ETHI Réunion de comité

    Merci de vous être déplacés.

    Nous avons deux sujets différents aujourd'hui: le budget et l'enquête conjointe sur Facebook et l'affaire Cambridge Analytica.

    Allez-y, monsieur Angus.

    Avant que nous commencions, je veux signaler au Comité que je vais présenter une motion pour que nous discutions d'une possible sommation de Mme Sandberg et de M. Zuckerberg de Facebook.

    Merci, monsieur Angus.

    Nous allons maintenant entendre les observations préliminaires du commissaire à la protection de la vie privée.

    Bonjour, monsieur le président et membres du Comité.

    Je vous remercie de m'offrir l'occasion de comparaître devant vous pour discuter du Budget principal des dépenses de 2019-2020.

    Je suis accompagné de M. Brent Homan, sous-commissaire au Secteur de la conformité, de M. Gregory Smolynec, sous-commissaire au Secteur des politiques et de la promotion, et de M. Daniel Nadeau, sous-commissaire au Secteur de la gestion intégrée.

    Au cours de la période de temps qui m'est allouée, je discuterai de certains de nos plans pour l'année à venir et de la manière dont nous comptons utiliser les nouveaux fonds annoncés dans le plus récent budget fédéral en reconnaissance des exigences croissantes imposées au Commissariat.

    Nos ressources annuelles ont été d'environ 24 millions de dollars au cours des dernières années. Nous espérons avoir votre appui pour maintenir ce financement.

    Nous prévoyons utiliser les ressources supplémentaires pour améliorer notre capacité à respecter les obligations qui nous incombent en ce qui a trait à la croissance exponentielle et à la complexité de l'économie numérique. Les enjeux liés à la protection de la vie privée se multiplient rapidement et la vie privée des Canadiens est souvent menacée. Il est donc difficile de suivre le rythme de ces changements et de protéger les Canadiens comme ils le méritent.

    Nous avons besoin de financement pour assurer l'intégrité de nos programmes afin de renforcer notre capacité à protéger le droit des personnes à la vie privée et d'obtenir des résultats concrets pour les Canadiens.

    Évidemment, nous accueillons favorablement l'annonce récente dans le budget fédéral de ressources supplémentaires pour le Commissariat. Il s'agit d'une étape positive qui nous permettrait de faire des pas importants vers la mise en oeuvre de notre vision proactive de la protection de la vie privée. J'emploie ici le conditionnel parce que, même si le budget fédéral prévoit des sommes pour le Commissariat, nous n'aurons accès à ces fonds qu'une fois que le Conseil du Trésor aura donné son approbation.

    Une partie des fonds prévus dans le budget fédéral est temporaire et vise à nous aider à traiter un arriéré de plaintes. Bien que nous ayons pris des mesures telles qu'un recours accru à un processus de règlement rapide et la refonte de nos processus d'enquête, nous avons néanmoins du mal à répondre aux plaintes en temps opportun.

    Nous avons actuellement un arriéré de plus de 300 plaintes déposées il y a plus d'un an. Les nouveaux fonds nous permettraient de réduire l'arriéré à environ 10 % de ce volume d'ici 2021. Nous serions également beaucoup mieux placés pour atteindre nos objectifs en matière de normes de service dans 75 % des cas.

    En fin de compte, nous pensons que la meilleure solution dans le domaine des enquêtes consiste à moderniser la loi, en partie pour donner au Commissariat un plus grand pouvoir pour gérer sa charge de travail selon le risque. Nous avons besoin de pouvoir concentrer nos efforts sur les cas qui ont les répercussions les plus importantes sur les Canadiens.

    Le nouveau financement vise également à traiter les déclarations des atteintes à la vie privée. Depuis l'entrée en vigueur, en novembre 2018, de l'obligation de déclarer les atteintes à la vie privée, le nombre de déclarations reçues par le Commissariat a plus que quintuplé par rapport à ce qu'il était lorsque la déclaration était volontaire. À l'heure actuelle, nous ne pouvons répondre que superficiellement à la grande majorité des déclarations d'atteinte à la vie privée dans le secteur privé.

    De nouvelles ressources permettraient au Commissariat d'examiner de manière plus approfondie 40 % des déclarations d'atteintes à la vie privée dans le secteur privé et 15 % des déclarations dans le secteur public.

    Une troisième activité pour laquelle le budget fédéral prévoit des fonds supplémentaires consiste à informer la population et à offrir des orientations. Le nombre de questions liées à la vie privée à l'égard desquelles les parlementaires, les entreprises et les particuliers nous demandent des conseils ou des orientations se multiplie rapidement.

    Au cours des cinq dernières années, le nombre de demandes de conseils au Parlement a augmenté considérablement, et on s'attend à ce que cette tendance se poursuive. Comparativement à il y a cinq ans, le nombre d'appels venant des divers comités parlementaires a augmenté de 41 %, et en 2017-2018 seulement, c'est à 34 reprises que le Commissariat a comparu devant le Parlement ou lui a présenté un mémoire. La protection de la vie privée devient manifestement une question très importante pour les parlementaires.

    Au cours de l'année à venir, nous continuerons de répondre aux demandes des parlementaires concernant les répercussions des projets de loi et des études sur la vie privée, et nous chercherons à contribuer à l'adoption de lois améliorant la protection de la vie privée

    De nouvelles ressources contribueraient également à accroître notre capacité à informer les Canadiens des questions de protection de la vie privée liées aux nouvelles technologies, de leurs droits et de la manière de les exercer. De plus, nous serions en meilleure posture pour guider les organisations sur la manière de respecter leurs obligations en matière de protection de la vie privée.

    Avec la capacité actuelle, nous ne pouvons produire que trois nouveaux documents d'orientation par année. À la suite des consultations sur le consentement que nous avons menées il y a quelques années, nous avons élaboré un plan ambitieux visant la publication de conseils sur un large éventail de questions importantes — des conseils demandés par des intervenants. Les orientations qui seront élaborées au cours des prochaines années comprennent des questions importantes telles que la biométrie, l'Internet des objets, les médias sociaux et l'anonymisation, entre autres.

    De plus, les conseils et les orientations existants doivent également être mis à jour afin que le site Web du Commissariat demeure une source fiable et exhaustive tant pour les entreprises que pour les personnes. Notre site Web contient plus de 150 documents d'orientation, dont environ 40 % datent de plus de cinq ans.

    Un autre domaine important dans lequel le Commissariat fournit des conseils comprend nos services consultatifs à la fois pour l'industrie et le gouvernement. Les nouveaux fonds contribueraient à améliorer notre capacité de collaborer de façon proactive avec les partenaires de l'industrie afin de mieux comprendre, dès l'étape de la conception, les conséquences de leurs services sur la protection de la vie privée, de les conseiller à cet égard et de contribuer à en atténuer les conséquences.

    Enfin, j'ajouterais que la publication de nouvelles orientations doit s'accompagner d'efforts de communication et de sensibilisation soutenus et efficaces pour avoir une incidence importante sur la sensibilisation aux droits et aux obligations et leur compréhension. Nous aimerions donc accroître notre capacité à mener davantage d'activités d'éducation et de sensibilisation du public afin d'avoir une plus grande incidence sur la sensibilisation au droit à la vie privée et aux obligations et leur compréhension.

    Bien sûr, comme vous m'avez entendu le dire avant, nos lois fédérales sur la protection de la vie privée nécessitent des réformes très urgentes. Comme l'illustre très clairement notre récente enquête sur Facebook, nous avons atteint un moment décisif où le droit à la vie privée et les valeurs démocratiques sont menacés.

    J'ai hâte de discuter de ces questions avec vous dans environ une heure.

    En conclusion, suivre le rythme de l'évolution rapide de la technologie constituera un défi permanent pour le Commissariat. Nous continuerons d'utiliser de manière optimale les ressources qui nous sont confiées pour remplir notre mandat de mieux protéger le droit à la vie privée des Canadiens. Les fonds supplémentaires annoncés récemment constituent une mesure provisoire importante et une étape positive dans la réalisation de nos objectifs, alors que nous attendons une modernisation législative qui fait cruellement défaut.

    Merci, monsieur le président. Mes collègues et moi sommes impatients de répondre à vos questions.

    Merci encore, monsieur le commissaire. Je tiens juste à vous prévenir au nom du Comité. Je pense que les députés des différents partis en ont discuté. Nous aurons des interventions de sept minutes par parti et nous allons ensuite passer directement au rapport sur Facebook, si cela vous va.

    Bien sûr.

    Nous allons commencer les interventions de sept minutes par M. Saini.

    Bonjour, messieurs. Merci beaucoup de vous être déplacés.

    Monsieur Therrien, j'ai lu le rapport, votre plan ministériel pour 2019-2020. J'ai quelques questions à ce sujet, pour obtenir des précisions.

    J'y ai entre autres observé une diminution. Sous « Résultats ministériels » et « Le droit à la vie privée et les obligations à cet égard sont respectés », le pourcentage ciblé de plaintes auxquelles une réponse a été donnée selon les normes de service est de 75 %, mais il a diminué. Il était de 68 % en 2015-2016, de 55 % en 2016-2017 et de 54 % en 2017-2018.

    Y a-t-il une raison qui explique cette diminution?

    Je pense qu'un facteur important est la complexité des questions sur lesquelles nous enquêtons. Il s'agit souvent de questions technologiques, de modèles d'affaires, de technologies assez complexes. Nous avons des experts pour mener ces enquêtes, mais elles deviennent de plus en plus compliquées et demandent du temps.

    Quand je regarde certains des tableaux ici, je vois que les résultats ne sont pas disponibles. Est-ce parce que vous venez récemment de commencer à recueillir des données?

    Quand on regarde les lignes suivantes, qui sont « Pourcentage des recommandations non officielles du Commissariat », « Pourcentage de Canadiens qui estiment connaître leur droit à la vie privée » et « Pourcentage d'enjeux clés liés à la vie privée »... Est-ce parce que vous venez tout juste de commencer la collecte de données?

    C'est parce que le cadre ministériel des résultats est nouveau. Le gouvernement a adopté une nouvelle politique sur la façon de décrire les résultats aux parlementaires, et c'est ainsi que nous avons procédé. C'est la première année que nous procédons ainsi.

    Je vois.

    Le montant d'argent que vous demandez a augmenté d'environ 5 millions de dollars, si je ne m'abuse, par rapport à l'exercice précédent. En lisant le rapport, je vois que vous avez maintenant une disposition sur la déclaration obligatoire des atteintes à la vie privée. Cette disposition a-t-elle causé cette augmentation, cet arriéré, car plutôt que de le faire volontairement, les gens ou les organisations sont dorénavant tenus de...

    C'est une des raisons qui expliquent l'augmentation du volume à laquelle nous faisons face. Plus précisément, avant le mois de novembre, les organisations pouvaient déclarer volontairement les atteintes, et elles sont maintenant tenues de le faire lorsqu'il s'agit d'atteintes importantes. Le volume de ces signalements s'est multiplié par cinq depuis novembre. Cela a manifestement contribué à l'augmentation du volume. Ce n'est pas la seule raison, mais c'en est une importante.

    Pour ce qui est du financement accru que vous avez demandé, je vois ici que vous prévoyez garder les mêmes ressources humaines ou équivalents temps plein. N'avez-vous pas besoin d'engager plus de personnes pour résorber l'arriéré?

    Nous le ferons. À l'heure actuelle, nous avons environ 180 équivalents temps plein. Nous employons 195 personnes, mais elles ne travaillent pas toutes à temps plein. Grâce aux nouveaux fonds, nous allons probablement embaucher 30 personnes supplémentaires.

    Je vois.

    Comme vous le savez, la dernière fois que vous avez comparu devant nous, vous avez fait le point sur votre enquête sur Facebook. L'enquête en soi a dû demander beaucoup de ressources. Avez-vous consacré les mêmes ressources à ce dossier ou plus de ressources.

    Nous avons manifestement consacré plus de ressources à cette enquête qu'à une enquête normale.

    Est-ce que cela s'est traduit par d'autres retards?

    Oui. Il n'y avait pas que Facebook. Facebook était une enquête très importante au cours de la dernière année, mais l'enquête sur Equifax était également importante, comme d'autres enquêtes. Nous devons étudier ces questions minutieusement. Elles touchent un grand nombre de Canadiens. C'est le résultat.

    Merci.

    Je vais céder le reste de mon temps à M. Erskine-Smith.

    Je n'ai qu'une seule question. Vous avez parlé de l'évolution rapide de la technologie et du plus grand nombre de ressources consacrées l'année dernière à de grandes enquêtes. Vous venez d'en mentionner quelques-unes. Pour l'avenir — on voit une augmentation des ressources dans ce dernier budget, et je sais que vous vous en réjouissez —, y a-t-il un montant que ce comité devrait recommander au gouvernement selon vous, qui vous permettrait de gérer la charge de travail existante et la charge de travail à laquelle vous vous attendez à l'avenir?

    Pour ce qui est du volume de plaintes, je vois le montant du budget fédéral comme un financement provisoire, pour permettre au Commissariat de fonctionner et pour réduire considérablement l'arriéré au cours des deux prochaines années, à peu près. J'espère certainement que d'ici là, il y aura une nouvelle loi. Il est un peu trop tôt pour dire combien de ressources seront nécessaires pour mettre en oeuvre un nouveau système qui n'a pas encore été défini.

    C'est juste.

    Merci.

    Monsieur Gourde, vous avez sept minutes.

     Merci, monsieur le président.

    Monsieur le commissaire, je vous remercie de votre présence ici ce matin. Mes collègues ont été très inspirés et ils vous ont posé plusieurs de mes questions.

    D'un point de vue optimiste compte tenu de l'augmentation du nombre de plaintes, pensez-vous être capable de stabiliser le budget du Commissariat ou devrait-on prévoir que les fonds supplémentaires demandés deviendront permanents d'ici trois ou quatre ans?

    Pour ce qui est des plaintes proprement dites, comme je l’expliquais, le budget devrait nous permettre de réduire de beaucoup, voire presque entièrement, l’arriéré actuel. Nous pensons arriver à un point d’équilibre d'ici deux ans si le nombre de plaintes et leur complexité demeurent à peu près les mêmes.

    D’ici deux ou trois ans, j’ai espoir que de nouvelles lois auront été adoptées pour les secteurs public et privé. Nous serons en mesure d'évaluer les ressources nécessaires à l'instruction des plaintes déposées en vertu de ces nouvelles lois une fois que nous connaîtrons la teneur de ces lois et les responsabilités qu'elles nous imposeront.

    Pour abréger, je crois que le financement qui nous est accordé en vertu du budget, s’il est confirmé par le Conseil du Trésor, nous permettra de gérer notre arriéré d'ici l'entrée en vigueur d'une nouvelle loi dans deux ou trois ans.

     Au cours de votre présentation, vous nous avez dit que le nombre de plaintes avait quintuplé. Y a-t-il eu un élément déclencheur? Les nouvelles plaintes sont-elles semblables à d'autres ou plutôt de nature plus variée?

    C'est plus précisément le nombre des déclarations d'atteintes à la vie privée qui a quintuplé. Cette hausse est attribuable à l'entrée en vigueur, le 1^er novembre 2018, d'une réglementation obligeant les compagnies et les organisations à déclarer toute atteinte importante à la vie privée.

    Le nombre d'enquêtes normales relativement à des plaintes portant sur la violation de la Loi sur la protection des renseignements personnels et les documents électroniques, qui s'applique aux organisations du secteur privé, n'a pas autant augmenté.

    Maintenant que cette réglementation est en vigueur, le nombre annuel de déclarations devrait finir par se stabiliser au fil des ans.

    Il est certain que nous nous retenons pour ne pas vous poser de questions sur Facebook, car vous allez revenir sur ce dossier tout à l'heure.

    Cependant, selon vous, la protection de leur vie privée inquiète-t-elle les Canadiens plus qu'auparavant? Le dossier de Facebook semble avoir davantage sensibilisé les gens à cette réalité. Est-ce le cas? Avez-vous remarqué une différence?

    Les sondages indiquent que le niveau de préoccupation a toujours été assez élevé. Cela dit, je pense que les Canadiens et les gens partout dans le monde sont effectivement plus inquiets depuis ces dernières années.

    Le dossier de Facebook et de Cambridge Analytica a joué un rôle à cet égard. En effet, ce grave incident a démontré que les conséquences d'une atteinte à la vie privée n'étaient pas que théoriques, mais qu'elles pouvaient être très concrètes. Dans ce cas-ci, c'est l'intégrité du processus électoral qui en a souffert.

    La protection de la vie privée et des renseignements personnels est une notion qui peut être relativement théorique et abstraite. En ce qui concerne le dossier de Cambridge Analytica, par contre, les conséquences et les résultats ont été très concrets et cela a augmenté le niveau de préoccupation des Canadiens.

    Merci, monsieur Therrien.

    Nous reviendrons plus tard sur le dossier de Facebook.

    Bien sûr, monsieur Gourde.

    Merci.

    C'est maintenant au tour de M. Angus, pour sept minutes.

    Merci, monsieur le président.

    Merci, monsieur Therrien, de comparaître devant nous.

    Vous allez vous présenter devant la cour fédérale avec une des entreprises les plus puissantes au monde. Je pense que la peine maximale au Canada se chiffre à un montant que Facebook gagne en environ 60 secondes. Facebook voudra dépenser sans compter pour vous faire échouer devant la cour.

    Pour votre plaidoyer à la cour, devrez-vous puiser dans votre budget actuel, ou le ministère de la Justice assumera-t-il les coûts supplémentaires pour assurer une bonne représentation des Canadiens?

    Nous allons payer nos frais juridiques à l'aide de notre budget. Nous avons une équipe d'avocats, y compris des plaideurs, mais nous avons aussi souvent recours à des avocats de l'extérieur, dans les affaires renvoyées à la Cour suprême, par exemple. Cette cause est très importante, et je vais puiser dans notre budget pour gagner. J'ai évidemment l'intention de gagner et d'entendre la Cour déclarer que Facebook a violé la LPRPDE. L'entreprise a traité nos conclusions comme un avis juridique, mais elle ne pourra pas ignorer les conclusions de la Cour fédérale et sera contrainte de se soumettre à son ordonnance.

    On peut penser que l'amende n'aura pas de conséquences. Ce sera peut-être le cas, mais il y aura une ordonnance — nous l'espérons — à la fin de la procédure, et on ne pourra pas l'ignorer. Les conséquences ne se limiteront peut-être pas à une amende si l'ordonnance de la cour n'est pas respectée.

    Ce que je veux, c'est que vous ayez les ressources nécessaires. Je m'occupe de ces questions depuis environ huit ans, et différents mandataires du Parlement se présentent devant nous pour parler de budgets. Il y a toujours des contraintes et des limites, mais il me semble que votre mandat change — il a extrêmement changé. Le commissaire au lobbying s'est toujours occupé d'activités louches de lobbying ici et là; le commissaire à l'éthique s'occupe d'autres choses. Je n'ai rien contre leur travail. C'est un travail très important, mais il me semble que... Ce commissariat a été créé en 1977. La Loi sur la protection des renseignements personnels a été adoptée en 1983 pour le secteur public, et la LPRPDE, en 2000.

    La première fois que je me suis penché sur la question, votre commissariat s'occupait de disques durs et de clés USB perdus, et les atteintes à la vie privée avaient tendance à être des erreurs d'entreprise. Il était question de gouvernance d'entreprise, d'absence de protocoles au bureau. Or, quand il est question de l'émergence d'un capitalisme de surveillance, cela n'a plus rien à voir alors que des sociétés extrêmement puissantes s'ingèrent directement dans la vie de citoyens, ce qui est profondément antidémocratique.

    J'arrive à ma question de façon détournée. Votre rôle d'organisme de réglementation se transforme-t-il en rôle d'enquêteur? Si c'est le cas, ne devrions-nous pas repenser à la façon dont votre bureau fonctionne et aux outils à votre disposition? Pour assurer le droit à la vie privée des Canadiens dans ce monde qui se dessine autour de nous, les vieux outils sont-ils suffisants?

    Ce n'est manifestement pas assez. Je l'ai dit à plusieurs reprises. Je pense que Facebook illustre parfaitement bien le fait que les outils que nous avons actuellement à notre disposition ne suffisent pas. Je ne peux pas rendre d'ordonnances exécutoires, contrairement à beaucoup d'autres responsables de la protection des données ailleurs dans le monde, mais je peux m'adresser aux tribunaux. Il y a lieu de se demander si nous avons assez de ressources pour être sur un pied d'égalité devant les tribunaux face à une entreprise de cette taille. C'est une bonne question, mais les montants prévus dans le budget fédéral ne sont pas négligeables pour nous. Nous allons les utiliser, et l'affaire Facebook devant la Cour fédérale sera une priorité. Si je constate qu'il me faut des fonds supplémentaires pour réussir, je n'hésiterai pas à m'adresser à ce comité, au Parlement et au gouvernement.

    Je vois.

    Je pense que ce qui a vraiment surpris notre comité lorsque nous avons commencé à examiner cette affaire dans la foulée du scandale impliquant Cambridge Analytica, c'est sa complexité, à quel point il était difficile pour notre comité parlementaire d'obtenir des réponses. Il est essentiellement question de données obscures venant de personnes qui travaillent dans un monde très différent du nôtre en tant que législateurs.

    Christopher Wylie avait déclaré qu'il estimait que le commissariat à l'information du Royaume-Uni était très mal préparé face à Cambridge Analytica, car il n'avait pas l'expérience nécessaire pour savoir comment ces acteurs procèdent. Heureusement, le commissariat à l'information au Royaume-Uni a produit un excellent rapport.

    Dans le contexte d'un monde qui évolue, dans lequel nous devons composer avec le capitalisme de surveillance et plus particulièrement des mercenaires des données — nous en avons fait comparaître certains —, pouvez-vous me dire si vous avez les ressources nécessaires pour travailler dans cet environnement, pour avoir des techniciens qui savent comment ces disques durs sont utilisés à mauvais escient et comment ces données sont déplacées? Vous évoluez dans un monde qui n'a rien à voir avec ce que nous avons vu dans le passé.

    J'ai adopté une approche progressive.

    La première étape consiste à modifier la loi afin que nous ayons les bons outils juridiques pour la faire respecter par les entreprises. Cela ne se fera pas du jour au lendemain, mais j'espère certainement que c'est ce que nous verrons d'ici quelques années. Lorsque nous serons rendus là, il faudra alors discuter des ressources nécessaires pour faire fonctionner le système.

    Grâce aux sommes prévues pour nous dans le budget fédéral, je pense qu'il y a.... J'en ai demandé plus, mais nous avons reçu un montant non négligeable pour nous rapprocher de cette nouvelle loi, qui sera adoptée, je l'espère, d'ici quelques années. Je suis plutôt optimiste.

    Avons-nous les outils et les ressources qu'il nous faut? Non, et des choix doivent être faits. Vous avez raison de le souligner — et la situation est la même pour les autres organismes de réglementation —, car compte tenu des innombrables changements technologiques et de l'économie numérique, nous avons beaucoup de problèmes et d'entreprises à surveiller et à examiner, et nous devons faire des choix. Nous ne pouvons pas régler tous les problèmes — même les graves —, mais les ressources qui nous sont accordées dans le budget changeront certainement beaucoup les choses. Nous devons discuter de la forme que devrait prendre la nouvelle loi, et nous pourrons ensuite parler des ressources nécessaires.

    À titre comparatif, je dirais que les nouveaux fonds permettront à notre organisme d'avoir la taille de grandes autorités de protection des données européennes, tout en demeurant beaucoup plus petit que le commissariat à l'information du Royaume-Uni. Des discussions seront nécessaires pour déterminer la taille qui convient.

    Merci.

    Nous allons passer à la deuxième partie de notre réunion. Conformément à l'alinéa 108(3)h) du Règlement, nous examinerons l'enquête conjointe sur Facebook menée par le commissaire à la protection de la vie privée du Canada ainsi que par le commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique.

    Le commissaire Therrien est toujours avec nous. Il est accompagné de Brent Homan, sous-commissaire, Secteur de la conformité.

    Allez-y, vous avez 10 minutes.

    Merci.

    Vous avez ma déclaration au sujet de Facebook. Je vais m'en servir librement.

    Pour ce qui est des conclusions de notre enquête, nous avons constaté que Facebook enfreint le droit à la protection des renseignements personnels à différents titres, dont celui des règles quant au consentement.

    Nous avons étudié deux types d'usagers de Facebook. Le premier était formé de ceux qui installaient des applications tierces. En ce qui les concerne, Facebook se fiait aux politiques relatives à la vie privée des développeurs d'applications pour ce qui est de faire en sorte que la vie privée des utilisateurs soit respectée. Cependant, quand nous avons gratté un peu pour vérifier si ces politiques avaient de la substance, nous avons constaté que Facebook ne vérifiait pas, en fait, si les politiques des développeurs d'applications protégeaient correctement la vie privée. C'est un des exemples de non-responsabilité que nous avons constatés à propos de Facebook.

    Facebook a des obligations directes imposées dans la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE. Lorsque cette compagnie divulgue des renseignements à une application tierce, il est inacceptable que Facebook se fie aux politiques de vie privée de l'autre compagnie pour respecter ses propres obligations, qui sont indépendantes. Il y a donc violation de la vie privée dans ce cas.

    L'autre type d'usagers comprend les amis des usagers de Facebook qui installaient des applications tierces. Lorsque les gens s'enregistraient sur Facebook, ils donnaient leur consentement, selon Facebook, à la divulgation de leurs propres renseignements lorsque leurs amis installaient des applications tierces. L'enregistrement pouvait avoir lieu des années avant le fait que leurs amis installent des applications tierces. L'ami de l'usager était donc censé, selon Facebook, donner un consentement à quelque chose d'inconnu qui aurait lieu des années plus tard et à des fins inconnues. C'est le contraire d'un consentement éclairé. Une de nos conclusions était donc que le consentement éclairé n'était pas obtenu.

    Au bout du compte, notre conclusion principale est que Facebook a manqué à l'un des principes de la LPRPDE, selon lequel les compagnies qui recueillent et utilisent des renseignements personnels sont responsables de la gestion des renseignements personnels. Selon nous, c'est la faute principale de Facebook que d'avoir fait dévier ses responsabilités vers, soit les usagers, soit les développeurs d'applications tierces avec qui Facebook faisait affaire.

    Facebook a même contesté nos conclusions. Entre autres, de façon fondamentale, elle a contesté notre conclusion selon laquelle, lorsqu'un usager fait appel à une application tierce, il y a une divulgation de la part de Facebook vers l'application tierce. Selon Facebook, l'acheminement de renseignements de la compagnie Facebook aux applications tierces n'était pas une divulgation de sa part. Il se serait plutôt agi de rendre disponibles des renseignements à la demande de leurs usagers.

    Encore une fois, on voit que Facebook se décharge de ses responsabilités. Elle dit que c'est aux autres de faire attention, alors que, selon nous, Facebook a une responsabilité juridique de veiller à ce que, lorsqu'il y a une divulgation de renseignements, la divulgation se fasse avec un consentement éclairé.

    Parmi les questions que nous allons présenter à la Cour fédérale, on retrouve cette question fondamentale: le fait que Facebook fasse appel à des applications tierces et qu'elle achemine des renseignements vers ces applications tierces constitue-t-il une divulgation au sens de la Loi? Facebook dit que non. Selon nous, il est assez clair que la réponse à cette question est oui.

    Une autre chose sur laquelle j'insisterais, c'est la différence qui existe entre les déclarations de Facebook selon lesquelles la compagnie désire adopter une position qui est favorable à la protection de la vie privée, d'une part, et son désir avoué, d'autre part, de travailler avec les gouvernements et les agences de réglementation pour mieux protéger la vie privée de ses usagers. Tout cela est bon, mais dans les faits, nous avons vu exactement le contraire. Facebook disait vouloir travailler pour favoriser le respect de la vie privée des usagers avec les agences de réglementation, et ainsi de suite. Cependant, nous avions des conclusions à lui présenter et des recommandations afin que la compagnie se conforme à la Loi fédérale. En fin de compte, le résultat des discussions tenues avec Facebook, qui ont duré quelques semaines, a été le rejet de nos conclusions juridiques et le rejet des recommandations que nous voulions lui proposer.

    Cela est tout à fait le contraire de la position que Facebook met en avant, soit qu'elle veut travailler pour assurer la protection de la vie privée avec les agences de réglementation.

    Très brièvement, nous estimons que Facebook a enfreint les dispositions de la LPRPDE visant le consentement. Nous croyons que la principale infraction est liée au manque de responsabilisation. Selon le premier principe de la LPRPDE, les sociétés sont responsables de la façon dont elles traitent les renseignements personnels des personnes desquelles elles obtiennent de l'information. Ils ne se sont pas conformés à cette obligation fondamentale. Au bout du compte, ils ont refusé nos conclusions — les points un et deux — et nos recommandations. Je crois qu'il est inacceptable que la loi soit telle que nous nous retrouvions dans cette situation.

    Une société ne devrait pas être en mesure de dire à un organisme de réglementation, après que cet organisme se soit penché très sérieusement sur ses pratiques: « Merci beaucoup, mais nous ne sommes pas d'accord. Nous n'estimons pas diffuser de l'information à des applications tierces. Nous pensons qu'ils rendent cette information disponible à la demande de nos utilisateurs et par conséquent, nous, de Facebook, croyons que vous appliquez incorrectement la LPRPDE. »

    Il est tout à fait inacceptable que je me retrouve dans cette position, en tant que dirigeant d'un organisme de réglementation, et que mes décisions ne soient pas contraignantes pour cette société. C'est ce que je veux vous faire valoir. Je sais que vous vous êtes montrés d'accord avec notre bureau dans le passé quand nous avons dit qu'il nous fallait des pouvoirs d'application de la loi plus solides afin de veiller à ce que les sociétés se conforment à la loi. Je dois aujourd'hui souligner à quel point il est inacceptable que le Commissariat à la protection de la vie privée du Canada se trouve dans cette situation en ce moment et que nous devions aller en cour pour obtenir contre cette société une ordonnance de se conformer à la loi.

    Je vous remercie, commissaire.

    Je vais commencer par donner la parole à M. Erskine-Smith, pour sept minutes.

    Merci beaucoup, commissaire, pour le travail de votre commissariat et celui du commissariat de la Colombie-Britannique.

    Je veux commencer par citer M. Zuckerberg. Il a dit récemment, lors d'une conférence de développeurs F8:

    Puis, vous dîtes, dans votre rapport:

    Dans une autre partie du rapport, vous dîtes:

    Nous avons les commentaires que vous avez faits dans votre rapport, et nous avons les commentaires récents de M. Zucherberg. Avons-nous des raisons de croire que Facebook prend la protection de la vie privée au sérieux?

    Nous n'avons pas vu cela dans le contexte de l'enquête que nous avons réalisée. Ils nous ont dit publiquement: « Nous voulons travailler avec vous. Facebook veut travailler avec vous, l'organisme de réglementation, le Commissariat à la protection de la vie privée du Canada. Essayons de travailler ensemble. » En fin de compte, ils rejettent les conclusions et les recommandations du Commissariat.

    Quand ils ont l'occasion d'agir conformément à ce qu'ils ont dit au Comité et au Commissariat, leurs actions sont loin de correspondre à leurs paroles. On peut dire cela?

    Oui.

    Nous avons la Federal Trade Commission qui parle d'imposer des amendes à Facebook pour ses atteintes à la vie privée et pour la violation d'un accord antérieur avec la FTC. Facebook a mis de côté un montant de 5 milliards de dollars en prévision de cela.

    Nous avons la commissaire à l'information du Royaume-Uni qui impose une amende de 500 000 livres. Elle a déclaré: « Nous estimons ces infractions si sérieuses que nous imposons la sanction maximale en vertu de la loi antérieure. L'amende aurait inévitablement été nettement supérieure en vertu du General Data Protection Regulation, ou GDPR. » Vous êtes en mesure d'imposer une amende d'un montant de…

    Je suis incapable d'imposer des amendes.

    Comme c'est intéressant.

    Si la cour est invitée à examiner la question de novo — pas notre rapport, mais la question de novo —, elle pourrait certainement faire une déclaration, si elle convient avec nous que Facebook a enfreint la LPRPDE. La cour pourrait imposer des dommages-intérêts en fonction de ce que la Cour fédérale a imposé dans le passé, dans les dizaines de milliers de dollars.

    Oui, et la cour devrait prendre l'initiative d'imposer des dommages-intérêts punitifs importants comme elle ne l'a jamais fait avant, car il n'y a pas de fondement législatif ferme à cette fin.

    Oui.

    Vous avez indiqué que le cadre de protection de la vie privée de Facebook est une coquille vide. C'était à ce moment-là. Ils ont pris des mesures depuis ce temps. Étant donné que vous n'avez pas les pouvoirs nécessaires pour mener un audit proactif et qu'ils ont refusé de mettre en œuvre ou d'accepter la réalisation d'audits annuels, êtes-vous en mesure d'évaluer de façon réaliste leur cadre de protection de la vie privée actuel?

    Quand j'ai dit que le cadre de protection de la vie privée était une coquille vide, c'est toujours vrai. C'est une coquille vide.

    Je vais vous donner deux exemples. L'observation est en fait liée à l'enquête précédente que le Commissariat à la protection de la vie privée a réalisée en 2009. Mes prédécesseurs s'étaient penchés sur des problèmes très semblables, par exemple, la cohérence avec la LPRPDE de la transmission de renseignements à des applications tierces. Le Commissariat avait constaté que c'était fait selon des modalités vagues qui ne représentaient pas un consentement éclairé. Facebook, à ce moment-là, avait accepté d'apporter certains changements à ses procédures, mais elle ne l'a pas fait. Le commentaire voulant que le cadre soit une coquille vide porte sur le cadre qui avait été adopté à ce moment-là.

    Compte tenu de cela, est-ce qu'il est sensé qu'une société qui n'a pas respecté les droits à la vie privée des Canadiens vienne greffer une application de rencontres au service qu'elle offre déjà aux Canadiens? Est-ce que vous trouvez que cela a du sens?

    Non.

    On n'a pas besoin de chercher plus loin. Cela semble tout simplement absurde.

    Vous avez mentionné que les lois actuelles sont intenables. Compte tenu de l'état actuel des choses, je dirais que je suis tout à fait d'accord avec vous.

    Je trouve que c'est intéressant. J'étais à Bruxelles, récemment. J'ai rencontré le contrôleur européen de la protection des données et d'autres personnes qui réfléchissent très sérieusement à la protection de la vie privée. Ils ont parlé en termes très favorables des idées qui sont venues du Canada, tant des commissaires à la vie privée du Canada que des universitaires canadiens qui ont écrit sur la protection de la vie privée. Leurs lois se fondent sur nos idées, mais pas nos propres lois. C'est vraiment regrettable.

    En juin dernier, j'ai proposé le projet de loi C-413. Si ce projet de loi avait été adopté, vous auriez été en mesure d'émettre des ordonnances. Vous auriez été en mesure d'ordonner à Facebook de se conformer à vos recommandations. Vous ne seriez pas obligé de demander l'aide de la Cour fédérale. Est-ce bien vrai?

    Oui.

    Si cette loi avait été en vigueur au moment de l'infraction, vous auriez au moins été capable d'imposer des amendes. Facebook ne s'exposerait pas à des amendes de 5 milliards de dollars aux États-Unis, de 500 000 livres au Royaume-Uni et de zéro dollar au Canada. Nous pourrions imposer des sanctions pécuniaires. N'est-ce pas juste?

    Oui.

    J'ai une dernière question. Je crois que vous conviendrez avec moi que nous avons beaucoup réfléchi à l'amélioration de nos règles de protection de la vie privée, à ce comité, et je pense que les Canadiens s'attendent à ce que nous ayons des règles fermes en matière de confidentialité. Cependant, si nous n'avons pas un organisme de réglementation robuste capable d'appliquer ces règles, il me semble que les règles en question et les efforts déployés pour les raffermir ne valent pas grand-chose. Est-ce qu'il y aurait, en guise de première étape, quoi que ce soit à faire qui serait plus important que de créer un organisme de réglementation robuste, ici au Canada?

    Je dirais qu'il y a au moins deux choses importantes. L'une est de s'assurer que l'organisme de réglementation possède les pouvoirs nécessaires, ce qui engloberait les ordonnances exécutoires, les sanctions et les pouvoirs d'inspection proactive, comme j'en ai précédemment discuté avec ce comité, et je peux en dire plus à ce sujet si nous avons plus de temps.

    Mais je veux passer à une autre partie de la solution, qui est d'après moi de veiller à ce que nous ayons une loi axée sur les droits. Les cas de Facebook et de Cambridge Analytica ont démontré le lien entre la protection de la vie privée et l'exercice d'autres droits fondamentaux, dans le cas qui nous intéresse, la démocratie. Cependant, il y a également un lien entre la protection de la vie privée et d'autres droits fondamentaux: l'égalité dans le contexte de l'emploi, par exemple; la liberté d'aller sur Internet pour se développer, en tant que personne, et faire des recherches sur des questions d'intérêt sans crainte d'être surveillé par des sociétés. Dans le cas de Cambridge Analytica, on a pu faire un lien très clair, mais ce n'est qu'un exemple du lien évident entre la protection de la vie privée et l'exercice des droits fondamentaux.

    Je crois que cela démontre qu'en plus de donner des pouvoirs à l'organisme de réglementation, la nouvelle loi doit être établie comme étant peut-être basée sur les principes, comme la LPRPDE, mais également sur les droits, et elle doit reconnaître que la protection de la vie privée est liée à l'exercice d'autres droits fondamentaux. Nous courons tous des risques si la vie privée n'est pas protégée. En plus de la menace à notre vie privée, il y aurait une menace à d'autres droits.

    Merci beaucoup.

    C'est maintenant au tour de M. Gourde, pour sept minutes.

    Merci, monsieur le président.

    Ma question est plutôt d'ordre général et porte sur le consentement, celui des Canadiens dans ce cas-ci, qui est demandé dans des applications. Sur Facebook, une page apparaît et il est dit que, si on veut continuer, on doit lire ce qui y est écrit et appuyer sur le bouton « J'accepte » au bas de la page pour indiquer qu'on donne son consentement.

    La semaine passée, un témoin nous a dit qu'on devrait réglementer cela et informer davantage les Canadiens au sujet des formulaires de consentement qui sont rédigés par Facebook ou des applications tierces. En donnant notre consentement, nous acceptons des applications qui n'existent même pas encore.

    Bien souvent, les Canadiens ne lisent carrément pas les conditions. Ils sont tellement pressés d'accéder à l'application qu'ils acceptent automatiquement. Facebook se défend en alléguant que les Canadiens ont accepté et qu'elle est donc protégée.

    Y a-t-il une façon de mieux informer les Canadiens? Quand ils appuient sur le bouton « J'accepte » dans une application, c'est bien un genre de contrat qu'ils concluent. Ce genre d'acceptation que demande Facebook pour se protéger de poursuites éventuelles est-il valable?

    Dans le cadre d'une enquête, nous avons examiné les politiques actuelles de Facebook. Nous avons conclu que ce consentement n'était pas valable justement parce que les usagers consentaient à quelque chose qui se produirait plusieurs années plus tard. Évidemment, ils ne peuvent pas savoir ce qui se produira des années plus tard. Même s'il y a un beau texte juridique de 50 pages ou plus, s'il n'informe pas les Canadiens de la façon dont leurs renseignements personnels seront utilisés, ce n'est pas un consentement valable.

    Comme vous le savez, en janvier de cette année, nous avons publié des lignes directrices pour amener les compagnies à avoir des politiques plus claires sur la vie privée. C'est une partie de la solution, mais ce n'est pas toute la solution. C'est l'une des raisons pour lesquelles je plaide pour l'adoption d'une loi sur la protection de la vie privée allant au-delà de ces principes importants comme le consentement. Le consentement est important, mais il ne règle pas tout. Il faut une loi qui définisse la vie privée au bon niveau de généralité.

    Protéger sa vie privée ne se limite pas à donner son consentement ou pas. Le consentement est un moyen. Le droit à la vie privée, c'est de pouvoir communiquer avec nos amis sur les médias sociaux sans craindre qu'une compagnie surveille continuellement nos activités. Cambridge Analytica utilisait ces renseignements pour essayer d'influer sur nos opinions politiques et notre vote. Il faut situer le droit à la vie privée au bon niveau de généralité, et cela va au-delà du mécanisme du consentement.

    J'ai devant moi un projet de loi qui avait été déposé lors d'une législature antérieure. Il définissait le droit à la vie privée, entre autres, comme étant le droit d'être libre de toute surveillance.

    Une nouvelle loi sur la protection des renseignements personnels, tant dans le secteur public que dans le secteur privé, devrait commencer par cela. Qu'est-ce que le droit à la vie privée? Est-ce lié au fait de donner un consentement? Non, cela ne se limite pas à cela. Le droit à la vie privée est le droit au respect de son intimité physique. C'est le droit d'être libre de toute surveillance, le droit d'être à l'abri du contrôle et de l'interception de ses communications privées par l'État ou par les compagnies. C'est à ce niveau qu'il faut définir le droit. Ensuite, des procédures ou des mécanismes comme le consentement viennent appuyer le respect de la vie privée, mais la protection de la vie privée ne se limite pas au consentement.

    Après l'adoption d'une telle loi, on pourra établir le cadre lié au consentement, et même l'imposer à Facebook, plutôt que cette dernière nous propose un consentement bidon. Si le consentement était imposé et régi par une loi canadienne, les Canadiens seraient beaucoup mieux protégés, n'est-ce pas?

    L'application pratique de ces règles juridiques sera compliquée, je ne prétends pas le contraire. Cependant, si l'on définit le droit à la vie privée en fonction du bon niveau de généralité et d'importance, on ne sera plus dans la situation que vous décriviez il y a quelques minutes. Actuellement, une compagnie peut dire que son contrat a informé l'utilisateur du fait qu'elle utiliserait ses renseignements personnels pour telles raisons, que l'utilisateur y a consenti et qu'elle agit donc de façon correcte et conforme à la loi.

    Si l'on avait une loi axée sur les droits et où le consentement est un mécanisme important, mais pas la fin ultime, et que la surveillance, aussi consensuelle soit-elle, d'une compagnie menait à une surveillance des activités d'un individu, l'agent de réglementation aurait le pouvoir d'intervenir parce que, malgré le consentement, l'essence du droit à la vie privée n'aurait pas été respectée.

    Merci.

    Monsieur Angus, vous avez sept minutes.

    Merci, monsieur le président.

    Je veux d'abord souligner toute l'importance du travail que votre bureau accomplit. La Silicon Valley se moque de nous depuis bien trop d'années, nous faisant croire que c'est une question de choix, que les gens peuvent adhérer ou se retirer. Nous pouvions lire les dispositions portant sur la protection de la vie privée. Ils n'ont jamais respecté les dispositions sur la protection de la vie privée quand ils créaient leurs modèles.

    Ce que nous avons appris avec Cambridge Analytica et Facebook, c'est qu'il n'est pas question que des droits et des choix des consommateurs. Il est question des droits démocratiques des citoyens; de la capacité d'une nation de vraiment veiller à ce que ses citoyens puissent vivre dans un univers où ils peuvent choisir certains droits qui sont protégés et inaliénables. Et l'un de ces droits, comme vous l'avez dit, est celui de ne pas être surveillé.

    Je veux commencer par quelques questions simples. Vous avez conclu que Facebook avait enfreint la loi du Canada en ne respectant pas la LPRPDE. C'est juste?

    Oui.

    En tant qu'agent du Parlement, vous avez été chargé de veiller au respect de la LPRPDE. Est-ce une opinion que vous donnez dans votre rapport, ou est-ce que ce sont les faits constatés par l'agent chargé de représenter le Parlement du Canada pour la préservation de nos lois?

    Ce sont les faits constatés et la loi.

    Dans l'état actuel des choses, la loi n'est pas contraignante pour la société soumise à la surveillance de cette agence.

    Facebook a initialement déclaré que vous n'aviez pas compétence parce que vous ne pouviez pas prouver de préjudice subi par les quelque 620 000 Canadiens dont les renseignements personnels avaient été volés. N'ont-ils pas ensuite dit que c'était votre opinion et qu'ils examineraient l'affaire? Où en sont-ils? Est-ce une opinion ou est-ce un fait que nous n'avons pas compétence? Quelle est la réponse que Facebook vous a donnée à ce sujet?

    Ils ont soulevé la question de la compétence. Nous avons répondu à cela dans notre rapport. Ils n'ont jamais reconnu notre compétence. Ils ont poursuivi la discussion avec nous comme si nous avions compétence, mais ils n'ont jamais concédé que nous avions compétence. C'est l'état des choses en ce moment. Si Facebook soulève cela à la Cour fédérale, quand nous aurons présenté notre demande, la cour tranchera la question de savoir si nous avons compétence.

    Quand nous avons entrepris nos audiences, je vous ai écrit une première fois, et c'était au printemps de 2018. Le scandale Cambridge Analytica venait d'exploser, et nous apprenions le vol des renseignements personnels de quelque 620 000 Canadiens. Facebook avait été informée de cela en 2015 et n'avait fait aucun effort pour en informer les Canadiens.

    Quand ils ont comparu devant le Comité en 2018, ils ont dit qu'ils avaient répondu très vigoureusement. Je suis sidéré à l'idée d'une société qui regarde une conclusion de droit et qui dit qu'elle ne reconnaît tout simplement pas la compétence.

    Avez-vous d'autres exemples de sociétés qui disent cela au Canada?

    Non. Il y a peut-être d'autres organismes de réglementation qui n'ont pas le pouvoir d'émettre des ordonnances exécutoires, mais rien ne me vient à l'esprit.

    J'essayais de penser à une comparaison. J'ai pensé aux rappels de véhicules à cause de nombreux accidents et au cas d'une société de construction automobile qui viendrait vous dire qu'il y a eu de multiples accidents au Brésil, aux États-Unis et en Grande-Bretagne, mais que parce qu'il est impossible de prouver que des gens sont morts sur les autoroutes canadiennes, elle ne reconnaît pas votre rôle en tant qu'organisme de réglementation pouvant l'obliger à résoudre les problèmes fondamentaux de leurs véhicules.

    Corrigez-moi si je me trompe, mais ils auraient dit qu'il serait trop coûteux pour eux de se conformer aux lois garantissant les droits des Canadiens.

    Est-ce que ma comparaison est juste?

    C'est une bonne analogie. Nous discutions avec eux de la question de savoir si leurs politiques en matière de protection de la vie privée donnaient lieu à un consentement valable. Ils n'étaient pas d'accord pour dire qu'ils n'obtenaient pas un consentement valable, mais en plus, ils soutenaient entre autres que de toute façon, il n'y avait eu aucun préjudice. Aucun Canadien n'avait subi de préjudice.

    Vous n'avez pas trouvé de preuves de préjudices subis par des Canadiens. Votre exemple des accidents de voiture est une bonne analogie.

    Parce que nous n'avons pas démontré que des Canadiens avaient subi un préjudice, nous n'avons pas compétence. Premièrement, nous avons constaté que le fondement juridique menant à un risque et à un préjudice possible pour des Canadiens était boiteux, contrairement à la LPRPDE. Deuxièmement, nous avons constaté des préjudices aux États-Unis et au Royaume-Uni en raison de ce même fondement juridique boiteux. Le risque qui s'est matérialisé aux États-Unis et au Royaume-Uni pourrait très bien se matérialiser au Canada.

    Nous avons pris connaissance des modalités. Cambridge Analytica était une manifestation d'une application tierce. Facebook a des millions d'applications tierces. Il y a manifestement préjudice pour les Canadiens.

    Je ne suis pas avocat, mais je pense que le principe de base de la compétence — corrigez-moi si je me trompe — signifie que le Canada, pays dont vous êtes un organisme de réglementation, et quelque 620 000 Canadiens ont été victimes d'un vol de données à cause de cette infraction. Facebook le savait depuis trois ans et n'a fait aucun effort pour en informer les Canadiens. Ils ont enfreint la loi relevant de la compétence canadienne parce qu'ils n'ont déployé aucun effort pour faire savoir aux Canadiens qu'ils avaient été victimes de cette atteinte à la vie privée.

    Est-ce que Facebook fait valoir que la compétence compte ou existe seulement si vous pouvez prouver que Facebook a causé physiquement un préjudice à cause de ses actions?

    C'est assez proche de la position que nous avons entendue de leur part. Ils ne contestent pas notre compétence parce qu'ils sont aux États-Unis, ou pour une autre raison de ce genre. Ils contestent notre compétence parce que les modalités que nous examinions n'ont pas, d'après eux, causé de préjudice, et que faute de préjudice, il y a absence de compétence. Nous estimons avoir compétence parce que nous avons la compétence nécessaire pour nous pencher sur ce que j'appelle le fondement juridique, c'est-à-dire les modalités...

    Vous avez compétence parce que vous êtes là pour protéger les droits des citoyens de notre pays comme le Parlement vous en a chargé. N'est-ce pas ainsi que la compétence fonctionne? Et votre obligation de protéger nos citoyens...

    Facebook se livre à une activité commerciale qui est soumise à la LPRPDE, de là notre compétence.

    Merci.

    Nous avons maintenant M. Picard, pour sept minutes.

    Merci.

    Est-ce que vous avez visionné le documentaire en deux parties au sujet de Facebook?

    Je ne sais pas si c'est le réseau HBO ou l'émission The Fifth Estate qui l'a présenté.

    Non. Je suis certain que mes collègues l'ont fait, mais pas moi.

    D'accord.

    On y parle de fausses nouvelles et de Cambridge Analytica dans les deux parties du documentaire.

    De toute évidence, les questions qui sont posées aux ex-cadres de Facebook nous font comprendre qu'un syndrome de naïveté extrême était répandu dans l'ensemble de la direction, de sorte qu'il n'y avait aucune prise de conscience des conséquences, de l'incidence juridique relativement à l'utilisation de l'information qu'ils recevaient des gens.

    Parallèlement à cela, l'une des manières importantes qui ont permis à Facebook de se protéger découlait de la fameuse règle américaine Safe Harbor Rule. En effet, compte tenu de cette règle, on ne peut pas reprocher à l'entreprise le type de gestes dont il est question dans la mesure où la nature de l'entreprise fait en sorte qu'elle ne peut pas se faire prendre au sens de la loi.

    Est-ce que la structure ou la nature de l'activité de Facebook permet à cette dernière de profiter d'une espèce de vide juridique et, par conséquent, de ne pas se faire prendre?

    Sinon, cette hypothèse n'est-elle pas applicable parce que la compagnie est définie comme telle, qu'elle a des activités qui sont aussi définies et qu'elle prétend rendre un service x?

     Cela l'exclurait-il de toute poursuite?

    Les arguments relatifs à la compétence qui ont été avancés par Facebook n'avaient pas à voir avec le territoire, avec le lieu où les données sont sur un territoire. La notion de Safe Harbor fait potentiellement appel à ce scénario.

    Selon la compagnie, puisqu'on n'avait pas démontré de préjudice réel contre des Canadiens, on n'avait pas la compétence juridique de se prononcer. Je ne pense pas que la notion de Safe Harbor soit un obstacle, dans ce cas-ci.

    Vous parlez du manque de conscience. C'est bien possible qu'à un certain moment dans l'évolution de cette compagnie, les cadres aient été relativement naïfs et qu'ils aient manqué de conscience.

    Cependant, mon expérience concrète m'amène à penser que ce n'est pas une question de manque de conscience. Les cadres disent qu'ils veulent mieux faire. L'agence de réglementation dit aux représentants des cadres que ceux-ci doivent mieux faire parce que, selon cette agence, ils ont violé la loi. Les cadres sont alors conscients de ce fait et ils décident quand même de ne pas agir.

    Dans le documentaire, M. Zuckerberg dit textuellement qu'il va collaborer pour, justement, se conformer aux exigences du gouvernement. Aux dires d'autres ex-directeurs, l'action n'a pas suivi la parole.

    Est-ce que la nature du service offert par Facebook, si je le compare à une autoroute, est d'être simplement une autoroute pavée sur laquelle il y a une circulation quelconque, personnelle, commerciale, publicitaire ou autre? On circule librement sur l'autoroute que la compagnie a pavée de manière assez large pour avoir la plus grande circulation possible.

    Quiconque veut observer la circulation sur l'autoroute peut s'installer sur le bord de l'autoroute et regarder. La tierce partie regarde ce qui se passe sur cette plateforme, de sorte que la nature même de l'activité de Facebook — à ses yeux — la dégagerait de la responsabilité qu'on veut lui donner.

    J'essaie en fait d'éliminer les arguments en sa faveur pour que nous puissions nous assurer d'avoir tous les outils nécessaires pour considérer des moyens encore plus coercitifs que ceux que nous avons actuellement.

    L'analogie entre la plateforme de Facebook et l'autoroute n'est pas mauvaise, mais je dirais qu'une des positions que prend Facebook est de dire qu'elle est une compagnie qui fait affaire avec des consommateurs, d'une part, mais qui fait aussi affaire avec d'autres compagnies, d'autre part, et que ce sont ces autres compagnies qui recueillent des renseignements auprès des usagers.

    Facebook dit ne pas être responsable de ce que font les autres compagnies, et elle demande à être tenue responsable de ce dont elle est responsable, mais pas des activités des autres compagnies. Cela pourrait tenir, si ce n'était du fait que Facebook a un intérêt commercial à ce qu'il y ait énormément de trafic sur son autoroute et que d'autres compagnies colligent des renseignements.

    Ce n'est pas un péché pour Facebook de faire de l'argent, mais le fait de développer des relations d'affaires, desquelles Facebook tire des profits, et donc d'exercer un commerce qui est accru par la présence des applications tierces, cela s'accompagne d'obligations juridiques.

    Les obligations juridiques s'appliquent en raison de la nature de l'entente avec la tierce partie, et non de la conséquence du mauvais comportement de la tierce partie elle-même, n'est-ce pas?

    En ce qui concerne la LPRPDE, c'est une des questions fondamentales, encore une fois, que nous poserons à la Cour fédérale.

    Selon nous, ce qui se passe, c'est une divulgation de la part de Facebook à la tierce partie. L'usager donne des renseignements à Facebook. Facebook a les renseignements et elle les communique à l'autre compagnie.

    La divulgation est une activité qui amène des conséquences juridiques pour Facebook. Facebook doit veiller à ce que l'usager donne son consentement éclairé à cette activité.

    Selon nous, cela met de côté l'argument selon lequel Facebook n'est pas responsable de ce que font ses voisins ou ses partenaires d'affaires.

    J'ai une hypothèse, qui est peut-être peu probable, mais que je vous présente quand même.

    Le marché canadien de Facebook représente à peu près le marché de la Californie si l'on tient compte de la population.

    Le réseau de Facebook dépasse le milliard d'usagers. Je pense qu'une personne sur trois dans le monde est inscrite à Facebook.

    Si nous lui cassons les pieds, la compagnie va simplement se retirer du Canada. Est-ce une conséquence que nous pouvons envisager et à laquelle nous pouvons composer?

    Sommes-nous maintenant dans un cul-de-sac qui nous empêche d'agir à notre convenance?

    La façon dont j'aborderais la question est la suivante.

    Facebook a autant de succès parce que les gens veulent communiquer avec leurs amis et leur famille. C'est un vrai besoin. Ce besoin doit-il être comblé par une compagnie du nom de Facebook, ou y aurait-il d'autres compagnies pouvant offrir des réseaux sociaux susceptibles de répondre aux besoins des Canadiens?

    Ce serait plus compliqué. Il y aurait moins de gens sur ce réseau social, mais je pense que c'est de cette façon qu'il faut réfléchir.

    Si une compagnie, aussi importante soit-elle, décide de partir parce qu'elle ne veut pas se conformer à la loi, il y aura d'autres joueurs, selon moi, qui prendront la place. Il y a un vrai besoin à satisfaire, et ces joueurs voudront le faire de façon conforme à la loi.

    Merci.

    C'est maintenant au tour de M. McCauley, pour cinq minutes.

    Merci, messieurs, de vos témoignages plutôt honnêtes et parfois troublants.

    Je suis un invité au Comité aujourd'hui, alors je vous demande de faire preuve d'indulgence avec moi.

    Quel recours, à défaut d'avoir une loi plus rigoureuse, avons-nous pour gérer un cas comme celui que vous avez mentionné, où Facebook a enfreint la LPRPDE? Y en a-t-il un?

    Légalement, il n'y a rien pour les atteintes à la vie privée.

    Pour faire suite à cette question, je me demande combien d'actions de Facebook sont peut-être attribuables à une faiblesse perçue dans notre position. Ce que je trouve très troublant dans tout cela — et je tiens ces renseignements d'un autre comité auquel je siège —, c'est que le gouvernement retire des publicités des stations de radio et des journaux locaux et place une grande partie de ses annonces publicitaires sur Facebook. Je me demande si les dirigeants au siège social trouvent ça drôle, sachant qu'ils sont en litige avec vous au sujet de la LPRPDE, mais que, parallèlement, le gouvernement leur verse de l'argent des contribuables.

    J'examine ensuite vos résultats ministériels et la façon dont nous, en tant que gouvernement, prenons la protection des renseignements passablement moins au sérieux. Je regarde un reportage du National Post. Lorsqu'un journaliste du National Post a posé une question à propos de SPAC et du MDN, dans l'heure et demie qui a suivi, le président d'Irving a téléphoné et menacé d'intenter des poursuites parce que SPAC et le MDN avaient fourni des renseignements personnels pour la troisième fois. Le gouvernement a remis des renseignements personnels à une société.

    Je regarde vos résultats ministériels et le pourcentage des organismes gouvernementaux qui ont les renseignements et les outils pour protéger le droit à la protection des renseignements personnels. Notre cible est que seulement 60 % des organismes gouvernementaux doivent respecter nos règles. Je me demande si les gens de Facebook se disent que si le gouvernement ne prend même pas au sérieux la protection des renseignements personnels, alors pourquoi devraient-ils le faire? Oh, et en passant, ils prendront l'argent des contribuables.

    Bien franchement, je suis outré devant toute cette stupidité. Le gouvernement est au milieu d'une bataille juridique avec ces gens, mais il leur remet des chèques et, parallèlement...

    Des milliards de personnes utilisent Facebook.

    Oui. Puis-je poser une autre question?

    Ma réponse est la suivante: un certain nombre d'acteurs dans la société pourraient intervenir pour se dissocier des entreprises qui portent atteinte à leur vie privée. Le gouvernement a le pouvoir de dépenser l'argent pour la publicité, mais on fait souvent valoir que les gens ont également un choix à faire et pourraient décider de ne pas être sur cette plateforme. Il reste que Facebook compte deux milliards d'utilisateurs, et il n'est pas facile pour les gens de renoncer à ce service. C'est possible, mais ce n'est pas évident.

    Nous pourrions revenir...

    Voilà qui m'amène à la solution. Je ne pense pas que les gens devraient avoir toutes les responsabilités. Le gouvernement pourrait peut-être prendre certaines mesures en refusant de faire affaire avec une entreprise donnée, ce qui pourrait avoir une plus grande incidence, mais ce n'est pas la véritable solution non plus. La vraie solution est de veiller à ce que les entreprises qui répondent à un besoin dans la société — et les gens doivent clairement pouvoir communiquer — doivent le faire dans le respect des droits des Canadiens. Il faut donc des lois.

    Il ne semble pas y avoir suffisamment d'indignation. Il y a eu un incident avec Cambridge Analytica, qui était très grave. Avez-vous l'impression que, au jour le jour, les Canadiens disent simplement que c'est un service gratuit et que si les gens ne veulent pas être la cible d'atteintes à leurs renseignements personnels, ils n'ont qu'à ne pas utiliser ce service? Les gens comprennent-ils mal la gravité de la situation ou y sont-ils indifférents?

    Je pense que les gens utilisent ces services parce qu'ils doivent vivre dans une société moderne. Une société moderne inclut les médias sociaux et les services numériques. Ils préféreraient utiliser ces services d'une manière qui ne compromet pas leur vie privée, mais ils ont l'impression que c'est ce qu'ils doivent faire. Là encore, je pense que notre tâche consiste à veiller à ce que les Canadiens puissent bénéficier des avantages de l'économie numérique, mais d'une manière qui ne leur cause pas de torts, ce qui me ramène aux lois.

    Merci.

    Nous allons maintenant entendre Mme Vandenbeld, pour cinq minutes.

    Je pense que la question précédente va au coeur du problème, à savoir le dilemme qui se pose lorsqu'on a ces grands monopoles de données et que les utilisateurs ne peuvent pas faire un choix véritable.

    Lorsque vous avez entamé cette enquête, vous vous êtes évidemment penchés sur Cambridge Analytica, Facebook et l'atteinte à la sécurité des données. Au Comité, nous avons découvert qu'AggregateIQ a joué un rôle actif dans cette affaire. Cette étude est-elle encore en cours?

    Elle est en cours et menée conjointement avec des collègues de RBC, et nous espérons pouvoir annoncer nos conclusions plus tard ce printemps.

    Sans vouloir anticiper les conclusions, d'après vous, qu'est-ce qui ressortira de cette étude que vous pourrez ajouter à vos recommandations sur les mesures que ce comité...

    ... sur les lois?

    C'est exact.

    C'est difficile à dire, et si me prononce là-dessus, je risque de divulguer les conclusions prématurément.

    Nous attendrons le rapport avec beaucoup d'impatience.

    D'accord.

    La préoccupation que j'ai, et vous l'avez mentionnée un peu plus tôt lorsque vous avez dit que Facebook a des millions d'applications, c'est que Cambridge Analytica est seulement une application.

    Oui.

    On nous a dit à ce comité que ce n'est que la pointe de l'iceberg, et nous savons qu'il y a de nombreuses autres plateformes de données et plateformes de médias sociaux. Avez-vous d'autres préoccupations concernant d'autres plateformes de données que Facebook? Le cas échéant, puisque vous n'avez pas la capacité proactive d'enquêter, recommanderiez-vous de veiller à ce que nous soyons en mesure d'enquêter lorsque ces types d'atteintes à la vie privée sont commises dans des endroits dont nous ignorons encore l'existence?

    Bien sûr que cela me préoccupe. En vertu de la loi actuelle, nous enquêtons principalement en fonction des plaintes. Nous déposons nous-mêmes quelques plaintes, mais c'est vraiment la pointe de l'iceberg.

    Les pouvoirs d'inspection proactive doivent être perçus sous cet angle. Nous ne serons jamais, en tant qu'organisme de réglementation, en mesure de surveiller les activités de toutes les entreprises. Ce n'est pas l'objectif, mais si nous avons le pouvoir d'inspecter de manière proactive les pratiques où nous croyons que des actes répréhensibles sont commis et que nous découvrons dans certains cas que ces actes doivent être assortis de sanctions, alors nous lançons le message à tous les intervenants de l'industrie que, s'ils contreviennent à la loi, ils risquent d'être assujettis à une inspection par le Commissariat à la protection de la vie privée et d'encourir des amendes.

    Avec un système comme celui-là, on a de bien meilleures chances que les comportements dans le secteur s'améliorent.

    La capacité d'enquêter de façon proactive et la capacité d'imposer des sanctions sont étroitement liées.

    Oui.

    En ce qui concerne Facebook, étant donné que l'entreprise n'a pas mis en œuvre les recommandations en 2009 et qu'elle a nié et n'a même pas reconnu ses fautes dans ce cas-ci, croyez-vous que ce qui s'est passé avec Cambridge Analytica, étant donné que les Canadiens sont sur Facebook à l'heure actuelle, pourrait survenir à nouveau?

    Il ne fait aucun doute que cela pourrait se produire en ce moment.

    Ce n'est pas juste sur Facebook, mais sur d'autres plateformes également.

    Ce serait possible. Je n'ai pas enquêté sur d'autres plateformes, mais je suppose que ce qui s'est produit sur Facebook pourrait se produire ailleurs, mais avec Facebook, c'est effectivement une possibilité.

    J'imagine qu'il est des plus pressants que nous puissions légiférer pour pouvoir détenir ces types de pouvoirs.

    Oui.

    Si on fait appel à la Cour fédérale, des sanctions pourraient être imposées, mais selon vos estimations, il faudrait une autre année. C'est beaucoup de temps, et nous ne pourrions pas mener les enquêtes de façon pressante. Est-ce exact?

    Il faudrait une année. Après qu'un jugement de la Cour fédérale est rendu, je pense que nous serions dans une bien meilleure position, mais je ne suis pas certain que les procédures judiciaires s'arrêteraient à la Cour fédérale. Je pense que ce qui est en jeu se rapproche suffisamment du modèle d'affaires de l'entreprise et qu'il est fort probable que cette cause serait portée en appel, si bien que ce serait un long processus.

    Merci.

    Le prochain intervenant est M. Gourde, pour cinq minutes.

    J'ai trouvé votre dernière intervention intéressante. C'est sûr que ce n'est pas demain la veille que l'on se rendra devant la Cour d'appel. On parle d'un horizon de 10, 15 ou 20 ans.

    De cinq ans.

    C'est quand même optimiste.

    Le Canada est vraiment dans le far west pour ce qui est du numérique et de la réglementation. On veut faire quelque chose, mais quoi? Y a-t-il des pays qui ont privilégié une action commune ou une législation plus ou moins commune avec d'autres pays, ce qui pourrait envoyer un signal à Facebook et à d'autres grandes compagnies afin de les inciter à définir un cadre?

    Le Canada peut essayer quelque chose. Il peut être poursuivi. Il peut y avoir des gagnants et des perdants. Les autres pays observeront cela. Croyez-vous que chaque pays prendra, de façon individuelle, des mesures en même temps? Les lois vont-elles finir par se ressembler?

    Ce n'est pas demain la veille non plus qu'il y aura un traité international, selon moi.

    Si différents pays adoptent des lois semblables ou interexploitables, la multiplication de ces mesures législatives et réglementaires pourrait mener à un résultat. Ce qui est encourageant, comme vous le savez, c'est que l'Europe a déjà adopté un règlement qui fournit une bonne protection en matière de vie privée. Il est entré en vigueur il y a maintenant un an.

    Je suis encouragé par le fait qu'il se tient maintenant des discussions sérieuses au Congrès américain pour adopter une loi sur la protection de la vie privée. Quand nos partenaires commerciaux d'Europe, du Sud et de plusieurs pays d'Asie vont dans le même sens, il y a lieu d'être plus optimiste, mais cela prend beaucoup de temps.

    Au bout du compte, l'adoption de lois plus sévères dans différents pays, dont certains sont des partenaires commerciaux du Canada, devrait améliorer les choses.

    Je crois qu'une loi canadienne serait plus contraignante à l'égard de Facebook qu'une loi américaine. Le système américain est ainsi fait que Facebook doit donner beaucoup d'argent aux membres du Congrès: il y a sûrement des pressions qui s'exercent pour qu'il y ait une certaine latitude et une certaine liberté en réalité. Par contre, le système politique de pays comme le Royaume-Uni, le Canada et l'Australie permet peut-être d'aller un peu plus loin.

    Vous avez adopté une stratégie de petits pas et c'est correct pour vous, mais nous, les législateurs, devrions-nous mener une action commune avec quatre ou cinq pays pour tester le système comme il se doit? Sinon, un premier pays agira de son côté, d'autres pays observeront ce qui va se passer pour ensuite réajuster le tir l'un après l'autre. Quelle est la meilleure démarche: attendre qu'un pays agisse de son côté et réajuster le tir au fur et à mesure des initiatives prises ou faire en sorte que les pays prennent des mesures plus solides? Cette dernière façon de faire enverrait le message que la récréation est terminée.

    Il est important que tous les pays agissent, sans attendre de voir ce que feront les voisins. On revient au point de départ de la conversation, à savoir que la technologie évolue très rapidement, tout comme les modèles d'affaires. Il ne faut pas penser que si la loi est modifiée dans deux ans, elle sera bonne pour les 20 années qui suivront. Il faut que la loi soit efficace au moment où elle est adoptée et suffisamment flexible pour tenir compte des changements technologiques. Il faut que les parlementaires soient aussi à l'affût de ces changements et qu'ils agissent rapidement lorsque le cadre législatif présente des faiblesses à cet égard.

    On est dans un monde où les changements technologiques se produisent à un rythme effréné. Les lois ne suivent pas ce rythme, et c'est un grand problème. Je ne demande pas que les lois soient modifiées tous les six mois, mais il faut établir un cadre suffisamment flexible pour prendre en compte les changements technologiques, tout en gardant à l'esprit qu'il sera peut-être nécessaire de légiférer cinq ou huit ans plus tard à cause de la rapidité de ces changements.

    Il faut donc une loi qui soit très évolutive et proactive.

    Oui, tout à fait.

    Invitez-vous le gouvernement à en faire une priorité à l'avenir?

    Absolument.

    Si ce n'est pas une priorité, cela peut être remis à plus tard, mais si c'est une priorité, cela peut aller plus vite.

    Qu'est-ce qui pourrait être plus grave, comme conséquence pour une société, que des pratiques commerciales qui remettent en cause l'intégrité du processus démocratique? C'est la première raison, parmi plusieurs, pour laquelle il est urgent d'agir. Effectivement, cela devrait être une priorité, pour la nouvelle législature, de légiférer sur ces questions.

    Merci.

    On vous écoute, madame Fortier, pour cinq minutes.

    Merci beaucoup, monsieur le président.

    Monsieur Therrien, je vous remercie d'être ici.

    Les questions commencent à être répétitives et j'espère que je ne vous ferai pas répéter.

    Le sujet dont nous discutons est évidemment complexe. Il faut trouver une façon de suivre l'évolution de ce dossier.

    Vous avez déjà répondu à plusieurs de mes questions. Au cours de votre témoignage, vous avez dit qu'il était temps de réformer la loi. Je pense que c'est clair. Vous avez dit que la loi devrait exiger une responsabilisation démontrable qui s'apparenterait à une reddition de comptes. Vous l'avez probablement fait, mais pourriez-vous nous expliquer en deux minutes ce que vous vouliez dire?

    Oui.

    Dans la Loi actuelle, le premier principe est nommé « accountability » en anglais et « responsabilité » en français. Selon ce que je comprends, le terme « accountability », dans un sens comptable, signifie une reddition de comptes, c'est-à-dire que la partie qui est responsable doit faire rapport à ses commettants de la façon dont elle a exercé ses responsabilités.

    Dans la LPRPDE actuelle, le terme « accountability » est donc rendu en français par « responsabilité ». La responsabilité s'arrête avant la reddition de comptes. C'est déjà beaucoup, mais cela s'arrête avant. La responsabilité consiste à adopter des procédures pour mettre en œuvre les autres principes de la Loi, notamment le consentement, la transparence, l'accès, et ainsi de suite.

    La compagnie ou l'organisation se décharge de son obligation d'être responsable en adoptant des procédures, mais elle n'a pas d'obligation de rendre des comptes, que ce soit aux usagers ou à l'agence de réglementation, pour démontrer que ses procédures mettent en œuvre les principes de la LPRPDE.

    Une des conséquences liées à Facebook — et il y a d'autres manifestations de cela —, c'est qu'on ne peut plus s'y fier. Le principe de la responsabilité est important. Il est important que les compagnies soient responsables et que tout le fardeau de la protection de la vie privée ne repose pas sur les épaules des usagers. Il serait irréaliste de le penser. Il est important que les compagnies aient une responsabilité.

    Le cas de Facebook, entre autres compagnies, démontre clairement que ce n'est pas parce que la Loi impose une responsabilité que cette obligation sera respectée, d'où la nécessité d'exiger une reddition de comptes. Il faut obliger les compagnies à démontrer qu'elles ont effectivement adopté des procédures pour mettre en œuvre les principes de la Loi, tout en donnant des pouvoirs d'inspection proactive.

    Un des modèles serait que les compagnies fassent rapport à l'agence de réglementation des procédures qu'elles ont adoptées, un peu comme c'est le cas des rapports sur les atteintes à la vie privée, qui sont une obligation juridique depuis novembre.

    Imaginons une loi où les compagnies doivent faire rapport à l'agence de réglementation des procédures qu'elles ont mises en place pour vraiment respecter les principes de la LPRPDE. L'agence de réglementation, ayant des ressources limitées, étudierait les rapports et constaterait qu'ici et là il semble y avoir des problèmes. Elle ferait des inspections quant à ces compagnies, trouverait peut-être des cas de violation et les sanctionnerait.

    Si la responsabilité allait dans le sens d'une vraie reddition de comptes,

    ... une vraie reddition de comptes en termes comptables...

cela finirait par avoir une conséquence sur l'ensemble de l'industrie, parce que les compagnies ne voudraient pas courir le risque de faire l'objet d'une inspection et de sanctions.

    Merci.

    J'ai une dernière question. Y a-t-il des questions que nous ne nous sommes pas encore posées à ce comité et sur lesquelles nous devrions nous pencher d'ici la fin de cette législature et par la suite?

    La question de la responsabilité est fondamentale. Vous avez peut-être entendu des représentants de l'industrie dire que, dans le monde technologique moderne, le consentement n'est pas toujours réaliste et que les compagnies peuvent prendre le relais et être responsables de la façon dont elles traitent les renseignements.

    Encore une fois, je ne vois pas de problème à ce que les compagnies assument une partie de la responsabilité. Cependant, il faut réfléchir sérieusement au fait qu'il n'est pas suffisant d'imposer la responsabilité aux compagnies. Une vérification doit être faite par une agence indépendante, qui agit au nom des individus, qui, souvent, ne sont pas capables de cerner les problèmes. Les compagnies connaissent leur modèle d'affaires et sont généralement responsables, mais il faut qu'un tiers s'assure que les intérêts et les droits des usagers sont respectés dans les faits.

    Merci beaucoup.

    Monsieur Angus.

    Merci, monsieur le président.

    Je veux faire suite à vos observations sur la reddition de comptes, car j'essaie de réfléchir à une situation semblable où la reddition de comptes d'une entreprise était insuffisante. Facebook a une plateforme qui connaît beaucoup de succès. Elle est utilisée partout dans le monde. Elle génère des revenus sans précédent. Elle n'a pas de concurrence et, au cours de la dernière année, le comité parlementaire du Royaume-Uni l'a qualifiée de gangster de la sphère numérique et le commissaire à la protection de la vie privée en Nouvelle-Zélande a dit de l'entreprise qu'elle était dénuée de tout sens moral. Les Nations unies ont dénoncé Facebook pour complicité dans le génocide au Myanmar.

    À mon avis, une pratique d'entreprise normale serait d'entreprendre une tournée de courtoisie, de commencer à corriger les problèmes et de rassurer les gens. Or, M. Zuckerberg a fait fi de sa comparution au Grand comité international, et maintenant, votre rapport sera rendu public sous peu.

    Facebook a dit: « Merci, mais nous ne voulons pas dépenser de l'argent pour nous conformer aux règles, alors nous allons simplement prétendre que vous n'avez pas compétence sur la loi. » Vous avez qualifié sa politique de coquille vide. J'essaie de comprendre ce qui cloche vraiment avec Facebook.

    Est-ce la culture de l'entreprise, et je ne vous demande pas de vous aventurer sur le sujet, ou est-ce que son modèle d'affaires de base, comme celui pour le capitalisme de surveillance, est fondé sur le non-respect des droits à la vie privée des citoyens, et que l'entreprise ne changera pas un modèle d'affaires qui a donné d'excellents résultats, même si elle viole les lois du Canada et de nombreux autres pays?

    Il est clair que son modèle d'affaires, comme celui de nombreuses entreprises, vise à monétiser la valeur des renseignements personnels. C'est au coeur du problème et nous, en tant que sociétés, devons élaborer le cadre juridique approprié pour veiller à ce que les services ajoutent de la valeur, mais sans causer de torts, en raison de la collecte de renseignements et de la surveillance auxquelles se livrent les entreprises.

    Enfin, pour prévenir de telles situations à l'avenir, lorsqu'un organisme de réglementation canadien commence à enquêter, car il y aura d'autres violations — et il pourrait même y avoir des violations plus graves —, quels outils réclamez-vous? Vous devez répéter vos recommandations au Comité pour que nous puissions les répéter au Parlement du Canada. Nous devons apprendre des leçons que nous avons tirées du scandale de Cambridge Analytica pour que nous puissions protéger les droits démocratiques et sociaux des citoyens qui utilisent les services en ligne.

    Mes recommandations consistent à consentir des pouvoirs d'application de la loi plus solides à mon bureau en tant qu'organisme de réglementation, ce qui signifie dans la pratique au moins trois choses: le pouvoir de rendre des ordonnances exécutoires, le pouvoir d'imposer des sanctions pour veiller à ce que ces ordonnances soient mises en oeuvre et, tout aussi important, voire peut-être plus important, le pouvoir d'inspecter de façon proactive les pratiques des entreprises pour veiller à ce qu'elles respectent la loi. C'est une étape importante.

    Par ailleurs, nous devons réformer les principes du droit du secteur privé et du secteur public, mais nous parlons actuellement du droit du secteur privé. Je n'ai aucun problème avec le fait que la LPRPDE actuelle est axée sur des principes. Cela fait partie de l'architecture qui lui permet d'être viable, quelles que soient les technologies. Cependant, cette loi axée sur les principes doit également veiller à ce qu'elle soit axée sur les droits et qu'elle définisse la protection des renseignements personnels pas comme étant une série d'étapes mécaniques importantes comme le consentement, mais qu'elle la définisse de façon appropriée, à savoir le droit d'être libre d'une surveillance injustifiée de la part des entreprises et du gouvernement. C'est le droit qui est en jeu, et c'est le droit qui doit être promulgué, à mon avis, pour que les citoyens puissent participer à l'économie numérique, effectuer des recherches et se développer comme personnes sans faire l'objet d'une surveillance constante.

    Merci, commissaire Therrien.

    Encore une fois, les séances ne sont jamais assez longues, mais nous vous sommes reconnaissants d'avoir comparu à notre comité.

    Comme nous devons maintenant étudier des travaux du Comité, je vous demanderais de quitter la salle le plus rapidement possible.

    [La séance se poursuit à huis clos.]