont les renseignements personnels qu'on divulgue? Obtient-on un consentement? Quelles sont les mesures de sécurité qu'on a mises en place?

    Je finis toujours par établir une sorte de bulletin de la protection des renseignements personnels en mesurant le degré de respect des 10 principes de la protection des renseignements personnels. Je l'ai fait pour l'enquête régionale sur la santé de l'Assemblée des Premières nations, dont le travail de terrain se fait en ce moment même. J'accorde parfois des notes — par exemple, 72 p. 100 pour la sécurité, 85 p. 100 pour le consentement ou la transparence.

    Monsieur le président, est-ce qu'il me reste du temps?

    Il vous reste une minute.

    Pour faire suite simplement à ce que M. Tilson disait, vous parliez de la commissaire à la protection de la vie privée. Le problème réside en partie dans le fait qu'elle doit composer avec un tel arrérage, qu'elle finit par faire enquête sur des trucs futiles. Comment procède la commissaire de la protection de la vie privée de l'Ontario pour trier les éléments en question, et établir un ordre de priorité?

    Je ne sais pas pourquoi on reçoit tant de plaintes à l'organisme fédéral. Durant les 24 dernières heures, j'ai lu, sinon on m'a dit, que 50 p. 100 des plaintes proviennent du Service correctionnel du Canada. Est-ce bien cela?

    De toute manière, c'est énorme comme nombre. Je riais intérieurement en y pensant, car c'est une bonne chose...

    Pardon?

    De fait, c'est plus que ça.

    Mais comment fait-on pour établir un ordre de priorité en Ontario?

    En Colombie-Britannique, nous pouvons écarter des demandes en les déclarant futiles et vexatoires. C'est l'expression, je crois.

    Ce que j'ai appris, en 1993, quand j'ai pu enfin diriger quelque chose, ayant été professeur toute ma vie, c'est qu'il y a bien des gens à qui il arrive diverses choses qu'il faudrait changer. Ils s'adressent alors à l'ombudsman, et ils s'adressent à la vérificatrice générale, ils s'adressent au commissaire à la protection de la vie privée et ainsi de suite. Pour une raison ou une autre, ils croient pouvoir modifier les faits entourant l'affaire. C'est comme un cirque.

    Merci.

    Monsieur Nadeau, s'il vous plaît.

    Merci, monsieur le président.

    Bonjour, monsieur Flaherty. Dans les documents que vous nous avez faits parvenir... L'actuelle commissaire a fait 10 recommandations. Il y a longtemps que la loi aurait dû être modifiée afin qu'elle soit contemporaine au lieu d'être seulement un élément d'artefact.

    Quelles sont les modifications à la loi qui pressent?

    Qui pressent?

    Qui pressent, qui sont pressantes.

    C'est très, très important?

    Il faut que cela se fasse tout de suite.

    D'accord.

    J'hésite énormément à vous recommander de mettre le dossier entre les mains des analystes politiques et avocats du ministère de la Justice, pour qu'une étude sérieuse puisse être faite, car cela pourrait prendre entre cinq et dix ans. Il faut se demander pourquoi rien n'a été fait pendant toutes ces années. C'est en partie attribuable au fait que les gens se battent entre eux au ministère de la Justice, par exemple.

    J'apprécie le fait que Mme Stoddart, que j'admire au plus haut point, et les membres de son personnel ont tout un fardeau à porter. Ils font au mieux dans les circonstances. Je crois que l'idée qu'elle a de vous proposer dix solutions rapides est bonne. J'ai de la difficulté à imaginer que vous allez recevoir au cours des quelques mois à venir les ressources nécessaires pour refaire vous-même la Loi sur la protection des renseignements personnels.

    Ce qu'il importerait de faire avant tout, selon moi, en passant par le caucus de votre gouvernement, c'est de persuader M. Nicholson d'agir. Ça n'a pas à se faire dans les deux semaines, mais, en vérité, il y a des choses qu'il faut faire sérieusement et le plus rapidement possible. À mon avis, il ne faudrait pas que ce soit un seul caucus. C'est une question qui intéresse tout le monde. Ce n'est pas une question pour les libéraux au sens large par opposition aux libéraux membres du parti du même nom, ni encore pour les conservateurs au sens large plutôt que les membres du Parti Conservateur. Ce n'est pas une question pour le NPD ou pour le Bloc Québécois ou qui que ce soit. C'est pour tous les Canadiens, tous les résidents du pays, tous les intérêts privés entrent en ligne de compte. Et ces intérêts privés-là sont les vôtres tout autant que les miens, et ceux de vos commettants.

    Tout ce que j'arrive à obtenir fera l'affaire. Si ce sont dix solutions rapides que vous êtes en mesure d'appliquer raisonnablement, alors faites-le. J'espère que vous en donnerez les grandes lignes. J'espère que votre comité en donnera les grandes lignes aux fonctionnaires et à Kevin Lynch. Kevin Lynch, qui est responsable de la Loi sur la protection des renseignements personnels et les documents électroniques, en tant que sous-ministre de l'Industrie du Canada, comprend ces choses-là. J'ai moi-même fait du lobbyisme auprès de lui au milieu des années 90, au moment où j'étais commissaire à la protection de la vie privée à Oxford, pour signifier que la Loi en question valait la peine d'être adoptée. Il s'en souviendra. Nous avons marché pendant quelques heures, et il m'a posé des questions qui étaient tout aussi difficiles que celles que vous me posez aujourd'hui: pourquoi faire tout cela, pourquoi réglementer le secteur privé? Ce serait votre point de départ.

    Nous avons réglementé le secteur privé. Les gens ont crié au meurtre. Ils n'ont pas aimé ça. Êtes-vous aux prises avec les gens d'Aeroplan, d'Air Canada, de Bell Canada ou d'Air Miles, qui vous disent que vous devez vous défaire de cette loi? Non. Ils se sont fait à l'idée. Pourquoi? Parce qu'ils l'ont implantée systématiquement. On sait comment faire fonctionner quelque chose dans le secteur privé. Il faut mettre les mêmes choses en place dans le secteur public.

    Le Québec, l'Ontario et la Colombie-Britannique, entre autres, ont une loi qui régit les renseignements personnels. Vous dites que les commissaires y ont plus de mordant, plus de poigne. Or, il n'en est pas de même au niveau fédéral.

    Est-ce parce que c'est plus gros, ou parce qu'il y a un manque de volonté politique?

    Durant les années 70 et 80, il y a un grand enthousiasme qui s'est manifesté autour de l'idée de l'ombudsman et des pouvoirs de l'ombudsman. Il s'agissait de mettre les gens ensemble, de concilier, de modérer — tout cela est excellent. On peut faire valoir qu'étant donné les problèmes liés à la protection des renseignements personnels qu'il y avait durant les années 80, la Loi sur la protection des renseignements personnels suffisait à la tâche, mais, maintenant, il y a le Web avec les gens qui utilisent le téléphone cellulaire, puis les courriels, et on ne sait plus où se trouve l'information. On ne sait plus où nos données sont stockées.

    La croissance de Facebook est exponentielle. Je porte à votre attention le cas d'une personne qui, sur Facebook, a révélé à ses amis en Angleterre qu'elle allait quitter son mari. Il l'a tuée. Même un truc comme Facebook comporte des risques, et les divers commissaires ont fait un bon travail autour de cela.

    Nous le savons tous, connaissant le changement dans notre vie qu'ont signifié le BlackBerry et les ordinateurs et les terminaux et l'automatisation, à quel point l'évolution a été prononcée, et nous ne savons même pas quels sont certains des risques que cela suppose, pour nos enfants, par exemple.

    Ce dont j'aimerais vraiment parler, c'est de la santé et du dossier de santé électronique. Si vous mettez en place une grande base de données de dossiers de santé électroniques dotée de mesures robustes de protection des données et de protection des renseignements personnels et de sécurité aussi, voilà, vous êtes dans le pétrin: s'il y a une grande base de données, il y a quelqu'un qui s'y promène. Notre milieu signale de nombreux cas, c'est le cas par exemple de mon successeur en Colombie-Britannique, de personnes qui aiment simplement farfouiller dans les bases de données et utiliser les renseignements personnels à mauvais escient. Il y a eu de nombreux vols de diverses bases de données du gouvernement de la part de la mafia et des gangs criminalisés au Québec. C'est une autre raison de mettre en place d'excellentes mesures de sécurité, d'excellentes mesures de vérification. Je veux qu'il y ait des machines qui surveillent les machines. Nous pouvons y arriver si la volonté de le faire existe, mais il faut dire à la fonction publique de le faire et de l'appliquer de manière efficiente.

    Monsieur Norlock.

    Merci beaucoup d'être venu témoigner, monsieur Flaherty. Il est assez évident que vous êtes probablement une des personnes les plus connaissantes qui soient au pays en ce qui concerne la Loi sur la protection des renseignements personnels.

    Je devrais me trouver un passe-temps, n'est-ce pas?

    Non, c'est comme cela que nous apprenons les uns des autres.

    J'aime toujours entendre le point de vue d'une personne comme vous, puis celui de son ennemi juré, quelqu'un qui se situe tout à fait dans l'autre camp. Pour être tout à fait franc, cela m'enrage de penser que quelqu'un pourrait utiliser mes renseignements personnels pour une fin autre que celle qui est prévue, et je tiens à ce qu'il y ait des mesures législatives suffisantes pour me protéger contre les gens de ce genre. Si la loi ne le fait pas, je le ferai moi-même, c'est-à-dire que la personne aura des nouvelles de mon avocat.

    L'une des très grandes inquiétudes que j'ai et une des raisons pour lesquelles je prends part aux affaires publiques, c'est une crainte extraordinaire que j'ai: si nous laissons le gouvernement tout faire pour nous, nous créons une énorme bureaucratie, celle-là même contre laquelle vous vous êtes parfois battu, en tant que commissaire à la protection de la vie privée. Nous créons d'énormes bureaucraties à chaque endroit, ce qui n'a, de fait, pas pour effet d'accélérer les choses. C'est plutôt l'inverse. Je n'affirme pas qu'un commissaire à la protection de la vie privée devrait disposer de seulement 50 employés, mais quand je vous entends dire quelque chose du genre: « Mon Dieu, il y a 217 000 fonctionnaires. Il y a 84 000 employés chez Postes Canada. Il faut surveiller ces gens-là et si vous me donnez des ressources suffisantes pour le faire et que les lois et les règlements adoptés sont systématiquement filtrés chez nous pour que nous puissions nous assurer que... », je dois vous demander combien d'employés il vous faut.

    Vous avez occupé le poste auparavant dans une autre province et vous conseillez la commissaire actuelle sur ce qu'il lui faut pour se tirer d'affaire. Il y a les dix commandements. J'ai écouté ce que vous aviez à dire. Il me semble évident que vous avez une satanée bonne idée du nombre de personnes qu'il faut à un commissaire à la protection de la vie privée, à condition d'avoir le bon type de loi en place au Canada.

    En cinq phrases ou moins, pouvez-vous me dire combien de gens il faudrait?

    Si vous intégrez le principe de la gestion des risques inhérent à la protection des renseignements personnels au travail des établissements fédéraux, les 250 établissements qui sont assujettis à la Loi sur la protection des renseignements personnels, le travail de la commissaire à la protection de la vie privée devient beaucoup plus simple. C'est ce que je viserais. Plutôt que d'être à l'origine des choses, elle dirait: « Venez me voir et dites-moi quelles sont les choses merveilleuses que vous accomplissez. » Il y aurait au Cabinet une liste de contrôle des éléments propres à la protection des renseignements personnels applicables à tout projet. Les députés et membres du comité vous demanderaient si vous avez parlé à la commissaire à la protection de la vie privée. C'est cela qu'il nous faut.

    Je m'oppose autant que vous à la bureaucratie. Ça me rend fou de voir le nombre de personnes qu'il faut pour faire le travail.

    Merci. Et, au fait, je ne suis pas vraiment contre la bureaucratie. Je crois qu'il nous faut une bureaucratie pour s'occuper des choses, mais nous n'avons pas besoin d'une formule, où plus il y a de gens au sein de votre effectif, mieux vous allez être payé. Tout le monde est à bâtir cet empire-là. C'est ce que nous avons, et je le sais puisque j'ai travaillé dans la fonction publique ontarienne et que j'ai vu cela dans mon patelin à moi.

    Je sais que, vous et moi, nous avons peut-être un point de vue très semblable sur la question; je veux comprendre comment nous faisons pour protéger une fonction publique, ou une bureaucratie — tout cela est la même chose — qui se veut efficace et efficiente. Comment nous protéger contre quelqu'un, disons une personne aux finances ou à la santé, qui dit: D'accord, il y a cette nouvelle loi dont veulent M. Flaherty et la commissaire et, maintenant, il va nous falloir quelqu'un qui leur sert de conseiller, alors nous allons créer un tout nouvel organisme avec des sous-ministres? Comment nous assurer de la chose: même si nous n'augmentons pas l'effectif de la commissaire à la protection de la vie privée, est-ce que les autres qui doivent lui rendre des comptes n'iront pas recruter 15 ou 20 personnes de plus qui seront chargées de traiter avec la commissaire à la protection de la vie privée?

    La commissaire à la protection de la vie privée vous a signalé que tous les fonctionnaires au-delà d'un certain niveau doivent posséder une formation en ressources humaines et en finances. Est-ce qu'il leur faut aussi une formation en protection des renseignements personnels? Allez-vous créer une culture de protection des renseignements personnels, une culture où on se soucie de la vie privée, où on est sensibilisé à cela? Qui sont les grands responsables de la protection des renseignements personnels dans les établissements fédéraux? Ce n'est pas le sous-ministre la majeure partie du temps. Qui est-ce?

    Il faut des responsables de la protection des renseignements personnels. Je songe à ce que vous avez dit à propos de la bureaucratie. Le Département de la sécurité intérieure a révélé il y a quelques jours que des policiers censés monter la garde à bord des vols y sont parfois interdits parce que leur nom figure sur la liste des personnes interdites de vol. Je n'en reviens pas. C'est un truc que nous venons de lire.

    Quand j'entends le type du Département de la sécurité intérieure des États-Unis — qui était assis devant moi et qui a pris la parole à une grande conférence internationale des commissaires à la protection de la vie privée — me demander pourquoi je me soucie des empreintes digitales, car ce ne sont pas des renseignements personnels et que vous les laissez derrière vous en faisant le tour du monde, je n'en reviens tout simplement pas. Et il pavane en se présentant comme un grand défenseur de la vie privée.

    J'ai entendu son premier responsable de la vie privée prononcer un discours à une grande conférence sur la sécurité à Victoria en février. Il a raconté les trucs les plus futiles qu'il m'ait été donné d'entendre. C'était totalement vide.

    Vous ne me dites pas ce que...

    Je me vide le cœur.

    Oui, mais vous êtes un être précieux. C'est pourquoi vous êtes ici, et je peux comprendre que vous avez des problèmes avec...

    Le Département de la sécurité intérieure. Je me sers d'un exemple pour illustrer ce qu'est une bureaucratie

    Je dois m'en souvenir. J'allais dire les vôtres, mais, enfin, nos amis au Sud...

    Votre temps est écoulé.

    J'aimerais simplement savoir comment nous devons faire pour créer la fonction publique énergique et efficace à laquelle nous rêvons.

    Ce sera du temps pris sur le temps de M. Van Kesteren.

    D'accord, c'est bon.

    Monsieur Dhaliwal, allez-y, s'il vous plaît.

    Monsieur Flaherty, j'ai aussi des problèmes avec les agences de sécurité quand je constate qu'un député respecté figure sur la liste de personnes interdites de vol même s'il n'a rien à voir avec le terrorisme. Je vais éviter cette question.

    Parlez-vous de moi?

    Non, je ne parle pas de vous. Je parle d'un autre conservateur.

    Dans ses recommandations, la Commissaire à la protection de la vie privée a dit qu'elle aimerait instaurer par voie législative un « test de nécessité » pour la collecte de renseignements personnels. Pourriez-vous nous en dire un peu plus sur l'utilisation actuelle de ce test, au Canada ou ailleurs? Son application semble-t-elle trop complexe ou est-elle envisageable?

    Vous penserez peut-être que je tourne en rond encore une fois. Mais chaque fois que je remplis un formulaire de demande d'indemnisation, je constate qu'il est toujours écrit, dans le bas: « Vous nous autorisez, par la présente, à envoyer tous les renseignements » à n'importe qui. Je raye toujours une partie de cette phrase et j'écris: « tous les renseignements pertinents ».

    Nous, les défenseurs de la protection de la vie privée, défendons de nombreux principes. J'aimerais souligner que je suis un pragmatiste de la protection de la vie privée; je ne suis pas un fondamentaliste de la protection de la vie privée. Toutefois, je me soucie de la protection de la vie privée. C'est une belle distinction à faire.

    Selon le principe de « nécessité » et le principe de limitation maximale de la collecte de données, je dirais qu'il faut recueillir des renseignements personnels seulement quand on en a besoin. C'est beaucoup trop simple de remplir un formulaire. Un formulaire électronique peut compter 40 cases, et la personne se dit qu'elle doit toutes les remplir parce qu'on pourrait avoir besoin, un jour, de tous ces renseignements.

    Si les renseignements servent à quelque chose, je suis d'accord pour que quelqu'un les recueille. Nous surveillons toujours, par exemple, des gens qui recueillent des renseignements. Imaginez une situation où vous voulez louer une voiture et où le formulaire, chez Avis, vous demande votre orientation sexuelle. Quoi? Qu'est-ce que c'est que ça? J'ai vu des formulaires où on demandait des renseignements sur la religion des gagnants à la loterie. Voulez-vous bien me dire quel est le lien? Est-ce que les gens seront assez intelligents pour dire: « Vous ne pouvez pas me demander cela. Donnez-moi mes 10 000 $ ou mon million de dollars »?

    C'est ce genre de chose que nous voyons. C'est pourquoi nous devons adopter une principe de « nécessité ». Nous devons limiter le plus possible la collecte de données. Quand nous remplissons un formulaire électronique ou sur papier, nous devrions avoir à donner le moins de renseignements personnels possible — seulement les renseignements essentiels. On voit des formulaires qui exigent un numéro d'assurance-sociale; mais pourquoi?

    Comme vous l'avez dit dans votre exposé, les droits de tous les Canadiens en matière de protection de la vie privée vous préoccupent; ils nous préoccupent aussi, et c'est pourquoi nous nous penchons sur ce sujet en particulier. Vous avez dit que le ministre de la Justice doit faire de la réforme de la Loi sur la protection des renseignements personnels l'une de ses priorités. À votre avis, que faudrait-il faire pour qu'il en fasse une priorité, et quelle mesure devrions-nous prendre?

    Je crois que vous le savez mieux que moi, en réalité. C'est ce que j'ai cru comprendre...

    M. Nicholson a participé à des audiences relatives à la Loi sur la protection des renseignements personnels pendant trois ans, de 1984 à 1987. Il a signé le rapport intitulé Question à deux volets, et il sait que le gouvernement Mulroney n'a rien fait, entre autres parce qu'il détestait la Loi sur l'accès à l'information. La principale chose dont Brian Mulroney a hérité de Pierre Trudeau, c'est la Loi sur l'accès à l'information. Personne n'aime cela.

    L'un des problèmes, c'est que les bureaucrates pensent que les lois régissant la protection de la vie privée et l'accès à l'information vont de pair. Ils pensent qu'ils doivent s'occuper des deux en même temps. La Loi sur l'accès à l'information ne pose pas véritablement de problème — je ne serais pas ici si je m'y opposais farouchement —, mais il en va autrement de la Loi sur la protection des renseignements personnels. Nous devons faire porter leur attention sur la Loi sur la protection des renseignements personnels, car il y a de la résistance à l'égard de l'accès à l'information. Ils n'aiment pas que le gouvernement soit ouvert et responsable.

    Il se trouve que j'ai été commissaire à l'information. J'estime que mon travail à titre de commissaire à l'information était beaucoup plus important que mon travail à titre de commissaire à la protection de la vie privée, mais cela ne signifie pas que le travail d'un commissaire à la protection de la vie privée est futile. J'ai beaucoup aidé à sensibiliser la société de la Colombie-Britannique afin que les gens sachent ce qui se passe. J'ai même déjà fait la une de The Province, à Vancouver, quand toutes mes allocations de dépenses avaient été étalées au grand jour. Ce n'était pas une expérience agréable, mais c'est ce qui arrive dans une société ouverte et démocratique.

    La technologie évolue sans cesse. Pensez-vous qu'il faudrait prévoir, dans la Loi, des examens réguliers des dispositions de la Loi sur la protection des renseignements personnels? Le cas échéant, à quelle fréquence devraient-ils avoir lieu?

    Eh bien, d'après ce que m'a dit la commissaire et d'après ses observations, le Québec le fait tous les cinq ans. Je pense que nous avons une procédure semblable en Colombie-Britannique et en Alberta. C'est intéressant que des personnes se présentent devant les parlementaires pour dire ce qu'elles pensent. Nous avons rencontré des membres du grand public, des membres d'associations professionnelles, des concessionnaires d'automobiles — toutes sortes de gens — qui sont venus nous dire ce qu'ils aimaient et ce qu'il n'aimaient pas.

    Je suis plutôt désabusé, car j'ai travaillé très fort, pendant trois ans, pour mettre de l'avant des corrections à apporter à la Loi sur la protection des renseignements personnels et à la Loi sur l'accès à l'information, et il ne s'est rien passé. Il y a eu quelques changements apportés aux politiques, mais aucun changement n'a été apporté aux lois. Je crois que c'est, entre autres, parce que M. Mulroney n'aimait pas la Loi sur l'accès à l'information, mais c'est seulement une hypothèse.

    Je m'excuse, mais le temps file.

    Monsieur Van Kesteren.

    Merci, monsieur le président.

    Merci de votre présence.

    J'écoute le débat et tous les échanges sur la question, et je suis à la fois en accord et en désaccord. Bien honnêtement, je comprends bien votre point de vue, mais je me demande, par ailleurs, qui s'en soucie? Vraiment, qui s'en soucie?

    M. David Flaherty: Oh, je sens qu'on va s'amuser.

    M. Dave Van Kesteren: Ne vous mettez pas en colère contre moi; je sais que c'est un sujet qui vous tient vraiment à coeur.

    Mais, vraiment, qui se soucie du fait que quelqu'un sait que je suis protestant ou catholique? Pourquoi ne pouvons-nous pas simplement dire au gouvernement: « Vous pouvez recueillir tous les renseignements que vous voulez, mais gardez-les pour vous »?

    Je crois que je suis comme M. Tilson: je vois planer le spectre de la bureaucratie et je tremble quand je pense aux conséquences éventuelles.

    Combien d'argent avez-vous actuellement dans votre compte bancaire?

    Voulez-vous vraiment...

    Avez-vous déjà reçu des soins psychiatriques?

    Non.

    Quels médicaments prenez-vous?

    Aucun.

    Est-ce que cela vous est égal?

    Est-ce que ça m'est égal?

    D'accord, je n'ai pas aimé la partie sur l'argent.

    Ah non? Est-ce bien vrai? Ça alors... c'est intéressant.

    Je comprends cela. Mais personne n'a jamais divulgué cette information. Si quelqu'un devait le faire, je pense que je...

    Donc, on recueille ce genre de renseignements. Je crois que, pour certains d'entre nous, il s'agit d'une phobie. Il y a la sécurité nationale, c'est vrai, et bien d'autres choses. Mais c'est un peu comme gravir une colline parce qu'elle est là: nous disposons de la technologie pour le faire, donc nous recueillons tous ces renseignements.

    Laissez-moi seulement finir cette dernière idée. Pouvez-vous me donner des exemples de situations qui ont dérapé parce que le gouvernement possédait ces renseignements? Si nous décidons de modifier toutes ces lois — je ne dis pas que c'est ce que nous devrions faire, je me fais simplement l'avocat du diable —, il faut savoir pourquoi. Pourquoi le faisons-nous? Pourquoi ne pouvons-nous pas simplement dire au gouvernement: « Vous pouvez recueillir ces renseignements, mais qu'on ne vous prenne pas à les divulguer »?

    C'est essentiellement ce que nous aimerions faire.

    Pensez-vous que vous avez droit à la protection de votre vie privée en tant que personne?

    M. Dave Van Kesteren: Bien sûr.

    M. David Flaherty: Est-ce que la Charte canadienne des droits et libertés garantit ce droit?

    M. Dave Van Kesteren: Oui, c'est le cas.

    M. David Flaherty: S'agit-il d'un droit fondamental des Canadiens?

    M. Dave Van Kesteren: Oui.

    M. David Flaherty: Il y a donc là trois aspects. Personne ne peut vivre sans la protection de sa vie privée. Toutes les sociétés, dans toute l'histoire de l'humanité, ont appliqué la protection de la vie privée dans certaines circonstances, par exemple en ce qui concerne les relations sexuelles.

    Mardi matin, à Vancouver, une mère très ouverte m'a raconté une histoire intéressante: sa fille de 16 ans, très intelligente, lui a demandé à quelle fréquence elle et son mari avaient des relations sexuelles. Elle a regardé sa fille et lui a répondu: « C'est ma vie privée. »

    Au moins, je n'ai pas abordé la question de votre vie sexuelle.

    Mais je ne verrai jamais, à la une du Globe and Mail, que quelqu'un a découvert que j'ai reçu, comme vous dites, des soins psychiatriques, et que la personne a dévoilé ce renseignement.

    C'est pourquoi nous avons des lois.

    Exactement. Nous avons des lois. Si nous décidons de les rendre plus sévères...

    J'aimerais aller encore un peu plus loin. Nous avons parlé des gouvernements antérieurs. Je crois que je connais la réponse à cette question, même si vous risquez de ne pas l'apprécier. J'ai écouté ce que vous avez dit à propos de MM. Rock et Manley. Ont-ils apporté des changements à l'une ou l'autre des lois sur la protection de la vie privée?

    Absolument.

    Mais je pensais que ces lois étaient archaïques et n'avaient pas changé depuis 25 ans.

    Non. C'est que, voyez-vous, les changements qu'ils ont apportés concernaient le droit régissant la protection de la vie privée dans le secteur privé. Nous disposons de lois très solides sur la protection de la vie privée dans tout le secteur privé qui, en Alberta et en Colombie-Britannique... L'une des personnes assises à mes côtés était la commissaire adjointe pour le secteur privé en Alberta. Elle et ses collègues ont fait un travail fantastique pour que la loi qui s'applique au secteur privé soit utile aux résidents de l'Alberta. Comment y sont-ils arrivés? Ils disposaient d'une sacrée bonne loi. C'est ce qui nous manque à l'échelon fédéral. Notre loi est vraiment pourrie.

    Je sais, mais nous avons...

    Je vais vous parler de monsieur Tout-le-Monde. Votre ami voulait vous lancer des projectiles au visage... pourquoi? J'ai oublié.

    M. David Flaherty: Je voulais du changement.

    M. Dave Van Kesteren: Ce qu'il y a, c'est que le citoyen moyen veut vous lancer des projectiles au visage parce qu'il n'en peut plus de se faire agresser dans la rue, parce qu'il veut que l'âge de la protection change, parce qu'il n'en peut plus que des jeunes... C'est ce que vivent les Canadiens.

    Les ministères de la Justice éprouvent ce type de difficultés, alors quand ils se penchent sur cette question, ils disent: « Bon, pourquoi en faisons-nous toute une affaire? » Je vous pose la question.

    Je veux que les policiers, mes amis de la police et de la GRC, respectent les dix commandements en matière de protection des renseignements personnels. Je veux qu'ils capturent tous ces méchants. Je veux qu'ils mettent fin à la pornographie juvénile. Je veux qu'ils se servent de la surveillance à ces fins en particulier. Il est pourtant possible de gérer la protection des renseignements personnels.

    Quand vous faites partie du gouvernement ou de l'opposition, vous êtes confronté à un si grand nombre de problèmes qui sont sans issue. Je vois, dans la rue, des personnes qui fument, des personnes obèses, et des personnes qui ont d'autres problèmes du même type. Comment allez-vous faire pour que les gens mangent bien et fassent de l'exercice?

    Si c'est ce que vous voulez faire, nous allons parler de la protection des renseignements personnels.

    La protection des renseignements personnels est plus facile à administrer quand on dispose d'une série de règles qu'on peut appliquer. C'est une question pour les spécialistes. Vous n'avez pas à devenir des spécialistes de la protection des renseignements personnels. Sachez qu'il y a dix commandements en matière de protection des renseignements personnels. Rappelez-vous qu'il y a dix commandements dans le Christianisme, si la religion vous intéresse, et que les Chrétiens sont censés les respecter.

    Rappelez-vous, le consentement joue un rôle décisif. Il règle tout. La plupart du temps, vous prenez part à des activités volontairement. Je vous raconte des choses sur moi parce que je veux défendre mon point de vue, mais je vous raconte aussi des histoires sur des personnes dont je tairai l'identité.

    Pour résumer mon point de vue, ne pourrions-nous pas agir et simplement dire: « Nous allons vous punir très fortement si vous recueillez ces choses et...»? Ça ne me dérange pas que nous agissions, à condition de ne pas créer ne imposante bureaucratie.

    J'aimerais que les ressources actuellement consacrées à d'autres activités soient réaffectées à la gestion des renseignements personnels, puisqu'il s'agit de l'intérêt supérieur de chacune des institutions du gouvernement. Je suis contre la bureaucratie dans bien des cas, comme je l'ai dit, à cause d'expériences directes que j'ai vécues. Je suis un cabinet-conseil à moi tout seul. Vous pensez peut-être que personne ne veut travailler avec moi, mais ce n'est pas le cas.

    Merci beaucoup.

    Vous allez devoir m'excuser bientôt — je dois prendre l'avion pour me rendre à une réunion importante à Toronto —, mais il y a une question à laquelle je veux être sûr que l'on réponde. Je pourrais peut-être la poser maintenant.

    Elle concerne les préoccupations se rapportant à l'impartition. La Colombie-Britannique a connu quelques problèmes à ce sujet. Elle avait besoin de dispositions permettant de bloquer l'impartition — je suppose que c'est la façon de procéder — afin de déterminer si le recours à l'impartition est pertinent ou approprié. La Colombie-Britannique a-t-elle dû modifier ses dispositions législatives à ce sujet, et est-ce que les critères sont maintenant en vigueur et efficaces?

    Je suis heureux que vous me posiez cette question. Comme d'habitude, j'ai toutes sortes de conflits d'intérêts. J'ai conseillé Sun Microsystems et MAXIMUS concernant leurs ententes d'impartition avec la Colombie-Britannique. Je crois que j'ai aussi conseillé EDS, mais il est question ici de MAXIMUS. J'ai été nommé au conseil d'administration de MAXIMUS pour expier mes péchés, alors ne prenez pas tout ce que je dis pour argent comptant.

    Le gouvernement de la Colombie-Britannique souhaitait impartir la gestion du Régime de soins médicaux, qui est un peu comme le RAMO en Ontario, ainsi que la gestion de PharmaNet, qui est une base de données qui contient l'historique de prescriptions de tout le monde. Les syndicats ont réagi fortement et se sont adressés aux tribunaux pour tenter de bloquer l'entente d'impartition pour des motifs de protection des renseignements personnels. Le gouvernement de la Colombie-Britannique a donc décidé de modifier sa loi sur la protection des renseignements personnels afin qu'elle exige que tout le traitement des données soit effectué au Canada. La société américaine ne pouvait pas avoir de liens directs avec les États-Unis, et nos renseignements personnels ne pouvaient pas voyager du Canada aux États-Unis et vice-versa. La loi exigeait aussi que les employés reçoivent une formation sur la protection des renseignements personnels, que des vérifications de la protection des renseignements personnels soient effectuées, etc.

    Ce qui me plaît le plus, dans cette histoire, c'est que, au bout du compte, nous nous sommes retrouvés avec la société MAXIMUS B.C. Health, filiale qui fonctionne avec les règles de sécurité et de protection des renseignements personnels les plus sévères au pays. Elle compte 400 employés qui font l'objet d'une surveillance en tout temps. Elle doit signaler toute violation de la protection de la vie privée dans l'heure. L'entreprise a nommé un chef de la protection des renseignements personnels. Les employés ont accès à une formation en direct sur la protection des renseignements personnels et font l'objet, chaque année, d'une vérification par Deloitte et Touche et par d'autres vérificateurs, qui s'assurent qu'ils respectent les règles.

    Est-ce que cette situation pose problème, selon moi? Pas du tout. Elle prouve qu'il est possible d'offrir une bonne protection des renseignements personnels de nature plutôt délicate en Colombie-Britannique. Mais est-ce que le ministère de la Santé agit de cette façon? Est-ce que les autorités sanitaires de l'île de Vancouver agissent de cette façon? Est-ce que Vancouver Coastal Health agit de cette façon? Non. Ils n'ont pas les ressources pour le faire, et personne ne les force à le faire. Ils ont peut-être des responsables de la protection des renseignements personnels, mais ils n'ont pas les ressources requises pour agir.

    L'île de Vancouver, où je vis, compte 45 établissements comme des hôpitaux et des établissements de ce type. Une seule personne, qui travaille à temps partiel, s'occupe de la protection des renseignements personnels pour les autorités sanitaires de l'île de Vancouver. La population atteint probablement 750 000 personnes. MAXIMUM B.C. Health offre un excellent service. Le ministre de la Santé l'a dit, tout comme le sous-ministre. Les gens sont heureux de travailler pour cette entreprise. L'effectif travaillait auparavant pour le gouvernement et a fait l'objet d'une privatisation. L'entreprise fonctionne très bien et fait de l'argent. Elle ne fait pas beaucoup d'argent, parce qu'elle a conclu un marché très exigeant et que le gouvernement la surveille étroitement. Pourquoi le gouvernement n'applique-t-il pas les mêmes normes quand vient le temps de surveiller ses propres affaires? C'est l'essentiel de mon propos, surtout en ce qui concerne la cybersanté.

    Merci beaucoup.

    Monsieur Hiebert, nous vous écoutons.

    Merci, monsieur le président.

    Monsieur Flaherty, je soutiens intuitivement vos propositions, puisque je m'oppose à l'omniprésence de l'État. Je m'oppose à un État qui fouine dans ma vie privée ou dans celle des autres, essentiellement parce que je crains les abus de pouvoir possibles. Une personne qui souhaite manipuler quelqu'un, lui extorquer quelque chose, ou encore, dans le cas du vol d'identité, usurper son identité, a beaucoup de pouvoir si elle possède des renseignements à son sujet.

    Je suis conscient de ces préoccupations. Il y a quelques minutes, vous avez répondu à la question d'un de mes collègues, qui voulait savoir pourquoi nous devrions nous préoccuper de cette question. Vous lui avez demandé s'il prenait des médicaments, s'il avait déjà reçu des soins psychiatriques, et combien d'argent il y avait dans son compte bancaire. Les questions sur les médicaments et les soins psychiatriques sont de compétence provinciale, et la question du compte bancaire relève du secteur privé, ce qui signifie que la LPRPDE s'applique.

    J'aimerais donc que vous me disiez, du point de vue du gouvernement fédéral, quels sont les risques, mis à part le vol du numéro d'assurance sociale et de la date de naissance d'une personne pour usurper son identité, que le gouvernement fédéral tente d'éliminer.

    Je me suis servi de ces questions précises pour savoir s'il tenait, d'une façon ou d'une autre, à sa vie privée, et nous avons rapidement découvert que c'était le cas, comme pour la plupart d'entre nous.

    En ce qui concerne le gouvernement fédéral, je considère les organismes et les ministères qui recueillent un grand nombre de renseignements personnels comme des entités où la protection des renseignements personnels est primordiale. Cela signifie que Développement des ressources humaines Canada, Revenu Canada, Santé Canada, l'Agence des services frontaliers du Canada, la GRC et même Postes Canada, dans une moindre mesure, sont des exemples d'organismes qui détiennent un fichu grand nombre de renseignements personnels...

    Et des dispositions législatives très sévères, ainsi que des codes ou des règlements, s'appliquent à chacun des ministères que vous avez mentionnés afin de les empêcher de transmettre ces renseignements; c'est particulièrement le cas en ce qui concerne Revenu Canada.

    Malgré tout le respect que je vous dois, je ne suis pas certain que ce soit vraiment le cas; du moins, c'est ce que j'ai constaté dans le cadre de mon travail à titre d'expert-conseil. Dans le document que j'ai rédigé, et que je transmettrai au comité sous peu, dès qu'il sera traduit, je mentionne que Santé Canada constitue un très bon modèle, comme je l'ai expliqué plus tôt, et je crois avoir contribué à inciter ce ministère à mettre en place des stratégies de gestion des risques en matière de protection des renseignements personnels.

    Je n'en sais vraiment pas assez. Une chose est sûre, l'une des recommandations formulées par la Commissaire à la protection de la vie privée à la suite de sa vérification de l'Agence des services frontaliers du Canada, il y a deux ou trois ans, visait à faire en sorte que l'Agence fasse de même parce qu'on préconisait la même stratégie de gestion des risques en matière de protection des renseignements personnels que moi. Cependant, le travail est toujours en cours.

    Je comprend que vous voyez le verre à moitié plein quand je vois le verre à moitié vide, et nous avons certainement une divergence d'opinion, mais je ne me sens pas à l'aise avec l'état actuel des choses, et je n'ai pas de données empiriques qui me permettraient de vous fournir autant d'exemples que vous le souhaiteriez, pour être convaincu que les règles et règlements prévus par la Loi sur la protection des renseignements personnels sont appliqués de façon adéquate, compte tenu des défis auxquels nous faisons face au XXI^e siècle.

    Pour que vous ne restiez pas sur cette impression, je veux simplement dire que je me plais à croire que le comité s'est intéressé à la Loi sur la protection des renseignements personnels parce que je l'ai grandement incité à le faire. Je m'en occupe depuis environ six mois, alors c'est à cause de moi que vous êtes ici aujourd'hui. Mais j'aimerais tout de même avoir une idée...

    J'invoque le Règlement, monsieur le président [Note de la rédaction: inaudible].

    Ce n'est pas un recours au Règlement.

    J'aimerais tout de même avoir une idée des risques précis auxquels nous sommes confrontés. Y a-t-il quelque chose de concret que nous puissions raconter aux Canadiens pour leur expliquer le bien-fondé de ce que nous faisons, la pertinence d'adopter ces recommandations?

    Je vais utiliser l'exemple d'une province, parce que le rapport a été rendu public hier. Le Nouveau-Brunswick transmettait des renseignements concernant 750 personnes de la Colombie-Britannique qui avaient été traitées, je suppose, au Nouveau-Brunswick. La Colombie-Britannique devait verser de l'argent au ministère de la Santé. Le ministère de la Santé du Nouveau-Brunswick transmettait les données sur bandes magnétiques à Victoria, en Colombie-Britannique. Savez-vous ce qu'ils ont fait? Ils ont envoyé les données non chiffrées sur disque par un service de messagerie. Devinez ce qui s'est passé? Le disque a été perdu. Les commissaires du Nouveau-Brunswick et de la Colombie-Britannique ont déposé, hier, un rapport concernant la médiocrité de la sécurité. Ils auraient dû utiliser des méthodes beaucoup plus modernes. En fait, ils auraient dû au moins envoyer les données par voie électronique.

    Il s'agit d'un exemple très précis qui était mentionné partout dans les journaux au Nouveau-Brunswick et en Colombie-Britannique et qui a mis les ministres de la Santé dans l'embarras, puisqu'ils ont été attaqués en Chambre par l'opposition après avoir été obligés d'admettre qu'ils avaient perdu les foutues données. Est-ce que cela vous trouble?

    Si nous extrapolons pour imaginer un exemple à l'échelon fédéral, nous pourrions penser à une situation où le gouvernement fédéral perdrait des données concernant des Canadiens — des données fiscales, peut-être, ou des dossiers de la GRC — pendant le transfert vers un autre ministère. Ainsi, quelqu'un pourrait se servir de ces données pour mettre les gens dans l'embarras et les escroquer. Est-ce que c'est ce qui vous préoccupe?

    Le problème, c'est que la plupart des cas de violation de la protection de la vie privée que je connais font l'objet d'ententes de confidentialité avec mes clients. Je ne peux pas venir ici et dénoncer mes clients, mais je peux vous assurer qu'il y a vraiment beaucoup de cas de violation, et qu'ils sont de nature beaucoup plus délicate que tout ce que vous avez pu lire dans les journaux. Il ne se passe pratiquement pas une semaine sans qu'une autre catastrophe ne survienne en ce qui concerne la protection de la vie privée.

    Merci.

    Monsieur Dhaliwal.

    Merci, monsieur le président.

    Je vais poursuivre là où vous étiez rendu, monsieur Flaherty.

    Vous connaissez de nombreux exemples que vous ne voulez pas divulguer, et nous ne voulons pas que vous le fassiez, non plus. Nous pouvons toutefois certainement dire que, de façon générale, comme l'a dit M. Hiebert, la plupart des violations de la sécurité ou des violations de la protection des renseignements personnels relèvent des provinces.

    Selon votre expérience, même si vous ne voulez pas divulguer de détails à ce sujet, est-ce que, de façon générale, de nombreuses violations relèvent de la compétence fédérale?

    Il y a plusieurs raisons, que je ne souhaite pas décrire en public, pour lesquelles j'ai moins travaillé à l'échelon fédéral au cours des dernières années que je ne l'ai fait de 1991 à 2003 ou 2004. Les meilleurs exemples que je puisse fournir concernent les provinces et les territoires. Vous savez sûrement que le Manitoba a annoncé, la semaine dernière, qu'il nommerait enfin un commissaire à la protection de la vie privée en bonne et due forme, et que l'ombudsman se verrait, d'après ce que je comprends, retirer ses pouvoirs réglementaires à ce sujet, parce qu'il a beaucoup d'autres choses à faire, et que ces pouvoirs deviendraient ceux du commissaire à la protection de la vie privée du Manitoba. Je crois qu'il s'agit d'un progrès important. La Saskatchewan possède un excellent commissaire à la protection de la vie privée. Toutefois, il n'a pas le pouvoir réglementaire de donner des ordres, et il aimerait bien l'avoir, car il ne peut pas vraiment agir quand on trouve des dossiers dans des boîtes sur le bord de la rue, ou que des dossiers de patients sont retrouvés un peu partout.

    Les violations dont nous n'entendons pas parler, parce qu'elles sont de nature très technique, ce sont les nombreux cas où des données qui sont associées à des identificateurs — comme des numéros d'assurance-maladie personnels et d'autres renseignements qui ne devraient pas être divulgués — sont divulgués à cause d'une erreur humaine ou d'une négligence. Donc, pour revenir à ce que vous disiez plus tôt, je veux le plus possible de technologies permettant d'accroître la protection de la vie privée.

    Comme je vous l'ai peut-être déjà dit, je veux des machines qui surveillent les machines. C'est ce que je souhaite,  tout comme les banques d'ailleurs. Les banques commencent tout juste à mettre en place de tels systèmes. Si une caissière à Prince George communique constamment avec Rimouski, il y a quelque chose qui ne va pas, puisque la plupart des clients devraient se trouver à Prince George. Si une infirmière du service de génétique consulte constamment le dossier de personnes à l'urgence, il y a quelque chose qui ne va pas. Un système électronique nous permettrait d'effectuer une telle surveillance, et un responsable de la sécurité ou de la protection des renseignements personnels pour l'organisation pourrait donner suite aux signalements. Ce pourrait être un système comme le système TILDE.

    C'est donc une des façons dont nous pouvons utiliser la technologie qui existe déjà pour assurer une surveillance et une vérification des transactions. La Social Security Administration, aux États-Unis, et American Express procèdent de cette façon depuis longtemps. D'après ce que je comprends, les banques canadiennes utilisent de plus en plus ce type de surveillance.

    Par ailleurs, certains membres du comité nous ont dit que la Commissaire à la protection de la vie privé avait du retard dans son travail, et qu'elle tentait de régler le problème. Pourtant, quand elle s'est présentée devant nous et que nous lui avons posé la question, elle n'a pas demandé plus de ressources que ce qu'elle a eu au cours des dernières années. Elle a dit qu'elle pouvait maîtriser la situation.

    À quel point la Commissaire à la protection de la vie privée et son service subiraient-ils de la pression supplémentaire si le ministre de la Justice devait mettre en place les réformes que vous proposez?

    Je correspond au stéréotype de l'universitaire, car je ne suis pas très bon pour répondre aux questions concernant les ressources.

    Le coût ne serait certes pas insignifiant, mais je ne crois pas qu'il serait si important. Je crois que toutes les personnes qui travaillent pour un gouvernement ou pour le secteur privé doivent travailler de façon plus efficiente et plus intelligente, et se concentrer sur les tâches à accomplir. Il devrait y avoir plus de personnes qui agissent, plutôt que des groupes de personnes censées agir.

    Les spécialistes de la protection de la vie privée au sein du Commissariat à la protection de la vie privée devraient rencontrer les spécialistes de la protection de la vie privée dans ces divers ministères afin qu'ils puissent régler ces questions de concert au lieu de se battre entre eux, comme ils le font actuellement. Je les appelle les chiens de garde de la vie privée, mais je veux qu'ils agissent de façon non conflictuelle, qu'ils attirent l'attention des personnes qui sont censées s'occuper de la réglementation, qu'ils misent sur la bonne volonté, qu'ils défendent adéquatement la cause de la protection de la vie privée et qu'ils comprennent que, au bout du compte, ce sont les parlementaires qui décident. Si les parlementaires ne prennent pas la bonne décision, les tribunaux peuvent le leur dire, comme ils peuvent le dire à la Commissaire à la protection de la vie privée, si celle-ci n'a pas agi adéquatement.

    Je suis d'accord avec vous pour dire que nous devons protéger la vie privée des Canadiens. Cela concerne toutefois leur dignité personnelle. Le fait de renforcer les lois sur la protection des renseignements personnels entraînerait-il aussi des avantages économiques?

    Richard Posner, célèbre juge et professeur d'économie américain, a écrit un livre sur l'économie de la protection de la vie privée. Nous affirmons que, en principe, la protection de la vie privée est bonne pour les affaires, que la protection de la vie privée est une bonne affaire, que, quand vous vous rendez au Costco ou n'importe où ailleurs et qu'on vous dit dès le départ à quoi serviront vos renseignements personnels, et que c'est bel et bien à cela qu'ils servent... Costco possède une énorme base de données sur 50 millions d'employés à l'échelle de l'Amérique du Nord. De toute évidence, les responsables de l'entreprise utilisent ces données de façon adéquate et ne les utilisent pas à des fins importunes — pour faire du profilage, ou pour d'autres utilisations importunes —, ni à des fins autres que celles établies dès le départ.

    Vous voyez, si vous faites preuve d'ouverture et de transparence en ce qui concerne les renseignements personnels que vous allez recueillir, utiliser, divulguer, conserver et entreposer, les gens sauront ce qui arrivera à leur information lorsqu'ils la communiqueront à tel organisme ou au gouvernement fédéral.

    Merci.

    Monsieur Hiebert.

    Merci, monsieur le président.

    Je vais tenter de reprendre là où j'avais laissé, et je vais vous donner une autre occasion d'expliquer les véritables motifs pour lesquels nous devrions apporter ces changements. Je vous ai demandé des exemples précis. Vous avez laissé entendre que vous ne pouviez pas expliquer en quoi cela s'applique au secteur privé pour des raisons de confidentialité. Vous nous avez donné des exemples concernant les provinces.

    Le seul exemple fédéral auquel je peux penser pour l'instant, c'est le dossier d'impôt des Canadiens. Je pense, en fait, que, si tous ces renseignements devaient être rendus publics, il y aurait bien des gens dans l'embarras, ou bien des gens qui utiliseraient l'information comme levier de négociation. D'ailleurs, je crois aussi savoir que Revenu Canada ferait face à de graves conséquences, y compris des peines prévues par le Code criminel, s'il devait divulguer de tels renseignements. Je crois donc qu'il y a des éléments dissuasifs très convaincants qui font que cela n'arrivera pas.

    Y a-t-il un autre exemple courant que vous pourriez nous donner et qui pourrait nous permettre de justifier le changement colossal que nous envisageons et les dépenses colossales qui pourraient découler d'une telle démarche? En d'autres termes, qu'arrivera-t-il si nous ne dissipons pas ces préoccupations?

    Je n'aime pas me servir d'anecdotes pour justifier des politiques publiques, mais l'Institute for the Study of Privacy Issues, auquel je suis abonné, m'envoie chaque jour de 30 à 50 articles de journaux de langue anglaise de partout dans le monde et de partout au Canada qui portent sur des violations de la vie privée.

    Ce que j'aimerais, c'est obtenir votre adresse de courrier électronique et vous en envoyer un par jour pendant un certain temps. Vous pourriez alors vous constituer un répertoire d'exemples.

    M. Russ Hiebert: Bien sûr.

    M. David Flaherty: La plus importante catastrophe en matière de protection de la vie privée dans le secteur public, dans un pays anglophone, au cours des derniers mois, a eu lieu en novembre ou en décembre. Au Royaume-Uni, des bandes magnétiques contenant des renseignements sur, je pense, 25 millions de personnes, ont été perdues par le service de messagerie qui devait les transporter d'un ministère du gouvernement à un autre. Il s'agit d'une quantité énorme de données. Cet événement a paralysé le gouvernement de Gordon Brown, a entraîné une augmentation des pouvoirs du commissaire à l'information, etc. Ça a été un scandale énorme. On en a parlé chaque jour dans nos journaux pendant un bon bout de temps.

    Je ne veux pas que ce genre de chose se produise. Je veux que chaque Canadien , quand il fournit des renseignements personnels le concernant au gouvernement du Canada, soit convaincu du fait que la Commissaire à la protection de la vie privée exerce une surveillance à titre de chien de garde de la vie privée, que le pays a adopté des règles éclairées pour faire face aux problèmes du XXI^e siècle, et que ces règles seront respectées.

    J'ai beaucoup d'admiration pour la façon dont le secteur privé respecte la LPRPDE et pour les mesures législatives adoptées par la Colombie-Britannique et l'Alberta, mais, malgré tout, presque tous les deux mois, l'Alberta surprend quelqu'un, comme Winners ou une autre entreprise du genre, qui commet des actes qu'il ne devrait pas commettre. Il y a donc encore beaucoup à apprendre.

    Le cas de la protection des renseignements personnels dans le secteur privé est très clair. L'établissement de profils et d'autres mesures incitatives économiques motivent les gens à prendre ces données, à les déformer, à les modifier et à les utiliser de manières dont les Canadiens ne se préoccupent pas. Je suis davantage préoccupé par le gouvernement fédéral

    C'est merveilleux, en passant.

    Plus tôt, vous avez insinué que si l'on adoptait ces dix recommandations toutes en même temps, il y aurait un arrêt soudain des activités du gouvernement en raison des répercussions d'une telle décision. Sans dirigeant principal de la protection des renseignements personnels dans chacune de ces 250 institutions, où commenceriez-vous?

    Avez-vous des recommandations sur la mise en oeuvre? Suggéreriez-vous un délai de dix ans pour l'application de cette exigence en matière de renseignements ou pouvons-nous arriver à tout faire dès le premier jour?

    Je n'y crois pas. C'est comme si vous habitiez dans une maison de 25 ans qui n'a jamais été rénovée et que je suis le designer qui vient vous aider. Vous me demandez où commencer? Devrais-je commencer par la chaudière? Est-ce que je devrais changer le toit? Est-ce que je fais ceci, cela ou autre chose? Je ne me moque pas de vous. Je ne veux pas insinuer que ces dix recommandations de la commissaire à la protection de la vie privée feraient cesser toutes les activités du gouvernement, mais, d'une certaine manière, elles sont si molles, si légères. Je veux dire qu'elle est gentille, car elle vous donne des choses très faciles à accomplir, alors accomplissez-les. Nous devons toutefois en faire beaucoup plus. Je pense qu'il y avait 40 ou 50 points, ou encore plus, dans mon document. Il s'agit d'une remise à neuf complète de la maison. Cette maison est pourrie. J'exagère, et le gouvernement ne m'encensera pas. Il y a des règles et des règlements.

    C'est comme un prêtre qui tente de convertir les convertis avec le tiers d'une Bible. Ne ménageons pas les moyens.

    D'accord.

    Vous avez parlé de la nécessité d'avoir un dirigeant principal de la protection des renseignements personnels dans chaque ministère du gouvernement. J'en conviens. Cependant, serait-il plus efficace au chapitre des coûts de former les directeurs existants au sein de ces ministères afin qu'ils assument cette responsabilité?

    Je pense que le champion de la protection des renseignements personnels à Santé Canada est un sous-ministre adjoint. La seule raison pour laquelle il ou elle n'est pas dirigeant principal de la protection des renseignements personnels est que cette tradition n'existe pas.

    Je crois que la Fondation canadienne des bourses d'études du millénaire et le gouvernement fédéral ont un dirigeant principal de la protection des renseignements personnels. Il y en a d'autres un peu partout. Le gouvernement de l'Ontario, comme je le souligne dans mon document, a un dirigeant principal de la protection des renseignements personnels. Tous les cadres supérieurs doivent avoir une certaine compréhension de la protection des renseignements personnels. J'ai commencé par vous dire que ces dix principes simples sont tout ce que vous devez savoir, mais, plus on s'y intéresse, plus ça devient compliqué. Les études d'impact sur les renseignements personnels abordent les subtilités de la sécurité des normes de chiffrement et des ententes de partage des données.

    Merci.

    Madame Lavallée.

    Merci beaucoup.

    D'abord, monsieur Flaherty, permettez-moi de vous dire que je ne suis pas tout à fait d'accord sur ce que vous avez dit concernant la Loi sur l'accès à l'information. Personnellement, je pense que c'est une loi qui est aussi vieillotte, comme vous l'avez dit, que celle dont on parle actuellement. Je pense entre autres au paragraphe 15(1) qui n'est jamais justifié et aux échéances qui ne sont jamais ou très peu respectées. C'est une vraie calamité. De plus, il n'y a pas possibilité de faire des poursuites judiciaires, et on a pu constater de l'ingérence ministérielle à quelques reprises. Toutes ces raisons, et j'en oublie, me font penser qu'il est extrêmement urgent de se pencher sur l'accès à l'information. Personnellement, j'aurais voulu étudier la Loi sur l'accès à l'information avant la Loi sur la protection des renseignements personnels. Malheureusement, c'est le libéral Charles Hubbard qui a voté, et je pense que Russ Hiebert sera obligé de lui céder la paternité de l'étude que nous faisons actuellement.

    Plus tôt, on a lu les 10 recommandations, et vous avez dit que vous étiez tous d'accord sur cela. La recommandation 6 veut donner le pouvoir discrétionnaire de refuser ou d'abandonner une plainte à la commissaire. Vous avez dit que vous étiez entièrement d'accord sur cette recommandation. Je crois que donner un pouvoir discrétionnaire à la commissaire ne poserait pas de problème actuellement, mais il reste quand même qu'on ne connaît pas l'avenir. Ne serait-il pas mieux de préciser le genre de plainte qu'elle doit refuser ou abandonner? Ne serait-ce pas mieux de faire cela que de dire qu'elle a le pouvoir discrétionnaire d'abandonner une plainte?

    J'ai été choqué d'apprendre l'autre jour qu'il y a maintenant 13 représentants officiels du gouvernement fédéral — l'ombudsman, la vérificatrice générale, etc. La raison pour laquelle j'étais choqué est la suivante: imaginez les risques, les risques accrus de retrouver des gens médiocres ou inefficaces à ces postes. C'est le genre de préoccupation que j'ai par rapport à ces postes élevés.

    J'ai connu tous les commissaires à la protection de la vie privée du Canada — à l'exception de M. Radwanski, et je ne parle pas de lui — et ils étaient tous remplis de sagesse. Ils étaient tous sains. Ce que nous devons déterminer, c'est à quoi l'on veut consacrer les ressources limitées du Commissariat. Le fait d'enquêter sur une plainte après l'autre n'est pas efficace si l'on peut consacrer notre temps à des activités plus productives, comme les vérifications, les visites de lieux, l'enseignement, les conseils d'orientation stratégiques, ainsi de suite.

    Je dois dire, que si vous me réinvitiez, je pourrais vous présenter un exposé sur un amendement de la Loi sur l'accès à l'information ou de toute autre loi sur l'accès à l'information. Je mettrais l'accent sur les mêmes aspects que ceux qui touchent la conformité avec la Loi sur la protection des renseignements personnels. La Loi sur la protection des renseignements personnels doit être bien rédigée, mais, ce qui m'intéresse, c'est l'application efficace de cette loi. De quels mécanismes disposons-nous? Comment enseigner aux gens à accepter une loi sur l'accès à l'information?

    En Colombie-Britannique, la première fois que j'ai visité un certain sous-ministre, il a affirmé: « Écoutez. Nous avons un ombudsman, nous avons un vérificateur général, nous n'avons pas besoin d'un commissaire à l'information et à la protection de la vie privée. » Au cours des deux ans qui ont suivi, je l'ai convaincu, et il est devenu un chef de file, avec ses homologues, de l'importance de la transparence dans une société. C'est sur ce genre de chose que j'aimerais insister en ce qui concerne la Loi sur l'accès à l'information, mais ce n'est pas ce dont nous traitons maintenant.

    Je suis heureux que votre comité existe et qu'il traite d'un sujet aussi large. Je pense que c'est sacrément important. Vous aurez beaucoup de travail pendant longtemps.

    Il y a d'autres recommandations qu'on ne retrouve, à ma connaissance, ni dans votre document ni dans celui de la commissaire. Entre autres, vous avez parlé à plusieurs reprises de la perte de données lors de transferts. Pourquoi n'inscrit-on pas dans la loi une façon de transférer des données?

    Je veux aussi parler de la façon de les détruire. Je vous dis cela pour qu'on organise notre temps en conséquence.

    Vous aurez compris que dans la loi de 1982,

Il n'y a aucune norme de sécurité. Ce qui est inclus dans d'autres textes de loi dans le secteur public au Canada est une norme relative au caractère raisonnable; en vertu de la LPRPDE, on doit déterminer ce qu'une personne raisonnable estimerait acceptable.

    Il n'est donc pas surprenant qu'il y ait des atteintes à la sécurité. La loi devrait également comprendre des exigences pour les avis d'atteintes à la sécurité. Les gens ne prennent pas la question suffisamment au sérieux et ils font n'importe quoi. Il est très difficile d'assurer une bonne sécurité parce qu'il s'agit d'un travail de routine. Dans la mesure du possible, ce sont des machines qui font le travail, et nous incorporons les régimes de sécurité perfectionnés dont nous disposons.

    Je pense que le gouvernement fédéral, étant ce qu'il est, a probablement des pratiques de sécurité pas mal perfectionnées, et que la GRC réalise des évaluations de la menace et des risques et toutes sortes de choses du genre. Il s'agit d'une partie intégrante de la protection de la vie privée. Ce problème n'est probablement pas aussi important ni aussi menaçant que ceux dans d'autres domaines, comme l'absence de consentement et ce genre de choses.

    Ne croyez-vous pas qu'on devrait ajouter dans la loi des mécanismes de transfert des données? Personne ne l'a recommandé jusqu'à maintenant.

    C'est pourquoi j'ai mentionné plus tôt le problème des ententes de partage des données. On ne veut pas nous dire quels renseignements personnels sont échangés entre le Québec, l'Ontario et le gouvernement fédéral, et on nous cache également quel est le mécanisme de transfert. On pourrait ainsi véritablement garantir une sécurité raisonnable. Cela touche au domaine de la sécurité.

    Je pense que vous voulez et que vous devez en venir aux avis d'atteinte à la sécurité. Quand des données sont manquantes, nous devrions en informer les Canadiens immédiatement, et non un mois plus tard. Notre ami du côté du gouvernement a parlé de l'usurpation de l'identité. Il s'agit d'un problème très grave. Ma carte de crédit a été compromise le mois dernier. J'étais très mécontent. C'était la première fois que cela m'arrivait. Ce n'était pas comme si ma maison avait été cambriolée, mais c'était une expérience très déplaisante.

    Je n'en doute pas.

    Monsieur Dhaliwal.

    Merci, monsieur le président.

    Monsieur Flaherty, j'ai rencontré quelques personnes hier. La raison de la rencontre était tout autre, mais je reviendrai sur ce problème plus tard. La rencontre portait sur les numéros de téléphone à usage restreint. On ne peut pas vous appeler à ces numéros de téléphone à moins que ce ne soit pour des motifs particuliers. Ces motifs comprennent les études de marché, qui sont très importantes pour le domaine de la recherche, de l'innovation et de la technologie.

    Quelles limites imposeriez-vous pour garantir la protection de la vie privée quand il s'agit de recueillir des renseignements personnels aux fins de recherches?

    Ce que je vais vous dire pourrait vous surprendre compte tenu des positions que j'ai adoptées. J'appuie largement la recherche et la surveillance de la santé publique, ainsi que les grands projets de recherche. J'ai d'excellents clients à l'UBC, qui font un travail exceptionnel dans des domaines comme les soins aux enfants et la protection des enfants. Entre autres, ils évaluent la santé, la vision et l'ouïe des enfants au fil du temps. Je m'assure simplement qu'ils se conforment aux principes de la protection de la vie privée, ce qui est très important afin que des problèmes à cet égard ne fassent pas surface aux étapes ultérieures du travail.

    Je trouve très déplaisant de me faire appeler à la maison par des gens à qui je ne veux pas parler et je suis impatient de me retrouver sur la liste de numéros de téléphone exclus. Michael Geist, de l'Université d'Ottawa, a créé sa propre liste de numéros de téléphone exclus, et je me suis inscrit le premier jour. Je reconnais l'importance des études de marché et des sondages politiques. Je sais qu'Ipsos Reid doit s'informer de ce que pensent les Canadiens sur tel ou tel sujet, mais la frontière est mince. Certaines personnes aiment qu'on les appelle. Certains aiment recevoir les circulaires, et il s'agit d'un droit individuel. Avant, je me plaignais beaucoup plus des circulaires. Il y a une poubelle entre ma boîte à lettres et mon bureau, et je jette toutes les circulaires que je ne veux pas regarder à la poubelle.

    Ce n'est pas une très bonne réponse, et je n'ai rien de très pertinent à dire sur la liste de numéros de téléphone exclus. Comme dans tout, il y a un juste milieu. Nous devons trouver le juste milieu entre nos intérêts relatifs à la vie privée et l'exécution de la loi, entre nos intérêts relatifs à la vie privée et la sécurité nationale, entre la nécessité de fournir de l'information pour obtenir des soins de santé et la certitude que ces renseignements seront protégés de manière appropriée quand nous les fournissons.

    En fait, j'aurais dû vous donner des exemples en matière de soins de santé. Cela aurait été plus facile parce que c'est dans ce domaine que je travaille la plupart du temps.

    Je vous remercie d'être venu.

    M. Geist est censé venir. Nous lui poserons donc ces questions.

    M. Hiebert. Puis, M. Nadeau.

    Les Canadiens se sont montrés très préoccupés par le problème de l'usurpation d'identité. En ce qui concerne le gouvernement et les particuliers, comment le gouvernement peut-il prévenir l'usurpation d'identité? Comment les particuliers peuvent-ils se protéger?

    J'ai préparé tout un numéro sur l'importance de sensibiliser les gens à la protection de la vie privée en tant que droit de la personne et de faire en sorte qu'ils soient préoccupés par cette question. Les commissaires à la vie privée ont fait certaines choses positives, comme donner des trousses aux parents pour leurs enfants et assurer une formation dans les écoles sur l'importance de faire attention quand on utilise Facebook et quand on fournit des renseignements au téléphone, par exemple, ce qui a été inclus dans la formation générale.

    En fait, je crois qu'au bout du compte, chacun doit être son propre commissaire à la vie privée. Je vous laisse sur cette idée. On ne devrait pas tout simplement dépendre de la commissaire à la vie privée du Canada pour protéger nos intérêts en matière de vie privée. Cependant, s'il y a un problème, on devrait s'adresser à la commissaire pour déposer une plainte. On peut alors s'attendre à ce qu'elle utilise des mécanismes très perfectionnés, comme c'est le cas à Statistique Canada ou à Revenu Canada, pour protéger nos renseignements personnels... Même s'ils disent qu'ils feront telle chose, sont-ils en train de faire autre chose? Qui s'en assure? Qui est l'inspecteur?

    Je n'ai pas entendu de réponse à la question sur ce que les Canadiens peuvent faire. J'apprécie votre commentaire nous encourageant à agir en tant que protecteur de notre propre vie privée, mais en ce qui concerne Statistique Canada — cette question était soulevée lors de la dernière réunion du comité —pensez-vous que Statistique Canada devrait avoir le droit d'exiger des Canadiens qu'ils fournissent leurs renseignements personnels?

    Eh bien, le Parlement lui a donné ce droit en 1905 quand il a promulgué la Loi du recensement et des statistiques.

    Quelle est votre opinion?

    L'un de mes premiers livres sur la vie privée, qui a été publié en 1978 ou en 1979, portait sur les organisations de statistiques dans le monde. Il abordait l'importance de l'utilisation des données individuelles pour les recherches épidémiologiques et statistiques, et ainsi de suite. La loi sur la vie privée la plus rigoureuse au pays régit Statistique Canada. Il ne peut communiquer d'information reconnaissable dans aucune circonstance. À mesure que les textes de loi sont présentés au Parlement, quel que soit le sujet sur lequel ils portent, s'ils concernent les renseignements personnels, on devrait inclure des dispositions spécialisées sur la vie privée qui s'appliquent à une banque de données sur l'exécution de la loi, comme CIPC ou la banque de données de surveillance publique de Santé Canada, etc.

    On peut facilement renforcer la Loi sur la protection des renseignements personnels en y ajoutant des dispositions sur la vie privée à mesure que chaque projet de loi est adopté. Il s'agit d'une forme plus spécialisée de protection des données. Incidemment, les États-Unis le font très bien.

    Le fait que Statistique Canada recueille toutes sortes d'informations personnelles ne vous pose pas problème?

    Je suis un professeur et un chercheur. Je viens de travailler à l'enquête sur la santé régionale pour l'Assemblée des Premières nations. J'ai demandé aux responsables s'ils voulaient vraiment qu'on entre chez les gens et qu'on demande à des enfants, à des adolescents et à des adultes de répondre à des questions très délicates et personnelles sur la toxicomanie, les agressions sexuelles, les pensionnats et les pratiques sexuelles. Ils ont répondu qu'ils ne le feraient qu'avec le consentement du chef et du conseil de bande, et qu'il devait y avoir un consensus. Dans mon rapport sur l'incidence sur la protection de la vie privée, c'était l'une des questions que je posais. Ils ont répondu: « Nous avons besoin de cette information ».

    Les Canadiens devraient-ils avoir à donner leur consentement à Statistique Canada pour remplir leurs formulaires?

    Le recensement de la population est obligatoire, à coup sûr. J'adorais ça quand j'étais commissaire à la vie privée. J'avais une enquête sur l'emploi, et ils étaient tous nerveux parce qu'ils ne savaient pas ce que je ferais, mais j'étais très heureux de participer. Je les ai épiés de mes yeux de lynx. Ils n'ont rien fait de mal. Je répète que dans les notes en bas de page de mon document, j'ai cité en exemple Ivan Fellegi, statisticien en chef du Canada depuis toujours, en guise de modèle de personne qui a réussi à mettre en oeuvre des mécanismes de protection de la vie privée à Statistique Canada pour gérer ce problème de manière efficace. J'ai déjà fait pas mal de travail pour cette organisation, mais ses responsables se débrouillent maintenant tout seuls.

    D'accord.

    Monsieur Nadeau.

    Merci, monsieur le président.

    Vous avez parlé plus tôt du cadre de gestion des risques. Pouvez-vous être plus spécifique et nous dire comment, de façon concrète, on pourrait s'assurer d'une gestion des risques adéquate et respectueuse de la loi?

    Je travaillais pour un client en Colombie-Britannique l'année dernière; il s'agissait d'une société d'État qui traitait beaucoup de renseignements personnels de nature délicate. Elle a fait une évaluation des risques liés à ses relations dans les secteurs public et privé. C'était un examen très pointu de la gestion des risques en matière de protection de la vie privée, et il y avait même une échelle d'évaluation de 1 à 10. J'étais très sceptique, mais l'évaluation a très bien été gérée, et la société d'État a pu déterminer les dix risques les plus importants en matière de protection de la vie privée. Elle a été capable de le faire parce qu'un grand nombre de personnes au sein de l'organisation ont travaillé de concert.

    Je ne pense pas que ce soit le cas dans le gouvernement fédéral, mais je ne le sais pas vraiment. Ça devrait l'être. La raison pour laquelle j'aborde la gestion des risques en matière de protection de la vie privée, c'est que les cadres supérieurs doivent continuellement assurer la gestion des risques. Je veux que les responsables de la gestion des risques financiers, des risques en matière de relations de travail et même des risques en matière de ressources tiennent compte de tous ces risques quand ils abordent le sujet de la vie privée. Il y a des risques que les données soient perdues, qu'elles soient utilisées pour d'autres motifs que ceux prévus ou pour causer du tort à des personnes; elles peuvent être volées ou utilisées pour s'immiscer dans la vie privée de personnes qui consultent des bases de données; elles peuvent même être vendues à des éléments criminels.

    J'ai une autre question à poser, monsieur de président, et elle touche la destruction des documents.

     On connaît le processus. Il arrive un moment où un document est jugé non adéquat. Comment voyez-vous la gestion de la destruction des documents?

    La mesure la plus importante que l'on peut prendre pour protéger la vie privée des Canadiens est probablement de détruire plus de renseignements personnels. Plus tôt, je vous ai mentionné que j'ai travaillé pour des organisations qui existent depuis 25 ou 30 ans, ou plus. Elles n'ont jamais rien détruit, en partie parce que certaines d'entre elles n'ont jamais eu de calendriers de gestion des documents. Elles gardent 85 000 boîtes dans des entrepôts aux frais des contribuables. C'est complètement fou.

    Les responsables des hôpitaux font du bon travail. Si vous n'y êtes pas allé depuis neuf ans, ils détruisent votre dossier médical. Si vous êtes né dans un hôpital et que vous continuez d'y retourner à chaque année, vous auriez un dossier médical complet de votre naissance à votre décès. Cela est parfaitement acceptable.

    Vous voulez un argument économique? Débarrassons-nous de ces immenses entrepôts de documents dont on ne peut plus se servir. Ils ne servent plus à personne. Si ce sont des documents qui ont une importance historique, comme des mémoires ou des lettres, les archivistes sauront comment le déterminer. La destruction des données est donc d'une grande importance.

    Les Français ont inclus un concept merveilleux dans leur loi sur la vie privée. Il s'agit du droit à l'oubli. C'est un concept très important. Nous devons l'incorporer dans nos pratiques canadiennes en matière de protection de la vie privée, plutôt que dans nos lois. Débarrassons-nous des documents. Si vous n'en avez plus besoin, brûlez-les.

    Avez-vous terminé, monsieur Nadeau?

    J'ai encore une question à poser, monsieur le président, et ce sera la dernière.

     Je cherche des exemples simples. On parle de nos concitoyens, on parle des projets de loi auxquels on travaille, en particulier de celui-ci, qui porte sur les renseignements personnels. Cela nous touche. On se demande ce qu'il en est de notre vie privée et si le gouvernement, les sociétés et les compagnies peuvent venir fouiller dans notre vie privée. Vous avez donné des exemples plus tôt. Avez-vous des exemples simples qui constituent un argument solide montrant la pertinence du changement de cette loi pour protéger adéquatement les citoyens et citoyennes?

    J'ai expliqué tantôt, en réponse à une question semblable, que certains jours, des histoires d'horreur terribles me reviennent à la mémoire. D'autres jours, je n'arrive pas à m'en souvenir. Aujourd'hui, je n'ai pas d'histoires d'horreur à l'esprit, en partie parce que je préfère les oublier et parce qu'elles sont si choquantes qu'elles n'auraient dû jamais arriver. Je pense que si vous consultez votre journal chaque jour au cours du prochain mois, vous trouverez un grand nombre d'histoires d'horreur liées à la vie privée — c'est comme ça que nous les appelons — ou des désastres en matière de vie privée; il s'agit d'événements qui n'auraient jamais dû avoir lieu.

    Il est important de souligner qu'on estime que 30 à 40 p. 100 des Canadiens sont très protecteurs de leur vie privée. Vous n'avez qu'à leur demander leur numéro d'assurance sociale, et ils sont tout énervés. Pourtant, je sais que si vous avez un numéro d'assurance sociale et que vous vous tuez à appeler à Bathurst, au Nouveau-Brunswick, où est tenu le Registre des numéros d'assurance sociale, ils ne vous diront jamais rien.

    C'est l'une des raisons pour lesquelles le gouvernement fédéral devrait assurer une gestion saine des renseignements personnels fondée sur des lois rigoureuses. On pourrait ainsi réduire la paranoïa parmi la population et faire en sorte qu'elle sache que le gouvernement du Canada respecte ses renseignements personnels, les utilise pour des motifs légitimes, s'en sert de manières autorisées, les détruit quand ils devraient l'être et établit des liens entre eux pour déterminer dans quelle mesure vous risquez d'être atteint d'une maladie particulière, par exemple.

    Je suis très enthousiasmé par certaines initiatives qui seront mises en oeuvre pour surveiller la santé de larges pans de la population sur de longues périodes. Cela peut être fait d'une manière qui protège la vie privée, ce qui est véritablement dans l'intérêt du public. Je ne suis donc pas réactionnaire.

    Merci.

    Monsieur Hiebert. Puis, monsieur Norlock.

    Monsieur Flaherty, plus tôt, vous avez parlé des dix commandements qui s'appliquent au secteur privé. L'un de ces commandements était le consentement. Vous l'avez appelé la loi de « l'adultère ».

    Dans ma dernière série de questions, nous avons parlé de Statistique Canada. Vous sembliez insinuer que les Canadiens ne devraient pas nécessairement avoir à donner leur consentement parce que Statistique Canada protège très bien leurs renseignements personnels.

    Ai-je raison de dire que cette exigence relative au consentement est une norme qui s'applique différemment dans le contexte du gouvernement que dans celui du secteur privé? Le gouvernement est une institution unique — il est au service de la communauté et n'a pas d'intérêts économiques privés — la norme est-elle différente?

    Il est vrai que le Parlement a décidé que la norme relative au consentement est beaucoup plus sévère pour le secteur privé que pour le secteur public, où il n'y a presque pas de normes à cet égard. Dans la Loi sur la protection des renseignements personnels, il y a une exigence selon laquelle on devrait seulement utiliser les renseignements personnels sans le consentement de la personne pour des motifs extrêmement limités.

    J'essayais de renverser les rôles, d'une certaine manière, quand je vous ai demandé qui a établi la norme de consentement pour Statistique Canada; c'était le Parlement, particulièrement pour le recensement de la population. Je crois que la plupart des autres enquêtes que Statistique Canada réalise exigent un consentement. Personne ne vous dira: « Vous êtes inclus dans cette enquête pendant cinq ans ». Ce n'est donc pas un bon exemple en ce qui concerne le consentement.

    Quand vous consultez votre médecin, il travaille selon le principe du consentement éclairé. Aujourd'hui, si vous allez à la banque — et ce devrait être la même chose à Revenu Canada — dès la première transaction que vous faites, vous devriez être au courant de leurs pratiques en matière de protection de la vie privée et vous assurer qu'ils ne communiquent pas vos renseignements personnels reconnaissables à quiconque, sans votre consentement. Ils le font assez bien. J'ai un comptable qui fait du travail pour mon entreprise. Revenu Canada exige que mon comptable obtienne ma signature pour avoir le droit de discuter de mes affaires personnelles. Ils font très attention.

    Je suppose que ce que je veux dire, c'est que l'on ne peut pas simplement adopter les dix commandements qui s'appliquent à la protection de la vie privée dans le secteur privé au secteur public. Les problèmes tels que le consentement, et il y en a peut-être d'autres — je ne les ai pas tous sondés — ne s'appliquent pas simplement de la même manière.

    Avec tout le respect que je vous dois, je ne suis pas d'accord avec vous. Je veux...

    J'agis en quelque sorte à titre de défenseur de la vie privée ici — on pourrait presque dire que je suis un extrémiste. Certains de mes amis ne seront peut-être pas d'accord; ils seront libres de dire ce qu'ils pensent quand ce sera leur tour.

    Je voudrais qu'on obtienne un consentement dans tous les cas où c'est possible. Évidemment, si je me rends à une salle d'urgence et que je suis inconscient, les responsables du service ne peuvent pas obtenir mes renseignements personnels. La question dans ce cas porte davantage sur le consentement au traitement que sur le consentement à la divulgation de renseignements. Vous savez que nous parlons du consentement à la divulgation de renseignements et vous avez absolument raison. Je voudrais que le gouvernement fédéral respecte ma vie privée autant que le font mes courtiers en placements, les représentants de ma compagnie d'assurance auto en Colombie-Britannique, etc.

    Oui, mais si la GRC vous arrête ou si un agent de l'ASFC vous retient à la frontière, ou si le vérificateur de l'impôt se rend à votre entreprise et dit « Je veux vos renseignements », les gouvernements ne peuvent pas raisonnablement affirmer que, sans votre consentement, vous n'avez pas besoin de répondre aux questions de ces personnes. La norme n'est donc pas la même.

    Oui, oui. Les obligations ne sont pas les mêmes.

    La fin de semaine dernière, il y avait une bande dessinée formidable dans un journal national. Dans la bande dessinée, on frappe à la porte en s'annonçant: « Vérificateur »; et l'autre répond: « Je ne suis pas intéressé ».

    Évidemment, le gouvernement a des obligations et des tâches à accomplir. Parfois, des renseignements sont recueillis sur nous de manière coercitive. Cependant, la Cour suprême du Canada a affirmé récemment: « Merci beaucoup, mais vous pouvez seulement utiliser des chiens renifleurs dans les terminus de Greyhound et dans les écoles dans certaines circonstances, s'il y a une cause raisonnable. » En traversant la frontière, quelqu'un pourrait...

    J'ai déjà été retenu pendant un trajet vers l'Angleterre parce que j'ai souri à quelqu'un — c'est la dernière fois que je fais un sourire à l'un de ces types. Ils m'ont harcelé, et je suis si gentil quand je vais à l'étranger.

    L'argument que je veux présenter est que vous avez une norme très rigoureuse pour le secteur privé, que vous avez établie dans la LPRPDE — et dans la PIPA en Alberta et en Colombie-Britannique, ainsi que dans les lois québécoises — alors pourquoi laisser le gouvernement s'en tirer à bon compte? Nous ne voulons pas que le gouvernement arrête de faire ce qu'un gouvernement doit faire, mais il doit suivre les règles relatives à la collecte, l'utilisation, la communication, la sécurité, la destruction, la conservation et la gestion des renseignements personnels.

    Merci.

    M. Norlock a une question.

    Oui, eh bien...

    Quand vais-je arrêter de parler — c'est probablement la question.

    Non, non, pas du tout. Je vous trouve très intéressant.

    Une question.

    J'aimerais qu'on reparle de la manière dont la Loi sur la protection des renseignements personnels fonctionnerait si on suivait votre recommandation. Quel serait le moyen le plus simple de le faire sans tomber dans la bureaucratie, ce que nous voulons tous deux éviter à tout prix?

    Comme je viens d'un autre gouvernement, il me semble que ce que vous dites est que nous disposons actuellement de la commissaire à la vie privée et de son personnel, et que nous n'avons pas vraiment besoin d'élargir ce mécanisme. Nous devons plutôt suivre ces recommandations et réduire sa charge de travail afin que son personnel et elle — par l'entremise de décrets, du gouvernement et du consentement des autres ministères du gouvernement — puissent former des gens qui sont déjà au sein de ces ministères sur la meilleure manière de garantir que la Loi sur la protection des renseignements personnels est appliquée au sein de leur organisme. Si on fait cela et si c'est effectivement votre recommandation, outre l'adoption de bonnes lois, il n'y a pas grand-chose à faire.

    Pouvons-nous résumer ce dont nous parlions de cette manière?

    C'est une excellente explication de ce que je veux.

    Actuellement, les ministères du gouvernement affirment qu'il incombe à la commissaire à la vie privée de faire fonctionner la Loi sur la protection des renseignements personnels, même si cette dernière est pourrie. Le Conseil du Trésor n'a pas fait son travail, à l'exception de ce qui concerne les politiques.

    Dans les années 80, Peter Gillis a fourni une bonne direction en ce qui concerne la politique administrative permettant de faire fonctionner la Loi sur la protection des renseignements personnels en pratique. Le gouvernement doit toutefois en faire davantage pour assurer l'application de la Loi sur la protection des renseignements personnels en recrutant des gens qui n'appartiennent pas au Commissariat à la protection de la vie privée et qui savent ce qu'ils font — des dirigeants principaux de la protection des renseignements personnels — exactement comme vous l'avez décrit. Le fardeau du personnel de la Commissaire à la vie privée serait ainsi réduit parce qu'il aura assuré une sensibilisation à la vie privée et une culture de la vie privée, et aura formé des champions de ce domaine au sein de toutes les institutions fédérales.

    Tout le monde a des renseignements personnels. Nous n'avons pas parlé des droits en matière de protection de la vie privée des employés. Il y a 217 000 personnes au gouvernement fédéral dont les renseignements personnels tirés de leur lieu de travail se retrouvent partout. Toutes sortes de fournisseurs de services, de fournisseurs d'assurance-invalidité ont accès à ces renseignements, et, en vertu de ces contrats, les obligations en matière de protection de la vie privée de l'employeur, c'est-à-dire le gouvernement du Canada, ne s'appliquent peut-être pas aux fournisseurs de services. On parle de quelque chose de tout à fait différent.

    L'une des mesures exceptionnelles qui ont été prises en Colombie-Britannique était une annexe de la protection de la vie privée qui, dans la foulée de la Patriot Act américaine, devait toujours être jointe aux contrats des universités, des sociétés, des sociétés d'État et des institutions gouvernementales avec des fournisseurs de services, dont Sun Micorsystems, IBM ou Manuvie. Il reste donc beaucoup de travail à faire.

    Les institutions gouvernementales doivent faire une grande partie de ce travail elles-mêmes dans l'intérêt de la diligence raisonnable et de la gestion prudente des renseignements si elles veulent continuer de bénéficier de la confiance des Canadiens.

    Monsieur Flaherty, merci beaucoup, monsieur. Vous avez survécu...

    De justesse.

    ... près de deux heures par vous-même, et nous sommes heureux que vous nous ayez donné matière à réflexion. Je vous remercie au nom du comité.

    S'il n'y a rien d'autre, nous reprendrons nos travaux le  mardi 13 mai à 15 h 30. La séance est levée.

    Merci monsieur.