ETHI Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique
|
l |
|
l |
|
TÉMOIGNAGES
Le jeudi 1er novembre 2018
[Enregistrement électronique]
[Traduction]
Bienvenue à tous et à toutes à la réunion 124 du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique. Conformément au sous-alinéa 108(3)h)(vii) du Règlement, nous étudions une atteinte à la sécurité des renseignements personnels associée à Cambridge Analytica et Facebook.
La réunion se divise en deux parties, d'environ 45 minutes chacune, un peu moins en raison des votes que nous venons de tenir. Nous accueillons deux représentants d'Élections Canada, soit le directeur général des élections, M. Stéphane Perrault, et la sous-directrice générale des élections, Affaires réglementaires, Mme Anne Lawson.
Nous avons aussi avec nous des gens du CRTC, le Conseil de la radiodiffusion et des télécommunications canadiennes: Mme Rachelle Frenette, conseillère juridique; M. Scott Hutton, directeur exécutif, Radiodiffusion; et M. Neil Barratt, directeur, Mise en application du commerce électronique. Nous allons commencer par M. Perrault.
Allez-y.
Merci, monsieur le président.
Comme le temps est compté, je vais utiliser une version un peu tronquée de mon discours. Si vous me voyez sauter des paragraphes, c’est pour gagner du temps.
[Français]
Je vous remercie de me donner l'occasion de m'adresser au Comité.
J'aimerais aborder quatre sujets qui ont retenu l'attention d'Élections Canada et qui sont directement liés à votre étude: l'ingérence étrangère dans les élections, l'information numérique, la cybersécurité et la protection des renseignements personnels.
Je suis heureux de pouvoir expliquer au Comité le rôle spécifique que joue Élections Canada afin de préserver la confiance dans le processus électoral et de pouvoir parler des domaines dans lesquels nous collaborons avec d'autres, puisqu'il n'y a pas de solution unique et qu'aucun organisme ne peut, à lui seul, contrer ces menaces.
Je vais d'abord parler de la question de l'ingérence étrangère, qui recoupe en partie les trois autres sujets que j'ai mentionnés.
Au Canada, les préoccupations récentes à propos de l'ingérence étrangère tournent principalement autour du financement étranger de tiers, soit des entités qui participent à l'élection et au débat électoral, mais pas directement comme candidats ou comme partis.
Le projet de loi C-76 élargirait considérablement le régime actuel qui réglemente les tiers et inclurait diverses mesures visant à éliminer la possibilité d'utiliser des fonds provenant de l'étranger lors des élections canadiennes. Ces mesures comprennent en outre une clause anti-évitement et une interdiction de vendre de l'espace publicitaire à des entités étrangères.
Comme vous le savez, l'ingérence étrangère peut aussi, évidemment, prendre d'autres formes, comme des campagnes de désinformation et des cyberattaques.
L'expansion des médias sociaux et du Web a transformé le domaine de l'information. Les citoyens n'ont pas seulement du mal à déterminer qui est un journaliste, ils ont aussi peu de chances de savoir si un robot ou un humain est à l'origine d'une publicité ou d'une publication dans les médias sociaux, ou si celle-ci exprime une opinion réelle ou fait partie d'une campagne d'influence nationale ou étrangère.
Il n'y a pas de solution simple. Toutefois, des éléments de réponse prennent forme. Les efforts visant à améliorer la culture numérique sont, à mon avis, essentiels. Je dois dire qu'il est rassurant de savoir que les Canadiens se méfient de plus en plus de ce qu'ils voient et de ce qu'ils lisent dans les médias sociaux. J'ajouterais qu'ils font confiance, de façon générale, aux médias traditionnels.
Le projet de loi C-76 obligerait les plateformes de médias sociaux à publier et à conserver un registre des publicités électorales et partisanes. C'est certainement un pas dans la bonne direction, qui appuie la transparence et facilite l'exécution de la loi.
De plus, le projet de loi C-76 clarifierait et élargirait les dispositions actuelles qui visent certaines formes d'usurpation d'identité en ligne, de même que certaines fausses déclarations concernant les candidats.
[Traduction]
Le rôle particulier et essentiel d’Élections Canada est de veiller à ce que les Canadiens aient facilement accès à de l'information exacte sur le processus de vote et qu'ils sachent où, quand et comment s’inscrire et voter.
En prévision de la prochaine élection générale, nous allons lancer une campagne d’information dès le printemps prochain. Nous surveillerons aussi les médias sociaux tout au long de la période électorale pour être en mesure de corriger rapidement toute information inexacte sur le processus de vote. De plus, nous créerons un répertoire en ligne de toutes nos communications publiques, afin que les citoyens et les journalistes puissent vérifier si une information qui semble provenir d’Élections Canada vient vraiment de nous. J’ai d'ailleurs encouragé les partis politiques à faire de même avec leurs propres communications, se doter d'un dépôt central de leurs communications.
De concert avec le commissaire aux élections fédérales, nous avons aussi consulté des représentants des réseaux sociaux afin de mieux comprendre leur fonctionnement et d’établir des canaux de communication pour réagir rapidement en cas d'incidents.
Un troisième sujet de préoccupation est la cybersécurité. Même si nous comptons toujours sur le dépouillement à la main des bulletins en papier, Élections Canada offre de plus en plus de services en ligne aux électeurs, aux candidats et aux partis politiques. Une de mes principales responsabilités est de protéger les actifs numériques d’Élections Canada, d'après les conseils et le savoir-faire de nos partenaires fédéraux en matière de sécurité.
Au cours des deux dernières années, nous avons fait d’importants investissements pour renouveler notre infrastructure de technologie de l'information et renforcer notre dispositif et nos pratiques de sécurité. Dans le cadre de cet effort, nous offrons aussi des séances de sensibilisation à la sécurité au personnel de l’administration centrale et aux 338 directeurs du scrutin sur le terrain.
Les autres participants au processus électoral, dont les médias et les partis, doivent aussi se protéger contre le piratage. Le Centre canadien pour la cybersécurité offre d’excellentes ressources et de très bons conseils à tous. Certaines mesures sont peu coûteuses et peuvent être très efficaces. D’autres par contre peuvent exiger des investissements considérables.
Dans ce contexte, le Comité voudra peut-être évaluer la nécessité d'accorder éventuellement une subvention spéciale aux partis pour les aider à mettre à niveau et améliorer la sécurité de leurs systèmes informatiques, et examiner des moyens d'établir une subvention équitable. Je me rends compte d’après mes propres investissements à Élections Canada de ce qu'il en coûte. Mais je crois qu’il est dans l’intérêt public, non dans l’intérêt privé des partis politiques, d'avoir les ressources nécessaires pour absorber la hausse du coût de la cybersécurité.
Le dernier point que je veux aborder est celui de la protection de la vie privée. Le Comité a recommandé que les partis politiques soient assujettis aux règles de base en la matière et à la surveillance du commissaire à la protection de la vie privée du Canada. C’est une recommandation que j’appuie et que j’ai faite dans le contexte du projet de loi C-76. J’ai été déçu qu'elle ne soit pas retenue.
Les partis, comme vous le savez, comptent de plus en plus sur les données des électeurs pour appuyer leurs activités de financement et de campagne. Ces données peuvent comprendre, outre les renseignements que nous fournissons aux partis et aux candidats, des renseignements sur l’affiliation ou l'allégeance politique, les activités bénévoles ou toute autre information que le parti juge utile à ses fins.
Le projet de loi C-76 obligerait les partis à publier leur propre politique de protection de la vie privée. C’est un petit pas dans la bonne direction, vu que le projet de loi ne prévoit aucune norme minimale ni aucune surveillance.
Le projet de loi C-76 ne dit pas non plus si les partis politiques devraient offrir un mécanisme permettant aux Canadiens de vérifier et de corriger toute information qu'ils détiennent sur eux. Bien sûr, rien n’empêche les partis de le faire ou de prendre d’autres mesures pour rassurer les Canadiens au sujet de la collecte, de l’utilisation et de la protection de leurs renseignements.
On a fait remarquer que les partis avaient tout intérêt à adopter de solides politiques et pratiques à l'égard de la vie privée, et je crois que c’est vrai. Mais surtout, je crois que c'est la démocratie électorale qui y gagne beaucoup.
Monsieur le président, j’aimerais conclure en soulignant l’importance du travail entrepris par le Comité. Je me ferai un plaisir de répondre aux questions de ses membres.
Merci.
Merci, monsieur le président, de me donner l’occasion de participer à cette importante réflexion que mène le Comité afin de mieux protéger les données personnelles des Canadiens.
Je vous épargne les présentations, pour gagner un peu de temps.
Comme le savent les membres du Comité, le CRTC tire ses attributions de différents textes législatifs. La Loi sur la radiodiffusion l'autorise à réglementer l’industrie en vue d’atteindre des objectifs précis, notamment d’encourager la création et la promotion de contenu produit par des Canadiens et qui représente les Canadiens dans toutes leurs facettes.
[Français]
De même, la Loi sur les télécommunications confie au CRTC la mission de réglementer l'industrie des télécommunications en vue d'atteindre des objectifs précis. Il s'agit, par exemple, de veiller à ce que les Canadiens dans les régions urbaines et rurales aient accès à des services de télécommunications fiables, abordables et de grande qualité.
La Loi sur les télécommunication donne également au CRTC le pouvoir de réglementer les télécommunications non sollicitées et de prendre des mesures coercitives contre les télévendeurs qui ne respectent pas la loi.
Pour sa part, la Loi canadienne anti-pourriel autorise le CRTC à réglementer des types précis de communications électroniques. Il s'agit notamment de la transmission de messages électroniques commerciaux, de la modification des données de transmission dans un message électronique et de l'installation de programmes informatiques sur l'ordinateur d'une personne.
Comme tous les autres ministères et organismes fédéraux, le CRTC est bien évidemment tenu de respecter la Loi sur la protection des renseignements personnels du Canada.
La Loi sur les télécommunications oblige également le secteur des télécommunications à contribuer à la protection de la vie privée des particuliers. Les politiques du CRTC en la matière se limitent à la protection des renseignements confidentiels que détiennent les fournisseurs de services de télécommunications au sujet des consommateurs.
[Traduction]
Le CRTC est reconnaissant au Comité pour son travail sur les plateformes numériques. En début d’année, nous avons publié un rapport intitulé Emboîter le pas au changement: L’avenir de la distribution de la programmation au Canada. Le point de vue adopté s’appuie bien évidemment sur le mandat du CRTC. Ainsi, le rapport se concentre en grande partie sur la création, la distribution et la promotion de contenu audiovisuel canadien.
À l’ère numérique, les utilisateurs ont désormais accès à un choix de plus en plus riche de contenu et de plateformes. Par conséquent, l’approche réglementaire traditionnelle permet de moins en moins d’atteindre les objectifs énoncés dans des lois comme la Loi sur la radiodiffusion. Le rapport propose donc des approches novatrices en matière de politiques et de réglementation, des approches faisant appel aux plateformes numériques qui fournissent du contenu audiovisuel aux Canadiens.
[Français]
Nous avons proposé que toute nouvelle approche soit guidée par trois principes.
Le premier principe est que les approches réglementaires futures soient non seulement axées sur la production et la promotion de contenu de grande qualité, produit par les Canadiens, mais aussi sur la visibilité de ces émissions.
Le deuxième principe est que toutes les parties qui tirent profit d'une participation au système de radiodiffusion devraient contribuer au système de manière appropriée et équitable. Les nouvelles politiques et les nouveaux règlements doivent tenir compte du fait que les responsabilités sociales et culturelles liées à l'exploitation au Canada s'appliquent aux plateformes numériques.
Le troisième principe est que les lois et les règlements futurs doivent être souples et pouvoir s'adapter facilement à l'évolution constante des technologies et du comportement des consommateurs.
Le rapport présente également certaines possibilités offertes par l'évolution des technologies numériques. Par exemple, des données sur la façon dont les personnes trouvent du contenu, le sélectionnent et l'utilisent, pourraient orienter la création et la distribution de contenu de manière à appuyer les objectifs plus vastes du Canada.
[Traduction]
Cela dit, nous sommes conscients du fait que les technologies des communications numériques présentent des risques particuliers pour la protection des renseignements personnels. Le rapport présente le problème dans les termes suivants:
L’élaboration de services en ligne de ce genre mène aussi à la mauvaise utilisation des données — par exemple, en portant atteinte à la vie privée des Canadiens — surtout lorsqu’elles sont recueillies sans la permission des utilisateurs ou sans qu’ils le sachent. Les données peuvent aussi servir à des fins de désinformation ou de manipulation au moyen du partage d’information erronée, ce qui peut avoir un effet néfaste sur les procédés démocratiques, les relations avec autrui et la vision qu’ont les Canadiens du monde.
Le CRTC croit fermement que la protection des données personnelles et la prévention des abus doivent demeurer la priorité. Toutefois, les cadres législatif et réglementaire qui gouvernent la protection de la vie privée et l’utilisation des données personnelles ne font pas partie du mandat du CRTC en matière de radiodiffusion.
Merci.
Nous ferons de notre mieux pour répondre à vos questions.
Merci, monsieur Hutton.
Nous ouvrons maintenant la première ronde de questions, avec Mme Vandenbeld, qui aura sept minutes.
Merci beaucoup.
La plupart de mes questions s’adressent à Élections Canada et à M. Perrault. Étant donné que je siégeais au comité de la procédure lors de l'étude des recommandations du directeur général des élections après les dernières élections, c’est un sujet qui m’intéresse beaucoup, comme c’est le cas, je crois, pour tous les membres du Comité.
Vous avez dit devant le comité de la procédure, puis à nouveau ce matin, que les partis politiques devraient obéir à des règles de confidentialité. La Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, s’applique pour l'instant aux entités commerciales. La Loi électorale en est une autre qui pourrait nous servir. Nous avons entendu des témoins nous dire que les partis politiques doivent avoir accès aux électeurs sans obstruction, qu’il faut les traiter différemment et que, pour les campagnes politiques, par exemple, la liste de numéros de télécommunication exclus ne s’applique pas. Vous pouvez entrer dans les immeubles à appartements durant les campagnes pour rejoindre tous les électeurs.
Y a-t-il des caractéristiques uniques, particulières à une campagne électorale qui vous font dire que les règles habituelles de la LPRPDE ne s’appliqueraient pas aux partis politiques? Vaudrait-il mieux nous en remettre ici à la Loi électorale ou à la LPRPDE?
Il y a beaucoup d’éléments dans votre question.
Je crois que les partis devraient avoir accès à l’information qui leur permet de joindre les électeurs. C’est un aspect fondamental de notre système et cela doit rester.
Nous en sommes maintenant au point où les préoccupations concernant l’utilisation des données personnelles sur Internet appellent une certaine protection et quelques normes minimales. Qu'elles soient inscrites dans la Loi électorale ou dans d’autres lois, je pense que c’est du domaine du commissaire à la protection de la vie privée. Ma préférence est que cela relève de sa compétence.
Je sais bien aussi qu’il y a des situations uniques aux partis, mais il y a moyen d'adapter en conséquence les principes de la protection de la vie privée. Si on regarde des aspects du consentement et la façon dont on l'obtient — par exemple s’il doit y avoir consentement préalable ou si on a le droit de faire effacer des renseignements plutôt que de consentir dès le début —, voilà des aspects où les principes, je crois, permettent une certaine souplesse, mais je ne pense pas qu’il ne devrait pas y avoir de normes minimales applicables aux partis politiques. Pour moi, c’est fondamental. Il doit y avoir une certaine forme de surveillance.
Bien sûr, une chose qui nous préoccupe au Comité, c’est la violation des données et l'affaire Cambridge Analytica. Il y a des tiers qui sont d'envergure mondiale et qui recueillent d’énormes quantités de données. Cela permet de cibler très précisément des gens sur les réseaux sociaux, ce qui, nous l’avons vu, a influencé différentes campagnes.
Au-delà des choses dont vous avez parlé au sujet des tiers et de la sensibilisation de l'électorat, Élections Canada a-t-il un rôle à jouer dans la surveillance du ciblage qui se pratique sur Facebook? Par exemple, disons qu’un tiers qui ne dépense pas d’argent — il peut s’agir d’une source étrangère ou intérieure — cible des groupes particuliers pour les empêcher de voter. Une annonce s’adresse, par exemple, aux jeunes hommes de 20 à 25 ans d'une minorité raciale donnée, pour tenter de les dissuader de voter.
Y a-t-il un rôle pour Élections Canada, ou dans la Loi électorale, même sur le plan législatif, pour empêcher ce genre de tactiques?
Encore une fois, rien n'est simple. La prémisse, du moins en ce qui concerne le contenu organique, est que nous ne réglementons pas ce qui se dit. Il y a des exceptions dans la loi. Il y a des exceptions dans le projet de loi C-76, par exemple lorsqu’il y a usurpation d’identité. Il y a des cas où il est légitime d’intervenir. Si nous constatons des infractions, nous les signalerons au commissaire. C’est à lui de faire appliquer la loi.
Nous avons bien un bureau de l’intégrité électorale à Élections Canada, depuis maintenant deux cycles électoraux. Ce bureau s’intéresse aux pratiques déloyales qui se font jour dans d’autres administrations, pour voir s’il y aurait des tendances, pour être prêt à réagir, ou prêt à alerter à tout le moins le commissaire ou quiconque se trouverait pris dans une telle situation.
Notre rôle fondamental est vraiment de nous assurer que les gens ont les bonnes informations sur le processus de vote. C’est le coeur de notre mission, et c’est là-dessus que nous devons nous concentrer.
Nous savons que le problème n’est pas propre au Canada. C’est quelque chose qui se produit partout dans le monde. Est-ce qu’Élections Canada collabore avec d’autres organismes dans le monde pour échanger des pratiques exemplaires, voir comment les autres traitent le problème ou coordonner les interventions dans les affaires qui traversent les frontières?
Nous avons certainement des échanges réguliers avec d’autres organismes de gestion électorale, tant au Canada qu'à l'étranger. Personne n’a encore trouvé de solution miracle, mais nous envisageons des approches semblables.
J’aimerais revenir à la cybersécurité des listes électorales. Nous avons entendu dire que ce ne sont pas nécessairement les institutions, Élections Canada ou le déroulement du scrutin... surtout en ce qui concerne les bulletins de vote en papier, une chose que nous tenons à garder afin de pouvoir procéder au dépouillement manuel des voix. En même temps, il y a des listes électorales entre les mains des partis, qui ont les coudées franches en matière de confidentialité.
Vous avez parlé d'une subvention aux partis politiques pour les aider à assurer la cybersécurité. Y a-t-il autre chose que les partis doivent faire pour que ces listes électorales ou toute autre information ne tombent pas entre de mauvaises mains, même par inadvertance?
Vous amenez un très bon point. Lorsque nous publions les listes, nous fournissons des lignes directrices, que vous avez probablement vues. Ces lignes directrices rappellent entre autres les obligations imposées par la Loi — les fins auxquelles ces données peuvent servir et ainsi de suite —, mais un certain nombre ne sont rien d'autre que des pratiques exemplaires que nous n’avons pas le pouvoir d’imposer.
Il s’agit de suivre la trace des personnes qui ont ces listes durant la campagne, de récupérer les listes après et de les protéger lorsqu’elles ne sont pas utilisées par les bénévoles. Il y a des choses importantes que les partis en campagne peuvent et devraient faire au-delà de toute obligation légale.
Je ne sais pas s’il y a un droit de propriété. Il y a certainement des obligations de ne les utiliser qu’à certaines fins en vertu de la Loi électorale. C’est tout ce que je peux dire.
Vous avez aussi évoqué la subvention. Je ne la recommande pas nécessairement. Je pense qu'il y a lieu d'y réfléchir. Honnêtement, je ne sais pas si les partis ont les ressources nécessaires pour suivre l'évolution des menaces à la cybersécurité. La question est ouverte et je pense qu’il vaut la peine d’y réfléchir.
Merci, monsieur le président.
Merci à vous deux, monsieur Hutton et monsieur Perrault, pour vos déclarations préliminaires. Avec le temps dont je dispose, toutefois, je vais m'adresser surtout à M. Perrault.
Il y a plusieurs réunions de cela, la journaliste d’enquête et recherchiste Vivian Krause a témoigné devant le Comité et a parlé en particulier des millions de dollars en dons de bienfaisance américains qui visaient un objectif politique déclaré lors des dernières élections canadiennes. Ces dollars américains ont été envoyés à des organismes de bienfaisance canadiens, qui les ont ensuite transformés en dollars canadiens légitimes. Dans bien des cas, ils ont été distribués à des tiers pour servir, je suppose, les objectifs politiques des premiers donateurs américains.
Je me demande si vous pourriez nous parler de votre impuissance à contenir, à suivre et à sanctionner une telle ingérence flagrante dans le processus électoral canadien.
Je ne parlerai pas des détails de cette affaire. Je comprends que votre question ne portait pas là-dessus précisément. Comme nous le savons tous, l’argent est difficile à retracer et à bloquer. Il y a des choses qu'on peut faire. On peut corriger les faiblesses des règles actuelles. Un certain nombre de recommandations ont été faites dans le passé, et elles font partie du projet de loi C-76.
Le projet de loi C-76 va plus loin. Il s'attaque à deux faiblesses principales. La première est que dans le passé, les contributions se faisaient six mois avant la période électorale. De la façon dont la loi est rédigée, elles étaient traitées comme appartenant à l’entité: il s'agit de ses propres ressources, même si elles proviennent de l’étranger. La deuxième faiblesse, c’est que la loi actuelle réglemente la publicité électorale, qui est une catégorie de dépenses bien définie. Or, les activités se sont multipliées ces dernières années.
Le projet de loi C-76 nous fait avancer sur les deux fronts en étendant le champ des dépenses à toutes les activités partisanes et en exigeant la déclaration de toutes les contributions. Il prévoit aussi des mesures supplémentaires. L’une d’elles, que j’ai recommandée au Comité, est l’adoption d’une clause anti-évitement qui vise précisément le genre de situation où l’argent passe d’une entité à une autre et où la source première se perd en cours de route.
Les règles sont là. Elles peuvent être difficiles à appliquer, alors nous allons travailler avec le commissaire et inviter les gens qui sont témoins de ces choses à en faire rapport au commissaire pour que des enquêtes puissent avoir lieu.
Un autre sujet qui nous préoccupe est la capacité des organismes de bienfaisance de consacrer 20 % de leurs revenus, de leurs fonds, à des activités politiques. Comme disait Mme Krause, le problème n’est pas l’activité politique en soi. Le problème, c'est l'activité politique qui ne sert pas des fins caritatives. Elle recommandait de supprimer cela entièrement et de dire qu'un organisme de bienfaisance peut consacrer autant d'argent qu’il veut à des activités politiques qui servent ses fins caritatives. Par contre, s’il se lance dans la politique partisane et qu'il appuie les positions et les campagnes d'un parti, le pourcentage admissible devrait être de zéro.
Qu'est-ce que vous en pensez?
Je ne sais pas si je peux m'aventurer bien loin parce que c’est un domaine qui déborde de mon champ de compétence.
Je vais m’abstenir, si vous permettez. Cela peut être difficile d’un point de vue pratique. Un pourcentage, quel qu'il soit, aide parfois à distinguer ce qui est partisan, ce qui est politique de ce qui ne l’est pas. Je pense que si vous offrez un coussin, ce peut être utile d’un point de vue pratique. Je vais m’en tenir à cela.
Mme Krause a témoigné aussi qu’après une enquête de six mois, elle avait déposé un rapport auprès d'Élections Canada. Des représentants d’Élections Canada se sont rendus à Vancouver pour discuter du contenu de ce rapport, qui laissait entendre que, sur 42 organismes de bienfaisance ayant fait l’objet d’une enquête de l’ARC, 41 accusaient des défauts de conformité et que des recommandations s'en venaient pour que cinq d’entre eux soient entièrement disqualifiés comme organismes de bienfaisance.
Mme Krause poursuivait en disant qu’Élections Canada avait effectivement fait part de son impuissance parce que l’ARC mettrait fin à ces enquêtes, ou ne ferait jamais rapport de ces vérifications, et que, de toute façon, elle ne communique pas ce genre d’information à Élections Canada.
Je tiens à faire une distinction entre le directeur général des élections et le commissaire aux élections fédérales. Comme vous le savez peut-être, nous fonctionnons en toute indépendance. Le commissaire n’a pas le droit de me communiquer ou de communiquer au grand public de l'information sur ses enquêtes en cours, à moins qu’il ne soit nécessaire de le faire. Il y a des exceptions. Je ne suis pas au courant de la nature ou de l’étendue de ses enquêtes, de ses conclusions ou des difficultés qu’il a pu avoir à mener ces enquêtes.
Encore une fois, je m’en remets au commissaire à ce sujet. Je sais que la loi au Québec est beaucoup plus souple pour ce qui est d'échanger des renseignements fiscaux avec le directeur général des élections du Québec. C’est quelque chose qu'on pourrait envisager à l’avenir. En l’absence d’une bonne compréhension des dossiers auxquels s'attaque le commissaire, il m’est difficile d’en dire plus.
Vous avez parlé d’accorder peut-être des subventions ou une aide financière aux partis politiques pour qu’ils puissent relever les nouveaux défis technologiques. Chez Élections Canada, avez-vous les moyens de faire appliquer ce qui relève de vous en ce moment?
Absolument. Nous avons la chance d'avoir une structure juridique de financement qui nous autorise à puiser dans le Trésor. Je peux donc dépenser ce que je juge nécessaire et justifié pour mettre à niveau mes systèmes informatiques, ce que j'ai fait dans une large mesure au cours des dernières années.
Les partis politiques ne peuvent pas en dire autant, bien sûr. Je peux vous dire que je comprends les coûts et les difficultés que cela peut représenter. Je sais aussi que notre base de données est très riche et très sensible, et que celles des partis lui ressemblent beaucoup en ce qui concerne le nombre d’électeurs. Comment les partis protègent-ils ces données et quelles mesures peuvent-ils prendre?
Je ne veux pas faire peur aux Canadiens ni aux membres du Comité. Je sais que les partis collaborent avec les grandes agences de sécurité, et je m'en réjouis. Je pense simplement que, vu l’augmentation des coûts de la cybersécurité, il est dans l’intérêt public de savoir si les partis politiques ont les ressources nécessaires.
Merci, monsieur le président.
Merci aux témoins d’être ici aujourd’hui.
Monsieur Perrault, je vais commencer par vous. Pouvez-vous affirmer aujourd’hui, à titre de directeur général des élections du Canada, être convaincu que les élections fédérales de 2019 sont à l'abri des fausses nouvelles et des campagnes de désinformation?
Nous ne contrôlons pas les fausses nouvelles et la désinformation. Je suis convaincu que nous prenons les mesures nécessaires pour y faire échec dans le processus électoral. Je suis convaincu que nous avons les ressources nécessaires — le commissaire a les ressources nécessaires — pour traiter les infractions à la Loi électorale du Canada.
Mais le problème des fausses nouvelles et de l’usage qu'on en fait pour créer des divisions au sein de la société dépasse de loin les rôles et les responsabilités des organismes de gestion électorale. C’est un problème de société qui nous concerne tous.
Quel serait votre principal souci? Si vous aviez un souci prédominant au sujet de l’intégrité, de l’équité ou de la légitimité des élections de 2019, qu'est-ce que ce serait?
Je suis très optimiste quant à l’intégrité des prochaines élections, sans verser dans l'excès de confiance. Nous devons rester vigilants, mais nous prenons les mesures qu'il faut pour que tout se déroule bien.
Ce qui me préoccupe dans d'autres sociétés qui apparaissent profondément divisées ou polarisées, c’est qu'on ne puisse même pas y tenir une conversation sur ce qu'est une élection équitable, sur ce qui fait la légitimité d’une élection. Je ne pense pas que nous soyons rendus là au Canada. C’est le fondement essentiel, être capable de s'entendre sur ce qui est juste et ce qui ne l’est pas, et nous nous en tirons bien, à mon avis.
Je vais vous amener à quelque chose de bien précis, alors. Comme vous l’avez dit aujourd’hui et déjà dans le passé, le Comité avait recommandé que les partis politiques soient assujettis aux règles de confidentialité. Vous-même l'avez recommandé. Je vous cite:
S’il y a un domaine où le projet de loi a échoué, c’est bien celui de la protection de la vie privée. Les partis politiques ne sont assujettis à aucun régime de protection de la vie privée. Je l’ai déjà dit dans le passé et je tiens à le répéter aujourd’hui. Le commissaire à la protection de la vie privée en a parlé, et nous sommes d’accord sur cette question. Je voulais simplement le répéter ce matin, sans entrer dans les détails.
Je vais vous demander de préciser un peu, si vous permettez, monsieur Perrault. Quelles sont les conséquences pour les élections de 2019 de l'échec du gouvernement à assujettir les partis politiques à des lois sur la protection de la vie privée?
Je crois que les Canadiens veulent de plus en plus comprendre la nature et la source des communications qui les rejoignent. Un aspect important de cette compréhension est la transparence dans les publicités et les médias sociaux, mais ils veulent savoir aussi quelles sont ces données qui circulent à leur sujet et qui les utilise, et avoir un certain contrôle là-dessus.
Même si le projet de loi fait de bonnes choses sur le plan de la transparence, je trouve malheureux qu’il ne traite pas de la protection de la vie privée autant qu'il le devrait, c’est-à-dire en imposant des normes minimales et une certaine surveillance.
Je n’ai pas la réponse à cette question. Il se fait tard dans le cycle électoral. Nous aurions dû tenir cette conversation plus tôt. Je sais bien que les élections sont proches, mais je ne vois pas de bonne raison de ne pas la tenir maintenant. Bien sûr, comme je l’ai dit en répondant à une question d’un autre député, les partis ont des situations particulières dont on devrait tenir compte dans l'application des règles de confidentialité, mais rien n’empêche d'adapter en conséquence les principes de la protection de la vie privée.
J’aimerais passer à autre chose.
Lors des dernières élections, en 2015, je faisais du porte-à-porte à Vancouver pour faire sortir le vote. Il était 18 h 15 — les bureaux de scrutin fermaient à 19 heures — lorsque j’ai vu Peter Mansbridge à la télévision de la CBC annoncer un gouvernement libéral majoritaire. Beaucoup de gens qui ont compté les bulletins de vote plus tard à Vancouver ont rapporté que lorsqu’ils retournaient les bulletins, ils voyaient bien la différence entre ceux qui avaient été déposés en dernier et ceux qui avaient été déposés plus tôt.
De toute évidence, lorsqu’une partie du pays connaît les résultats de l’élection avant de voter, non seulement c'est un renseignement que d'autres Canadiens n’avaient pas au moment de voter, mais aussi un renseignement qui peut influencer le comportement des électeurs. Avez-vous des craintes à formuler ou des propositions à faire pour régler ce problème aux prochaines élections, ou bien est-ce que nous subirons le même sort la prochaine fois?
Je n’ai pas de proposition. Je vois bien le problème. C’est un problème avec lequel la loi est aux prises depuis des années. Dans le temps, il était interdit de divulguer les résultats dans les circonscriptions où les bureaux de scrutin étaient encore ouverts. Mais à l'heure d'Internet et des réseaux sociaux, il est très difficile de retenir l'information. Le génie est sorti de la bouteille.
Reste la possibilité de décaler les heures de scrutin. Bien sûr, on ne veut pas que ce soit si tôt que les gens de l’Ouest ne puissent pas voter. Il faut penser aussi à la fin du jour du scrutin. Si on retarde le dépouillement ou si on retient les résultats, il y a des travailleurs électoraux — ce ne sont pas toujours des jeunes — qui vont devoir faire de longues heures, jusqu'à 16 heures parfois. Ce serait très difficile pour eux si on étirait la période dans l’Est afin que les résultats ne soient pas divulgués dans l’Ouest. Il n’y a pas de réponse facile à cette question.
Merci.
Monsieur Hutton, les entreprises des médias sociaux semblent se comporter de plus en plus comme des diffuseurs d'information et de nouvelles. Selon vous, est-ce qu'elles devraient être assujetties à la Loi sur la radiodiffusion au Canada pour ce genre d'activités?
Comme vous le savez tous, il est prévu actuellement de procéder à un examen de la Loi sur la radiodiffusion et à un examen de la Loi sur les télécommunications, les lois qui régissent le CRTC. Le gouvernement nous a demandé aussi de rédiger un rapport pour éclairer ces examens justement, et c’est le rapport que j'ai cité dans ma déclaration préliminaire. On peut y lire qu'un des principaux objectifs revient essentiellement à affirmer que toute partie qui bénéficie de l’exploitation de la radiodiffusion au Canada devrait faire partie de notre système.
La réponse est donc: oui, ceux qui font de la radiodiffusion devraient faire partie du système.
Je tiens à vous remercier tous d’être venus ce matin.
J’ai une question pour M. Perrault. Nous vivons à une époque où les élections ont bien changé. L'ingérence n’est pas seulement un problème canadien; c’est un problème mondial. Nous avons vu des reportages d’ingérence électorale, évidemment, aux États-Unis, en France, au Royaume-Uni, en Allemagne. Nous ne vivons pas en vase clos, dans un pays qui est seul à faire face à ce genre de problèmes. C'est le cas aussi de nos alliés, nos partenaires dans le monde.
Étant donné que nos élections auront lieu l’an prochain, à la suite d'autres élections tenues dans d’autres pays, avez-vous eu l’occasion de travailler avec vos homologues à l'étranger pour trouver des pratiques exemplaires? Je pense qu’il y aurait beaucoup de points communs dans les méthodes et les tactiques. Avez-vous été en mesure de discuter avec eux des mesures qu’ils ont pu prendre, des revers qu'ils ont pu subir, des moyens de colmater les brèches et de renforcer notre propre système électoral?
Oui, certainement, et nous prenons part à des discussions et à des colloques internationaux. Nous sommes allés en Europe voir ce que font les pays européens. Ce qui me frappe, c’est que la qualité de notre processus électoral et son intégrité ne sont plus seulement du ressort d’Élections Canada. Nous sommes très indépendants et nous tenons fortement à cette indépendance, mais nous devons travailler avec nos partenaires en matière de sécurité. Nous l’avons fait déjà, mais le niveau de collaboration doit augmenter et, de fait, il a augmenté considérablement.
Nous devons aussi travailler avec les partis politiques. J’ai demandé qu'on se réunisse avec eux et je les rencontrerai au cours des prochaines semaines pour voir ce que nous pouvons faire en collaboration. Qu’est-ce qui arrive si un parti reçoit une offre alléchante à propos de renseignements piratés d'un parti adverse? Faut-il sauter sur une offre pareille ou bien accepter de ne pas partager ces renseignements? Qui doit-on appeler et comment allons-nous gérer ce genre de scénarios? C’est le scénario de Macron en France.
Nous devons examiner différents scénarios avec nos partenaires de la sécurité, et c’est ce que nous faisons actuellement. Il faut voir qui fait quoi et nous assurer de ne rien échapper entre les mailles du filet. Il faut voir avec les partis ce qu’ils sont en mesure de faire parce que l’intégrité du processus électoral est dans notre intérêt commun.
Lorsque vous parlez d’intégrité du processus électoral, vous parlez de l’accès des Canadiens à des renseignements exacts en ce qui concerne le processus de vote, c’est-à-dire où voter, comment voter et comment s’inscrire pour voter. Je veux savoir quelle attitude Élections Canada adoptera en campagne électorale. Dans l'hypothèse où vous verriez sur les réseaux sociaux un message inexact, comment réagiriez-vous? Avez-vous assez de ressources pour surveiller tous les réseaux sociaux?
Nous achetons actuellement des dispositifs d’écoute. Il ne s'agit pas d’écouter des conversations particulières, nous ne voulons pas savoir qui dit quoi. Il s'agit de dispositifs d’intelligence artificielle, qui recueillent de l’information sur ce qui se dit au sujet du processus électoral, en réagissant à des mots clés que nous pouvons utiliser. Nous avons aussi une équipe qui va travailler là-dessus. Nous aurons donc une stratégie qui nous permettra de réagir rapidement en cas de désinformation.
Monsieur Hutton, en vertu de la Loi sur la radiodiffusion, les diffuseurs doivent se prêter à un certain contrôle de la qualité du contenu, n'est-ce pas?
La Loi sur la radiodiffusion exige que toutes les émissions diffusées au Canada soient de haute qualité. Nous modelons notre conduite en conséquence. Pour ce qui est du contenu, nous travaillons essentiellement dans un régime de coréglementation. Nous appliquons différents codes qui ont été élaborés au cours d'instances publiques avec les Canadiens et avec les radiodiffuseurs afin de maintenir ce haut standard de qualité.
Nous traitons par exemple des questions d'image, des questions d'actualité et ainsi de suite. Il y a aussi d’autres dispositions dans nos règlements qui nous indiquent comment traiter les sujets qui contreviennent à la loi, qui sont abusifs, qui faussent l'information ou qui visent à tromper.
Nous réglementons par divers moyens. Parfois, nous accordons une licence. Parfois, nous faisons une exception, comme c'est le cas pour certains des plus petits diffuseurs, par exemple une radio ou une télévision communautaire ou autochtone en milieu rural ou en région éloignée. Il y a des diffuseurs qui gagnent peut-être 20 000 $ ou 30 000 $ par année et qui ont peut-être quelques centaines ou quelques milliers d’auditeurs ou de téléspectateurs.
Donc, un radiodiffuseur qui rejoint quelques centaines ou quelques milliers de personnes fait l'objet de cette surveillance réglementaire, tandis que moi, si un million de personnes me suivent sur Facebook, j'échappe à toute surveillance. N’est-ce pas ridicule?
Bien, une de nos recommandations pour l'examen de la Loi sur la radiodiffusion et de la Loi sur les télécommunications est justement de reconnaître que toute partie qui bénéficie de l’exploitation au Canada en assume les responsabilités sociales.
Merci beaucoup.
Monsieur Perrault, vous avez parlé des partis politiques, mais pas des activités politiques des tiers.
Je n’ai qu’un exemple. Le groupe Ontario Proud compte 400 000 abonnés sur Facebook. Il se vante d'avoir fait tomber Kathleen Wynne aux dernières élections et il recueille des fonds pour faire tomber Trudeau aux prochaines élections. Il n'est assujetti à aucune règle de confidentialité. Faut-il s'en préoccuper?
Je tiens à être bien clair. Le commissaire à la protection de la vie privée va venir témoigner et vous pourrez lui poser la question. Les tiers au Canada sont assujettis aux règles de confidentialité si...
Ils ne sont pas assujettis à la LPRPDE. En tant qu'acteurs non commerciaux, ils ne sont pas visés par la LPRPDE.
Ils sont non commerciaux, voilà la nuance.
Votre question n'est pas sans intérêt, mais la Loi électorale ne régit pas ce que tout le monde fait en tout temps. Moi, ce qui m'intéresse ici, c'est d'élargir la portée de la Loi électorale.
C’est juste, mais moi qui m’intéresse à la politique publique, je fais davantage confiance au Parti conservateur du Canada ou au Parti libéral du Canada qu'à des escrocs qui peuvent aussi bien fermer boutique demain, se lancer sous un autre nom et avoir accès à toutes les mêmes données. N’êtes-vous pas d’accord?
Vous avez parlé de normes minimales dans la réglementation des activités politiques. Je vais vous en proposer quelques-unes et vous répondrez par oui ou par non.
Seriez-vous en faveur de la divulgation en temps réel des dépenses de publicité électorale, y compris les données de participation, les montants dépensés et la source des fonds publicitaires?
Le projet de loi C-76 fait un bout de chemin dans cette direction, mais nous irions un peu plus loin.
Qu’en est-il de la capacité des citoyens de demander l’accès aux renseignements personnels et identifiables que des tiers ou des partis politiques peuvent avoir sur eux?
Il est certain que pour les entités réglementées qui participent aux élections, c’est quelque chose qui vaut la peine d’envisager.
D’accord. Qu’en est-il des pénalités pour la vente ou l’échange de renseignements à des fins impropres?
Il est certain que la Loi électorale du Canada prévoit des sanctions pour la communication de renseignements obtenus d’Élections Canada.
Enfin, vous avez parlé de la courte période d’ici les prochaines élections. Le projet de loi C-76 exige que les partis politiques aient des politiques en matière de protection de la vie privée. Le Commissariat à la protection de la vie privée devrait-il avoir un droit de regard sur ces politiques?
À mon avis, il est la bonne personne pour exercer cette surveillance, et il devrait y avoir surveillance.
Merci à tous. Votre temps est écoulé.
Je n’ai qu’une question pour les deux témoins. J’ai donné beaucoup de réponses aux médias, au sujet de Facebook, de Cambridge Analytica et de notre enquête commune. Nous allons en fait nous rendre à Londres et essayer d’entendre Facebook, en particulier M. Zuckerberg.
Ce qui me préoccupe le plus, c’est la rapidité de suppression, disons, d'une publicité faite par une tierce partie, laquelle aurait une incidence négative sur une campagne. Nous savons tous que la dernière semaine de la campagne électorale est cruciale et qu’elle peut être influencée par la plus petite des annonces.
Pour ce qui est d’une réponse en temps opportun à des groupes comme Facebook et d’autres plateformes de médias sociaux, que suggérez-vous que nous fassions pour avoir une réponse rapide qui permet vraiment de faire disparaître le message immédiatement?
Je suggère de faire comme nous l’avons fait avec le commissaire, c’est-à-dire d’établir un réseau de communication avec eux avant les élections, afin que nous puissions attirer leur attention sur les problèmes pendant la campagne. C’est la façon la plus efficace d'intervenir.
Dans notre cas, nous ne réglementons pas le rythme rapide des plateformes de médias sociaux. Nous traitons avec les radiodiffuseurs à cet égard. Sur notre front, tout ce que j’ajouterais, c’est qu’un des outils dont nous aurions besoin serait les sanctions administratives pécuniaires prévues dans la Loi sur la radiodiffusion pour pouvoir appliquer rapidement diverses mesures. Pour le moment, nous n’avons pas accès à ces services.
D’accord. Merci à tous. Merci de comparaître devant le comité aujourd’hui. Je m’excuse de la brièveté des exposés. Il y a encore beaucoup de questions à poser, mais je vous remercie.
Nous allons attendre les prochains témoins. Nous leur accordons environ cinq minutes.
La séance reprend.
Nous en sommes donc à la 124e séance du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, conformément au sous-alinéa 108(3)h)(vii) du Règlement, étude sur l’atteinte à la sécurité des renseignements personnels concernant Cambridge Analytica et Facebook.
C’est le deuxième tour. Nous accueillons de nouveau le commissaire Therrien, le commissaire à la protection de la vie privée du Canada, Brent Homan, sous-commissaire, Secteur de la conformité, Gregory Smolynec, sous-commissaire, Secteur des politiques et de la promotion et Julia Barss, avocate générale et directrice des services juridiques, Direction des services juridiques.
Bienvenue de nouveau, monsieur Therrien. Allez-y, vous avez 10 minutes.
Merci, monsieur le président et membres du Comité. Je vous remercie de m’avoir invité à comparaître devant vous aujourd’hui.
La semaine dernière, j’ai assisté à la 40e Conférence internationale des commissaires à la protection des données et de la vie privée, à Bruxelles. La conférence a confirmé ce que j’avais expliqué dans mon dernier rapport annuel, à savoir qu’il y a une crise dans le domaine de la collecte et du traitement des renseignements personnels en ligne. Même les géants de la technologie, présents à la conférence en personne ou par vidéo, reconnaissent que le statu quo ne peut pas continuer.
Le PDG d’Apple, Tim Cook, a parlé d’un « complexe industriel de données » et a averti que « nos propres renseignements, des plus banals aux plus personnels, sont utilisés contre nous comme des armes avec une efficacité militaire ». Il a ajouté: « c’est de la surveillance ». Mark Zuckerberg, de Facebook, a admis que son entreprise avait commis un grave abus de confiance dans l’affaire Cambridge Analytica. Les deux entreprises se sont montrées favorables à une nouvelle loi américaine semblable au Règlement général sur la protection des données de l'Union européenne, le RGPD.
Lorsque les géants de la technologie deviennent de fervents partisans d’une réglementation contraignante, il apparaît évident que la situation a changé et que nous vivons effectivement une crise.
Votre comité est clairement conscient de l'urgence d'agir et vous avez appuyé nos propositions de modifications à la loi. Le gouvernement est toutefois lent à agir, mettant ainsi en péril la confiance des Canadiens envers l’économie numérique, nos processus démocratiques et nos autres valeurs fondamentales.
[Français]
Prenons un instant pour examiner les conséquences des plateformes en ligne sur la vie privée et l'intégrité des élections.
Comme l'a dit récemment M. Yoshua Bengio, chercheur canadien en intelligence artificielle, dans une entrevue avec Le Monde:
Nos données alimentent des systèmes qui apprennent à nous faire pousser sur des boutons pour acheter un produit ou choisir un candidat. Les organisations qui maîtrisent ces systèmes peuvent influencer les peuples contre leur intérêt, avec des conséquences graves pour la démocratie et pour l'humanité. [...] La seule manière de rétablir l'équilibre, c'est que l'individu ne reste pas seul face à l'entreprise mais qu'on agisse ensemble. C'est le rôle des gouvernements que de protéger les individus. Rien n'empêche de réglementer contre les dérives et la concentration du pouvoir dans certains secteurs.
Selon moi, ces menaces ne planent pas que sur le Canada, mais bien sur le monde entier.
Outre l'utilisation non autorisée des renseignements personnels pour influencer les élections, nous avons également vu des États hostiles s'ingérer dans les élections en ciblant délibérément les données personnelles.
Pour citer M. Giovanni Buttarelli, contrôleur européen de la protection des données:
Jamais auparavant la démocratie n'a été aussi clairement tributaire du traitement légitime et équitable des données personnelles.
De récentes enquêtes dans différents pays ont démontré que les partis politiques récoltaient d'importantes quantités de renseignements personnels sur les électeurs et adoptaient de nouvelles techniques de ciblage intrusives.
En juillet, la commissaire à l'information du Royaume-Uni a publié son rapport préliminaire sur l'affaire Facebook-Cambridge Analytica, lequel a révélé de très graves lacunes dans la façon dont agissent les acteurs numériques.
Par exemple, malgré l'existence d'importants contrôles pour la protection des renseignements personnels sur Facebook, elle a constaté que les utilisateurs n'étaient pas mis au courant des utilisations politiques qui sont faites de leurs renseignements personnels.
La commissaire du Royaume-Uni a également soulevé des préoccupations quant à la disponibilité et à la transparence des contrôles offerts aux utilisateurs relativement aux publicités et aux messages qu'ils reçoivent.
Concrètement, la commissaire a conclu que les partis politiques étaient au coeur de ces activités de collecte et de microciblage des données. Sans partis politiques, ces activités n'auraient pas lieu.
Tout cela n'augure rien de bon pour les électeurs. Lorsque nous avons interrogé les Canadiens pour la dernière fois à ce sujet, 92 % d'entre eux souhaitaient que les partis politiques soient assujettis aux lois sur la protection de la vie privée. On est très près de l'unanimité.
En septembre, les commissaires à la protection de la vie privée de tout le Canada ont présenté une résolution conjointe exhortant les gouvernements à faire en sorte que les partis politiques soient assujettis aux lois sur la protection de la vie privée.
Les experts universitaires, la société civile et le public canadien étaient tous d'accord sur cette position, de même que le directeur général des élections.
Le gouvernement, par contre, soutient que, bien que l'application des lois sur la protection de la vie privée aux partis politiques soit une question qui mérite d'être étudiée, les prochaines élections fédérales peuvent se dérouler sans y recourir.
Le manque de surveillance exercée sur les pratiques de traitement des renseignements personnels des partis politiques canadiens devient malheureusement une exception par rapport aux autres pays et expose les élections canadiennes à une manipulation et à une utilisation non autorisée des renseignements personnels.
En d'autres termes, sans une réglementation appropriée des données, il y a selon moi un risque sérieux d'injustice dans le processus électoral lors des prochaines élections fédérales au Canada.
[Traduction]
Cela m’amène à vous rendre compte de nos activités d'enquête. Je serai bref, car je suis conscient du temps.
Comme vous le savez, nous procédons — avec nos collègues de la Colombie-Britannique — à une enquête sur Facebook et AggregateIQ. Le travail avance bien, mais nous n’avons pas encore tiré nos conclusions. Nous continuons de recueillir et d’analyser l’information.
Pour des raisons évidentes, je suis limité dans ce que je peux déclarer en raison des obligations de confidentialité en vertu de la LPRPDE. Je vous rappelle que nous enquêtons, entre autres, sur l’accès aux renseignements personnels fournis à des tiers par Facebook, notamment la communication de renseignements à des développeurs d’applications faisant partie d'un réseau d'amis. C’est une question que nous avons soulevée auprès de Facebook en 2009. Depuis mai, nous avons reçu de nombreuses demandes d’information. Nous avons reçu des observations de la part de Facebook et nous entamerons très bientôt une autre série de discussions.
Notre enquête sur AggregateIQ porte sur la collecte ou l’utilisation de renseignements personnels sans consentement, ou à des fins autres que celles identifiées ou évidentes pour les personnes. Depuis ma dernière comparution, les enquêteurs du Commissariat ont formulé d'autres demandes de renseignements. Ils ont fait une visite des lieux. Ils ont mené des entrevues sous serment avec M. Massingham et M. Silvester, et ils ont examiné des centaines de dossiers internes d’AggregateIQ, entre autres ceux contenus dans ses appareils électroniques.
Afin de rendre nos conclusions publiques le plus tôt possible, nous prévoyons de procéder en deux phases, une à la fin de cette année civile — le mois prochain — et une deuxième phase au printemps.
Le temps de l’autoréglementation est terminé pour l’industrie et les partis politiques. Le gouvernement ne peut plus attendre pour agir. En l’absence d’une réforme globale, le Parlement devrait veiller à ce que des lois pertinentes sur la protection de la vie privée s'appliquent aux partis politiques. Il devrait également donner à mon bureau les mêmes pouvoirs d’inspection et d’application de la loi que ceux dont jouissent la plupart des partenaires commerciaux du Canada.
La protection de la vie privée n’est pas un droit que nous sacrifions simplement au profit de l'innovation, de l’efficacité ou des gains commerciaux. Nul n’a librement consenti à ce que ses renseignements personnels soient utilisés comme arme contre lui, pour reprendre l’expression de Tim Cook. De même, nous ne pouvons permettre que le processus démocratique canadien soit perturbé, pas plus que nous ne pouvons accepter que nos institutions soient minées dans la course à la numérisation tous azimuts simplement parce que la technologie rend cela possible.
Nous sommes ici au coeur de la question. La technologie doit servir l’humanité, c’est-à-dire tous les individus. Sans individualité et vie privée, c’est un truisme philosophique et pratique que de dire que nous ne pouvons pas avoir une vie démocratique publique, pas plus que nous ne pouvons jouir des autres droits fondamentaux que nous chérissons, y compris l’égalité, l’autonomie et la liberté. La protection de la vie privée est la condition préalable à la jouissance d’autres droits, y compris les droits démocratiques. Sans la protection de la vie privée, l’environnement social qui nous est cher au Canada, caractérisé par la démocratie, l’harmonie politique et l’indépendance nationale, est également menacé, y compris par les États hostiles.
Quant aux modifications législatives qui, à mon avis, pourraient être nécessaires, même si le Règlement général sur la protection des données de l’Union européenne comporte plusieurs éléments excellents, nous devrions chercher à élaborer une approche qui reflète le contexte et les valeurs du Canada, y compris nos relations commerciales étroites au sein de l’Amérique du Nord, de l’Europe et de la région Asie-Pacifique. Une nouvelle législation canadienne devrait accorder une place importante au consentement valable, mais aussi tenir compte d’autres moyens de protéger la vie privée lorsque l'obtention du consentement n'est pas réaliste, par exemple dans le développement de l’intelligence artificielle. Le concept d’intérêt légitime du Règlement général sur la protection des données peut être envisagé à cet égard.
Notre législation devrait probablement continuer de reposer sur des principes et d’être neutre sur le plan technologique, mais elle devrait aussi être fondée sur les droits et rédigée non pas comme un code de conduite pour l’industrie, mais plutôt comme une loi qui confère des droits, tout en permettant une innovation responsable. Elle devrait également habiliter une autorité publique — ce pourrait être mon bureau ou une autre autorité publique — à émettre des lignes directrices contraignantes quant à l'application des principes généraux dans des circonstances précises, de sorte que les principes généraux ne demeurent pas des voeux pieux, mais qu’ils soient appliqués en pratique.
La nouvelle législation devrait en outre permettre l'échange de renseignements entre les différents organismes de réglementation.
Merci, monsieur Therrien, de votre témoignage.
Nous allons commencer par M. Baylis, qui dispose de sept minutes.
[Français]
Merci, monsieur Therrien.
[Traduction]
C’est un plaisir de vous revoir.
Passons directement à la question des partis politiques.
On nous a fait valoir que les dispositions de la LPRPDE prévoient des sanctions tellement sévères que cela nuirait à la capacité des partis politiques de trouver des bénévoles, parce que les bénévoles seraient assujettis à ces lois et pourraient se voir imposer une amende pour avoir fait par inadvertance quelque chose qu’ils ne devraient pas avoir fait.
Est-ce une préoccupation pour vous? En avez-vous eu des preuves? Les lois de la Colombie-Britannique, par exemple, prévoient des amendes très strictes. Avez-vous vu ailleurs une situation où les partis politiques sont assujettis aux lois sur la protection de la vie privée? Y a-t-il eu ce qu’on appelle un effet paralysant?
Ce commentaire me surprend parce que, comme le Comité le sait bien, j’ai beaucoup parlé de l’absence de pouvoirs d’exécution du Commissariat.
Oui, il y a des pénalités pour certains comportements, et à compter d’aujourd’hui, avec l’entrée en vigueur du nouveau règlement sur les atteintes, si les partis politiques étaient assujettis à la LPRPDE, ils seraient passibles de pénalités pour ne pas avoir divulgué les violations qui se sont produites.
En règle générale, cependant, comme vous le savez, la LPRPDE souffre d’un manque d’application, alors je suis surpris d’entendre ce commentaire.
Dans l’état actuel des choses, ce commentaire ne tient pas la route, à votre avis.
Vous demandiez des lois plus sévères. Supposons que cela se produise et que le gouvernement vous accorde les pouvoirs d’inspection et d’application de la loi que vous recherchez. Ce facteur de dissuasion vous préoccuperait-il, en tant que responsable de l’application de ces lois?
C’est possible.
Premièrement, lorsque je recommande que la LPRPDE s’applique aux partis politiques fédéraux, il est implicite que le contexte serait important. La LPRPDE comporte un certain nombre de principes, comme le droit d’accès à l’information et le droit d’être clair quant aux fins auxquelles l’information serait utilisée par une entité assujettie à la LPRPDE. Le fait que nous ayons affaire à des partis politiques qui ont des intérêts légitimes, voire des droits, de participer à des discussions politiques avec les électeurs ferait partie du contexte.
Lorsque nous étudierons l’application de la LPRPDE aux partis politiques, nous pourrions certainement examiner les mécanismes d’application, le montant des sanctions et ce qui serait logique pour les diverses entités qui y sont assujetties.
Je terminerai sur une chose. En Colombie-Britannique, seule province au Canada où les partis politiques sont assujettis à la Loi sur la protection des renseignements personnels, je crois que les mécanismes d’application sont les mêmes pour les partis que pour les autres entités assujetties à cette loi.
Comparons cela à d’autres administrations à l’extérieur du Canada.
Par exemple, le RGPD s’applique-t-il aux partis politiques?
Oui, le RGPD s’applique aux partis politiques de l’Union européenne.
Quelle est la pénalité pour un parti politique qui enfreint le RGPD? Je dois avouer que je n’ai pas examiné cette question en particulier. Nous pourrions vous revenir là-dessus.
L’argument que nous entendons est que les partis politiques sont différents, que nous ne comprenons pas et qu'il s'agit d'un univers très différent. Les partis politiques disent qu’ils doivent traiter les données d'une autre façon.
D’après vos observations, vous n’êtes pas d’accord avec cet argument. En Colombie-Britannique, on ne le fait pas, ni en Europe. Y a-t-il un pays au monde qui possède une législation sur la protection de la vie privée et qui aurait adopté une loi générale sur la protection de la vie privée, mais qui aurait adopté une toute nouvelle loi spécifique pour les partis politiques seulement?
Pas à ma connaissance, mais je tiens à souligner encore une fois que je reconnais qu’il y a une différence dans le contexte de la relation entre les partis politiques et les électeurs par rapport à celle entre les entités commerciales et leurs clients. Le contexte est différent, mais cela ne veut pas dire que les lois sur la protection des renseignements personnels, y compris la LPRPDE, ne peuvent pas s’appliquer compte tenu du contexte, comme c’est le cas en Europe ou en Colombie-Britannique.
J’ai une autre brève question, puis je céderai la parole à mon collègue.
Avez-vous examiné les conditions d’utilisation de toutes ces applications dites gratuites? Je parle de services gratuits auxquels je n’ai pas le choix de souscrire. Si je veux acheter un téléphone, je dois accepter que l'on m'espionne. J’utilise délibérément le mot espionner.
Si je veux utiliser le moteur de recherche d’une entreprise, les nombreuses conditions d’utilisation, que je ne peux pas négocier, me forcent implicitement à permettre à l’entreprise de faire des choses que je ne veux pas qu’elle fasse. Ensuite, on vient nous dire de ne pas nous en faire, que nous n'avons qu'à cliquer sur un bouton et que l'opération ne se réalisera pas, mais ce n’est pas vrai. Les entreprises affichent le changement demandé, mais ne le respectent pas et elles recueillent des renseignements.
Y a-t-il enfin un pays qui adopte des lois qui l’emportent sur le droit d’une entreprise d’inclure certaines conditions d’utilisation dans les contrats que nous signons, de sorte que le contrôle de la vie privée soit un droit prépondérant?
La réponse courte est non. Ce qui existe dans d’autres pays, ce sont des règles qui imposent des conditions plus strictes quant aux conditions de consentement, explicites ou non, significatives ou non, mais pas des lois qui ont préséance sur les conditions d’utilisation de l’entreprise. En Europe, par exemple, s’il y a des normes plus strictes exigeant le consentement explicite dans bien des cas, alors le consommateur est mieux informé des utilisations qui seront faites, mais le règlement ne va pas aussi loin que vous le laissez entendre. Bien sûr, nous examinons cette question à partir des faits relatifs à Facebook dans le cadre de notre enquête.
D’accord, mais j’ai des droits. Disons que je ne donne pas mon consentement. Ensuite, on me dit d'accord, vous avez acheté votre téléphone, mais il ne peut pas fonctionner. Je dis que je ne consens pas à Facebook. Ensuite, on dit que je ne peux pas utiliser le téléphone. Je suis bloqué. Alors j'examine la situation et je dis qu'en tant que consommateur, et utilisateur, je veux utiliser ces services, mais je ne veux pas que l'on m'espionne. Je ne veux pas que l'on suive mes données, et je ne veux pas que l'on me dise: « eh bien, vous pouvez agir et... », comme l'a fait Google ou tous les autres qui ont « modifié » le libellé avec tant de soin.
Les entreprises ont changé leurs conditions d’utilisation depuis le début pour se donner une plus grande marge de manoeuvre afin d'obtenir nos données et les utiliser. En tant que consommateur, je n’ai aucun pouvoir de négociation avec eux, alors je dois compter sur le gouvernement.
Je dirai simplement qu’il y a certaines choses qui sont vraiment nécessaires pour que le service fonctionne. Par exemple, votre emplacement doit être fourni à l'opérateur de téléphonie pour qu’il puisse vous joindre. Bien sûr, du point de vue de la protection de la vie privée, le problème réside dans les conditions qui sont proposées ou imposées par les entreprises au-delà de ce qui est vraiment nécessaire, et il y en a beaucoup.
S’ils me suivent pendant un an, ils n’en ont pas besoin. Ils ont besoin de savoir où je suis aujourd’hui pour l’utiliser.
Merci, monsieur le président.
Merci, monsieur le président.
Merci, monsieur le commissaire, de comparaître de nouveau devant nous aujourd’hui.
Plus tôt cette année, nous avons appris, dans le cadre de notre étude sur le scandale de Cambridge Analytica, Facebook et AggregateIQ — comme vous l’avez fait dans le cadre de votre enquête et comme l’ont fait le commissaire à la protection de la vie privée de la Colombie-Britannique et le commissaire à la protection de la vie privée du Royaume-Uni —, que des millions de données personnelles, y compris celles de centaines de milliers, peut-être plus, de Canadiens, ont été recueillies de façon inappropriée sur Facebook, traitées par un certain nombre d’organismes et échangées de part et d’autre du monde numérique au-delà des frontières nationales, et nous n’avons aucune assurance que ces données originales improprement recueillies, cette masse de données, ont été détruites.
Au cours des dernières semaines, nous avons appris que votre ancienne homologue de l’Ontario, Ann Cavoukian, avait démissionné du projet réalisé à Toronto par une entreprise soeur de Google, Sidewalk Labs, parce que Google ne pouvait lui garantir que des données très personnelles pouvaient être effectivement dépersonnalisées, ce qui était, selon l'entreprise, son objectif.
Au cours des derniers jours, le gouvernement libéral a répondu à une question inscrite au Feuilleton par les conservateurs concernant les récents piratages pratiqués aux dépens du gouvernement canadien, soit 800 pages, ce qui représente peut-être 10 000 actes de piratage ou accès abusifs aux sites Web de divers ministères et organismes gouvernementaux.
Cette semaine, nous avons appris que vous avez lancé une enquête sur la demande de Statistique Canada auprès d'institutions financières canadiennes pour obtenir des renseignements très personnels sur au moins 500 000 Canadiens à leur insu ou sans leur consentement — encore une fois, je sais que le consentement est une préoccupation importante pour vous — en vue de la création d’une nouvelle banque de renseignements personnels institutionnelle. Statistique Canada prétend que l'anonymat serait assuré.
Après avoir vu la conduite de Cambridge Analytica, Facebook et AggregateIQ, et après avoir entendu les préoccupations très légitimes d’une autorité reconnue comme Ann Cavoukian au sujet de l’impossibilité ou de l’improbabilité de la dépersonnalisation, je suis aussi profondément sceptique quant à la capacité de Statistique Canada de garantir que toute l’information recueillie sera rendue anonyme.
Je sais que vous venez de commencer votre enquête, mais le consentement est-il un facteur prépondérant dans des situations comme celles-là? Pourrions-nous avoir vos commentaires, s’il vous plaît?
Vous avez décrit un certain nombre de situations. Le consentement est certainement un principe fondamental de la LPRPDE dans la relation entre les consommateurs et les organisations commerciales. Cependant, comme je l’ai dit dans ma déclaration préliminaire, je pense qu’il serait utile de déterminer si le consentement, compte tenu de la complexité de la technologie et des modèles d’affaires, offrira toujours une protection significative de la vie privée, ou si nous devrions examiner d’autres mécanismes, comme l’intérêt légitime en vertu du RGPD. C’est pour le secteur commercial.
En ce qui concerne le secteur public, le consentement n’est pas aussi fondamental. C’est un élément, mais il est certaines situations où le gouvernement peut exiger, à partir des données d’une personne, des renseignements personnels pour assurer la prestation de services. Si je mets les deux ensemble, c’est-à-dire l’utilisation de l’information pour fournir des services gouvernementaux ou pour offrir des services dans le cas d'une entreprise, je pense qu’il est important de reconnaître que les données peuvent être utiles au secteur public ou au secteur privé quand il s'agit de donner de meilleurs services.
La question est de savoir comment bien gérer cette information et — ce qui est très important, de mon point de vue — disposer du bon cadre juridique pour s’assurer que les acteurs, qu’il s’agisse des ministères ou des entreprises, traitent ces données de façon responsable. Il devrait aussi faire en sorte qu’il y ait une tierce partie, actuellement mon bureau, ayant le pouvoir de protéger les particuliers parce qu'ils ne pourront pas se protéger complètement lorsqu’ils feront face à de grandes entreprises ou à de grands ministères.
Je ne suis pas contre la collecte, l’utilisation et l'échange d'informations pour améliorer les services, mais je pense que nos cadres actuels au Canada font défaut.
Pensez-vous que ce genre de demande devrait au moins tenir compte de l’aspect du consentement? Autrement dit, un grand nombre de Canadiens, comme nous l’avons vu partout au pays, ont réagi avec indignation à cette nouvelle, à savoir que leurs secrets financiers les plus personnels, si vous voulez, rattachés à leur numéro d’assurance sociale, seraient partagés sans leur consentement.
Statistique Canada soutient qu’il peut le faire sans le consentement de l’intéressé en se fondant sur le cadre juridique actuel. Comme nous sommes assaillis de plaintes, j’ai l’obligation d’examiner ces arguments, de tenir compte de ce que les plaignants diront et de tirer une conclusion.
Nous ne connaissons pas le système qui leur permet de recueillir les données, de les conserver et de les rendre anonymes, s'il s'agit simplement de joindre un numéro de code, mais s’ils les utilisent de la façon décrite, il semble que tant qu’ils ont ces données, il y a un risque d’atteinte potentielle. Une atteinte de ce genre, portant sur des renseignements financiers extrêmement personnels, pourrait avoir des connotations politiques quant à la façon dont elle pourrait servir si ces renseignements n’étaient pas conservés de manière appropriée.
Je parle des principes juridiques en jeu. Les renseignements financiers sont de nature délicate; par conséquent, ils méritent des mesures de sécurité de niveau supérieur. Nous n’avons pas examiné les mesures de sécurité mises en place par Statistique Canada, mais en principe, la nature de l’information en cause exige des mesures de sécurité de haut niveau.
Avons-nous une idée de l’entreprise technologique à laquelle Statistique Canada pourrait avoir recours?
Merci monsieur le président.
Monsieur le commissaire, vous avez donné une description exceptionnellement claire et profonde du rôle fondamental que joue la protection des renseignements dans une démocratie. Vous avez utilisé des termes comme « crise ». Vous avez dit que le manque de protection met en péril la confiance du public; de plus, les renseignements personnels des citoyens ont servi d'arme et cela laisse nos élections ouvertes à la manipulation et en compromet l’impartialité. Vous avez dit que les partis sont au centre de la collecte des données. Bien sûr, vous avez également mentionné que 92 % des Canadiens veulent que les partis politiques soient assujettis aux lois sur la protection de la vie privée en tant qu’acteurs principaux qui utilisent cette information, mais le gouvernement a refusé d’appliquer les lois sur la protection de la vie privée aux partis politiques.
Avez-vous entendu parler de raisons convaincantes invoquées par le gouvernement pour expliquer pourquoi les lois sur la protection de la vie privée ne seraient pas appliquées correctement aux partis politiques lorsqu'il s'agit de protéger les renseignements personnels dont ils disposent?
Pour revenir à la question du contexte dont nous avons discuté il y a quelques minutes, j’ai entendu l’argument selon lequel les partis politiques doivent avoir une certaine liberté de communiquer avec les électeurs dans le cadre du processus démocratique menant à l’élection d’un parti.
Si nous regardons vers le sud, par exemple, aux États-Unis, ce type d’argument a un fondement constitutionnel sur le plan des principes. Mais en pratique, la communication entre les partis et les électeurs est-elle entravée parce que les lois sur la protection de la vie privée s’appliquent aux partis politiques? D’un point de vue pratique et concret, nous connaissons un certain nombre d’ordres de gouvernement où les partis politiques sont assujettis aux lois sur la protection de la vie privée et où personne ne dit que d’assujettir les partis à ces lois peut, en fait, nuire à la qualité des discussions entre les partis et les électeurs.
En théorie, on pourrait peut-être soutenir ce point de vue, mais sur le terrain, il n’a pas été démontré là où ces lois s’appliquent, et je n’ai pas vu de preuve — même si j’entends cet argument et qu'il ne manque pas d'intérêt — que la qualité de la communication serait compromise si les partis politiques étaient assujettis aux lois sur la protection de la vie privée.
M. Baylis en a parlé. Bien sûr, la Colombie-Britannique, la province d’où je viens, assujettit les partis politiques aux lois sur la protection des renseignements personnels. Avez-vous entendu parler, sur le plan de la participation, d'une diminution de la capacité démocratique des partis?
Vous avez très bien décrit le contexte, à mon avis — il existe des différences de contexte entre les fins commerciales et politiques —, mais j’aimerais mettre l'accent sur les similitudes.
Les entreprises vendent un produit. Les partis politiques vendent un candidat, un programme. Les entreprises vendent des gadgets et cherchent à obtenir de l’argent pour qu'on les achète. Les partis politiques demandent des dons. Les deux font de la publicité.
Compte tenu du contexte, y a-t-il une raison valable pour laquelle les lois sur la protection de la vie privée qui s’appliquent aux acteurs privés ne devraient pas s’appliquer aux partis politiques?
Je répète qu’il y a cet argument au sujet de la qualité de la communication, mais je n’ai pas vu, du moins, de preuve d’une réduction de la qualité de la communication entre les partis et les électeurs.
Je veux lire un extrait du site Web d’un parti politique, sans vous dire lequel. « Il est également possible que vos renseignements nous soient fournis par un bénévole ou un ami qui pense que vous aimeriez prendre part à l'activité du [parti]. » Est-ce que cela respecterait les lois sur la protection des renseignements personnels ou les règlements sur le consentement actuellement en vigueur au pays en ce qui concerne le principe du consentement?
Prenons cet exemple. Il ne manque pas d'intérêt. Si vous appliquez la Loi sur la protection des renseignements personnels, à proprement parler, le consentement n’a pas été obtenu. Par conséquent, le parti en question ne devrait pas recevoir l’information. Mais pour qu’il y ait une communication entre un parti et un électeur, je pense que je souhaiterais examiner cette situation, la première communication. Un ami dit au parti A, mon ami B voudrait peut-être vous connaître davantage. Donc, le parti a de l’information sur l’ami B. Il se peut que l'ami B dise: « Oui, ça m'intéresse » et alors la communication se poursuit; il se peut aussi que l’ami B dise: « ça ne m'intéresse pas », auquel cas je pense qu’une application appropriée des lois sur la protection des renseignements personnels ferait en sorte que l’information serait mise de côté et que la communication serait interrompue.
La première partie de l'enchaînement peut être un exemple où le contexte pourrait mener à une application différente sur le plan du résultat, même si les principes de protection des renseignements personnels s’appliquent.
On vous demande si vous aimeriez vous engager dans le parti et non d'entrer en contact avec vous. Est-ce que cela vient modifier le moindrement votre sujet de préoccupation?
Nous avons entendu parler de l’information selon laquelle le projet controversé de ville intelligente riveraine que propose Sidewalk Labs a suscité certaines inquiétudes. Nous avons appris qu'Ann Cavoukian, la commissaire à la protection de la vie privée de l’Ontario, a décidé de renoncer à son rôle consultatif en raison de ses craintes au sujet de la protection de la vie privée.
Votre organisme a-t-il examiné ce projet, monsieur le commissaire? Y a-t-il des préoccupations en matière de protection des renseignements personnels à propos desquels vous enquêtez?
Nous avons communiqué avec Sidewalk Labs dans le cadre d’un nouveau programme consultatif que nous avons créé il y a quelques mois pour inciter les entreprises à se conformer à la LPRPDE en l’occurrence. Nous voulons travailler avec les intéressés et tenir des discussions sur la meilleure façon pour l’entreprise de mener ses activités conformément à la LPRPDE. Nous avons eu un certain nombre de conversations qui, à l’heure actuelle, sont encore très générales. Nous sommes engagés dans ce processus. Nous ne sommes pas encore arrivés au niveau des détails concrets qui me permettraient de dire si je suis préoccupé ou non. Nous en sommes à un stade très conceptuel.
Merci monsieur Davies.
Enfin, nous disposons de sept minutes à partager entre M. Picard et Mme Fortier.
[Français]
Merci monsieur le président.
Merci beaucoup, monsieur Therrien, d'être ici encore une fois.
Nous avons eu l'occasion de nous rencontrer à quelques reprises au cours de notre étude, et je crois qu'il est important que vous soyez de nouveau ici, aujourd'hui, afin de nous dire où vous en êtes rendus.
En ce qui a trait à votre enquête et à la mise à jour, vous avez mentionné qu'il est difficile pour vous de communiquer des informations. Avez-vous une idée de la date à laquelle vous pourrez présenter votre rapport?
Nous essaierons de le faire en deux étapes. Selon la Loi, nous avons un an pour conclure notre rapport. Évidemment, nous essaierons de le faire plus tôt. Un an nous amène au printemps.
C'est cela.
Dans le but de divulguer nos conclusions le plus rapidement possible, nous voulons présenter notre rapport en deux étapes, afin que certaines soient rendues publiques en décembre, et les plus tardives au printemps.
À ce jour, croyez-vous avoir réuni toutes les informations nécessaires? Le Comité a tenté de faire ressortir certaines questions. De votre côté, avez-vous les ressources et les informations nécessaires pour terminer votre enquête?
Il y a eu plusieurs discussions avec les deux compagnies en question. Jusqu'à présent, nous avons reçu les renseignements que nous avions demandés. Nous travaillons actuellement à valider ces renseignements.
Monsieur Homan, voulez-vous ajouter quelque chose?
En ce qui concerne les deux organismes, Facebook et AggregateiQ, nous sommes en train de recueillir plusieurs renseignements et d'en vérifier d'autres auprès des groupes.
En ce qui a trait à votre recommandation, il est très clair que vous voulez que les lois sur la protection de la vie privée soient appliquées aux partis politiques canadiens. Merci de nous en avoir fait part.
J'aimerais savoir si vous croyez qu'il devrait y avoir une révision ou peut-être de nouvelles mesures concernant les tierces parties. Nous avons beaucoup discuté de cette question.
Avez-vous du nouveau à ce sujet? Pensez-vous qu'il devrait y avoir d'autres dispositions relativement aux tierces parties?
En Colombie-Britannique, la loi qui équivaut à la LPRPDE s'applique à toutes les entités, y compris les organismes sans but lucratif, parce que tous les organismes engagés dans des activités, commerciales ou non, colligent des renseignements dont certains peuvent être de nature délicate. Ces organismes devraient faire l'objet des mêmes dispositions.
En ce qui a trait aux organismes tiers — j'étais dans la salle quand il a été question d'un tel organisme, en Ontario —, je pense que la loi devrait s'appliquer à l'ensemble des organismes engagés dans des activités, commerciales ou non, qui colligent, utilisent ou transmettent des renseignements personnels.
Bonjour, monsieur Therrien.
Nous comprenons que vous revendiquiez une meilleure supervision, un meilleur contrôle et des pouvoirs accrus. Franchement, je ne suis pas contre cette idée. Je pense en effet que nous avons besoin d'avoir l'oeil sur ce qui se passe. Cela dit, je n'ai pas l'impression qu'on arrive à mettre le doigt sur ce qu'il faut changer ou contrôler. On peut vouloir un meilleur contrôle et les moyens nécessaires pour agir plus radicalement relativement à un problème, mais encore faut-il définir de quoi il s'agit. Je ne suis pas certain que nous l'ayons fait correctement. Je trouve que nous nous éparpillons un peu depuis un certain temps. Je vais vous présenter un scénario, et j'aimerais que vous le commentiez ensuite.
Les compagnies demandent de l'information à un client. Le client la fournit, en commençant par son nom. Le reste varie d'une compagnie à l'autre pour ce qui est de la quantité de détails à fournir. Comme mon collègue le disait, si en tant que client, je ne fournis pas un minimum de renseignements personnels, je n'ai pas accès aux services. Par ailleurs, je ne peux pas faire grand-chose contre des comportements criminels venant de l'extérieur. Si je suis victime de piratage, ce n'est pas nécessairement attribuable à la mauvaise foi ou à des politiques inappropriées. Être victime d'une lacune, interne ou externe, est toujours possible, et il y a des choses que je ne peux pas maîtriser. Cela dit, lorsque je m'inscris à un service, je m'attends à recevoir l'essentiel de ce que le fournisseur veut bien me fournir. Il s'agit donc d'une relation entre deux parties.
À mon avis, le problème n'est pas de savoir ce que je fournis comme information. On nous dit que, pour des raisons de transparence, nous devons savoir ce que les entreprises font de cette information. Or si elles nous disent dorénavant ce qu'elles font, c'est-à-dire exactement ce qu'elles faisaient avant, à notre insu, cela ne changera pas grand-chose à leur pratiques professionnelles. Même si elles font preuve d'une grande transparence, nous ne sommes pas plus avancés.
La question n'est pas de savoir ce qui se passe. En effet, le problème auquel nous devons faire face et qui va peut-être nous inciter à trouver de meilleures façons de procéder est le fait que nous perdons toute maîtrise de la situation lorsqu'une tierce partie s'insère dans la transaction.
Plutôt que d'essayer de contrôler tout ce qui se passe, ne serait-il pas préférable d'établir de facto que l'information fournie à un fournisseur de services — et cela inclut le nom de la personne — est privée et ne doit pas être communiquée, peu importe de quelle information il s'agit? Ainsi, si je fais affaire avec une tierce partie et qu'elle veut exploiter mes données pour m'envoyer de la publicité, soit, mais mes renseignements personnels ne seraient jamais divulgués à d'autres, même si j'ai fourni l'information.
N'y aurait-il pas lieu de se concentrer sur les transactions mettant en cause une tierce partie? Dans le cadre de vos interventions, vous pourriez bénéficier d'une collaboration avec le Bureau de la concurrence, par exemple.
Dans les lignes directrices que nous avons mises en avant et qui vont entrer en vigueur le 1er janvier prochain, nous mentionnons notamment que les compagnies devraient être plus transparentes envers les consommateurs. Or cela vise leurs échanges avec les tierces parties. Si je comprends bien, vous souhaitez aller plus loin en proposant une mesure qui se rapproche beaucoup d'une interdiction de divulguer l'information à de tierces parties, est-ce cela?
Il ne s'agit pas d'empêcher le service. De la publicité peut être faite sans pour autant que l'information soit divulguée.
Tout à fait. Cela dit, il existe diverses sortes de transactions avec de tierces parties. Imaginons une compagnie qui offre un service très concret et qui confie sa comptabilité ou d'autres fonctions secondaires à une tierce partie. Devrait-on empêcher la compagnie principale de faire appel à une tierce partie dans un cas semblable? Pas nécessairement.
Je pense que la solution est, en partie, d'être très clair quant aux tierces parties et de donner aux consommateurs une véritable possibilité de refuser la divulgation lorsque l'intervention d'une tierce partie n'est pas nécessaire à la prestation d'un service. La solution consistant à interdire de faire affaire avec une tierce partie protégerait la vie privée, évidemment, mais faut-il aller jusque-là? Je ne pense pas que ce soit nécessaire.
[Traduction]
Merci, monsieur Picard.
Merci à tous.
Encore une fois, je vous remercie, commissaire Therrien, d’avoir présenté un exposé abrégé. Je sais qu’il est difficile de tout résumer en 45 minutes ou moins. J’apprécie également vos efforts dans ce dossier. Je sais qu’il y a beaucoup de sujets à examiner, et je sais que vous vous déployez sur plusieurs fronts, tout comme nous. Merci de votre exposé d’aujourd’hui.
Explorateur de la publication
Explorateur de la publication