ETHI Réunion de comité

    Bonjour à tous.

    Je tiens à souhaiter la bienvenue à nos témoins. Merci beaucoup de votre patience; il y avait un vote à la Chambre des communes, et nous devions y être. Nous avons seulement quelques minutes de retard, et, à ce sujet, je remercie mes collègues d'être venus ici le plus rapidement possible.

    Nous poursuivons notre étude de la Loi sur la protection des renseignements personnels. Nous sommes heureux d'accueillir des représentants de l'Agence des services frontaliers du Canada, de la GRC, du Service canadien du renseignement de sécurité et du ministère de la Citoyenneté et de l'Immigration. La liste des noms est longue, et je vais donc laisser chacun d'entre vous se présenter d'entrée de jeu. Chaque ministère a 10 minutes pour présenter sa déclaration préliminaire. Vous pouvez utiliser le temps qui vous est alloué comme bon vous semble.

    Nous vous remercions beaucoup d'être là aujourd'hui. Je vous demande, s'il vous plaît, d'être brefs et de respecter le délai de 10 minutes afin que nous puissions ensuite passer aux séries de questions. Vous savez tous comment les choses fonctionnent. Je crois que vous avez tous déjà comparu devant un comité. J'ai bien hâte à notre discussion.

    Nous allons procéder dans l'ordre sur lequel vous apparaissez dans mon ordre du jour. Nous allons donc commencer par l'Agence des services frontaliers du Canada. Vous avez un maximum de 10 minutes. Allez-y, s'il vous plaît.

    Merci, monsieur le président.

    Je m'appelle Robert Mundie. Je suis le directeur général du Secrétariat général de l'Agence des services frontaliers du Canada. Je suis aussi le chef de la protection des renseignements personnels de l'ASFC. J'ai avec moi, M. Dan Proulx, qui est le directeur de notre division de l'AIPRP.

    La Division de l'AIPRP est responsable de la surveillance de la fonction de protection des renseignements personnels de l'Agence, ce qui comprend l'application et le respect des exigences de la Loi sur la protection des renseignements personnels en lien avec le traitement des demandes, les interactions avec le public, les employés de l'ASFC, d'autres institutions fédérales et le Commissariat à la protection de la vie privée au sujet des enquêtes et des vérifications et la mise en oeuvre de mesures pour améliorer notre capacité de traiter les demandes liées à la protection des renseignements personnels.

    Je vais décrire brièvement la fonction de protection des renseignements personnels de l'ASFC et le rendement de celle-ci en fonction des normes de service établies et je vais ensuite souligner certaines des réussites et des difficultés vécues sur le plan de l'application de la Loi.

    L'Agence des services frontaliers du Canada est responsable des fonctions frontalières relatives aux douanes, à l'exécution de la Loi sur l'immigration et la protection des réfugiés et à l'inspection des aliments, des végétaux et des animaux.

    L'Agence applique et exécute deux principaux textes de loi. Premièrement, la Loi sur les douanes décrit les responsabilités de l'Agence en matière de perception des droits et des taxes sur les marchandises importées, d'interception des marchandises illégales et d'application des lois et des accords commerciaux. Deuxièmement, la Loi sur l'immigration et la protection des réfugiés régit l'admissibilité des personnes au Canada ainsi que l'identification, la détection et le renvoi des personnes jugées interdites de territoire aux termes de la loi.

    L'Agence exécute aussi plus de 90 autres lois au nom d'autres ministères et organismes du gouvernement fédéral.

    Monsieur le président, en raison des nombreuses interactions quotidiennes de l'Agence avec des entreprises et des personnes, pour diverses questions, le personnel de l'Agence connaît bien les demandes liées à la protection des renseignements personnels. Environ 60 employés travaillent pour la Division de l'AIPRP, dont 34 se consacrent au traitement des demandes liées à la protection des renseignements personnels et à l'accès à l'information. De plus, la division dispose, à l'interne, d'un réseau de 16 agents de liaison, qui assurent un soutien au sein des directions générales de l'Agence à l'administration centrale ainsi que dans les régions qui répondent aux demandes d'accès à l'information et de protection des renseignements personnels.

    Durant le dernier exercice, les dépenses de fonctionnement totales de l'ASFC pour mener à bien son programme lié à la protection des renseignements personnels et à l'accès à l'information s'élevaient à environ 5,4 millions de dollars, dont 4,4 millions de dollars pour les salaires et 1 million de dollars pour les autres dépenses. Ce montant inclut l'application de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels, puisque les activités liées aux deux lois sont réalisées simultanément.

    Pour ce qui est du volume de demandes, l'ASFC a reçu un peu plus de 11 200 demandes durant le dernier exercice, soit en 2015-2016. Il s'agit du deuxième nombre de demandes en importance au sein du gouvernement du Canada. En outre, l'Agence a reçu environ 5 500 demandes relatives à l'accès à l'information.

    Le nombre élevé de demandes est largement attribuable à des personnes qui demandent une copie de leur date d’arrivée au Canada. Au cours de 2015-2016, 78 % des demandes reçues par l’ASFC provenaient de personnes qui demandaient un rapport d’antécédents de voyage, lequel sert à prouver le respect des obligations relatives à la résidence dans le cadre des programmes gérés par Immigration, Réfugiés et Citoyenneté Canada et par Emploi et Développement social Canada sur les demandes traitées durant le dernier exercice, l’ASFC a réussi à répondre à 88,7 % d'entre elles en respectant les délais imposés par la loi

    Les analystes de l’accès à l'information dans les unités de traitement des dossiers ont directement accès à la base de données dans laquelle se trouvent les rapports d’antécédents de voyage. En outre, l’examen de ces rapports et l’application de la loi sont relativement normalisés, ce qui permet aux analystes d’achever le traitement des demandes sans devoir obtenir des représentants du ministère des recommandations sur la communication. Cela réduit considérablement le temps dont ont besoin les analystes pour traiter ces types de demandes.

    Comme il a été indiqué dans le rapport annuel de 2015-2016 soumis au Parlement par le Commissariat à la protection de la vie privée du Canada, 88 plaintes ont été déposées contre l'ASFC auprès du commissaire à la protection de la vie privée du Canada. Étant donné le grand nombre de demandes traitées par l'Agence, il s'agit d'une très petite proportion du nombre total de demandes acheminées.

    Cependant, nous aspirons toujours à mieux servir les demandeurs. Nos réussites illustrent l'engagement de l'Agence à veiller à ce que tous les efforts raisonnables soient déployés pour satisfaire aux obligations énoncées dans la Loi sur la protection des renseignements personnels.

    L'ASFC s'efforce de fournir aux Canadiens les renseignements auxquels ils ont droit de façon utile et en temps opportun, en conciliant le droit d'accès et la nécessité de protéger l'intégrité des services frontaliers, qui appuient la sécurité publique et nationale. Nous prenons très au sérieux nos responsabilités au titre de la Loi sur la protection des renseignements personnels.

    En terminant, nous voyons d'un bon oeil la révision de la Loi sur la protection des renseignements personnels et nous appuierons et adopterons pleinement toute nouvelle mesure présentée par le Secrétariat du Conseil du Trésor relativement aux modifications apportées à la Loi.

    Je vous remercie, monsieur le président, de nous avoir donné la possibilité de formuler nos commentaires et de nous avoir accueillis aujourd'hui. C'est avec plaisir que je répondrai aux questions des membres du Comité.

    Merci beaucoup, monsieur Mundie, c'est un plaisir pour le Comité de vous accueillir.

    Nous allons maintenant passer à la Gendarmerie royale du Canada, pour 10 minutes, s'il vous plaît.

    Madame Marcoux.

    Merci, monsieur le président, de nous donner l'occasion de prendre la parole devant le Comité pour contribuer à votre examen de la Loi sur la protection des renseignements personnels.

    Il s’agit d’un examen important compte tenu des changements profonds qui ont touché la société et le paysage de la sécurité depuis que la Loi sur la protection des renseignements personnels est entrée en vigueur en 1983. La GRC accueille avec plaisir cet examen et est déterminée à travailler en collaboration avec l’ensemble des ministères et des organismes du gouvernement afin d'évaluer les changements de la Loi qui sont nécessaires au maintien de l’équilibre entre la protection de la vie privée et un environnement technologique en constante évolution.

    Je m'appelle Rennie Marcoux. Je suis la dirigeante principale de la planification et des politiques stratégiques responsable de la sous-direction de l'accès à l'information et de la protection des renseignements personnels à la GRC. Je suis accompagnée de mon collègue, le commissaire adjoint Joe Oliver, qui est responsable des opérations techniques.

    Je décrirai d'abord la structure adoptée à la GRC pour répondre aux demandes de communication de renseignements personnels. Ensuite, je ferai état de certaines des mesures que nous avons mises en vigueur pour nous assurer de nous conformer à la Loi sur la protection des renseignements personnels. Enfin, je terminerai en disant quelques mots sur l'importance des renseignements pour remplir notre mandat.

    La GRC est divisée en 15 divisions, en plus de la direction générale, située à Ottawa, et chacune d'entre elles est dirigée par un commandant. À l'échelle locale, il y a plus de 750 détachements.

    Compte tenu de la taille de notre organisation, de la diversité et de la complexité de nos activités et de la nature délicate de nos fonds de renseignements, la réponse aux demandes relatives à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels constitue une tâche considérable pour notre organisme. Notamment, nous devons faire attention à la façon dont nous recueillons, utilisons et communiquons les renseignements personnels conformément à la Loi sur la protection des renseignements personnels.

    La sous-direction de l'accès à l'information et de la protection des renseignements personnels à la GRC est chargée de répondre à toutes les demandes officielles de renseignements en vertu des deux lois. En outre, la sous-direction de l'accès à l'information et à la protection des renseignements personnels élabore des politiques et des procédures aux fins d'utilisation au sein de la GRC pour assurer le respect des lois, des règlements et des lignes directrices connexes.

    Nous avons environ 68 employés dont l’essentiel du travail est de veiller au respect des obligations de la GRC au titre de la Loi. Le quart de ces postes exige des agents de police qu’ils s’assurent que les renseignements de nature délicate liés à l’application de la loi sont bien protégés et qu’ils réduisent le besoin de procéder à des consultations chronophages auprès de nos gestionnaires de programme. Les employés sont tenus de travailler avec environ 750 agents de liaison dans nos divisions à l’échelle du Canada.

    La direction de l’AIPRP coordonne la récupération et la communication des dossiers pour tout l'organisme. Les personnes-ressources dans les divisions aident à retrouver les dossiers pertinents et à veiller à ce que les employés dans les régions connaissent leurs responsabilités au titre de la Loi.

    En 2015-2016, la GRC a reçu un peu plus de 5 000 demandes d’accès à l’information, et notre taux de conformité était de 82 %, comparativement à 78 % pour l’année précédente. Pour la première fois depuis l’exercice 2010-2011, la GRC a été en mesure de faire passer son taux de conformité au-dessus de la norme de 80 % établie par le Commissariat à la protection de la vie privée.

    Le rendement global de la GRC s'est amélioré au cours du dernier exercice, car nous avons clos plusieurs dossiers, réduit les arriérés et reçu moins de plaintes.

    Ces résultats font suite à une revue de la charge de travail à l'échelle de l'organisation, qui a mené à la restructuration de la sous-direction de l'accès à l'information et de la protection des renseignements personnels afin de répondre aux demandes de manière plus efficiente dès l'admission des demandes d'accès. Ces changements représentent une étape positive pour la GRC.

    La GRC accorde une attention particulière au respect de la Loi sur la protection des renseignements personnels au moment de communiquer ces renseignements. Par exemple, les renseignements sont seulement communiqués avec consentement ou aux personnes et institutions autorisées à les recevoir. Lors de la communication de renseignements personnels, la GRC s'assure que l'organisme demandeur ou qui recevra les renseignements a l'autorisation légale pour ce faire, tout comme elle s'assure qu'elle a le pouvoir de lui divulguer cette information en vertu de la loi.

    Dans le cadre de la divulgation d'informations personnelles jugées comme étant d'intérêt public, à part quelques hauts responsables au quartier général, seuls les commandants divisionnaires sont autorisés à prendre cette décision.

    Durant de la dernière année, dans le cadre de l’initiative de la sous-direction de l’AIPRP visant à sensibiliser tous les employés de la GRC, 21 exposés ont été donnés à plus de 200 employés pour leur expliquer leurs responsabilités en vertu de la Loi sur la protection des renseignements personnels. La GRC conçoit des outils de formation améliorés sur la protection des renseignements personnels pour tous les employés et a examiné ses politiques et définitions liées aux renseignements personnels, y compris l’orientation à prendre en cas de publication d’information d’intérêt public.

    Un plan de formation sur l'accès à l'information et la protection des renseignements personnels a été créé et mis en oeuvre. Le personnel chargé de l'accès à l'information et la protection des renseignements personnels assiste régulièrement à des séances organisées par le Secrétariat du Conseil du Trésor et à d'autres séances de formation et ateliers dans le cadre de son perfectionnement.

    La stratégie de formation encourage les employés à suivre différents cours sur l'accès à l'information et la protection des renseignements personnels pour accroître leurs connaissances et leur efficacité comme spécialistes dans ce domaine.

    Dans le cadre de leur orientation, tous les employés reçoivent une formation de cinq jours sur les deux lois quand ils se joignent à la sous-direction.

    Nous mettons aussi l'accent sur la formation dans les détachements pour veiller à ce que le personnel de première ligne connaisse les obligations de la GRC en vertu de la législation fédérale.

    Le mandat de la GRC consiste à prévenir le crime et à appréhender les criminels. La collecte et la communication de renseignements sont essentielles à la réalisation de ce mandat. La nature dynamique et transactionnelle du crime exige aussi que nous agissions rapidement et que nous établissions des partenariats avec d'autres services de police et organismes de sécurité au Canada et à l'étranger. Le partage de l'information efficace et responsable avec nos partenaires du domaine de la sécurité est devenu de plus en plus essentiel afin de cerner les menaces et de protéger la sécurité publique.

    La GRC met en application les lois du Canada en conformité avec les autorisations judiciaires appropriées. Nous adhérons aux normes de protection de la vie privée établies par le gouvernement du Canada et nous savons que nous devons travailler avec le plus grand soin lorsqu'il est question de manipuler des renseignements sensibles ou privés provenant des suspects ou des victimes.

     Nous prenons nos obligations en vertu de la Loi sur la protection des renseignements personnels très au sérieux et nous nous efforçons d'assurer un équilibre entre ces obligations et notre priorité principale consistant à assurer la sécurité des Canadiens.

    Tout examen de la Loi sur la protection des renseignements personnels doit permettre de continuer de trouver le juste équilibre entre le besoin de protéger les droits liés à la protection de la vie privée des Canadiennes et des Canadiens et le besoin, pour les agences responsables de la sécurité, d'avoir les autorités nécessaires afin d'enquêter sur des activités criminelles et de protéger la sûreté et la sécurité des Canadiennes et des Canadiens.

    Merci encore, monsieur le président, de nous avoir donné cette occasion de prendre la parole devant le Comité.

    Merci, madame Marcoux. Votre exposé est très apprécié.

    Nous allons maintenant passer à Michael Peirce, qui représente le SCRS. Vous avez jusqu'à 10 minutes, s'il vous plaît.

    Monsieur le président et mesdames et messieurs, bonjour.

    Je suis heureux de comparaître devant vous ce matin en compagnie de mes collègues.

    Je m'appelle Michael Peirce. Je suis le directeur adjoint du Renseignement du SCRS. Je suis responsable de la production et de la diffusion des évaluations de renseignement du Service. Je suis aussi responsable des litiges et de la communication, notamment des communications relatives à l'accès à l'information.

    Laissez-moi d'abord vous remercier de m'avoir invité à participer à votre étude de la Loi sur la protection des renseignements personnels et de me donner l'occasion de donner quelques explications sur la façon dont le SCRS gère les demandes qui se rapportent à cette loi.

    Pour commencer, je tiens à assurer aux membres du Comité que le Service accorde une très grande importance à la protection des renseignements personnels. Et cela se reflète tant dans les activités de collecte que dans les politiques et les pratiques en matière de gestion de l’information de notre organisation. Le SCRS cherche toujours à trouver l’équilibre entre la transparence et le respect de ses exigences opérationnelles. C’est une exigence que nous tentons continuellement de respecter et que nous prenons très au sérieux.

    À l’instar de toutes les autres institutions gouvernementales, le SCRS est assujetti à la Loi sur la protection des renseignements personnels. Dans ce contexte, le mandat du SCRS et ses activités opérationnelles suscitent des exigences distinctes du point de vue de la protection des renseignements personnels et de l’accès à l’information. Cela dit, et pour appuyer mes déclarations, ici, aujourd'hui, j’aimerais vous donner un aperçu des documents d’autorisation du SCRS et des raisons pour lesquelles il faut prévoir des considérations spéciales pour veiller à l’intégrité du travail que nous faisons.

    La Loi sur le SCRS définit clairement le mandat du SCRS. Nous sommes autorisés à recueillir des renseignements — seulement dans la mesure de ce qui est strictement nécessaire — sur les activités soupçonnées de constituer une menace pour la sécurité du Canada.

    L’article 2 de la Loi définit précisément ces menaces, à savoir le terrorisme, l’espionnage, le sabotage et l’ingérence étrangère. Pour accomplir notre mission, c'est-à-dire de veiller à la sécurité nationale, nous recueillons des renseignements pour repérer et évaluer les menaces à la sécurité du Canada et y réagir. Concernant ce dernier point, le SCRS est tenu de conseiller le gouvernement en matière de sécurité nationale, notamment de communiquer des renseignements aux partenaires pour qu’ils s'en servent dans le cadre de leurs enquêtes ou de leurs mesures d’application de la loi.

    Je tiens toutefois à signaler que le SCRS n'est pas un organisme d'application de la loi. Il ne jouit pas du pouvoir d'arrestation ou de détention, ne voit pas à l'application de la loi et ne prend pas de décisions de nature administrative.

    En raison de nos tâches et fonctions, l'accès à des renseignements fiables et exacts est l'élément crucial du travail que nous faisons. Le SCRS comprend qu'il joue un rôle unique à cet égard et, par conséquent, ne ménage aucun effort dans la gestion et la protection des renseignements qu'il recueille.

    À ce sujet, monsieur le président, en août 2015, la Loi sur la communication d'information ayant trait à la sécurité du Canada, que je désignerai sous le nom de LCISC, est entrée en vigueur. Elle autorise explicitement les ministères et organismes fédéraux à communiquer de l'information aux destinataires qui sont énumérés conformément à ses dispositions applicables. Le SCRS est l'un de ces destinataires.

    Pour en assurer la mise en oeuvre, le SCRS sollicite ses partenaires de façon bilatérale, selon un ordre de priorité, pour renouveler les relations d'échange de renseignements. Cette approche pragmatique et par étapes a été adoptée pour veiller à ce que tous les paramètres touchant aux questions juridiques, aux politiques et à la protection des renseignements personnels soient pris pleinement en considération.

    À l'automne de 2015, le SCRS présentait sa démarche générale visant la mise en oeuvre de la LCISC à des représentants du Commissariat à la protection de la vie privée du Canada. La collaboration est constructive et se poursuit.

    Et maintenant, pour revenir à l’accès à l’information à la protection des renseignements personnels, je peux vous garantir que le SCRS déploie des efforts considérables pour respecter toutes les exigences redditionnelles obligatoires au titre de la Loi sur la protection des renseignements personnels et continue de maintenir une norme de rendement élevée dans le cadre de son administration.

    La section de l’AIPRP du SCRS compte 15 employés qui remplissent les obligations du Service prévues par la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels. C’est un nombre relativement petit, compte tenu de la quantité et de la complexité des demandes que nous recevons, mais ces employés ont prouvé qu’ils étaient à la hauteur de la tâche.

    Durant l'exercice 2015-2016, le SCRS a reçu 1 212 demandes seulement aux termes de la Loi sur la protection des renseignements personnels, ce qui correspond à une augmentation de 149 % comparativement à l'exercice précédent. Malgré tout — et je suis fier de vous l'apprendre — le SCRS a réussi à répondre dans les délais dans 99 % des cas.

    Le SCRS fait aussi partie des 32 organismes gouvernementaux qui acceptent l'envoi en ligne de demandes aux termes de la Loi sur l'accès à l'information, ce qui contribue à la hausse du nombre de demandes que nous recevons.

    J'en profite aussi pour préciser que le SCRS entretient une relation très productive avec le Commissariat à la protection de la vie privée et que notre section de l'AIPRP travaille en collaboration de façon très diligente avec le Commissariat pour répondre adéquatement à toutes les plaintes reçues.

    Comme vous le savez, la Loi sur la protection des renseignements personnels permet à une personne d’obtenir les renseignements qui la concernent. Nous faisons tout ce qui est en notre pouvoir pour trouver l’équilibre entre ce droit individuel et les exigences opérationnelles touchant la protection des renseignements sensibles se rapportant aux enquêtes licites.

    Pour ce qui est de l'accès à l'information, il est facile de comprendre pour quelle raison il faut traiter les renseignements du SCRS de façon particulière. En effet, ces dernières ont notamment trait aux enquêtes sur les menaces qui pèsent sur la sécurité nationale et aux techniques d'enquête qui lui sont propres.

    Nous devons aussi assurer la sécurité personnelle de nos employés et des sources humaines qui nous fournissent de l'information. Fait intéressant, il existe des banques d'information propres au SCRS, comme celles nommées Dossiers d'enquêtes et Évaluations de sécurité/Avis.

    La majeure partie des demandes de renseignements que le SCRS reçoit visent le contenu de ces banques. Par exemple, la banque nommée Dossiers d’enquêtes contient des renseignements personnels à propos de personnes identifiables soupçonnées de participer à des activités qui constituent des menaces pour la sécurité du Canada et des personnes qui ont fourni, et fournissent toujours, des renseignements confidentiels. Il est évident qu'il faut protéger ces renseignements.

    Même si, en principe, cela peut sembler simple, en pratique, il y a beaucoup de défis. Par exemple, certaines demandes proviennent de personnes qui font l’objet d’une enquête, alors que beaucoup d'autres proviennent de personnes qui ne le sont pas et qui n'ont jamais été visées par une enquête. Cependant, notre politique consiste à ne jamais confirmer ni nier l’existence de dossiers dans ces situations, puisque cela pourrait involontairement révéler l’objet de certaines enquêtes.

    Il convient de noter que les demandes soumises aux termes de la Loi sur la protection des renseignements personnels sont établies et examinées au cas par cas. De cette façon, le SCRS fait tout ce qui est en son pouvoir pour trouver l'équilibre entre le droit à la communication de renseignements et la protection de la sécurité nationale, du public et de la vie privée des personnes.

    J’espère vous avoir donné une bonne idée de l’équilibre avec lequel le SCRS s’acquitte de ses obligations relatives à la Loi sur la protection des renseignements personnels et de son mandat au titre de la Loi sur le SCRS. De façon générale, ces activités sont menées à l’interne et à l’externe selon le cadre de responsabilisation. Le SCRS entretient une relation ouverte avec le commissaire à la vie privée, lequel voit au respect de la Loi sur la protection des renseignements personnels. Qui plus est, le SCRS mène ses activités sous la surveillance du Comité de surveillance des activités de renseignement de sécurité, le CSARS, qui fait rapport au Parlement à ce sujet.

    Je vous remercie de m'avoir invité à comparaître devant le Comité aujourd'hui pour discuter de ces choses, et, sur ce, monsieur le président, je termine ma déclaration préliminaire.

    Merci beaucoup, monsieur Peirce. Nous allons maintenant passer à nos derniers témoins, qui représentent le ministère de la Citoyenneté et de l'Immigration.

    Madame Beck, je vous cède la parole pour un maximum de 10 minutes, s'il vous plaît.

     Merci beaucoup.

    Bonjour, monsieur le président et bonjour aux membres du Comité. Je m'appelle Stefanie Beck. Je suis sous-ministre adjointe des Services ministériels du ministère de l'Immigration, des Réfugiés et de la Citoyenneté du Canada.

    Je suis accompagnée de Mme Audrey White, directrice de la Division de l'accès à l'information et protection des renseignements personnels, chez nous.

    Nous sommes déjà venus vous parler de l'accès à l'information et nous sommes très heureux d'être de retour pour vous parler aussi de la protection des renseignements personnels. Je vous remercie beaucoup de m'accueillir ici aujourd'hui et d'accueillir aussi mes collègues. Nous sommes aussi très heureux de vous fournir le point de vue d'IRCC sur cette question importante.

    Nous tenons à féliciter le Comité de son étude. Cela fait plus de trois décennies que la Loi sur la protection des renseignements personnels est entrée en vigueur, et je crois que nous sommes tous d’accord sur le fait qu’il est grand temps de l’actualiser. Comme l’a fait observer au Comité le commissaire à la protection de la vie privée, les percées technologiques permettent maintenant de recueillir et de conserver des quantités considérables de renseignements. Nous devons nous assurer que notre capacité de protéger cette information reflète cette réalité.

    Monsieur le président, avant de répondre aux questions du Comité, j'aimerais donner un aperçu de la façon dont Immigration, Réfugiés et Citoyenneté Canada fait face aux défis relatifs à la protection des renseignements personnels qui lui sont confiés. Il s'agit là d'un devoir que mes collègues et moi prenons très au sérieux.

    Notre ministère comprend une direction de l'accès à l'information et de la protection des renseignements personnels, qui compte environ 70 employés. De plus, nous avons un réseau de 85 agents de liaison dans les nombreuses régions et directions générales du ministère.

    Immigration, Réfugiés et Citoyenneté Canada reçoit davantage de demandes d'accès aux renseignements personnels que toute autre institution fédérale. En 2015-2016, notre plus récente année de déclaration, nous avons reçu 15 292 demandes d'accès aux renseignements personnels. Cette année, nous prévoyons recevoir au-delà de 16 000 demandes.

    J'ai eu l'occasion de comparaître devant ce comité plus tôt cette année. Aujourd'hui, je vais concentrer mes commentaires sur la Loi sur la protection des renseignements personnels.

    Étant donné la nature de notre travail, qui exige le traitement de plus de 2,8 millions de demandes de résidence permanente et temporaire chaque année, nous recevons chaque jour une quantité considérable de documents contenant des renseignements personnels. Ces documents nous sont fournis dans tous les formats — numérique et imprimé — et même sous forme de photos.

    À IRCC, la protection de la vie privée et des renseignements personnels est essentielle. Le ministère a nommé un chef de la protection des renseignements personnels qui est chargé d’assurer un leadership et une orientation stratégiques en ce qui a trait à la protection des renseignements personnels. IRCC tiendra sa première Journée de la protection des données le mois prochain. Nous prévoyons accroître la sensibilisation à la protection de la vie privée et plaider en faveur de la protection des renseignements personnels au sein du personnel. IRCC offre un certain nombre d’activités de formation obligatoire et volontaire en ligne et en personne, comme des ateliers et des séances de sensibilisation. C’est un processus continu, pas un événement qui se produit seulement une fois par année, la journée même de la protection des données.

    Nous avons également adopté un Cadre de protection de la vie privée qui a été largement diffusé et qui met de l'avant les pratiques exemplaires en matière de gestion des renseignements personnels à l’échelle du ministère. Ce cadre de protection de la vie privée énonce les principales responsabilités et établit un ensemble commun de normes et de procédures. Il indique les principes clés de la protection de la vie privée, comme la nécessité de limiter la collecte, l’utilisation, la divulgation et la conservation des renseignements. Il fournit également aux employés des outils leur permettant de s’assurer qu'ils remplissent leurs responsabilités et suivent les pratiques appropriées, conformément aux politiques du Secrétariat du Conseil du Trésor et du ministère.

    Je vais vous donner deux ou trois exemples. Le Cadre de protection de la vie privée fournit de l’information aux employés afin de veiller à ce qu’ils soient pleinement conscients du fait que les renseignements personnels ne peuvent être recueillis que tels qu’énoncés dans les lois habilitantes d’IRCC, principalement la Loi sur l'immigration et la protection des réfugiés, la Loi sur la Citoyenneté et le Décret sur les passeports canadiens. Le Cadre met aussi l’accent sur le fait que seuls les employés possédant la cote de sécurité appropriée doivent avoir accès aux renseignements personnels, et que tout accès aux renseignements personnels doit être accordé uniquement en fonction du « besoin de savoir ». Ce n’est pas suffisant d’avoir la cote de sécurité appropriée, il faut avoir besoin de connaître l’information.

    Ces principes, qui sont au coeur des pratiques de protection des renseignements personnels d'IRCC, répondent à bon nombre des préoccupations exprimées par le commissaire à la protection de la vie privée.

    En effet, les pratiques de protection de la vie privée d'IRCC sont conformes à la plupart des recommandations du commissaire quant aux changements à apporter à la Loi sur la protection des renseignements personnels.

    Par exemple, tel qu'il a été recommandé par le commissaire, IRCC suit les politiques du Secrétariat du Conseil du Trésor ainsi que ses propres Lignes directrices sur les atteintes à la vie privée, qui exigent que toutes les atteintes à la sécurité des renseignements personnels jugées graves soient signalées au commissaire à la protection de la vie privée ainsi qu'au Secrétariat du Conseil du Trésor.

    Le commissaire recommande également que les institutions gouvernementales soient tenues de réaliser des évaluations des facteurs relatifs à la vie privée pour les programmes qui sont nouveaux ou modifiés de façon importante, et de soumettre ces évaluations au Commissariat à la protection de la vie privée avant leur mise en oeuvre.

    Encore une fois, monsieur le président, c’est quelque chose qu’IRCC fait déjà, en suivant les politiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor et les siennes. En outre, dans certains cas complexes, des représentants d’IRCC rencontrent des membres du Commissariat à la protection de la vie privée afin de les informer d’avance de l’initiative et de leur fournir des renseignements détaillés sur les incidences potentielles liées à la protection de la vie privée. Nous avons constaté qu’obtenir une rétroaction de façon précoce nous permet de mettre au point de meilleurs produits.

    Ce ne sont là que quelques exemples, monsieur le président, de la façon dont la majorité des recommandations faites par le commissaire à la protection de la vie privée cadrent avec nos pratiques de gestion et de manipulation des renseignements personnels.

    Je dois cependant mentionner qu’il y a une recommandation qui pourrait avoir une incidence opérationnelle importante sur notre travail. Comme vous le savez, monsieur le président, la Loi sur la protection des renseignements personnels donne un droit d’accès aux citoyens canadiens, aux résidents permanents et aux personnes effectivement présentes au Canada. Actuellement, les étrangers et les personnes qui se trouvent hors du Canada peuvent avoir accès à leurs renseignements personnels détenus par IRCC en faisant appel à un représentant canadien et en présentant une demande en vertu de la Loi sur l’accès à l’information. Nous en avons discuté la dernière fois que j’ai comparu devant le Comité et, comme vous le savez, ces gens paient un droit lorsqu'ils présentent une demande au titre de la Loi sur l’accès à l’information.

    Le commissaire à la protection de la vie privée a recommandé que les étrangers et les personnes qui se trouvent hors du Canada puissent soumettre une demande liée à leurs renseignements personnels en vertu de la loi. Cela nous préoccupe, parce qu'en raison des secteurs d'activité et du mandat international d'IRCC, cette recommandation pourrait donner lieu à une augmentation considérable du nombre de demandes relatives à la protection de la vie privée, ce qui imposerait un fardeau excessif sur nos ressources et créerait des contraintes opérationnelles considérables. Cela pourrait sérieusement compromettre notre capacité de respecter les délais de réponse aux demandes prévus par la loi.

    Monsieur le président, j'aimerais vous remercier encore une fois de m'avoir invitée à présenter le point de vue d'IRCC sur ce sujet important.

    Je me ferai un plaisir de répondre à vos questions.

    Merci beaucoup, madame Beck. Nous avons apprécié votre déclaration.

    Nous allons maintenant passer aux séries de questions.

    Je tiens à rappeler à mes collègues ici présents que nos questions doivent permettre d'obtenir des réponses en rapport avec l'étude de la Loi sur la protection des renseignements que nous menons actuellement.

     Monsieur Massé, vous disposez de sept minutes.

    Merci, monsieur le président. Craignez-vous que nos questions ne soient pas reliées au domaine particulier de l'étude? Je vous taquine.

    Je vous remercie d'être ici ce matin en tant que témoins. C'est fort apprécié. Cette étude est très importante pour le Comité.

    Madame Marcoux, je vous remercie. Vous avez couvert l'essence de ma question.

    Ma question s'adresse aux quatre organisations. Je vous demanderais d'y répondre uniquement par oui ou par non. J'aimerais savoir si l'ensemble de vos employés reçoivent une formation sur les responsabilités qu'ils ont à assumer en matière de protection des renseignements personnels.

    C'est oui.

    Oui.

    Oui, absolument.

    Tout à fait.

    Merci.

    Compte tenu de la complexité de vos organisations, du nombre d'employés qui composent vos organisations, du nombre de documents que vous développez et que vous recevez ainsi que de l'ensemble de vos systèmes informatiques et de leur complexité, comment pouvez-vous vous assurer que les renseignements personnels contenus dans ces systèmes et dans ces documents sont bel et bien protégés?

    C'est une question large, évidemment, et il s'agit ici d'y répondre en une ou deux minutes.

    Bref, comment pouvez-vous confirmer que les renseignements personnels qui sont en votre possession sont bel et bien protégés?

    Nous allons commencer par M. Mundie.

    Je vais commencer, puis demander à M. Proulx s'il a quelque chose à ajouter.

    La première chose, comme vous l'avez mentionné, c'est la formation qui est fournie à nos employés afin qu'ils connaissent la loi et qu'ils sachent de quelle façon l'appliquer dans le cadre de nos activités. Nous offrons différents types de formation adaptés à différentes situations, des cours en ligne aux cours en classe, en passant par des sessions très spécialisées à l'intention des personnes qui assument des fonctions précises au sein de l'organisation. C'est un élément clé.

    La sensibilisation est un aspect que je soutiens au niveau de la direction et grâce à différentes activités réalisées régulièrement. Voilà pour la composante liée à la sensibilisation.

    Nous faisons beaucoup de choses pour être prêts et pour comprendre les répercussions des différents programmes sur la protection des renseignements personnels. Nous préparons et, parfois, nous mettons à jour des évaluations des facteurs relatifs à la vie privée selon les modifications du contexte dans lequel un programme est offert. Nous menons des consultations à ce sujet auprès du Commissariat à la protection de la vie privée. Nous comprenons bien quelles sont les répercussions sur notre organisation. Nous possédons des mesures d'atténuation que nous pouvons mettre en place et qui nous permettent de cerner les risques potentiels en matière de protection des renseignements personnels qui découlent de nos activités. Voilà deux ou trois des choses que je mentionnerais.

    Dan, voulez-vous ajouter quelque chose d'autre?

    J'ajouterais que les dossiers de notre organisme sont toujours bien classés et bien désignés.

    Nous comptons sur un agent de sécurité ministériel, dont nous suivons les conseils en ce qui concerne les exigences de sécurité strictes liées à la protection des renseignements. Nous possédons aussi une infrastructure de TI qui permet de s'assurer que tout est conservé intact.

    La même chose s'applique dans mon bureau de l'AIPRP. Les renseignements sont seulement communiqués en fonction du besoin de savoir. Nous nous assurons que les renseignements que nous conservons sont exacts et à jour et qu'ils sont traités conformément à leur désignation et leur classification.

    Merci.

    Je vais répondre en partie et céder ensuite la parole à mon collègue, si vous n'y voyez pas d'inconvénient.

    Comme l'ont dit mes collègues de l'Agence, il y a la formation continue et la formation approfondie de nos employés. Il y a aussi les politiques mises en vigueur pour assurer la protection des renseignements personnels. Il y a aussi une coopération étroite entre les collègues chargés de l'accès à l'information et de la protection de la vie privée, d'une part, et leurs collègues de la GRC qui sont responsables de la gestion de l'information au sein de leur organisme, d'autre part. Il y a aussi la technologie de l'information, de même que les mécanismes de surveillance mis en oeuvre par le commissaire à la protection de la vie privée. Le fait de devoir rapporter les atteintes à la vie privée crée une certaine discipline et une certaine conscientisation au sein de l'organisation. Enfin, il y a les vérifications de nos renseignements qu'effectue régulièrement le bureau du commissaire.

    Je vais maintenant céder la parole à M. Oliver.

    Merci, madame Marcoux.

    Si vous le permettez, je vais répondre en anglais.

     Pour ce qui est de la protection des renseignements, nous respectons aussi le cadre stratégique du gouvernement sur la sécurité, qui inclut un ensemble de politiques qui concernent des choses comme les contrôles de sécurité physique, les contrôles liés à la sécurité du personnel et la sécurité des TI. Lorsque je parle de sécurité physique, cela peut inclure les zones de très haute sécurité ou les renseignements de nature délicate qui sont conservés. Seulement certaines personnes auront accès à ces zones; on a donc mis en place un cadre d’accès limité à ces zones de très haute sécurité. Pour ce qui est de l’accès des personnes, les personnes possèdent un certain niveau d’habilitation de sécurité. Il y a des contrôles de sécurité liés à la fiabilité des personnes qui auront accès à l’information et le besoin et le droit de savoir. Les systèmes de TI sont aussi configurés d’une telle façon que certaines personnes auront seulement accès à certains renseignements. Par exemple, seules les personnes qui participent au programme national des délinquants sexuels qui ont la désignation nécessaire pour avoir accès à l’information ont accès aux renseignements contenus dans le registre national des délinquants sexuels, pas tous les employés de la GRC.

    Des contrôles administratifs sont intégrés dans nos systèmes de sécurité, et il y a des contrôles intégrés visant à prévenir les cyberattaques et ces genres de choses.

    Voilà qui conclut ce que j'avais à dire à ce sujet. Merci.

    Merci.

    Je vais commencer et, ensuite, je vais passer la parole à ma collègue.

    La protection des renseignements fait partie de nos activités de base. Chaque élément d'information que nous recueillons et conservons est intégré dans une banque de données précise. Ces banques de données sont à accès limité, et ce n'est donc pas tout le monde au sein de l'organisation qui y a accès. Encore une fois, c'est similaire à ce que Mme Beck a dit. C'est le principe du besoin de savoir qui est appliqué, et nous imposons des limites strictes en matière d'accès aux renseignements au sein du Service.

    Dès le premier jour, nous montrons à nos employés de quelle façon ils doivent gérer les renseignements qu'ils recueillent. Lorsque les gens entrent dans le Service, particulièrement au poste d'agent du renseignement, ils suivent un cours de formation avant même de commencer à travailler afin de savoir de quelle façon recueillir et gérer les renseignements, produire des rapports connexes et les aiguiller vers les bons secteurs. Nous faisons un suivi de tous les renseignements déclarés. Nous possédons des systèmes qui nous permettent d'avoir accès rapidement à cette information. En effet, c’est très important lorsque nous avons besoin de renseignements de façon urgente dans un dossier lié à la sécurité nationale. Cela facilite aussi notre capacité de répondre aux demandes de renseignements personnels, qui est l’une des raisons pour laquelle nous affichons un aussi haut taux de réponse dans les délais accordés.

    Nous avons aussi une éthique de conformité au sein de l'organisation qui nous pousse à nous assurer que nos employés suivent constamment des cours de formation de remise à niveau sur la façon dont ils doivent faire ce travail, sur la façon dont ils doivent s'assurer qu'ils transfèrent les renseignements aux bons endroits et veiller à ce que nous puissions protéger les renseignements et que ceux-ci ne soient pas communiqués par inadvertance, et ce, parce que nous devons protéger les renseignements personnels et parce que nous devons assurer la sécurité nationale.

    Nous en sommes déjà à huit minutes d'une question qui devait en durer seulement sept, mais je veux laisser aussi parler Citoyenneté et Immigration. Pouvez-vous seulement, s'il vous plaît, être le plus succinct possible?

    Je dirais probablement ce qu'ils ont dit parce que, en fait, je crois que nous abordons tous ce dossier de la même façon. Il y a en fait trois aspects majeurs: l'aspect lié au personnel, l'aspect physique et la question de la TI. Nous avons mis en place des structures similaires en matière de prévention et de détection, et nos activités de vérification garantissent que, dès le départ, il n'y a pas de problème. Cependant, si un problème arrive, ces mesures nous permettent de le découvrir rapidement et de le régler.

    Merci beaucoup.

    Nous allons maintenant passer à M. Kelly, pour un maximum de sept minutes.

    J'aimerais poser ma première question à M. Peirce.

    Craignez-vous que certaines des recommandations du commissaire à la protection de la vie privée empêchent le SCRS de faire son travail? Et, dans l'affirmative, lesquelles? Y a-t-il des recommandations précises qui pourraient nuire à la réalisation du mandat de votre organisation?

    Je suis venu ici aujourd'hui pour parler de l'administration de la Loi sur la protection des renseignements personnels, pas pour parler des activités d'élaboration de politiques en cours, alors je n'ai pas de réponse précise à formuler au sujet des recommandations.

    D'accord, mais vous comprendrez que notre Comité doit formuler une recommandation ou réagir aux recommandations qui ont été formulées. Nous aimerions bien savoir quelles sont vos recommandations ou quelles sont vos préoccupations à l'égard des recommandations formulées. Si vous ne le dites pas, cela minera notre capacité de produire le rapport qui s'impose au terme de notre étude.

    Je serais heureux de faire un suivi auprès du Comité pour lui fournir une réponse, mais, comme je l'ai dit, mon mandat aujourd'hui consiste à parler de la façon dont nous gérons et administrons concrètement la loi actuelle, pas pour parler de l'élaboration de politiques. Si j'ai mal compris ce qu'on attendait de moi, alors, comme je l'ai dit, nous ferons un suivi avec vous.

    Je peux formuler quelques commentaires si vous me le permettez.

    Bien sûr.

    Si on décide de donner suite à la recommandation touchant l'exigence de nécessité explicite de la collecte de renseignements, il faudrait, selon moi, agir avec prudence afin de ne pas nuire à la collecte d'éléments de preuve. En effet, lorsque nous recueillons des éléments de preuve, nous tentons d'obtenir l'information là où elle se trouve, que ce soit des renseignements sur les déplacements, des renseignements bancaires, des renseignements associés aux communications, des données de vidéosurveillance ou d'autres types d'information. Le fait de seulement permettre aux responsables de l'application de la loi de recueillir certains renseignements pourrait limiter notre capacité de réaliser notre mandat associé à la sécurité publique.

    L'autre recommandation concerne le fait d'accorder au commissaire à la protection de la vie privée le pouvoir discrétionnaire de parler publiquement des enjeux qui concernent la protection des renseignements personnels et le gouvernement lorsqu'il estime que cette communication est dans l'intérêt public. Si cette recommandation est adoptée, j'espère qu'elle n'affaiblira pas l'article 62, sur les exigences en matière de sécurité, ni l'article 65, sur la protection des capacités de nature délicate, comme les techniques d'enquête et ces genres de choses.

    Il s’agit de certains domaines — qui pourraient miner notre capacité de réaliser notre mandat — où la communication de certains renseignements pourrait compromettre l’identité des sources humaines ou l’identité de témoins bénéficiant d'une protection. Cela pourrait aussi compromettre des techniques d’enquête confidentielles que nous tentons de protéger afin que les organisations criminelles ou les terroristes ne modifient pas leurs comportements afin d’éviter toute détection ou ne mettent pas en place des contre-mesures pour les contourner. Nous tenterons de continuer à protéger ces types de renseignements.

    Merci.

    Permettez-moi d'élargir ma question. Je donnerai ensuite à chacune des deux autres organisations la possibilité de répondre si elles ont des choses précises à ajouter.

    Madame Beck, vous avez mentionné dans votre déclaration votre crainte au sujet des ressources nécessaires pour assurer la conformité si la Loi sur la protection des renseignements personnels est élargie pour inclure les ressortissants étrangers. Si vous voulez nous en dire plus à ce sujet, allez-y.

    Je crois que c'est assez évident. J'ai dit que nous traitons 2,8 millions de demandes par année. Si ne serait-ce que 10 % de ces personnes commençaient à présenter des demandes pour obtenir leurs dossiers complets, nous aurions énormément de travail à faire.

    Pour revenir sur ce que mon collègue de la GRC a dit, nous étions nous aussi curieux de savoir ce qu'il voulait dire lorsqu'il a parlé de déclarer les enjeux d'intérêt public. Il serait utile pour nous d'obtenir de plus amples renseignements à ce sujet avant que nous puissions formuler une position officielle à ce sujet.

    Nous sommes aussi bien sûr intéressés par les pouvoirs d’émettre des ordonnances que le commissaire à la protection de la vie privée demande et qui fait suite à ce que le commissaire à l’information a demandé récemment. Dans un même ordre d’idées, nous serions préoccupés si ce pouvoir de rendre des ordonnances outrepassait ce que prévoit déjà la Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information. Nous voudrions nous assurer que, peu importe ces nouveaux pouvoirs donnés au commissaire, nous puissions continuer à protéger nos renseignements liés à la sécurité nationale. Le fait de communiquer de l’information au sujet d’un particulier pourrait mettre sa famille en danger. Prenons, par exemple, des cas liés à des demandes d’asile. Il serait important que le commissaire à la protection de la vie privée soit au fait de toutes les conséquences de tout ce qui pourrait se produire si l’information est communiquée. Il s’agirait pour nous d'une préoccupation majeure.

    Merci.

    Les représentants de l'ASFC ont-ils quelque chose à ajouter?

    Aucune des recommandations formulées par le commissaire à la protection de la vie privée ne provoque chez nous de préoccupations précises, mais il y a un problème avec lequel nous sommes confrontés à l'interne, et cette situation s'applique peut-être aussi à la GRC et au Service correctionnel.

    Il existe des situations au titre du paragraphe 8(2) de la Loi sur la protection des renseignements personnels, qui nous permet de communiquer des renseignements personnels dans une situation précise, mais il y a aussi des situations où des gens sont gravement blessés ou décédés et où l'on ne peut pas obtenir leur permission pour communiquer l’information à leur plus proche parent ou à des membres de leur famille. Il pourrait s’agir d’une modification qui serait utile et qui fera en sorte qu'on n’ait plus à passer par une E2M, qui est une façon de déterminer si l’intérêt public l’emporte sur l’intérêt de la personne et s’il faut communiquer l’information. Il s’agit d’un processus chronophage. En procédant à une modification pour tenir compte des situations où une personne est décédée ou gravement blessée, nous pourrions alors informer le plus proche parent.

    Je crois bien que je vais terminer encore une fois avec M. Peirce, alors.

    Si vous avez des préoccupations au sujet des 15 recommandations qui nous ont été formulées, allez-vous nous répondre après, afin que nous puissions obtenir cette information sous forme d'un résumé?

    Nous ferons un suivi.

    

    Mon temps est-il écoulé?

    Oui.

    D'accord. Je vais donc m'arrêter ici.

    Merci, monsieur Peirce.

    Je suis désolé, monsieur Kelly. Je ne voulais pas vous interrompre.

    Monsieur Peirce, à coup sûr, si vous avez des renseignements, veuillez faire un suivi auprès du greffier du Comité, ici, et nous communiquerons l'information.

    Nous allons maintenant passer à M. Blaikie, pour un maximum de sept minutes.

    Merci à vous tous d'être là. Puisque c'est toujours un peu difficile d'accueillir des représentants de quatre ministères durant une même réunion, je vais commencer en posant deux ou trois questions auxquelles vous pourrez, je l'espère, répondre rapidement, par un oui ou par un non, et je poserai ensuite une question supposant une réponse plus étoffée.

    Dans le cadre de vos activités actuelles, arrive-t-il parfois que des renseignements personnels soient communiqués sans que cette communication soit visée par une entente sur l'échange de renseignements explicite, soit à un autre ministère du gouvernement, soit à un gouvernement étranger?

    Non.

    Une voix: Non.

    Non. Lorsque nous communiquons des renseignements, c'est en vue d'un usage conforme, et les renseignements seraient assortis de mises en garde concernant toute communication subséquente.

    Dans ces cas, et pour tous vos ministères, s'agit-il d'ententes sur la communication de renseignements écrites? Certains renseignements sont-ils communiqués en vertu d'une entente écrite avec un autre ministère ou un autre gouvernement?

    Je peux répondre.

    Pour ce qui est des autres gouvernements — qu'il s'agisse du gouvernement étranger ou au pays —, il y a toujours un accord de collaboration écrit, donc tout est par écrit. Je crois que, dans le cas de la communication de renseignements entre des ministères du gouvernement, tout dépend de la situation quant à savoir si une entente précise a été couchée sur papier. Nous nous appuyons souvent sur les pouvoirs prévus dans les différentes lois et qui concernent la communication de renseignements. Il n'est pas toujours nécessaire d'avoir un accord écrit.

    C'est pareil pour la GRC. Tant que les renseignements sont recueillis pour une utilisation conforme, que la communication respecte la Loi sur la protection des renseignements personnels et que nous avons évalué la fiabilité, la pertinence et ainsi de suite, alors l'information peut être communiquée sans qu'il n'y ait d'accords, mais l'information en question est assortie de mises en garde.

    Certains accords que nous avons conclus avec les partenaires internationaux ne sont pas couchés sur papier. Il y a parfois des ententes de vive voix. Cependant, ces ententes sont toutes documentées comme étant des ententes conformément aux dispositions de notre loi.

    Nous avons des accords au titre de notre loi, la Loi sur l'immigration et la protection des réfugiés, ainsi que des ententes écrites officielles sur la communication de renseignements. En fait, beaucoup de ces ententes sont accessibles en ligne. Vous pouvez les lire sur notre site Web.

    Selon vous, dans quelle mesure serait-il possible ou à quel point serait-il facile pour vous, dans les situations où vous communiquez de l'information sans avoir conclu d'ententes écrites officielles, soit avec d'autres gouvernements, soit avec d'autres ministères, d'adopter un système en vertu duquel vous fonctionneriez toujours en vertu d'une entente écrite sur la collecte de renseignements?

    Du point de vue de la bureaucratie, c'est toujours plus facile si nous avons un pouvoir législatif de le faire sans avoir à négocier un accord distinct en bonne et due forme, si c'est ce que vous laissez entendre, afin de pouvoir procéder. Si nous devions conclure des ententes sur la communication de renseignements entre nous tous, nous pourrions préparer des lignes directrices, des modèles, des matrices, et des choses du genre, mais, selon moi, en cette ère de réduction de la bureaucratie, ce n'est pas la direction que nous voulons prendre.

    Certains témoins ont laissé entendre que l’échange de renseignements devrait toujours se faire en vertu d’un accord écrit explicite. En outre, ces témoins ont dit que ces ententes devraient être rendues publiques. C’est là où je veux en venir, afin d'avoir une idée de l’impact opérationnel de l’adoption de tels accords et de ce que cela signifierait pour vos organisations précises d’avoir à rendre publics les règles ou les principes généraux en vertu desquels les renseignements sont communiqués, même si, bien sûr, vous n’auriez pas communiqué les renseignements en tant que tels. Quel serait l’impact opérationnel?

    Les lois sont toutes publiques et elles sont en ligne. Comme je l'ai dit, environ 50 de nos ententes sont déjà en ligne et nous évaluons quelles autres ententes pourraient être affichées sur Internet. Les documents en tant que tels ne sont absolument pas classifiés. Certaines parties le sont peut-être dans certains cas. Vous pouvez même lire nos ententes sur la communication de renseignements avec le Royaume-Uni et les États-Unis. Ces documents figurent sur notre site Web.

    Naturellement, il serait difficile pour le SCRS de rendre publique sa relation avec tous les organismes de renseignements de sécurité de la planète avec lesquels nous travaillons. Cela reviendrait à communiquer des liens qui sont étroitement protégés par certains de nos partenaires, parfois, des liens dont la divulgation pourrait miner notre capacité de recueillir des renseignements sur la sécurité nationale au sujet des menaces à la sécurité du Canada.

    En d'autres mots, certaines organisations ne travailleraient pas avec nous si nous devions rendre publique notre relation.

    Dans votre cas, donc, un des défis ne serait pas uniquement lié au type de renseignement qui est communiqué et qu'il faut divulguer publiquement. Cela tiendrait aussi à l'existence même de la relation.

    C'est exact.

    M. Daniel Blaikie: D'accord.

    Lorsque nous avons des relations de longue date avec des partenaires avec qui nous échangeons régulièrement des renseignements, habituellement, ces activités sont soutenues par un accord qui décrit les mesures de protection des renseignements requises. Cependant, d'un point de vue opérationnel, il serait impossible, selon moi, de négocier un accord avec tous les intervenants avec lesquels nous échangeons de l'information. Si l'on s'en tient au contexte nord-américain, il y a 360 organismes d'application de la loi au Canada, et 17 000 aux États-Unis. L'endroit où l'infraction a lieu peut avoir des répercussions internationales. Pour que nous puissions échanger, peut-être, une petite quantité de renseignements avec la police d'un État américain, il faudrait entreprendre un lourd processus de négociation sur la communication de renseignements pertinents du point de vue de l'application de la loi. Dans certains cas, il faut communiquer l'information en temps opportun afin de prévenir un crime plus grave.

    Il serait très difficile de négocier un accord avec tous les intervenants avec lesquels nous communiquons de l'information. C'est la raison pour laquelle nous nous sommes dotés de politiques strictes qui définissent de quelle façon nous échangeons l'information et avec qui nous le faisons. Il y a un besoin de savoir, et il y a un droit de savoir. De plus, nous évaluons la pertinence de toutes les demandes, la fiabilité de l'information que nous communiquons et l'exactitude des renseignements avant toute communication. Puis, nous communiquerons l'information en l'assortissant d'une mise en garde contre toute dissémination subséquente, ce qui signifie qu'il faut demander à l'intervenant qui a communiqué initialement l'information s'il est possible de la communiquer à d'autres entités.

    On procède aussi à la formation continue de nos employés afin qu'ils comprennent exactement quelles sont leurs responsabilités, c'est-à-dire s'ils doivent ou non communiquer l'information.

    Je crois que les représentants de l'ASFC attendent aussi patiemment leur tour.

    À l'ASFC, nous nous sommes dotés de politiques qui concernent essentiellement l'ensemble des pouvoirs législatifs de communiquer de l'information. Par exemple, nous avons une politique liée à l'article 107 de la Loi sur les douanes. Nous avons aussi une politique au titre de l'article 8 de la Loi sur la protection des renseignements personnels, et une autre au titre de la LCISC. Je l'avoue, nous n'avons peut-être pas d'ententes écrites encadrant chaque communication de renseignements, mais il y a un cadre stratégique qui nous aide à mener à bien ces activités de communication.

    Et là, notre préoccupation, si je peux le dire ainsi, c'est que vous tentiez d'exiger l'application d'accords écrits liés à tous les cas de communication pour usage compatible. Comme vous le savez, la Loi sur la protection des renseignements personnels est assujettie à d'autres lois du Parlement qui contiennent déjà des dispositions sur la divulgation, et donc, par conséquent, pour ce qui est des usages compatibles, le fait d'avoir à conclure un accord écrit dans chaque cas serait très problématique.

    Sinon, lorsqu'on parle d'usage non compatible, nous sommes d'accord, et nous soutenons le besoin d'avoir un cadre de gouvernance, un pouvoir, un document écrit et signé, pour encadrer la communication de ce genre d'information.

    Merci beaucoup, monsieur Blaikie. Nous avons dépassé les sept minutes.

    Nous allons maintenant passer à M. Lightbound, pour la dernière série d'interventions de sept minutes.

    Pour commencer, merci à vous tous d'être là aujourd'hui et de faire le travail que vous faites.

    Ma première question concerne les évaluations des facteurs relatifs à la vie privée. Dans l'une de ses recommandations, le commissaire dit que toutes les institutions, avant d'adopter un nouveau programme, devraient réaliser une évaluation des facteurs relatifs à la vie privée. Nous avons appris cet automne que, des 17 institutions prévues dans la LCISC, seulement deux avaient réalisé des évaluations des facteurs relatifs à la vie privée.

    J'aimerais savoir à quelle fréquence vous réalisez de telles évaluations des facteurs relatifs à la vie privée. Je vais commencer par l'ASFC.

    Je crois qu'il serait préférable que Dan réponde à la question sur la fréquence. Je crois que, dans notre dernier rapport, nous avons réalisé sept ou huit évaluations au cours de l'année...

    L'ASFC réalise actuellement beaucoup d'évaluations des facteurs relatifs à la vie privée. Si je devais estimer au jugé, je dirais qu'il y en a probablement 40 en cours actuellement. Nous réalisons souvent ce genre d'évaluation. En fait, nous réalisons une analyse pour déterminer s'il faut mener des évaluations des facteurs relatifs à la vie privée.

    Pour ce qui est de la façon dont nous avons intégré le processus au sein de l'ASFC, nous commençons par ce que nous appelons un « questionnaire sur les facteurs relatifs à la vie privée ». Essentiellement, ce questionnaire est une évaluation qui est réalisée, à la lumière d'un examen produit par mon bureau et les Services juridiques, pour déterminer si un nouveau programme ou une nouvelle activité ou encore une modification importante apportée à un programme ou à une activité exige de procéder à une nouvelle évaluation des facteurs relatifs à la vie privée. Dans l'affirmative, ce questionnaire devient essentiellement le premier chapitre de l'EFVP. Nous examinons régulièrement, au niveau des directeurs généraux, toutes les EFVP proposées ou nouvelles. C'est mon directeur général, Robert Mundie, qui s'en occupe. Nous faisons régulièrement un suivi auprès des secteurs de programme pour nous assurer qu'elles sont effectuées.

    Il y en a donc beaucoup, oui.

    Et nous comprenons que rendre les EFVP obligatoires ne serait pas pénible, vu...

    Non, ce ne le serait pas. Il faut l'avouer, ces évaluations sont complexes et exigent beaucoup de ressources, parce qu'il faut un certain niveau d'expertise, qu'on ne possède habituellement pas à l'interne, que ce soit au sein d'un bureau d'AIPRP, au sein de l'Agence ou au sein d'un secteur de programme donné. C'est un défi sur lequel il faut se pencher.

    Les représentants de la GRC ont-ils quelque chose à ajouter?

    Merci.

    Comme l'ASFC, la GRC réalise des évaluations des facteurs relatifs à la vie privée dans le cadre de tout nouveau programme et de tous les programmes modifiés en profondeur. L'année dernière, en 2015-2016, nous avons réalisé trois évaluations des facteurs relatifs à la vie privée et ajouté trois addenda à d'anciennes évaluations des facteurs relatifs à la vie privée déjà présentées. Tout cela est décrit et expliqué en profondeur dans notre rapport annuel au Parlement.

    Monsieur Peirce.

    Nous nous trouvons dans la même situation. Nous réalisons nos évaluations des facteurs relatifs à la vie privée. Pour ce faire, nous travaillons en collaboration avec le Commissariat à la protection de la vie privée pour nous assurer que ces évaluations sont efficaces et nous permettent d'obtenir les renseignements dont nous avons besoin.

    C'est la même chose pour nous, comme je l'ai dit dans ma déclaration préliminaire. En fait, nous avons récemment révisé notre modèle d'EFVP et les lignes directrices connexes à l'intention des agents qui les rédigent. Je dirais que c'est un processus long et chronophage. Ce n'est pas une initiative simple. Même si nous n'en faisons, disons, que sept ou huit par année, les rapports de ces évaluations peuvent être aussi volumineux qu'un annuaire téléphonique.

    Des témoins nous ont déjà dit, par exemple, que, en Colombie-Britannique, il y a des exigences selon lesquelles il faut protéger ou maintenir les données au sujet des Canadiens au Canada, mais qu'il n'y a pas de dispositions similaires dans le droit fédéral. Je me demandais quelles sont les mesures que vous prenez pour protéger les données des Canadiens qui sont conservées à l'extérieur du Canada? En prenez-vous? Ou est-ce que tous les renseignements sont stockés ici, au Canada, sur des serveurs?

    C'est Services partagés Canada qui est responsable, bien sûr, mais, en fait, je pensais que c'était la même chose pour les données fédérales. Évidemment, dans le cadre de nos processus d'approvisionnement pour des systèmes dans lesquels on stockera des données au sujet des Canadiens, nous précisons que les serveurs doivent être situés au Canada.

    D'accord.

    Je tiens seulement à ajouter que nos missions à l'étranger sont considérées comme situées sur des territoires canadiens. Dans le cas d'une ambassade canadienne au Costa Rica, les serveurs situés dans cette mission sont considérés comme étant en territoire canadien.

    Quelqu'un d'autre a-t-il quelque chose à ajouter à ce sujet?

    Je vais passer à ma prochaine question. Je crois que M. Kelly l'a abordée. Beaucoup de témoins nous ont dit qu'un critère de nécessité serait approprié. J'aimerais que vous me parliez de l'impact qu'aurait un tel critère sur les activités de collecte de renseignements personnels de vos divers organismes, par opposition à ce que prévoit actuellement l'article 4 de la Loi sur la protection des renseignements personnels, qui y est lié directement.

    Encore une fois, nous pouvons commencer par l'ASFC.

    C'est une bonne question.

    En ce qui concerne le critère de nécessité, je dirais que ce principe est déjà enchâssé dans nos activités quotidiennes. Nous ne recueillons pas de renseignements si nous n'avons pas le pouvoir juridique de le faire. Et nous n'utilisons pas l'information à des fins qui ne sont pas appropriées.

    En théorie, un critère de nécessité semble une bonne idée, mais, en pratique, je ne sais pas vraiment comment on pourrait l'appliquer, surtout vu les immenses quantités de renseignements que nous recueillons pour réaliser nos mandats.

    Quel que soit le critère, même s'il est enchâssé dans une loi, il faudrait que son application soit possible d'un point de vue opérationnel, parce que nous devons pouvoir recueillir des renseignements en temps réel. De plus, je ne sais pas quel pourrait être l'impact d'un tel critère sur les renseignements recueillis dans le passé, lorsque la loi sera adoptée. Faudrait-il retourner en arrière et appliquer le critère de nécessité ou prouver qu'on avait bel et bien besoin de recueillir l'information? Ou encore ce critère commence-t-il à s'appliquer une fois la nouvelle loi adoptée? Il y a beaucoup d'inconnues.

    Ma principale préoccupation concerne les motifs opérationnels. Comment peut-on concrètement appliquer un tel critère et faire en sorte que ça marche?

    Monsieur Oliver.

    La majeure partie de nos activités de collecte est en fait autorisée judiciairement. Nous présentons nos dossiers à un juge en lui expliquant que nous avons une raison convaincante d'obtenir des renseignements très ciblés et très précis grâce à un mandat ou une ordonnance de communication.

    Ce que je dirais — et j'en reviens au point que j'ai soulevé tantôt — c'est que, si cet article est soutenu, la façon dont il sera rédigé sera très importante pour nous. Comme je l'ai mentionné déjà, nous obtenons les éléments de preuve peu importe là où ils se trouvent, que ce soit des traces d'ADN, un échantillon d'haleine, des fibres capillaires, des renseignements sur les déplacements, des renseignements financiers ou des données tirées de vidéosurveillance. Le fait de créer une liste prescriptive pourrait limiter notre capacité de réaliser notre mandat.

    Si nous pouvons prouver que c'est nécessaire et montrer que c'est important afin de prouver certains éléments d'une infraction dans le cadre de poursuites criminelles, je crois qu'il serait là, notre critère de nécessité, le fait que nous puissions faire un lien avec la réduction de la criminalité, la prévention de crimes et les poursuites pour les infractions. Encore une fois, tout dépend des éléments de preuve disponibles; nous tentons d'obtenir les éléments de preuve qui sont là.

    Merci beaucoup, monsieur Olivier et monsieur Lightbound.

    Voilà qui met fin à notre série de sept minutes.

    Nous allons maintenant y aller de rondes de questions et de réponses de cinq minutes. Nous allons commencer par M. Jeneroux

    Parfait.

    Merci d'être là et de prendre le temps, en dépit de vos emplois du temps très chargés, de venir nous rencontrer. Merci aussi à tous vos employés qui vous ont aidés à préparer beaucoup des renseignements que vous nous fournissez.

    J'aimerais poursuivre sur la série de questions initiales de M. Lightbound au sujet des évaluations des facteurs relatifs à la vie privée.

    Je me demande si certains résultats négatifs obtenus aux termes de ces évaluations ont eu un impact sur les politiques ou les programmes qui, j'imagine, étaient évalués.

    Quiconque veut répondre peut y aller.

    Selon moi, ce qui est le plus utile dans ce processus, qui inclut un critère de nécessité, soit dit en passant, dans le cadre d'une évaluation des facteurs relatifs à la vie privée, c'est que la collecte doit être « nécessaire ». Dans le cadre de nos conversations avec, par exemple, le Commissariat à la protection de la vie privée, lorsque nous expliquons ce à quoi ressemblera un nouveau programme, je me rappelle que, dans une situation, on nous a demandé pourquoi nous prévoyons conserver les documents pendant aussi longtemps.

    Dans cette situation précise, il était question de citoyenneté. Pour déterminer la citoyenneté, nous devons souvent remonter à plusieurs générations. Nous avons dû expliquer pourquoi nous conservions des données dans nos dossiers pendant 150 ans, dans certains cas.

    C'est ce genre d'échange qui permet aux responsables de comprendre et qui, pour être franc, nous fait aussi réfléchir à ce que nous faisons. Ce processus nous permet de réfléchir un instant afin de déterminer si nous avons vraiment besoin de conserver tel ou tel renseignement. Même s'il était nécessaire de le faire il y a 20 ans, pour une raison ou pour une autre, nous pouvons changer certaines choses maintenant parce que, par exemple, les nouvelles technologies nous permettent d'assurer une traçabilité d'une autre façon.

    Oui, c'est un processus utile.

    Je peux vous confirmer cette réponse. Nous avons une relation productive avec le Commissariat à la protection de la vie privée. Lorsque nous réalisons des évaluations des facteurs, ces échanges sont très constructifs pour nous puisqu'ils nous permettent de cerner les problèmes que nous devons régler. Dans certains cas, lorsqu'on regarde les choses d'un point de vue différent, du point de vue du commissaire à la protection de la vie privée, nous pouvons comprendre pourquoi il y a un défi, puis nous pouvons décider de régler le problème et de remédier à la situation.

    Ce sont ces échanges qui sont de loin l'aspect le plus productif du processus.

    Rapidement, pouvez-vous confirmer, alors, que ces échanges ont eu un rôle à jouer dans l'élaboration de certaines politiques ou procédures?

    Absolument.

    Me permettez-vous de répondre rapidement à une question précédente, parce que je n'ai pas eu l'occasion de répondre. C'est la question de la nécessité.

    Il y a déjà un critère de nécessité dans notre loi. L'article 12 de la Loi porte que:

    et la loi mentionne ensuite que c'est aux fins d'assurer la sécurité nationale.

    Par conséquent, ce critère de nécessité stricte est déjà enchâssé dans notre loi. Par conséquent, nous n'aurons pas les mêmes problèmes que les autres pourraient avoir au moment de la transition.

    Monsieur Jeneroux, nous allons maintenant reprendre là où vous étiez rendu.

    Nous allons entendre la GRC.

    Je pourrais peut-être simplement répondre rapidement en mentionnant l'un des programmes pour lesquels nous avons mené une évaluation des facteurs relatifs à la vie privée. Il figure dans notre rapport annuel. Ce programme s'appelle Identity Insight. Il s'agit d'un logiciel qui permet l'analyse en temps réel de données opérationnelles provenant de multiples sources. Au fil du temps, il a aidé — comme il est énoncé ici — à faciliter « la recherche, l'analyse... en rehaussant les convergences d'entités ».

    Autrement dit, je pense qu'il a aidé à clarifier l'association, la personne et son identité. Je dirais, alors, qu'il a amélioré notre capacité de nous assurer que nous avons la bonne personne.

    En ce qui concerne les évaluations des facteurs relatifs à la vie privée, nous apprécions réellement les interactions que nous avons avec le Commissariat à la protection de la vie privée. Nous faisons affaire couramment avec lui.

    Nous aimons le mobiliser tôt dans l'élaboration d'une évaluation des facteurs relatifs à la vie privée afin d'obtenir ses idées et de voir ce qu'il pense au sujet de la façon dont nous devrions procéder à la mise en œuvre de notre programme ou activité.

    Chaque fois que nous effectuons une EFVP à l'ASFC, nous dressons ce qu'on appelle un plan d'action. Essentiellement, le plan d'action établit certains degrés de lacunes au chapitre du programme ou de l'activité, et nous travaillons avec le CPVP afin de trouver des solutions permettant de combler ces lacunes.

    Les recommandations qu'il adresse à l'agence ont une incidence sur l'exécution du programme. Personnellement, je n'en ai vu aucune arrêter l'exécution d'un programme ou d'une activité, mais elles apportent assurément des changements dans la façon dont nous menons nos activités.

    Merveilleux.

    Je dispose d'environ 30 secondes. Est-ce exact, monsieur le président?

    Oui. Je serai généreux avec vous, monsieur.

    Je vous en suis reconnaissant.

    Madame Beck ou madame White, vous n'avez pas indiqué vos pourcentages de conformité. Les connaissez-vous?

    C'est 69 % en 30 jours, 27 %, en 31 à 60 jours, et le reste — en plus de 60 jours — compterait pour environ 4 % de nos 15 292 demandes.

    Bien. Alors, on peut dire sans risquer de se tromper que le volet des étrangers vous fait craindre d'atteindre le taux de 69 % que vous atteignez actuellement. Vous craignez qu'il puisse descendre plus pas.

    Bien entendu, certaines de ces demandes seraient transformées, si je puis le décrire de cette façon... Elles passeraient de l'état de demandes d'accès à l'information à celui de demandes d'AIPRP, malgré — selon moi — le montant de 2,8 millions et le fait que c'est gratuit et qu'on pourrait le faire en ligne depuis n'importe où... Je ne suis pas certaine que nous observerions une diminution correspondante au chapitre de l'accès.

    Mon temps est écoulé, mais je voulais seulement informer les autres du fait que je reviendrai vous poser une question à ce sujet dans le cadre de la prochaine série de questions.

    D'accord, merci beaucoup.

    Monsieur Saini, allez-y, s'il vous plaît.

    Merci beaucoup à vous tous de votre présence.

    C'est très intéressant, et il est dommage que nous ne disposions que de deux heures. Je pense que nous aurions facilement pu passer deux jours à vous poser toutes les questions.

    Une des questions que je veux poser en est une que j'ai posée à d'autres organismes, mais je pense qu'elle est plus pertinente relativement aux organismes que vous représentez, puisque chacun d'entre vous fait affaire avec l'étranger. Cette question est liée à celle qu'a soulevée M. Blaikie au sujet des ententes internationales de communication.

    Monsieur Oliver, vous avez souligné à juste titre qu'il est très difficile de conclure une entente avec chacune des entités situées dans un pays différent. Pour les autres organismes, je pense que c'est un peu plus facile, car ils font affaire avec une entité, mais, lorsqu'on fait affaire avec une autre administration, il pourrait y avoir plusieurs échelons d'organismes différents avec lesquels il faut traiter.

    Lorsque vous faites affaire avec un autre pays avec lequel vous avez conclu une entente de communication écrite, dans quelle mesure est-ce que chacun d'entre vous êtes convaincus du fait que l'information que vous communiquez est confidentielle et qu'il y a un régime solide ou un répertoire aussi fort que le nôtre pour veiller à ce que l'information reste confidentielle, surtout quand vous avez affaire à un citoyen canadien?

    La deuxième question est la suivante: si vous avez conclu une entente de communication écrite avec une entité ou une administration, il pourrait y avoir un autre pays qui a conclu un accord distinct avec cette administration, auquel nous ne sommes pas partie. Quelle garantie avons-nous que l'information que nous avons donnée à un pays — celui avec lequel nous avons conclu une entente de communication écrite — ne sera pas transmise à un autre pays, avec lequel ce pays pourrait avoir conclu une entente?

    D'après mon expérience, nous concluons les ententes avec eux en nous fondant sur des principes directeurs, et de tels principes s'appliquent en ce qui a trait à la communication de renseignements à l'étranger. Nous sommes orientés par la directive ministérielle dans deux ou trois domaines. L'un est que, pour toute entente que nous concluons, nous devons recevoir un avis d'Affaires mondiales, s'il s'agit d'une entente internationale, et un avis juridique. Affaires internationales a une idée de certains aspects de la dynamique politique et une certaine visibilité à cet égard que la GRC n'a peut-être pas. Pendant nos négociations, nous intégrons également ces conseils dans l'entente.

    Pour ce qui est de la communication avec des entités de sécurité nationale qui sont étrangères, nous avons également une directive ministérielle sur les ententes que nous pouvons conclure avec ces entités, et, de fait, elles limitent le nombre d'entités avec lesquelles nous pouvons en conclure. Toutefois, en ce qui concerne la conformité — je ne peux pas dire dans tous les cas, mais dans certains —, des ententes sont conclues selon lesquelles on peut procéder, pas nécessairement à des vérifications, mais à des genres de vérification de la conformité. Bien entendu, s'il y a des cas d'abus de confiance ou de manquement aux conditions de l'entente, nous pouvons aussi mettre fin à l'entente en question.

    Si je puis utiliser le Groupe des cinq comme exemple, on a un partenaire: l'Angleterre — le Royaume-Uni —, qui est probablement intégré dans un réseau de renseignement européen. Il y a l'Australie, qui pourrait être intégrée dans un réseau du Pacifique Sud. Il se pourrait que ce ne soit pas fait d'une manière mal intentionnée, mais ce pourrait être fait parce que le partenaire doit communiquer l'information au groupe géopolitique dont il fait partie. C'est un peu cela, ma question. C'est délicat, car on donne de l'information dans le respect de la pratique consistant à s'assurer qu'on communique l'information sous forme de renseignement, mais l'autre pays pourrait être tenu de communiquer cette information au groupe géopolitique dont il fait partie.

    Laissez-moi simplement qualifier un peu les ententes de communication d'information de la GRC. L'information que nous communiquons est strictement liée à des enquêtes criminelles, donc pour des fins d'application de la loi. Nous ne communiquons pas de renseignements de sécurité nationale à des partenaires étrangers. C'est le rôle de nos collègues du service. Ils exercent cette fonction.

    Lorsque nous communiquons des renseignements, c'est en fonction du besoin de savoir, aux personnes qui ont le droit de savoir, et les renseignements sont précisément limités et ciblés sur un objectif d'application de la loi, pour l'administration qui les reçoit, pour le Canada qui reçoit l'information ou pour la GRC, afin que nous puissions faire avancer une enquête criminelle. Ce n'est pas comme si on procédait à une vaste communication de renseignements qui n'est pas contrôlée.

    Monsieur Peirce, je suis...

    Ai-je la possibilité de répondre à cette question particulière?

    Oui, je suis très enthousiaste à l'idée d'entendre votre réponse.

     Nous entretenons 300 relations étrangères avec quelque 150 pays. Lorsque nous établissons une relation, cette relation doit être soumise au ministre de la Sécurité publique à des fins d'approbation, et cette approbation exige également la consultation du ministre des Affaires étrangères.

    Lorsque nous établissons une relation, nous le faisons de façon graduelle, afin de mettre à l'épreuve la confiance à l'égard de la relation. Nous prenons notre temps, et nous exigeons de toutes les institutions, de tous les partenaires étrangers avec lesquels nous établissons une relation de respecter la règle relative aux tiers. Si nous leur fournissons des renseignements, ils ne sont pas destinés à être diffusés au-delà de leur organisation. Si nous découvrons qu'en fait de l'information a été communiquée au-delà de cette organisation, cela compromettrait notre relation avec ladite organisation.

    Qu'arrive-t-il si...

    Avant que vous alliez plus loin, monsieur Saini, nous avons dépassé les cinq minutes.

    S'agit-il d'une question rapide?

    Aucune de mes questions n'est vraiment rapide.

    Pouvons-nous revenir à vous à la fin, dans ce cas, monsieur Saini?

    Bien sûr.

    Merci beaucoup.

    Je vais passer à M. Jeneroux.

    Allez-y, s'il vous plaît.

    Merci, monsieur le président.

    Pour en revenir à ma question sur les étrangers, je suis curieux de connaître l'incidence sur les trois autres ministères, si vous ne voyez pas d'inconvénients à présenter votre point de vue sur cette recommandation particulière.

    J'aurais tendance à penser que nous aurions les mêmes préoccupations concernant les conséquences d'une ouverture de la Loi sur la protection des renseignements personnels — et je sais qu'il ne s'agit pas du mandat — et de la Loi sur l'accès à l'information aux étrangers, simplement en ce qui concerne notre capacité de respecter les lois et — je le soupçonne également — de confirmer que la personne qui présente la demande est en fait la personne dont nous communiquerions ou non les renseignements personnels.

    D'accord.

    Quelqu'un d'autre?

    Il est difficile de faire une estimation du genre de volume qu'on obtiendrait si on les ouvrait aux gens de l'étranger.

    Il est certain que tout ce qui pourrait ajouter à notre charge de travail et nous causer des problèmes — comme le mentionnait Rennie — au moment où nous voulons valider l'identité de la personne qui demande les renseignements nous complique encore plus la vie.

    Nous ferions face aux mêmes difficultés.

    Je vais céder la parole à mon collègue M. Kelly.

    Merci.

    Pourrais-je peut-être obtenir un commentaire rapide de la part d'un représentant de chaque organisme au sujet de l'une des recommandations formulées par la commissaire à la protection de la vie privée, soit prévoir dans la loi une obligation de signaler les cas d'atteinte? Je me pose des questions au sujet de la possibilité d'amplifier le préjudice causé par une atteinte contre une personne en signalant l'atteinte. Peut-être que je pourrais obtenir un commentaire rapide de chacun au sujet de la pratique actuelle et de ce que pourrait signifier cette recommandation pour votre organisation.

    Je peux y aller.

    À l'ASFC, nous avons mis en place un protocole solide relatif aux atteintes à la vie privée, et il est harmonisé avec les normes du Conseil du Trésor. Toute nouvelle exigence serait également harmonisée avec notre protocole relatif aux atteintes.

    Tous les employés sont qualifiés pour utiliser ce protocole, et il y a un lien direct avec l'agent de sécurité ministérielle. Comme vous le savez tous, une atteinte à la vie privée, par exemple, est d'abord et avant tout un incident de sécurité, alors tout est signalé à un bureau centralisé, qui est un bureau de sécurité ministérielle. Si l'atteinte concerne des renseignements personnels, alors, le protocole relatif aux atteintes à la vie privée est déclenché. Toute atteinte à la vie privée substantielle qui concerne des renseignements personnels est actuellement signalée au Commissariat à la protection de la vie privée. Il s'agit d'une nouvelle exigence.

    Il est évident que toute modification de la loi exigerait une adaptation, mais, à l'ASFC, nous ne nous attendons pas à ce que le fait de rendre obligatoire le signalement des atteintes à la commissaire à la protection de la vie privée soit le moindrement problématique.

    Je vais peut-être vous interrompre là simplement pour donner sa chance à chacun, puisque notre temps est limité. Merci.

    J'ajouterais que nous suivons exactement le même processus que nos collègues de l'ASFC, y compris le fait d'entretenir une relation étroite avec notre agent de sécurité ministérielle. Ces atteintes sont habituellement signalées en tant qu'atteintes à la sécurité.

    La préoccupation que nous aurions concernerait le signalement obligatoire de toutes les atteintes à la vie privée. Maintenant, nous évaluons le préjudice, et, lorsqu'il est substantiel, nous signalons l'atteinte à la commissaire à la protection de la vie privée et au Conseil du Trésor. Nous le faisons régulièrement.

    Je peux vous donner un exemple de situations où on ne jugerait peut-être pas qu'il est nécessaire de signaler une atteinte à la vie privée, si vous le souhaitez.

    Monsieur Peirce.

    Nous sommes dotés d'un solide régime de signalement relatif à la conformité. Ce régime fonctionne de façon plus vaste à l'intérieur du service et comprend les signalements au ministre, mais nous travaillons également avec le Commissariat à la protection de la vie privée et signalons les atteintes à la vie privée précisément.

    Encore une fois, ces situations ne sont pas nombreuses à survenir actuellement, alors je ne vois pas de problèmes particuliers en ce qui nous concerne du point de vue du volume.

    C'est la même chose. Sur les milliers de cas que nous avons traités l'an dernier, nous avons eu 55 atteintes substantielles à la vie privée. Elles ont toutes été signalées au CPVP et au Secrétariat du Conseil du Trésor, mais les personnes concernées ont également été notifiées par lettre.

    Si le signalement obligatoire voulait dire que nous devions fournir tous les renseignements en cause au Commissariat, alors cela constituerait en fait une autre atteinte à la vie privée. Nous ne serions pas enclins à le faire, mais, ce que nous faisons actuellement, c'est un résumé de l'événement, essentiellement. C'est très bien.

    Nous cédons la parole à M. Bratina, pour une période allant jusqu'à cinq minutes.

    Tout d'abord, monsieur Mundie, j'étais curieux de savoir si vous pensiez qu'il serait utile de construire un mur le long de la frontière et combien il pourrait coûter, mais je vais garder cette question pour plus tard.

    Très bien. Merci.

    Y a-t-il un genre de plainte typique? Vous recevez un grand nombre de plaintes, et seulement 88 ont été déposées contre vous ou contre la commissaire à la vie privée. Pouvez-vous me donner une idée de la nature des plaintes auxquelles vous avez affaire?

    Je sais que Dan Proulx peut donner une bien meilleure réponse à cette question que moi.

    D'accord.

    Il y a un éventail de raisons. Dan peut donner plus de détails.

    Oui. La plainte la plus fréquente que nous recevons aujourd'hui concerne les délais. Compte tenu de l'augmentation du nombre de demandes que nous traitons et du fait que nous essayons de répondre à près de 11 000 demandes de renseignements personnels par année, il est évident que la principale plainte est liée aux délais. Nous mettons trop de temps à donner des nouvelles au demandeur.

    Cela dit, notre taux de conformité avec les exigences relatives aux délais a été très bon en 2015-2016. Il se situait à environ 88 %, mais une poignée de gens veulent tout de même que le traitement soit plus rapide, et ils déposent des plaintes concernant le délai.

    Les autres plaintes fréquentes portent évidemment sur les exceptions invoquées. Si nous protégeons les renseignements contre la communication, les gens veulent savoir pourquoi, sans quoi ils contestent nos décisions.

    L'autre type de plaintes que nous recevons n'est pas strictement lié au traitement d'une demande d'AIPRP, pour ainsi dire. Il concerne l'utilisation et la communication des plaintes, lorsque les gens pensent que l'ASFC a mal utilisé leurs renseignements. Il s'agit d'un autre type de plaintes qu'il est aussi fréquent de recevoir.

    Merci. C'est utile.

    Monsieur Peirce, vous avez déclaré qu'un certain nombre de banques de données confidentielles sont uniques au SCRS, y compris des dossiers d'enquête et des évaluations et conseils de sécurité. Comment accède-t-on à distance aux données contenues dans ces banques? S'agit-il d'une transmission sécurisée? Où que ces données soient stockées, comment les agents y accèdent-ils de manière sécurisée?

    L'accès à ces systèmes a toujours lieu dans un environnement sécurisé, et nous exigeons la certification de l'environnement dans lequel l'accès sera fourni. Nous devons effectivement nous trouver dans un local isolé pour matériel spécial afin de recevoir l'accès à une base de données.

    Je m'adresse à nos amis de la GRC: les données recueillies dans le domaine doivent circuler le long d'un genre de chaîne pour arriver à un endroit sécurisé. Cela fait-il partie de la nature éducative de ce dont vous avez parlé plus tôt relativement aux 750 divisions de partout au Canada et à la façon de s'occuper de cela? S'agit-il d'une chose qui vous préoccupe et que vous voulez vous assurer de voir faite de façon appropriée?

    Absolument. Encore une fois, je vais en revenir aux mesures de sécurité qui sont mises en place. L'une des plus grandes menaces d'atteinte à la vie privée ou de fuite de renseignements est en fait la menace interne. Nous consacrons beaucoup de temps à nous occuper de la sécurité, à contrôler les gens et à nous assurer que les bonnes personnes ont accès aux bons renseignements et qu'elles font l'objet d'un contrôle au bon niveau. En ce qui concerne l'accès aux systèmes d'information de la GRC — en fait —, chacun contient des authentifications à deux facteurs, alors la personne a un mot de passe, en plus d'un jeton physique ou d'une clé à utiliser afin de pouvoir accéder au système de données. Ensuite, l'architecture de sécurité s'assure que le système respecte certaines exigences de sécurité, selon le type de renseignements conservés. La plupart de nos renseignements sont conservés aux niveaux Protégé A ou Protégé B. Ensuite, lorsqu'on arrive à la sécurité nationale, nous avons notre environnement classifié, où les contrôles de sécurité sont accrus.

    Madame Beck, concernant les étrangers, ils peuvent obtenir l'accès en retenant les services d'un représentant canadien et en présentant une demande. Voilà la façon dont on procède actuellement. La recommandation, c'était que les étrangers devraient être en mesure de présenter une demande, mais vous dites que ce serait tout simplement trop lourd. Selon la plainte que nous recevons, ces agents arnaquent parfois des personnes qui effectuent des tentatives légitimes de devenir des citoyens canadiens ou qui ont d'autres problèmes.

    Avez-vous des réflexions au sujet de la façon dont ce système pourrait être amélioré?

    Je suppose qu'en réalité, il s'agit davantage d'un commentaire au sujet de la Loi sur l'accès à l'information plutôt qu'au sujet de la protection des renseignements personnels. La solution consiste-t-elle à leur donner l'option de présenter une demande au titre de la Loi sur la protection des renseignements personnels, puis c'est gratuit, ou bien consiste-t-elle à modifier la Loi sur l'accès à l'information? Par exemple, le barème de frais est différent, ou bien les approches sont différentes, selon que l'on présente une demande d'accès à l'information en tant qu'entreprise ou en tant que personne.

    Nous entendons dire que les ressources sont souvent problématiques dans toutes les affaires dont nous discutons.

    Oui, et je répéterais simplement que nous tentons de publier — rappelez-vous que nous en avons parlé, la dernière fois — plus d'informations en ligne afin que les gens puissent les consulter et accéder à leur propre cas. Plus nous sommes en mesure de faire cela, plus ce sera facile.

    Monsieur Blaikie, allez-y pour notre dernière série de questions officielle.

    Ensuite, M. Saini, M. Long et moi-même figurons sur la liste. Le reste de l'heure devrait ainsi être utilisé.

    Monsieur Blaikie.

    Je pense que cette question s'adresse davantage à MM. Peirce et Oliver.

    Vous faites partie d'une industrie où la technologie évolue beaucoup, et vous devez évidemment vous tenir à jour relativement à ces changements technologiques afin de pouvoir bien faire votre travail. L'une des questions qui ont été soulevées dans le cadre de l'étude de la Loi sur la protection des renseignements personnels — parce qu'elle date de 1983 et qu'elle n'a pas été modifiée depuis longtemps —, c'est qu'elle n'est pas particulièrement bien adaptée aux nouvelles technologies.

    Avez-vous des conseils à nous adresser sur la façon de recommander que la loi soit modifiée, non seulement afin qu'elle soit adaptée à la technologie actuelle, mais aussi qu'elle continue de s'appliquer au cours des 5 à 10 prochaines années, quand le paysage technologique sera très différent, de manière à ce qu'elle ne devienne pas lourde et difficile pour vos propres activités?

    Je n'ai pas de réponse qui va régler tous les problèmes pour les cinq prochaines années ou plus, à mesure que la technologie évoluera. Certes, toutefois, les grands principes établis dans la loi sont très importants pour nous orienter. Nous respectons l'objet de la loi, pas seulement ses dispositions particulières. Nous devrions formuler des principes, et peut-être même, dans l'avenir, les modifier d'une manière qui garantisse qu'on a une idée claire à mesure que la technologie évoluera et touchera la protection des renseignements personnels de diverses façons. Nos pratiques doivent évoluer de la même manière, ainsi que les directives que nous devons suivre.

    J'appuierais les commentaires de mes collègues, mais, relativement à l'une des recommandations particulières, je créerais aussi une obligation légale, pour les institutions gouvernementales, de protéger les renseignements personnels. À l'ère de la technologie de l'information, nous devons faire très attention aux cybermenaces qui existent, et nous devons mettre en place les infrastructures de sécurité de la TI nécessaires pour protéger ces renseignements.

    J'ajouterai, en ce qui concerne cette recommandation, que l'approche de protection adoptée devrait être fondée sur les risques. Je dis cela en raison de certaines des mesures de contrôle de sécurité. Si elles étaient appliquées de façon uniforme, et si les mesures qui sont mises en place par mes collègues du SCRS étaient ensuite appliquées à d'autres renseignements gouvernementaux, les coûts seraient énormes. Nous devons adopter une approche mesurée de protection fondée sur les risques, en fonction du type de renseignements détenus et à la lumière des menaces qui pèsent contre ces renseignements. Ensuite, nous devons mettre en place des contrôles de sécurité mesurés qui seront rentables, mais qui permettront aussi d'atteindre l'objectif de la protection des renseignements.

    Merci.

    Est-ce qu'un représentant des autres ministères voudrait se prononcer à ce sujet, ou bien cette réponse est-elle satisfaisante?

    Bonne chance avec cela.

    Je ne sais pas, mais vous recommandez, ou bien quelqu'un recommande, la tenue d'un examen tous les cinq ans. Ce sera utile, plutôt que tous les 30 ans, pour ce qui est de maintenir la large portée et la perspective d'ensemble de la loi et de nous laisser une marge de manœuvre. Nous aimons cela aussi.

    Le fait de l'examiner tous les cinq ans ne pose pas de problèmes. Je pense que c'est le fait de modifier quelque chose tous les cinq ans qui en pose un.

    Il nous reste environ 24 ou 25 minutes.

    Chers collègues, je vais tenter de limiter les interventions à environ cinq minutes afin qu'il reste du temps. Si vous en avez besoin, pas de problème, mais n'ayez pas l'impression que vous êtes obligés de les utiliser. Nous n'avons pas encore entendu l'intervention de M. Long non plus. J'essaie de laisser tous les députés ici présents...

    Monsieur McLeod, je sais que vous êtes en visite et que vous êtes ici à titre d'observateur, mais, s'il y a une question que vous voudriez poser, sentez-vous tout à fait à l'aise de participer.

    Nous allons maintenant passer à vous, monsieur Saini, pour terminer votre série de questions.

    Je veux seulement revenir sur un élément que vous avez soulevé, monsieur Peirce, concernant les ententes de communication conclues avec d'autres pays. Vous avez affirmé qu'elles étaient très précises. Si des données sont communiquées à un autre pays et que ce pays estime que les données relatives à une menace imminente doivent être communiquées, comment cela fonctionne-t-il? Y a-t-il un protocole pour nous préciser qu'il va le faire? Le fait-il avant d'avoir communiqué les renseignements en question, après, ou ne le fait-il pas du tout?

    Je reconnais que vous avez mis en place certains protocoles pour vous assurer que cette éventualité est contenue dans l'entente de communication conclue avec l'autre administration, mais il se pourrait — à quelque fin que ce soit à l'intérieur de son propre groupe géopolitique — qu'elle doive communiquer les renseignements à quelqu'un d'autre. Y a-t-il un mécanisme au moyen duquel l'administration informerait le ministère du fait que l'information est sur le point d'être communiquée et des motifs de la communication, afin d'obtenir votre permission, ou bien pour vous le dire après coup?

    Dans des circonstances normales, une organisation qui détermine qu'il serait utile et nécessaire de communiquer des renseignements revient nous voir pour nous demander notre consentement. Dans une telle situation, nous pourrions travailler avec elle. Nous pourrions dire que nous allons communiquer les renseignements, car nous pouvons le faire dans un contexte légèrement différent. Nous pourrions vouloir y ajouter des mesures de contrôle supplémentaires, et ce genre de discussions aura lieu.

    Il y a toujours une possibilité de menace imminente, et, dans une telle situation, nous intervenons très rapidement et fournissons l'approbation nécessaire à l'utilisation des renseignements, au besoin. Nos communications avec nos partenaires sont très bonnes et facilitent ce type d'intervention rapide dans les situations où la menace est imminente.

    Voici une question générale qui s'adresse à vous tous. Au moment d'élaborer une politique, demandez-vous des conseils au commissaire à la protection de la vie privée au début, au milieu ou à la fin du processus? Ce genre de rapport existe-t-il dans le but d'harmoniser ce que vous tentez de réaliser, pour que le projet respecte aussi les objectifs du Commissariat à la protection de la vie privée? Pouvez-vous me donner une idée du fonctionnement de ce processus?

    Nous essayons de faire cela au début, en particulier en ce qui concerne les travaux d'élaboration d'une politique. Il est toujours mieux d'établir la participation au début, selon notre expérience. Les responsables ont beaucoup de bonnes idées, de renseignements et d'expérience à partager, donc si c'est possible d'entreprendre les discussions avec le commissaire à la protection de la vie privée au début de l'élaboration d'une politique, nous croyons que c'est un atout, et il s'agit de poursuivre la démarche ensuite.

    J'aimerais revenir un peu sur la question que vous avez posée précédemment, et répondre à celle-ci aussi, concernant les accords de collaboration écrits de l'ASFC et l'échange de renseignements avec des responsables de différents paliers du gouvernement ou avec des organismes internationaux. Par exemple, nous définissons toujours les éléments précis des renseignements personnels pouvant être communiqués. Nous définissons toujours les raisons précises de la communication dans nos accords de collaboration. Nous limitons l'usage secondaire et la communication subséquente des renseignements que nous communiquons et précisons d'autres mesures d'ordre réglementaire, comme des mesures de protection, de conservation et de reddition de comptes particulières. Pour chaque motif de communication de renseignements énoncé, il y a des restrictions qui sont rattachées à chaque divulgation afin d'interdire des activités ou la communication de renseignements de façon continue, à moins que ce ne soit légal ou que les responsables de l'organisme obtiennent notre autorisation au préalable. La vérification et les recours sont d'autres façons de s'assurer que tout se fait correctement.

    Une fois l'entente créée et signée par les deux parties, il ne devrait pas y avoir d'exception aux règles, parce qu'il s'agit d'un accord conclu entre deux gouvernements ou deux pays. À moins d'effectuer une vérification, j'imagine qu'il n'y a pas de façon de savoir si les parties respectent l'entente, mais toutes nos ententes sont écrites quand il s'agit d'ententes avec d'autres organismes ou des partenaires internationaux qui ne sont pas visés par la disposition concernant les usages compatibles dont nous avons discuté plus tôt.

    Êtes-vous satisfait de la réponse, monsieur Saini?

    Je souhaite entendre la réponse de la GRC.

    Les responsables de la GRC ont des rapports très coopératifs, collaboratifs et constructifs avec les responsables du Commissariat à la protection de la vie privée. Nous ne les consultons pas nécessairement au début du processus d'élaboration d'une politique, mais il serait dans notre intérêt de le faire au moment où la politique commence à prendre forme et que nous commençons à cerner les incidences sur la vie privée. À ce point dans le processus d'élaboration, nous communiquons assurément avec eux pour obtenir leurs conseils.

    Nous le faisons non pas au début, dès que l'idée surgit, mais plutôt quand nous avons quelque chose de plus concret dont nous pouvons discuter.

    Le principe est d'établir une participation précoce. Qu'est-ce qu'une participation précoce? Comme mes collègues l'ont mentionné, c'est un art de cerner le bon moment. Il est dans notre intérêt de collaborer avec eux afin de nous assurer qu'ils comprennent ce que nous tentons de réaliser et d'obtenir une orientation de leur part en cours de réalisation.

    Merci, monsieur Saini.

    Si mes collègues veulent bien me le permettre, je souhaiterais poser quelques questions.

    Bien sûr, le Canada est membre d'INTERPOL. Ma question s'adresse à ceux qui souhaiteraient parler de ce sujet.

    Ceci fait suite à vos réponses, monsieur Oliver.

    Au printemps dernier, en raison de certains des attentats qui ont eu lieu en Europe, INTERPOL a tenu une conférence. Pendant cette conférence, Jürgen Stock, qui était le secrétaire général, a mentionné expressément que les forces policières à l'échelon local doivent avoir accès aux renseignements communiqués par les forces policières locales et nationales de tous les pays... et que les organismes d'exécution de la loi doivent commencer à communiquer davantage ces renseignements afin qu'un réseau mondial de renseignements puisse être utilisé sans compromis et dans son entièreté par les autorités policières à l'échelle locale et nationale. Selon M. Stock, pour que notre réaction soit adaptée, elle doit aussi être mondiale. C'était là le thème de cette conférence.

    Par ailleurs, le commissaire à la vie privée a formulé un certain nombre de recommandations en vue de la modernisation de la Loi sur la protection des renseignements personnels. Le commissaire à la vie privée a aussi exprimé de façon assez forte certaines de ses préoccupations concernant la loi antiterroriste déjà promulguée au Canada.

    Il semble y avoir des intérêts concurrentiels — ce n'est pas un secret — entre, de toute évidence, la préoccupation des citoyens à l'égard du traitement réservé à leurs renseignements privés et confidentiels et leur souhait d'être rassurés quant à leur sécurité et d'avoir la certitude que les personnes responsables d'assurer leur sécurité disposent des renseignements dont ils ont besoin pour le faire.

    Ma question à l'intention des témoins qui sont ici aujourd'hui est la suivante: croyez-vous que les recommandations formulées par le commissaire à l'information soulèvent des préoccupations? Devons-nous en accomplir davantage comme pays pour faire notre part en ce qui concerne l'échange de renseignements avec des organismes par l'entremise d'INTERPOL, et d'autres organisations semblables, afin d'assurer la sécurité des Canadiens? Pouvez-vous me garantir, à titre de personne qui prend des décisions de temps à autre concernant les politiques publiques, que les citoyens dans ma circonscription, par exemple, et dans toutes les circonscriptions du pays peuvent être certains que leurs renseignements personnels et privés recueillis par le gouvernement ne seront pas compromis?

    C'est une question très large, mais je souhaite connaître le point de vue d'INTERPOL.

    Monsieur Oliver, je crois que vous êtes la personne la mieux placée pour répondre à cette question.

    INTERPOL est une organisation qui compte plus de 180 membres. Des ententes d'échange de renseignements sont en place en ce qui concerne des types de renseignements précis. Cela tient à des accords. Il existe une structure qui régit la façon dont les renseignements sont communiqués. Ce que je peux affirmer, c'est que la communication de renseignements n'est jamais prise à la légère. On tient toujours compte de la pertinence, de l'exactitude, du besoin de savoir, du droit de savoir, et de tous les éléments de ce genre, ce qui est cohérent avec les principes que nous respectons au Canada — et avec nos valeurs, bien sûr.

    Je ne saurais trop souligner l'importance de l'opportunité de la communication rapide et efficace des renseignements, comme l'a montré le cas survenu à Strathroy, en Ontario, où des renseignements ont été reçus très tôt le matin. Ces renseignements ont ensuite été communiqués aux organismes locaux d'application de la loi. Cela a prévenu un attentat terroriste au Canada.

    Ce genre de situation nous montre l'importance de communiquer des renseignements dans un cadre de gestion efficient et efficace et de reconnaître que la communication des renseignements doit être faite de façon responsable et comporter des restrictions appropriées, et ainsi de suite.

    Très bien.

    Est-ce que quelqu'un souhaite ajouter quelque chose à ce sujet?

    Je dirais que vous avez exprimé clairement l'équilibre à respecter. C'est un défi auquel nous sommes confrontés chaque jour dans le cadre de notre travail. Assurément, nous nous efforçons de communiquer les renseignements de façon proportionnelle. Parfois, c'est même plus complexe, et cela ne se limite pas à la dynamique que vous avez décrite, parce que, quand il s'agit de communiquer des renseignements, nous devons tenir compte des intérêts de la personne, par exemple des renseignements personnels qui sont communiqués. Nous devons aussi examiner les incidences sur notre capacité de poursuivre l'enquête. Dans des situations où nous possédons des renseignements relativement à une menace, nous devons analyser s'il est nécessaire de communiquer des renseignements dans cette situation pour contrer la menace et quelle en sera l'incidence sur l'enquête même. Existe-t-il un risque de dévoiler une source humaine en communiquant les renseignements? Existe-t-il un risque de dévoiler une source technique en communiquant les renseignements?

    La prise de décision est très complexe. Cela dit, assurément, dans certaines circonstances où il existe un risque de menace imminente — l'exemple de Stratrhoy est notable —, nous agirons rapidement afin de communiquer ces renseignements à nos collègues de la police pour nous assurer que des mesures de prévention puissent être prises.

    Merci beaucoup.

    La parole est maintenant à M. Long, s'il vous plaît.

    Merci, monsieur le président.

    Je remercie tous les témoins d'aujourd'hui. Vos propos ont été très instructifs.

    Monsieur Mundie, il y a une chose sur laquelle je souhaite vous entendre, si vous le voulez bien. Il s'agit d'un cas concernant Alain Philippon, qui a vu des accusations portées contre lui pour ne pas avoir remis son cellulaire. Je me demande simplement si vous pourriez me faire part de vos commentaires à ce sujet. Il a été accusé. Il a remis son cellulaire, mais a refusé d'en donner le code d'accès et, ensuite, il a été accusé. L'affaire a été réglée. Il s'est vu imposer une amende de 500 $. Je crois qu'il a plaidé coupable. C'était peut-être une occasion ratée d'approfondir ce sujet. Il s'agit d'une question juridique qui se pose de plus en plus, donc j'aimerais obtenir vos commentaires concernant l'aspect touchant la vie privée. Peut-être que je pourrais aussi obtenir les commentaires des autres témoins, en ce qui concerne les cellulaires, les mots de passe et les choses du genre. Cela s'est produit à Halifax.

    Oui. Je connais quelque peu le sujet. Je ne connais pas tous les détails de ce cas en particulier, mais c'est au titre de la Loi sur les douanes que les agents ont le droit d'examiner les marchandises qu'une personne a en sa possession. Cela repose sur l'interprétation de ce qu'est une marchandise. Un téléphone cellulaire est une marchandise, et son contenu était considéré comme une marchandise pouvant faire l'objet d'un examen.

    Ce qu'on trouve, dans les cas de pornographie juvénile, on le trouve sur du matériel informatique. La question porte sur le consentement donné par la personne en ce qui concerne l'accès à ces renseignements. C'est une question juridique qui n'est pas réglée, et une jurisprudence découle des cas de ce genre.

    Quelqu'un d'autre a-t-il quelque chose à ajouter?

    Dans les faits, la technologie a amélioré la vie des Canadiens, et nous avons adopté la technologie plus rapidement que les populations de la plupart des autres pays. Nous sommes ceux qui passent le plus de temps en ligne. Toutefois, les progrès technologiques offrent aussi des occasions aux criminels et aux terroristes, qui peuvent aussi s'en servir.

    Mener des enquêtes à l'ère numérique pose des défis particuliers aux responsables de l'application de la loi sur le plan des possibilités de recueillir des éléments de preuve, et il existe un bon nombre d'obstacles: notre capacité à intercepter certains types de renseignements, l'usage de méthodes avancées de cryptage dans des cas où nous savons que les éléments de preuve existent, l'absence de norme relative à la conservation des données au Canada, certaines technologies, comme le nuage, et le fait que des éléments de preuve puissent être enregistrés à l'extérieur du territoire canadien.

    Même nous obtenons des autorisations judiciaires, même si nous nous sommes adressés à un juge et l'avons convaincu que nous croyons que des éléments de preuve se trouvent à un endroit précis et que nous l'avons convaincu que nous détenons les pouvoirs pour effectuer une fouille, certaines choses, comme le cryptage, nous bloquent. Dans les faits, le cryptage est l'une des plus importantes entraves au progrès des enquêtes à l'ère numérique.

    Je ne suis pas contre le cryptage, parce que, à mes yeux, cela est du même ordre que de verrouiller ses portes et de protéger ses biens, ce que recommandent les policiers. Toutefois, quand il s'agit des attentes du public à l'égard des services de police, dans le cas où une personne commet réellement un crime dans une demeure ou un édifice et qu'il existe des renseignements confirmant le crime ou des éléments de preuve en ce sens, il est attendu que nous nous rendions sur place, recueillions les éléments de preuve et poursuivions l'enquête. Dans l'environnement numérique actuel, nous sommes sérieusement entravés par notre incapacité à franchir l'obstacle que constitue le cryptage.

    En fait, même l'Association canadienne des chefs de police le reconnaît. La question du cryptage ne concerne pas seulement les cas touchant la sécurité nationale; cette question touche, entre autres, la fraude et le vol d'identité, et l'ensemble des policiers y sont confrontés. Par une de ses résolutions, l'Association canadienne des chefs de police demandait au gouvernement fédéral de promulguer une mesure législative qui donnerait aux policiers le droit de demander à un juge un mandat qui obligerait une personne à donner son mot de passe.

    Dans le contexte de l'application de la loi, nous n'avons pas de pouvoir semblable à celui que peuvent appliquer les agents de l'ASFC dans la zone frontalière, que la cour a reconnu comme un environnement unique. Nous devons demander le droit et l'autorisation judiciaire pour pouvoir contraindre la production de renseignements. Même s'il s'agit d'un sujet controversé, c'est un des obstacles les plus importants auxquels nous sommes confrontés de nos jours. Je crois que la réponse devra être mesurée et transparente et qu'elle devra comprendre des éléments comme la protection des droits et la reddition de comptes s'il s'agit de permettre aux policiers d'utiliser une certaine forme de pouvoir de coercition, advenant que le gouvernement décide d'emprunter cette voie.

    Est-ce que quelqu'un souhaite faire un commentaire?

    Merci.

    Très bien. Merci, monsieur Long.

    Chers collègues, on vient de me rappeler que nous devons consacrer environ cinq minutes aux affaires du Comité, donc je vais donner la parole à M. Kelly pour qu'il termine et nous laisse environ cinq minutes.

    Est-ce que vous pouvez tous rester deux ou trois minutes de plus? Êtes-vous d'accord? Il s'agit d'affaires du Comité qui sont très mineures.

    Monsieur Kelly, posez vos questions. Toutefois, dès que M. Kelly aura terminé, je remercierai les témoins, et la séance se poursuivra à huis clos pour la tenue d'une brève réunion portant sur les affaires du Comité.

    Monsieur Lightbound.

    J'ai aussi une question très brève à poser.

    Certainement.

    Monsieur Kelly, rapidement, puis M. Lightbound.

    Je vais adresser ma question à M. Peirce en particulier, et peut-être que M. Oliver souhaitera ajouter quelque chose.

    Dans votre introduction, vous avez rappelé au Comité, ou avez souligné, que votre organisme n'en est pas un d'exécution de la loi, que vous recueillez des renseignements, mais que vous n'exécutez pas la loi, ni ne portez d'accusations, ni n'effectuez d'arrestations. L'utilité de votre organisation dépend de votre capacité à échanger des renseignements avec des organismes d'exécution de la loi. Les défenseurs de la protection de la vie privée soulèvent des préoccupations concernant le fait que la communication de renseignements entre les ministères pourrait entraîner une possible violation des droits, ou que l'organisation d'où émanent les renseignements pourrait en perdre le contrôle. Cependant, vous devez communiquer des renseignements afin de protéger les Canadiens. Pouvez-vous décrire les rapports concernant la communication de renseignements, peut-être ceux avec la GRC en particulier, et l'importance du besoin de communiquer des renseignements pour votre organisation?

    Je vous remercie de votre question. Votre description de la situation est parfaitement exacte. Notre capacité de communiquer des renseignements est fondamentale à l'exécution de notre mandat, et décrire la relation avec la GRC est une façon utile d'aborder cette capacité.

    Assurément, je peux affirmer sans équivoque que la relation avec la GRC n'a jamais été aussi bonne. Nous collaborons de façon très étroite. Notre collaboration s'effectue, très franchement, dans un environnement juridique difficile, parce que la protection de nos renseignements quand nous les communiquons représente tout un défi, et il est très important pour nous d'être en mesure de protéger ces renseignements en raison d'enquêtes qui sont en cours.

    Quand nous communiquons des renseignements à la GRC, nous le faisons suivant une structure convenue qui régit un processus appelé « vision commune ». Grâce à ce processus, nous pouvons rencontrer les responsables de la GRC de façon régulière et discuter de l'aspect stratégique au départ. Nous présentons le portrait global en ce qui a trait à une menace et nous pouvons déterminer à cette étape qui sera responsable du dossier, qui en effectuera la gestion et de quelle façon. Dans certaines situations, quand nous faisons cela, les responsables de la GRC nous disent qu'ils souhaitent que nous leur remettions une lettre de divulgation qui mentionne tout simplement l'existence de la menace, et ce document peut être utilisé ensuite pour lancer une enquête menée par la GRC.

    Dans d'autres situations, la GRC pourrait ne pas être en mesure de mener une enquête qui se situe au même niveau que la nôtre, donc, par exemple, si nous avons des sources humaines proches de la cible de l'enquête, la GRC pourrait ne pas avoir la capacité de mettre les choses en marche aussi rapidement qu'il est nécessaire de le faire, et nous devrons communiquer des renseignements plus détaillés que le simple fait de confirmer l'existence de la menace. Dans ce cas, nous communiquons les renseignements sous la forme d'une lettre d'information que nous transmettons aux responsables de la GRC afin de leur donner des renseignements additionnels qui leur permettent éventuellement, par exemple, d'obtenir un mandat au titre de la Partie VI du Code criminel pour intercepter des communications et faciliter le processus.

    Toutes nos discussions avec les responsables de la GRC sont ensuite consignées dans un compte rendu dans lequel se trouvent les éléments dont on a discuté concernant le cas et les mesures qu'il a été convenu de prendre. Ensuite, les deux organisations poursuivent leur travail.

    À tout moment, si un problème survient, nous sommes en mesure de reprendre la réunion et de discuter davantage de l'approche stratégique à adopter. Cette façon de faire nous permet autant que possible de protéger nos renseignements. Il y aura toujours des situations, en particulier dans le cas de menaces imminentes, où nous devons intervenir rapidement et fournir les renseignements nécessaires, et, dans ces situations, nous pourrions être appelés à communiquer des renseignements qui pourraient compromettre notre enquête. Toutefois, en cas de menace imminente, nous le ferons quand même.

    Monsieur Lightbound, allez-y brièvement.

    Ma question s'adresse aussi à M. Peirce. J'aimerais savoir quelle proportion des renseignements qui alimentent vos enquêtes est recueillie par votre organisme, le SCRS, par rapport à celle des renseignements recueillis et communiqués par le CSTC.

    Il ne m'est pas possible de chiffrer de façon exacte la proportion des renseignements provenant d'un organisme ou de l'autre. Je peux affirmer que nous collaborons de façon très étroite avec le CSTC et que nous avons harmonisé nos priorités afin de collaborer de la façon la plus efficace possible. Il ne fait aucun doute qu'un nombre important de renseignements recueillis par le CSTC sont très importants dans le cadre de nos enquêtes, en particulier nos enquêtes outre-mer, par exemple, par rapport aux combattants étrangers, et nous nous fions au CSTC pour qu'il nous fournisse, grâce à sa capacité opérationnelle internationale, ce genre de renseignements.

    Nous collaborons étroitement. Nous tenons des réunions de façon régulière avec les responsables du CSTC afin d'harmoniser ces priorités opérationnelles. Nous avons ce que nous appelons des ROEM procurés par des ROHUM et l'inverse; nous nous appuyons sur leur collecte de renseignements pour mener notre enquête, et ils s'appuient sur notre collecte de renseignements pour mener la leur. Cette façon de procéder s'est montrée particulièrement productive, et c'est quelque chose qui a beaucoup évolué au cours des cinq dernières années environ et a atteint un degré très élevé de collaboration.

    Je remercie beaucoup les témoins qui ont comparu devant le Comité aujourd'hui. La plupart d'entre vous ne sont pas étrangers au fait de témoigner devant le Comité. Je vous remercie beaucoup de vos réponses claires et concises. Nous demanderons un document de suivi ou des informations supplémentaires au besoin.

    Monsieur Peirce, nous attendrons avec impatience de recevoir un résumé analytique des modifications proposées et de leur incidence sur le SCRS.

    Je vais maintenant suspendre la séance et demander aux personnes qui ne sont pas des députés... si vous croyez que vous ne devez pas être ici, c'est probablement le cas. Nous allons poursuivre à huis clos, donc je demanderais aux personnes qui doivent quitter la salle de le faire rapidement.

    Merci.

    [La séance se poursuit à huis clos.]