ETHI Réunion de comité

    La séance est ouverte. Soyez les bienvenus à la neuvième réunion du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes.

     Conformément à l'article 108(3)h) du Règlement et à la motion adoptée par le Comité le jeudi 13 janvier dernier, le Comité continue son étude sur la collecte et l'utilisation de données sur la mobilité par le gouvernement du Canada.

    La réunion d'aujourd'hui épouse la formule hybride, conformément à l'ordre de la Chambre du 25 novembre 2021. Des membres sont présents en personne dans la pièce et d'autres y assistent à distance au moyen de l'application Zoom. Comme vous le savez, la webémission montrera toujours la personne qui a pris la parole plutôt que la totalité du comité.

    Je rappelle aux membres présents sur place les lignes directrices de la Santé publique. Sachant que vous les avez souvent entendues, je ne les répéterai pas, mais je rappelle aux participants que les captures d'écran ou les photos de leur écran sont interdites.

    Exprimez-vous lentement et nettement et, quand vous n'exercez pas votre droit de parole, désactivez votre microphone. Je rappelle également aux membres et témoins de toujours s'adresser à la présidence.

    Nous souhaitons maintenant la bienvenue à nos témoins de la prochaine heure. Nous accueillons, à titre personnel, M. Michael Geist, professeur de droit et titulaire de la chaire de recherche du Canada en droit d'Internet et du commerce électronique et M. Jean-Pierre Charbonneau, ex‑parlementaire du Québec et conférencier sur l'éthique. Chaque témoin dispose de cinq minutes exactement pour que nous puissions interroger les deux dans le temps prévu.

    Entendons d'abord M. Geist.

    Vous disposez de cinq minutes.

     Merci beaucoup, monsieur le président.

    Bonjour. Je suis Michael Geist, professeur de droit à l'Université d'Ottawa, où je suis titulaire de la chaire de recherche du Canada en droit d'Internet et du commerce électronique. Je suis membre du Centre for Law, Technology and Society. Je comparais à titre personnel, pour présenter mon seul point de vue.

    Je remercie le Comité de son invitation à comparaître sur la question à l'ordre du jour, qui constitue un problème de protection de la vie privée exceptionnellement épineux. Je reconnais que certains de vos témoins ont présenté des points de vue divergents sur la légalité et l'éthique de la collecte et de l'utilisation de données sur la mobilité.

    Je commencerai par trois observations: d'abord, c'est par l'agrégation des données et leur dépersonnalisation que beaucoup d'organismes se sont acquittés, conformément aux leçons de droit, de leurs obligations de protéger la vie privée — à savoir par la dépersonnalisation des données et leur séparation des renseignements personnalisables régis par la loi; ensuite l'utilisation des données, au beau milieu d'une pandémie, est susceptible d'être bénéfique; enfin, la loi ne semble pas violée, parce que les données mêmes ont été agrégées et dépersonnalisées. L'avis public est peut-être bien passé inaperçu du grand nombre, mais ça, également, c'est assez fréquent.

    À mon avis, ça pose un véritable dilemme pour la protection de la vie privée. Les activités se conformaient sans doute à la loi, et l'avis satisfaisait à une norme juridique peu rigoureuse. Telus, il me semble, est largement perçu comme cherchant à outrepasser même les exigences rigoureuses des lois, et le projet était lui‑même susceptible d'entraîner des avantages pour la santé publique.

    On aurait pu faire mieux. Le commissaire à la protection de la vie privée du Canada aurait dû, je crois, s'impliquer davantage dans le processus, l'avis public aurait dû bénéficier d'une plus grande visibilité, et il aurait dû être possible — et ce devrait l'être encore — d'exercer l'option de refus, mais je ne suis pas tout à fait convaincu que ça aurait changé grand-chose.

    Le Commissariat à la protection de la vie privée du Canada aurait sûrement exercé des pressions pour un avis plus visible et des assurances sur la dépersonnalisation des données, mais ça n'aurait vraisemblablement pas arrêté le projet. De même, des avis mieux ficelés auraient été à l'avantage des quelques Canadiens qui y auraient prêté attention, mais je pense que nous pouvons convenir que la surveillance active des politiques de protection de la vie privée ou de pages similaires sur le Web pour y découvrir d'éventuelles modifications, par des millions de consommateurs, c'est une fiction. Pourtant, en dépit de tout ça, beaucoup de Canadiens le voient d'un mauvais œil.

    À mon avis, cet incident révèle un problème fondamental, l'inadaptation de nos lois à leurs fins et la nécessité de les réformer. Ce n'est pas que je croie que nous ayons besoin de lois qui interdiraient cette activité. Le plus grand nombre, je le répète, en reconnaît les avantages potentiels. Nous avons plutôt besoin de lois qui donnent de meilleures assurances que nos renseignements sont protégés et ne seront pas l'objet d'un mésusage; que les politiques sont transparentes; que le consentement est éclairé. Ça ne découle pas de l'aménagement, dans la loi, d'exceptions générales autorisant l'activité parce que la loi ne s'y applique pas. Ça signifie plutôt la modernisation de nos lois pour qu'elles s'appliquent à ce genre d'activité et leur servent de guide juridique et réglementaire de manière à protéger la vie privée. Il faut réformer et la Loi sur la protection de la vie privée et la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE.

    Sur la première des deux, de nombreuses études et les nombreux commissaires à la protection de la vie privée qui se sont succédé ont sonné l'alarme sur sa désuétude et son inadaptation. À bon droit, les Canadiens s'attendent à ce que les règles régissant la collecte, l'utilisation et la communication des renseignements personnels par l'État fédéral satisfassent aux normes les plus rigoureuses. Pendant des décennies, nous avons failli à cette norme.

    L'échec d'une réforme sérieuse de cette loi peut être attribuable en partie au fait que le public n'y est pas sensibilisé ni à son importance. Le commissaire a joué un rôle important dans la sensibilisation du public à la LPRPDE et aux motifs plus larges de préoccupation pour la protection de la vie privée. La Loi sur la protection de la vie privée a besoin d'une mission semblable de sensibilisation du public et de recherche.

    Il me faudrait bien plus que cinq minutes pour énumérer toutes les réformes possibles de la LPRPDE. La question, inexplicablement, a simplement été reléguée au second plan. Malgré les protestations de sa nature prioritaire, l'ancien projet de loi C‑11 a été déposé en novembre 2020 sans effort, à ce qu'il semble, pour même en faire l'étude en comité. Il s'est attiré des critiques, mais ce n'est pas bien sorcier. Si le Canada ambitionne de moderniser cette loi et l'élever au niveau des normes internationales, il doit s'inspirer du Règlement général sur la protection des données de l'Union européenne.

    Malgré certaines manœuvres récentes de groupes comme l'Association canadienne du marketing visant à alarmer le public, ce règlement est largement reconnu comme la norme. Les multinationales connaissent bien les obligations qu'elle a édictées. Des règles innovantes cherchent à répondre aux défis nouveaux du numérique, et elle est assortie de pouvoirs et de sanctions rigoureux pour se faire respecter. On peut l'adapter à la situation canadienne, mais en empêchant que le mieux devienne l'ennemi du bien.

    La modernisation des règles régissant la protection des renseignements privés n'est pas un exercice théorique. Comme les événements récents le prouvent, l'inaction du Canada place notre pays dans une position difficile, en l'exposant au risque que, dans les provinces, on édicte des règles peut-être divergentes, que des stratégies de respect des lois continuent de mettre à mal la confiance du public et que les choix opérés pour la mise en œuvre des politiques ne parviennent pas à maximiser les avantages qui peuvent découler de meilleures données…

    Merci, monsieur Geist.

     Monsieur Charbonneau, la parole est à vous pour cinq minutes.

    Merci, monsieur le président.

    Tout d'abord, je vais me présenter. J'ai été président de l'Assemblée nationale du Québec pendant six ans et demi et parlementaire pendant 25 ans. Je suis un conférencier qui parle souvent de l'éthique, j'ai écrit beaucoup de textes et j'ai collaboré avec des instituts sur l'éthique, notamment, à celle de l'Université Laval. Je milite au sein du Mouvement démocratie nouvelle, qui s'occupe principalement, mais pas uniquement, de la réforme du mode de scrutin et que je préside depuis un certain nombre d'années.

    Si j'entre dans le vif du sujet, selon les informations qui sont connues, il y a eu une collecte de données cellulaires personnelles par Telus qui avait été commandée par l'Agence de la santé publique du Canada, à l'insu ou sans le consentement des millions de citoyennes et citoyens concernés.

    À l'évidence, la transparence n'était pas au rendez-vous dans cette opération, que le ministre de la Santé a défendue malgré tout. On sait aussi que le commissaire à la protection de la vie privée du Canada — on en a fait encore état à l'instant — avait été informé des intentions du gouvernement, mais qu'on l'a tenu à l'écart du processus. La conséquence de cela est que, finalement, il y a trois accrocs qui apparaissent évidents.

    Premièrement, sur le plan de l'éthique, on a agi en catimini dans cette affaire. On a donc caché cette opération et on n'a pas indiqué aux citoyens que cette opération avait lieu.

    Deuxièmement, quand le commissaire à la protection de la vie privée du Canada s'est pointé, finalement, on l'a tenu à l'écart. Or, en mettant le commissaire à la protection de la vie privée du Canada à l'écart, le gouvernement a fait en sorte qu'un des mécanismes prévus par la loi, à savoir le Commissariat à la protection de la vie privée du Canada, n'a pas pu jouer son rôle. Non seulement le gouvernement a tenu à l'écart l'institution qui est chargée d'assurer la surveillance de la façon dont les dirigeants politiques s'acquittent de la protection de la vie privée, mais, en plus, il a agi en catimini et ne s'en est pas excusé.

    Troisièmement, on a banalisé cette question. Quand certaines choses ont été révélées et que des votes ont été tenus à ce sujet à la Chambre des communes, les députés qui avaient adopté la motion au Comité se sont finalement rangés du côté du gouvernement.

    Quelle est la conséquence de cela? Quand il n'y a pas de transparence, quand il n'y a pas un comportement qui utilise les mécanismes prévus par la loi pour protéger les citoyens et leur vie privée, c'est la confiance des citoyens envers les institutions politiques, envers leurs dirigeants politiques, envers les élus, qui est minée.

    Chaque année, il y a des sondages sur le niveau de confiance que les citoyens accordent à leurs dirigeants politiques. Depuis des années — toutes les études de science politique le disent —, malheureusement, ce niveau de confiance est très faible. Or, chaque fois que s'ajoute un élément ou une affaire — cette affaire a été rendue publique dans un journal de Toronto — qui va justement à l'encontre de la façon dont les dirigeants devraient se comporter, la confiance des citoyens n'augmente pas, elle diminue ou elle stagne.

    Or il faut se rendre compte que la confiance est l'élément fondateur de la démocratie. Une démocratie ne peut pas fonctionner si les citoyens n'accordent pas un minimum de confiance à leurs élus, à leurs dirigeants politiques.

    On voit bien, ces jours-ci, comment fonctionne une dictature. On n'a pas besoin d'une intervention du Parlement. Un homme décide d'envoyer une partie du monde à la guerre et on se retrouve en guerre. Par contre, en démocratie, il y a des mécanismes. Un mécanisme, c'est un contrat social entre une population et ses dirigeants politiques. Ce contrat repose sur la confiance, et ce n'est pas pour rien que des démocraties, comme les Parlements d'Ottawa, de Québec et d'un peu partout, se sont donné des mécanismes, des codes d'éthique et des codes de déontologie pour sauvegarder ce niveau de confiance.

    Par exemple, à l'Assemblée nationale du Québec, il y a un code d'éthique et de déontologie, et l'un des éléments de ce code porte sur le respect de la parole donnée. J'aurais pu en choisir d'autres, mais c'est un exemple.

    Je reviens à cette situation, à cette affaire. Comme le disait le témoin précédent, ce n'est pas nécessairement la fin du monde, ce n'est pas l'affaire du siècle sur le plan des accrocs à la vie privée, mais c'est un élément, parmi d'autres, qui s'ajoute finalement à un lot d'affaires qui, au cours des années, minent la confiance des citoyens.

     Quand on n'accorde pas d'importance à cela, quand on banalise un tel événement...

    Je suis désolé, mais votre temps est à peu près écoulé.

    Ah, c'est déjà terminé!

    J'attendrai donc les questions, monsieur le président, mais je pense que l'essentiel a été dit.

    Merci.

    Sur ce, allons tout de suite aux questions.

    Le premier intervenant est M. Kurek.

    Merci beaucoup.

    Je remercie d'abord nos témoins d'être venus nous renseigner. J'espère poser un certain nombre de questions. J'implore donc votre indulgence.

    De nombreux experts nous ont amplement entretenus sur les critères nécessaires d'agrégation et de dépersonnalisation des données envoyées au gouvernement. La réponse du gouvernement, en grande partie, a été simplement de leur faire confiance. Selon vos deux points de vue, celui de M. Geist d'abord, croyez-vous que le gouvernement a satisfait aux critères de dépersonnalisation et d'agrégation convenables des données pour en empêcher la « repersonnalisation »?

    C'est une excellente question. Il faut d'abord se demander si les données pourraient être repersonnalisées. Est‑il possible de « décasser » un œuf? C'est vraiment, à mon avis, une difficulté exceptionnelle. Elle intervient dans beaucoup de questions différentes.

    D'après ce que je sais des témoignages, certainement ceux des fournisseurs, dans leurs réponses et dans ce qu'ils ont essayé de faire, il semble qu'il y ait eu un véritable effort de dépersonnalisation, assorti de divers garde‑fous. Ça revient, je crois, à la question qu'a posée M. Charbonneau, la question de confiance. Faute de systèmes efficaces, faute de transparence de ces systèmes, pour avoir caché des renseignements à la fin d'une page Web qui échappera à l'examen général, il est naturel de se poser ce genre de questions.

    Merci, monsieur Geist.

    À votre tour, monsieur Charbonneau.

    D'entrée de jeu, le ministre a demandé qu'on leur fasse confiance. Or, pour qu'on fasse confiance à un dirigeant politique, il faut que son comportement soit digne de confiance. Quand un gouvernement met de côté la principale institution qu'a créée le Parlement pour faire en sorte de protéger la vie privée des citoyens, quand le commissaire à la protection de la vie privée n'est pas dans le coup et qu'on l'écarte du processus, comment peut-on faire confiance totalement à ce gouvernement ou à un de ses ministres?

    Encore une fois, cette affaire n'est pas le scandale du siècle, mais c'est un élément qui s'ajoute à une série d'affaires — certaines sont beaucoup plus graves — qui minent la confiance des gens. Si le gouvernement lui-même demande qu'on lui fasse confiance, on doit lui répondre qu'il doit mériter cette confiance et agir selon les lois et en toute transparence.

     Pourquoi avoir fait cette opération en catimini? Pourquoi ne pas avoir dit clairement aux citoyens exactement ce qu'on allait faire, pourquoi on allait le faire et quelle conséquence cela allait avoir?

    Ce n'est pas a posteriori qu'on doit justifier la façon dont on se comporte. Dès le départ, on doit être transparent, mettre les cartes sur la table et utiliser les mécanismes de protection qui donnent la garantie...

    Je vois. Vous soulevez tous les deux des questions centrales.

    J'espère que la réponse à ma prochaine question sera un simple oui ou un simple non. Le gouvernement a‑t‑il agi avec transparence pour l'étude, dans notre comité, sur la collecte de données sur la mobilité?

    Monsieur Geist, d'abord, puis monsieur Charbonneau, soyez aussi brefs que possible.

    Je crois que…

    La réponse est non. S'il avait agi de façon transparente, on ne serait pas ici aujourd'hui.

    Merci.

    Allez‑y, monsieur Geist.

    Il est difficile d'affirmer que la transparence a été totale, vu la divulgation limitée et la mise en retrait du commissaire. À l'évidence, on aurait pu faire beaucoup mieux.

    Merci.

    Plus précisément, en ce qui concerne la demande de propositions, ce qui, certainement, nous a inquiétés, moi et beaucoup de mes électeurs, quand ils ont réagi, après que les médias ont été informés et qu'ils ont publié des renseignements sur la question dont nous discutons maintenant, ç'a été qu'elle ne se limitait pas à la COVID. La demande évoquait la politique de lutte contre la COVID et le besoin constant de ces données pour qu'elles servent au gouvernement.

    Croyez-vous qu'il est convenable que, ensuite, le gouvernement ne se serve pas seulement des données qui étaient…? Le gouvernement a défendu son besoin de données pendant une urgence sanitaire, mais croyez-vous qu'il convenait qu'il dise essentiellement qu'il en avait besoin pendant les cinq années à venir, à des fins de politique publique, sans préciser ce à quoi elles serviraient?

    Allez‑y, monsieur Geist.

    Disons d'abord que les entreprises et les administrations publiques, peut-être, essaient de laisser la porte ouverte à toutes les éventualités pour l'utilisation ultérieure des données. C'est en partie la cause réelle des problèmes qui commencent à surgir. Dans certaines circonstances, ce choix se défend, mais c'est quand on essaie de conserver toujours une pleine liberté d'agir qu'on commence vraiment à solliciter outre mesure la confiance du public dont il vient d'être question.

    Quand les règles juridiques en vigueur sont efficaces, ça devient simplement impossible, parce que, alors, il faut justifier l'emploi des données en essayant d'en circonscrire certaines, pour mieux les définir et pour que le consentement lui‑même ne soit valable que pour des groupes restreints d'utilisations, par opposition, essentiellement, au maintien d'une porte ouverte à d'autres utilisations éventuelles qui serviront au cas où on en aurait besoin.

    Monsieur le président, je demanderai seulement la confirmation de M. Geist.

    Vous ne voyez pas, alors, que ces systèmes assurent bien la protection des renseignements.

    Non, c'était vraiment ce que je voulais faire comprendre par ma déclaration préliminaire. Je pense que, actuellement, la Loi sur la protection de la vie privée et la LPRPDE ne sont pas adaptées à leurs fins.

    Merci, monsieur Geist.

    La parole est maintenant à M. Fergus.

     Merci beaucoup, monsieur le président.

    J'aimerais remercier les deux témoins qui comparaissent aujourd'hui.

    J'aimerais d'abord m'adresser à vous, professeur Geist. Je suis votre travail sur ces questions depuis des années. J'ai toujours apprécié votre point de vue.

    Professeur Geist, vous avez dit d'emblée...

    Je suis désolé de devoir vous interrompre, monsieur Fergus. J'ai arrêté votre temps. Nous éprouvons des problèmes de son dans la pièce. L'interprétation est épargnée, mais ceux qui sont branchés sur le canal du parquet, dans la pièce, n'entendaient presque rien.

    Voici pour vous la chance de gagner 10 autres secondes si vous voulez nous autoriser un contrôle de votre son.

    Je vais continuer.

    C'est beaucoup mieux. Voici les secondes supplémentaires. Poursuivez.

    Merci beaucoup, monsieur le président.

    Professeur Geist, nous étudions précisément l'utilisation ou la possession par l'Agence de la santé publique du Canada des données privées des téléphones cellulaires des Canadiens à leur insu ou sans leur consentement.

    Dans votre témoignage d'aujourd'hui, vous avez dit trois choses: que les données ont été dépersonnalisées, dans la mesure où l'on peut dépersonnaliser des données; que l'objectif était louable parce que les données ont servi à localiser des Canadiens pour vérifier s'ils s'éloignaient de leur résidence pendant la pandémie; et qu'il ne semble pas que nous ayons dépassé les normes de la légalité dans tout cela.

    Voilà la question sur laquelle nous portons notre attention. Toutefois, vous soulevez, et avec raison je pense, la question de la convenance du système actuel.

    Je vais revenir à la question qui nous occupe. Pouvez-vous réaffirmer que les données étaient dépersonnalisées, qu'elles pourraient être utiles dans l'élaboration de politiques sur la santé et que nous n'avons pas dépassé les normes?

    Par la suite, nous allons discuter du dossier en profondeur.

    Je dois avouer que je ne suis pas sûr de pouvoir répondre autre chose que j'ai lu les mêmes transcriptions que vous et que c'est là que gît une partie du problème. Puis‑je vous confirmer que c'était entièrement…

    Peut-être pas confirmer, mais...

    Je peux seulement me baser sur le témoignage de Telus à votre comité et sur les réponses du ministre. D'après ce que j'ai vu, il semble que ce soit le cas.

    Je pense qu'il aurait mieux valu que le commissaire à la protection de la vie privée ait agi en agent indépendant pour l'examen et la perspicacité qui peuvent avoir manqué dans les circonstances, et c'est l'une des lacunes que j'ai constatées.

    Il est facile de dire que c'est légal, mais là réside une partie du problème: faute de mesures de consentement assez robustes et d'un système qui inspire la confiance dont nous avons discuté, on peut quand même conclure que c'est légal, mais qu'il subsiste un malaise chez certains devant ce qui se passe.

     Je vous comprends très bien, mais les règles de l'art veulent qu'on examine ce qu'on a devant soi.

    Quelques-uns de vos collègues de l'Université d'Ottawa et d'autres experts ont dit que ces données ont été dépersonnalisées selon les règles de l'art et que le gouvernement n'a pas reçu d'informations pouvant être utilisées pour identifier des gens. Ce n'est donc pas seulement l'Agence de la santé publique, mais aussi des experts dans le domaine qui sont arrivés à cette conclusion.

    J'imagine que vous êtes aligné sur l'avis de ces experts.

    Je me fie aux témoignages livrés jusqu'ici.

    Je ne suis pas vérificateur. Je ne suis pas dans la position, disons, du commissaire, qui peut accéder à ces déclarations et les vérifier complètement. Je suis en mesure d'examiner les témoignages publiés, comme lui et comme vous, et, d'après ces témoignages, les données ont bien été dépersonnalisées. Telus a affirmé disposer d'un certain nombre de mécanismes de protection pour limiter ce qui, en fin de compte, était accessible à l'Agence de la santé publique du Canada. Il est donc évident qu'il a pris des mesures pour construire ces mécanismes.

    Si, encore, vous me demandez une confirmation fondée sur une sorte de connaissance accessible à seulement quelques initiés, c'est impossible. En fin de compte, je me fierais à l'opinion du commissaire, si on lui avait donné la possibilité d'auditer les faits puis de rendre un verdict sur cette question.

    Je vais vous poser une question qui devrait vous plaire.

    Mettons de côté cette situation précise et abordons la question de façon plus large.

    Quel genre de consentement les Canadiens devraient-ils donner pour que leurs données puissent être dépersonnalisées et utilisées à des fins légitimes?

    Je pense que cela représente l'un des défis exceptionnels. Nous avons commencé à voir que l'ancien projet de loi C‑11 en tenait compte, ce qui incluait des renvois au consentement potentiel ou aux règles potentielles concernant les données dépersonnalisées, si bien...

    Merci, monsieur Geist. Le temps de parole de M. Fergus venait de prendre fin lorsqu'il a terminé sa question.

    Merci de la réponse très brève. Si vous avez des choses à ajouter, nous pouvons peut-être les inclure dans un témoignage subséquent, mais c'est maintenant au tour de M. Villemure.

    Monsieur Villemure, vous avez la parole pour six minutes.

    Merci beaucoup, monsieur le président.

    Je remercie les témoins, M. Geist et M. Charbonneau, d'être avec nous ce matin. J'aurai une question à poser à chacun d'entre eux.

    Monsieur Geist, nous examinons la situation d'un point de vue éthique. Vous avez dit, il y a quelques minutes, que cela semblait légal, et je ne dispute pas la chose. Cependant, vous conviendrez que quelque chose peut être légal et non éthique en même temps, et que la légalité est le minimum requis pour pouvoir fonctionner, et non un idéal.

    Croyez-vous que les règles actuelles sont suffisantes?

    Non, je ne pense pas que les règles actuelles suffisent.

    Je comprends que le mandat du Comité soit peut-être de mettre l'accent sur cet incident précis pour déterminer si c'est légal ou pas, mais je crains que les arbres nous cachent la forêt. Il y a une occasion d'utiliser cet incident particulier pour mettre en évidence l'énorme valeur que les données peuvent avoir et, par le fait même, la nécessité de veiller à ce que nous ayons un cadre efficace pour les données au Canada qui inclut des mécanismes de protection de la vie privée, tant au gouvernement fédéral avec la Loi sur la protection des renseignements personnels que dans la LPRPDE.

    Je pense que nous pouvons voir cet incident comme étant une autre preuve que nous n'avons tout simplement pas ce cadre pour le moment.

    Merci beaucoup.

    Monsieur Charbonneau, nous avons appris, dans le cadre des travaux du Comité, que l'Agence de la santé publique du Canada faisait affaire avec Telus et que deux autres personnes fournissaient des données à BlueDot, qui agissait comme intermédiaire.

    Dans ce genre de situation, croyez-vous que le gouvernement aurait pu faire mieux pour inspirer la confiance?

    Il y a un mécanisme prévu par la loi en la personne du commissaire à la protection de la vie privée. Nous sommes près de 40 millions de citoyens, alors nous ne pouvons pas tout vérifier. Il y a donc un commissaire qui, en notre nom, vérifie que les processus sont adéquats. Quand on met à l'écart le commissaire à la protection de la vie privée, on met à l'écart le processus.

    On peut bien dire qu'on a agi légalement, mais je n'en suis pas certain, puisque la légalité aurait voulu qu'on respecte le processus et qu'on utilise les institutions de protection et de sauvegarde.

    Pourquoi le gouvernement ne les utilise-t-il pas? C'est parce que c'est un peu compliqué, parce qu'il aurait peur des avis qui pourraient être donnés. Il aurait peur que le commissaire à la protection de la vie privée lui mette des bâtons dans les roues.

    Si on n'a pas peur, qu'on agisse de façon transparente.

     Merci.

     Il faut agir dès le départ, et non a posteriori, encore une fois.

    Merci beaucoup, monsieur Charbonneau. Je m'excuse de vous interrompre, mais nous sommes limités dans le temps.

    Je poursuis avec M. Geist.

    Quels seraient les modèles dont nous pourrions nous inspirer afin que ces situations soient gérées dans les meilleures circonstances?

    Dans cette situation particulière, je pense qu'il y a un certain nombre de mesures qui auraient pu être prises pour améliorer la transparence. Je pense que Christopher Parsons, qui a comparu devant vous, a bien réussi dans son témoignage devant le Comité à relever le manque de transparence et la façon dont ces données sont apparues soudainement sur un site Web...

    Excusez-moi un instant.

    ... et la surabondance d'information.

    Je vais vous interrompre un instant.

    Si nous sortons du dossier qui nous occupe actuellement et que nous regardons la situation dans son ensemble, y a-t-il des législations dont nous pourrions nous inspirer ou qui prévoient de meilleures règles?

    Quels modèles devrions-nous suivre?

    Oui, absolument. Permettez-moi de revenir sur certaines observations que j'ai faites au début et de fournir plus de détails concernant la LPRPDE du côté du secteur privé, ce qui mettrait évidemment en cause les obligations auxquelles les entreprises Telus et BlueDot auraient été confrontées. C'est une mesure législative vieille de plus de deux décennies. De nombreuses provinces sont allées de l'avant en adoptant leur propre loi, étant donné que le gouvernement fédéral a tant tardé à avancer.

    Nous avons également, comme je l'ai mentionné d'entrée de jeu, le Règlement européen sur la protection des données, qui est le modèle que de nombreux intervenants approuvent et s'efforcent déjà de respecter. Il vise à régler certains de ces problèmes au niveau de la transparence algorithmique en imposant des sanctions plus sévères et en relevant quelques-uns des problèmes plus nouveaux tels que le droit à l'oubli et d'autres, ce qui fait partie de ce qui est largement considéré, à mon avis, comme étant une loi sur la protection des renseignements personnels modernisée, ce que le Canada n'a plus.

    Enfin, pouvez-vous nous dire brièvement si l'ajout d'un tribunal à la protection de la vie privée, comme cela a été fait dans le cas du Règlement général sur la protection des données, le RGPD, est une initiative que nous devrions envisager?

    À qui s'adresse votre question, monsieur Villemure?

    Je m'excuse. Je m'adressais à M. Geist qui poursuivait sur sa lancée.

    D'accord.

    Oui, en ce qui concerne le tribunal, il y avait une certaine opposition. Un tribunal a été proposé dans le projet de loi C‑11. Cette proposition était moins problématique, à mes yeux. Je croyais que dans la mesure où il s'agissait d'un tribunal expert — ce que le projet de loi C‑11 n'avait pas malheureusement; l'un des membres du tribunal devait avoir de l'expérience dans le domaine de la protection des renseignements personnels, et je pense que si ce tribunal doit faire autorité, il doit être un véritable tribunal expert en la matière —, ce pourrait être utile.

    Je reconnais que le commissaire à la vie privée a exprimé son opposition, mais je pense que nous devons à tout le moins présenter une mesure législative. Nous pouvons discuter de l'aspect administratif dans le cadre d'une étude au Comité, mais nous n'avons même pas franchi la ligne de départ dans ce dossier.

    Je vous remercie beaucoup.

    Merci de ces remarques.

    Nous allons maintenant entendre M. Green, pour six minutes.

    Merci.

    Je vois certainement d'un bon œil l'idée de... Pour revenir à la forêt, je suis d'accord pour dire que cet ensemble de circonstances a ouvert la voie à une conversation beaucoup plus vaste.

    Mes questions seront adressées à M. Geist et portent sur les observations qu'il a faites selon lesquelles la Loi sur la protection des renseignements personnels est désuète et inadéquate et qu'il faut des normes plus élevées. C'est ce que j'appelle le modèle d'excellence. En fait, mes questions s'articulent autour de cela depuis le début de l'étude, car à l'issue de cette étude, je veux qu'il y ait des recommandations qui puissent renforcer notre loi. Ainsi, nous voulons arrêter de faire du rattrapage, pour ainsi dire, dans des cas d'atteinte à la vie privée et plutôt créer une norme qui respecte le Règlement général sur la protection des données, ou aller même au-delà. Je dis cela car la façon dont les renseignements sont utilisés sur le plan politique — la désinformation, entre autres choses — se résume à pouvoir établir le profil du consommateur final.

    Ma question à M. Geist est donc, par l'entremise de la présidence, la suivante. En prenant votre temps pour passer en revue les priorités absolues pour modifier les règles du Canada dans le cadre d'une réforme de la Loi sur la protection des renseignements personnels et les documents électroniques améliorée et modernisée, à quoi cela ressemblerait‑il pour vous et comment ce serait la norme la plus élevée que le Canada pourrait mettre de l'avant en ce moment?

    Je vais faire une petite parenthèse pour souligner que la Loi sur la protection des renseignements personnels, la partie sur les obligations en matière de protection des renseignements personnels que le gouvernement fédéral doit respecter, ne devrait pas du tout être négligée. En fait, il y a un élément fondamental lorsque nous parlons de la volonté grandissante du gouvernement, et certains diraient la nécessité du gouvernement, d'avoir plus de données afin de prendre des décisions fondées sur des données, ce qui peut forcément entraîner des problèmes de collecte de données. En ce qui concerne la Loi sur la protection des renseignements personnels, elle est encore plus vieille car sa rédaction date de plus longtemps et elle n'a pas été mise à jour.

    Monsieur Geist, c'est une excellente occasion. Je vais peut-être commencer ici. Quelles seraient vos priorités absolues pour la Loi sur la protection des renseignements personnels?

    Pourriez-vous ensuite utiliser le reste de votre temps de parole pour parler de la LPRPDE? Je crois que vous avez tout à fait raison, que c'est un processus où il faut demander des comptes aux deux parties, le gouvernement et le secteur privé, car nous avons entendu la suggestion... à propos de ce qui est légal et de ce qui est éthique. Faire indirectement ce que vous ne pouvez pas faire directement demeure un problème si nous n'avons pas une réforme modernisée des deux parties.

    N'hésitez pas à nous expliquer l'orientation que vous aimeriez prendre.

    Merci de cette occasion.

    Je signale que j'ai eu le plaisir de comparaître à ce comité à plusieurs législatures. Ce comité a publié de nombreuses études sur cette question et a formulé des recommandations. Il n'y a pas grand-chose à reformuler ici. C'est l'un de ces enjeux qui ne semblent tout simplement jamais se rendre à l'étape de faire l'objet d'une mesure législative.

    Parmi les mesures que nous pourrions prendre, j'ai mentionné d'emblée la capacité du commissaire à la protection de la vie privée de jouer un rôle plus proactif en matière d'éducation du public et de recherche à propos de la relation que les Canadiens ont avec leurs gouvernements quant aux données qui sont recueillies. Nous pourrions également renforcer les mesures de protection — par exemple, imposer des restrictions sur les données que le gouvernement collige pour que les renseignements soient recueillis seulement s'ils sont strictement nécessaires pour ses programmes ou activités. Cela nous ramène à l'une des questions précédentes de garder la porte ouverte à d'autres types d'utilisations. Il faut s'assurer que c'est en fait le contraire: que nous limitons soigneusement les données qui sont recueillies, mais que nous fixons aussi ces limites d'entrée de jeu.

    En ce qui concerne les questions liées à la déclaration des atteintes à la vie privée, il faut s'assurer que si les données qui sont recueillies sont compromises — et il y a eu des incidents dans le passé —, les utilisateurs individuels doivent en être adéquatement informés. Les évaluations relatives à la vie privée sont nécessaires pour veiller à ce que... et sont enchâssées dans la loi où certains de ces nouveaux programmes sont lancés.

    Ensuite, lorsque nous réfléchissons à ce type de question en particulier, ce qui ouvre vraiment la porte à ces grands ensembles de données, nous devons penser à l'interaction que le gouvernement fédéral peut avoir avec les participants du secteur privé, car cela représente une situation relativement nouvelle. Auparavant, le gouvernement pouvait collecter les données lui-même. Aujourd'hui, nous avons, en fait, des plateformes ou des intermédiaires qui peuvent collecter certaines de ces données et les rendre accessibles au gouvernement. Nous devons établir des précautions et des mesures de protection efficaces à cet égard. Un consentement approprié a‑t‑il été obtenu? Les données sont-elles dépersonnalisées? Avez-vous travaillé avec le commissaire à la protection de la vie privée pour vous assurer que c'est le cas? Même si les données sont dépersonnalisées, quel niveau de consentement a été obtenu, comme dans ce genre de cas? Ce sont là certaines des choses auxquelles nous pourrions, et je pense que nous devrions, réfléchir en ce qui concerne la Loi sur la protection des renseignements personnels.

    En ce qui concerne la réforme de la LPRPDE, la façon dont je procéderais, pour être bien franc, serait de nous asseoir avec le libellé du Règlement général sur la protection des données dans une main et celui de la LPRPDE dans l'autre, puis d'ajouter le projet de loi qui sera présenté et de nous engager dans un exercice d'analyse comparative pour voir où nous en sommes. Cela ne veut pas dire qu'il ne peut pas y avoir de réformes propres au Canada. Je pense qu'il peut incontestablement y en avoir. Cependant, il est universellement reconnu que...

    Une solution facile, bien sûr, est l'application de la loi. Nous n'avons pas de sanctions sévères. Notre commissaire fédéral n'a même pas le pouvoir d'émettre des ordonnances. Cela place le commissaire fédéral dans une position différente de celle de presque tous les autres commissaires à la protection de la vie privée ou des données dans le monde, car il ne dispose pas des outils nécessaires pour assurer une conformité efficace.

    Ensuite...

    Je m'excuse, car il me reste environ 15 secondes. Comme j'ai l'habitude de faire, je vous invite, vous et M. Charbonneau qui, je sais, a beaucoup d'expérience dans... S'il y a un mémoire écrit sur cette question particulière à propos de ces deux lois, la Loi sur la protection des renseignements personnels et la LPRPDE, j'aimerais beaucoup que ce soit mentionné et inclus dans nos recommandations et notre étude.

    Merci à vous deux.

    Merci, monsieur Green.

    Nous allons maintenant poursuivre avec M. Williams, pour cinq minutes.

    Merci, monsieur le président.

    Merci à nos témoins d'aujourd'hui. Vos déclarations ont été excellentes, et nous avons été ravis de connaître quel est le modèle d'excellence, surtout avec le Règlement général sur la protection des données et ce qui se passe dans le monde.

    L'un des sujets sur lesquels je veux m'attarder aujourd'hui, pour commencer, est en lien avec le Règlement général sur la protection des données. Lorsque nous regardons les mesures permanentes par rapport aux mesures temporaires, y a‑t‑il un segment dans cette mesure législative ou cette protection dans l'Union européenne qui examine la différence entre le fait d'avoir les mesures en place durant la COVID et le fait de devoir intervenir à cet égard, ce qui est temporaire, par rapport à ce qui serait permanent? Y a‑t‑il quelque chose de prévu à cet effet pour refléter ce type de raisonnement?

    Je vais commencer avec M. Geist.

    Les lois sur la protection des renseignements personnels sont propres au contexte. Elles doivent pouvoir s'adapter à ces types de situations.

    Dans une situation où il y a des préoccupations accrues — disons dans une situation de pandémie mondiale et de guerre —, certains des choix qui sont faits et l'équilibre qui est établi peuvent être différents dans d'autres situations, qui sont peut-être plus banales et qui ne soulèvent pas ces préoccupations. S'il est question de renseignements médicaux ou financiers de nature délicate, les mécanismes de protection auxquels nous nous attendons pourraient être différents de ceux pour des questions pour connaître l'endroit où j'ai dîné hier.

    Je pense que la loi en soi est en mesure de tenir compte de ces différentes situations. Le hic, c'est que si ces règles ne sont pas efficacement appliquées et que certaines des dispositions liées au contenu n'ont pas été modernisées, on a très peu d'outils pour s'assurer d'avoir des protections efficaces.

    Merci, monsieur.

    D'ici à ce que nous ayons davantage de mesures de protection et, comme vous l'avez dit, un texte de loi qui changera ces règles, les Canadiens devraient-ils avoir l'option de ne pas participer à la collecte de données pendant, disons, une pandémie ou une urgence? Je fais référence à des circonstances temporaires et non pas permanentes. Ou, selon vous, serait‑il une bonne chose que nous ne puissions pas nous en retirer puisqu'il y aura des mesures de protection pendant les urgences pour poursuivre la collecte de données? Si on compare les protections prévues par les lois selon que la situation est permanente ou temporaire, les droits des Canadiens sont-ils bien protégés, à votre avis?

    Je crois que cela dépend quelque peu du type de données. La question est intéressante à poser: peut‑on ne pas participer à la collecte? Eh bien, on peut sans contredit se retirer, ou on devrait avoir le droit de se retirer d'un tel programme, je dirais.

    Je n'ai pas l'impression que... Il s'agit bien sûr de renseignements utiles, et je crois qu'on peut avancer de façon convaincante que ce type de renseignements et de données sont précieux à avoir. C'est le cas dans différentes circonstances. On parle aussi beaucoup des eaux usées, par exemple, avec lesquelles on essaie de mesurer les niveaux de COVID‑19.

    Nous tenons à obtenir plus de données. L'option de se retirer dans ces circonstances me semblerait appropriée. Par contre, il y a peut-être des scénarios où les besoins de la santé publique nécessitent certains types de divulgation. C'est le cas bien sûr lorsque nous allons à certains endroits et qu'il est obligatoire de présenter notre statut vaccinal. Cela me semble tout à fait raisonnable.

    Il me semble qu'il y a des différences, selon le type de données et selon les circonstances où elles sont utilisées.

    Merci.

    Je suis d'accord avec vous. Je crois que pour certains types de données, lorsque des données personnelles sont nécessaires, il semble y avoir une façon différente... Il faut des protections pour ces données. Vous avez mentionné les eaux usées. Ce n'est pas vraiment évident de retracer la source. Il y a la reconnaissance faciale et certaines autres technologies, mais je me concentre sur les données qui sont recueillies des particuliers. Je crois que c'est là où nous en sommes.

    Monsieur Charbonneau, des commissaires à la protection de la vie privée ont affirmé au Comité que nous aurions dû en faire davantage pour informer les Canadiens avant le début de la surveillance de masse. Conseilleriez-vous au gouvernement d'adopter cette pratique avant d'entreprendre le prochain programme de surveillance, qui en est à l'étape des soumissions?

    Je souligne encore une fois que le Commissariat à la protection de la vie privée existe. Ultimement, le but de cette institution est d'aider les dirigeants politiques et les citoyens à y voir clair et, éventuellement, à trouver des compromis ou à évaluer les risques pour les citoyens. Il est impossible que chaque citoyen d'une population comme celle du Canada donne son avis. Il faut faire en sorte qu'une entité représente les citoyens, soit chargée de la surveillance, de la protection de la vie privée...

    Merci. Nous n'avons plus...

    ... et détermine comment le gouvernement se comporte à cet égard.

    Je suis désolé, monsieur Charbonneau.

    Je dois passer au prochain membre du Comité qui posera ses questions. M. Williams n'a pas laissé beaucoup de temps pour une réponse.

    Nous donnons maintenant la parole à Mme Saks pour cinq minutes.

    Merci, monsieur le président.

    Merci à nos témoins. Par votre entremise, monsieur le président, j'aimerais commencer par M. Geist.

    J'ai lu une bonne partie de vos travaux. À l'instar de mon collègue, M. Fergus, j'apprécie vos observations qui poussent à la réflexion.

    J'aimerais discuter de transparence parce que c'est un thème qui est souvent revenu en lien avec vos propres écrits sur le gouvernement et différents enjeux liés à Internet.

    Le 23 mars 2020, il a été annoncé publiquement sur le site Web du premier ministre — et le premier ministre a donné une conférence de presse à ce sujet — que l'ASPC discuterait avec BlueDot pour recueillir de l'information et l'utiliser à des fins liées à la pandémie. Par la suite, la Dre Tam a fait des mises à jour régulières sur TendancesCOVID, Twitter et d'autres plateformes autres que les pages Web gouvernementales difficiles à lire qui nous donnent parfois des yeux larmoyants — elle a fait des mises à jour régulières de la situation sur TendancesCOVID et a fait des annonces presque chaque semaine. Puis, de surcroît, des annonces ont ensuite été faites sur la communication avec des évaluateurs tiers de la protection de la vie privée au sujet du processus. Finalement, une autre communication publique a été émise sur la correspondance avec le CPVP, le Commissariat à la protection de la vie privée du Canada, au sujet d'un contrat. Mettons les choses au clair: le contrat était en vigueur de 2020 jusqu'au 18 mars 2022 et, pendant cette période, nous avons été informés de discussions bihebdomadaires avec le commissaire à la protection de la vie privée. Une note de breffage a été déposée le 14 février 2022, je crois, dans laquelle l'ASPC a donné une dernière mise à jour et a conclu que, selon l'article 3 de la Loi sur la protection des renseignements personnels, les données ne contenaient aucun renseignement personnel.

    Il y a donc eu régulièrement des communications à ce sujet. Vous avez abordé ce que nous aurions pu faire de mieux en matière de transparence. Nous comprenons clairement l'argument sur les données dépersonnalisées, anonymisées. Par rapport à la conversation publique à laquelle vous avez fait allusion, pouvez-vous nous dire comment nous aurions pu faire mieux étant donné les espaces dans lesquels nous travaillons?

    D'accord. Je peux essayer.

    Je commencerais par remarquer que mon interprétation de la réponse du commissaire est qu'il croit que son bureau aurait dû être impliqué plus activement dans le processus, alors je reconnais que...

    Mais ma question porte sur la transparence publique parce que c'est ce à quoi vous avez fait allusion.

    C'est de bonne guerre. En matière de transparence publique, je crois que votre argument met en évidence comment les organisations — qu'il s'agisse du gouvernement ou du secteur privé — traitent cet enjeu. Elles disent: « Hé, tous les renseignements sont là. Vous n'aviez qu'à les chercher et les trouver. » La plupart des gens ne savent pas ce qu'est BlueDot. Même s'ils savaient ce que c'est, ils ne sauraient pas nécessairement d'où proviennent les données et comment elles ont été recueillies. Il est donc très important de pleinement informer la population quant à la méthode de collecte de données et de rendre cette information plus facilement accessible.

    J'ai par exemple participé activement aux discussions sur l'appli Alerte COVID et j'ai participé à une des études qui a mené à son lancement. Il a été reconnu que, comme la population devait activement l'installer, il fallait un costaud programme d'information pour qu'elle comprenne l'outil et ait confiance en lui. Il faut des initiatives similaires dans ce contexte où ce type de données est recueilli...

    Je vois que le consentement et la transparence s'entremêlent. J'essaie de saisir comment nous pourrions améliorer la transparence du gouvernement envers la population par rapport à nos activités. Vous glissez vers l'enjeu du consentement pour l'interaction concrète avec les données.

    Cela m'amène à ma prochaine question. Pamela Snively de Telus nous a parlé du programme Les données au service du bien commun et nous a expliqué en détail comment la plateforme de données de la société est utilisée non seulement par l'ASPC, dans un environnement supervisé et très contrôlé, mais aussi par des universités comme la vôtre et de nombreux autres établissements de recherche partout au pays. Elle nous a aussi fait valoir que la Dre Ann Cavoukian de Privacy by Design a louangé et encensé le programme Les données au service du bien commun de Telus pour ses données dépersonnalisées et ses normes de protection de la vie privée.

    Dans votre déclaration liminaire, vous avez affirmé que la recherche de la perfection ne devrait pas écarter le bien. Je peux maintenant revenir à vos propos. Je voulais séparer les enjeux. Selon vous, quelles autres mesures le gouvernement aurait‑il pu prendre pour être transparent quant aux données?

    Il vous reste 15 secondes.

    J'aimerais simplement préciser que, très franchement, je ne pense pas que ma réponse glisse vers le consentement. Ce que je fais valoir par rapport à Alerte COVID et par rapport à la situation que vous étudiez, c'est que, pour que les citoyens fassent confiance à ces programmes, il faut expliquer dans autant de forums que possible et aussi clairement que possible quelles données sont recueillies et ce qui est utilisé. Ce processus a été respecté pour l'application Alerte COVID. Je dirais qu'il ne l'a pas été dans la situation à l'étude.

    Merci.

    Sur ce, nous donnons la parole à M. Villemure pour deux minutes et demie.

     Bonjour, monsieur le président. J'aimerais déposer une motion qui sera remise aux participants immédiatement.

    J'explique le contexte. Lors de la rencontre du 17 février 2022, M. Khan, de BlueDot, nous a dit ceci:

    La motion va comme suit:

     Les versions française et anglaise sont disponibles.

    Merci.

    La motion est recevable parce qu'elle se rapporte à l'étude actuelle.

    Nous sommes saisis d'une motion. Nous avons parmi nous des témoins et nous aimons nous assurer de recueillir des témoignages de témoins. Quelqu'un veut‑il se prononcer sur la motion, ou pouvons-nous la mettre aux voix?

    On dirait que Mme Khalid veut se prononcer sur la motion.

    Merci beaucoup, monsieur le président.

    Je propose d'ajourner le débat sur la motion.

    D'accord.

    Nous ne pouvons débattre de la motion pour ajourner le débat. Nous allons passer directement au vote.

    Nous pourrons discuter de la motion au sous-comité, si cela vous convient.

    Eh bien, c'est vrai. Nous pouvons discuter de la motion au sous-comité, mais une motion pour l'ajournement du débat a été proposée.

    Nous allons voter sur l'ajournement du débat sur la motion.

    Vous pouvez procéder au vote, madame la greffière.

    Merci beaucoup.

    Le vote porte sur la motion pour ajourner le débat sur la motion de M. Villemure.

    Le résultat du vote est de 5‑5, monsieur le président.

    Je vote en faveur de l'ajournement du débat. Nous en discuterons au sous-comité.

    (La motion est adoptée par 6 voix contre 5.)

    Le président: Sur ce, M. Villemure va poursuivre son tour.

    Vous avez la parole.

    Merci beaucoup, monsieur le président.

    Monsieur Geist, on dit que le programme Mobility for Good de Telus utilise des données à des fins qui sont bénéfiques sur le plan social.

    Croyez-vous que cela dispense Telus d'obtenir — et ici, je vais être généreux — une certaine forme de consentement de la part des utilisateurs?

    Le type de consentement exigé par la loi varie selon la nature délicate de l'information et d'autres facteurs similaires. Le fait que les données soient « bénéfiques » n'est pas vraiment le facteur dont on tiendrait compte. On prendrait en considération le niveau de confidentialité des données et on évaluerait si le consentement était informé ainsi que d'autres facteurs. Le fait que la collecte de données vise un objectif bénéfique — dans ce cas bien évidemment pour la santé publique et la pandémie — ne ferait pas partie des questions fondamentales qu'on se poserait normalement pour évaluer la norme du consentement.

    Merci beaucoup.

    En résumé, l'ajout des mots « for Good » ne constitue pas nécessairement un critère pouvant servir à évaluer la pertinence ou la profondeur du consentement.

    Non, je ne pense pas que ce soit un critère.

    Merci beaucoup.

    Monsieur Charbonneau, comme on vous a interrompu tantôt alors que vous étiez sur une lancée, je vais vous permettre de poursuivre ce que vous disiez au sujet de la confiance.

     Je disais que la confiance est l'un des piliers d'une véritable démocratie. Il y a un contrat social qui lie les citoyens et les dirigeants politiques, les élus. Cette confiance est fondamentale. Plus elle est minée, plus les gens se sentent autorisés à faire ce qu'ils veulent.

    Les comportements que nous avons vus au cours des dernières semaines au Canada reflètent un problème de confiance. Si l'on veut qu'il y ait de la solidarité au sein de la société et que les gens respectent les lois et les règlements, même s'ils ne les aiment pas, il faut qu'il y ait un lien de confiance très fort entre eux et les dirigeants politiques.

    Si la confiance n'est pas au rendez-vous, comment voulez-vous qu'on maintienne l'adhésion des citoyens aux institutions politiques?

    Merci.

    C'est maintenant au tour de M. Green qui a deux minutes, puis nous terminerons la réunion avec M. Bezan et Mme Hepfner.

    Allez‑y, monsieur Green, pendant deux minutes et demie.

    Merci.

    Je dois le dire. J'ai bien remarqué que, dans une conversation sur la transparence, la reddition de comptes et la confiance, une simple demande pour obtenir de l'information supplémentaire s'est fait accueillir par une tentative procédurale de bloquer des renseignements supplémentaires. Je veux simplement dire...

    J'invoque le Règlement, monsieur le président.

    Ce n'est pas un rappel au Règlement.

    Mme Khalid a invoqué le Règlement. Je vais lui demander tout de suite d'énoncer quelle pratique ou procédure du Comité n'est pas respectée.

    Je remets en question la pertinence de cet argument. Nous débattons...

    C'est un débat.

    C'est noté. Je redonne la parole à M. Green.

    Mon temps est limité. Les membres du parti ministériel ont amplement de temps pour exposer les arguments dans leur débat. Je les invite à le faire pendant leur propre temps de parole.

    J'ai droit à mes deux minutes. Je vais m'exprimer sur la nature de ce comité et sur mon espoir, quand nous traitons ces enjeux, de voir se dérouler de réels débats ouverts, publics et transparents sur l'information présentée au Comité et aux Canadiens. C'est une partie du noyau du problème dans le fonctionnement de ce gouvernement, et je vais continuer à le nommer. Je vous donne avis de mon intention de relever absolument chaque astuce procédurale, tentative de bloquer de l'information et tentative de faire de l'obstruction et ce, même si j'ai ma propre motion qui va demander d'autres renseignements. Je vous donne un avis oral.

    Je demande aux membres du Comité de permettre à l'entièreté du débat de se dérouler en public, sans ce type d'instinct pour continuellement l'étouffer. C'est une frustration que je vis depuis le début de mon court passage ici sur la Colline et que je veux souligner pendant ce temps de parole.

    Monsieur Charbonneau, je n'ai pas eu l'occasion de vous entendre sur ces deux questions. Étant donné votre expérience érudite à l'Assemblée nationale du Québec, je vous prierais de soumettre par écrit vos commentaires, si vous en avez, sur des mesures que vous avez vues pendant ou après vos mandats à Québec qui pourraient améliorer notre Loi sur la protection des renseignements personnels ou LPRPDE. Tous les renseignements que vous fournissez au Comité, comme vous le savez tous deux, se greffent à l'étude et se traduiront, je l'espère, en recommandations.

    Merci.

    Sur ce, nous passons à M. Bezan.

    Nous avons un peu de retard. Je vais réduire le temps imparti aux deux derniers intervenants et leur donner quatre minutes chacun.

    Allez‑y, monsieur Bezan.

    Merci, monsieur le président.

    Je suis heureux de faire partie du Comité. J'ai hâte de travailler avec tous les partis de façon ouverte et transparente.

    Je veux donner avis d'une motion à des fins d'étude par le Comité:

    Voilà ce que je propose.

    Je remercie M. Geist et M. Charbonneau pour leurs commentaires. Je suis très inquiet de la façon dont les données ont été recueillies, puisqu'elle pourrait donner lieu à la violation du droit à la vie privée des Canadiens. Le manque de transparence du gouvernement et les préoccupations soulevées par le commissaire à la protection de la vie privée sont troublants pour nous tous.

    Monsieur Geist, j'ai lu un article que vous avez écrit en mars 2020, au tout début de la pandémie de COVID. Vous avez également écrit une lettre d'opinion dans le Globe and Mail. Vous évoquez les normes et les pratiques. Vous parlez aujourd'hui de l'Union européenne. Vous parlez aussi de la façon dont Israël et Taïwan réussissent à avoir de meilleurs garde-fous et une plus grande transparence dans ce domaine. C'est une question de confiance, comme l'a fait valoir M. Charbonneau.

    Croyez-vous qu'il y a suffisamment de mesures de protection en place, surtout lorsqu'on pense à la période au cours de laquelle les organisations comme BlueDot ou l'Agence de la santé publique du Canada peuvent conserver les données? Je sais que vous avez déjà parlé d'une période d'environ 14 jours. Croyons-nous que le gouvernement, par l'entremise de l'ASPC et de BlueDot, conserve les renseignements pour une période de 14 jours seulement, puis s'en débarrasse? Est‑ce que le gouvernement procède à une analyse pour ensuite passer à une autre étape pour orienter l'information et les politiques publiques?

    De façon plus importante, comment pouvons-nous veiller à mettre en place des frontières réglementaires qui protégeront la vie privée de Canadiens?

    Je vous remercie pour votre question.

    Je vous remercie également de faire référence à ce qui a été écrit au tout début de la pandémie de COVID. Je crois que, d'une certaine façon, cela démontre l'importance de mettre en place les bons cadres pour assurer la transparence et la protection dont nous parlons.

    Les deux dernières années nous ont démontré le besoin d'avoir des données et la participation active de la population à divers égards. L'application Alerte COVID est un bon exemple de cela.

    Il faut que la population fasse confiance à ceux qui recueillent les données, et qu'elle n'ait pas de doute sur la façon dont elles seront utilisées ou sur la présence de mesures de surveillance. En tout respect, je crois que nous avons encore du travail à faire à cet égard. Le commissaire a soulevé ces préoccupations, et je ne crois pas que quiconque oserait remettre en question son expertise. À mon avis, la situation est préoccupante.

    En ce qui a trait à la période de conservation des données, il y a un indice de référence dans toutes les lois modernes sur la protection des renseignements personnels. On conserve les données aussi longtemps qu'il est strictement nécessaire de le faire seulement. Par exemple, je ne vois pas pourquoi on conserverait des données précises sur les tendances qui nous permettent d'intervenir rapidement dans une situation donnée pendant de longues périodes, alors que leur valeur est associée à une tendance particulière qui est passée.

    Allez‑y, monsieur Charbonneau.

     Je ne suis pas un expert de la rédaction législative au gouvernement fédéral, mais je pense que le principe reste le même, c'est-à-dire qu'il y a un mécanisme de surveillance. On a parlé plus tôt d'améliorer la Loi sur la protection des renseignements personnels, mais il y a déjà une loi en place et on ne la respecte pas. Il a aussi une institution en place et on n'en a pas tenu compte.

    Cela est bien de vouloir améliorer la loi et renforcer le mécanisme de contrôle ou de surveillance, mais le défi est de respecter l'institution qui est en place.

    Merci, monsieur Charbonneau.

    Nous allons entendre Mme Hepfner, pour les quatre dernières minutes.

    Merci beaucoup.

    Monsieur Geist, j'aimerais revenir aux questions posées par ma collègue, Ya'ara Saks. Je ne crois pas vous avoir entendu lui donner une réponse complète.

    Nous parlions de la transparence. Vous avez dit que le gouvernement aurait pu être plus transparent dans le cadre de la mise en œuvre du programme. On nous a dit qu'il y avait eu une conférence de presse lorsque le programme a été lancé. Theresa Tam a fait des publications régulières dans les médias sociaux. J'étais journaliste à ce moment‑là et je savais que le gouvernement utilisait les données sur la mobilité pour déterminer si les mesures de lutte contre la pandémie étaient respectées et s'il y avait des risques d'éclosions. Je savais que ces renseignements étaient recueillis.

    J'aimerais vous entendre sur la façon dont le gouvernement aurait pu être plus transparent. Est‑ce qu'il faudrait envoyer un message sur le téléphone cellulaire de chaque personne? Les conférences de presse sont couvertes par les médias. L'information est diffusée dans les médias sociaux toutes les deux semaines et on peut aussi consulter un site Web, pour voir comment les données sont utilisées.

    Comment peut‑on rendre le processus plus transparent?

    Je crois que...

     Vous pourriez avoir plus de transparence... Je ne sais pas à qui s'adressait la question.

    Merci...

    Vous pourriez avoir plus de transparence en faisant...

    Je posais la question à M. Geist.

    Merci.

    Ah, d'accord.

    Je vous remercie pour votre question.

    Je vais y répondre en disant que je crois... Vous soulevez plusieurs points. Je dirais que l'application Alerte COVID est un meilleur exemple d'une campagne publicitaire et des diverses façons dont on peut communiquer pour expliquer à la population ce qui se passe. Dans la mesure où l'on accepte qu'il y a une forme de consentement, et que le consentement est éclairé.

    Je crois que le site TendancesCOVID aurait pu — et pourrait encore — expliquer plus clairement d'où viennent les données sur la mobilité, de sorte que les Canadiens touchés puissent le savoir. Je crois que le site Web TendancesCOVID pourrait présenter un lien vers le site de Telus, de sorte que les gens qui souhaitent se retirer du programme des données au service du bien commun soient en mesure de le faire. Je crois qu'il faudrait aussi présenter un lien vers BlueDot, pour qu'ils puissent s'en retirer également.

    Pour qu'il y ait consentement éclairé, il faut que les gens comprennent ce qu'on leur demande — ou, de façon plus particulière, comment leurs données seront utilisées — et qu'ils aient les renseignements dont ils ont besoin pour se retirer s'ils le souhaitent. À mon avis, c'est ainsi qu'il faut procéder pour préserver la confiance du public et répondre aux attentes de la population à l'égard de la protection de la vie privée.

    On peut dire: « Nous avons fait ceci et cela, et nous avons respecté la loi. » Je crois avoir dit, dans mon discours préliminaire, qu'à mon avis, on avait respecté la loi, mais je crois qu'il faut revenir au point soulever par M. Charbonneau: le respect de la loi ne favorise pas toujours la confiance.

    Il faut avoir la confiance de la population, parce qu'il s'agit de renseignements importants et que ces programmes le sont tout autant. Il ne suffit pas de cocher les bonnes cases sans faire l'effort supplémentaire de transmettre aux gens l'information dont ils ont besoin pour faire des choix éclairés et pour se retirer des programmes, ce qui aurait pu être fait... À mon avis, il aurait fallu adopter une telle approche.

    À titre de précision, les gens pouvaient...

    Est‑ce que mon temps est écoulé? Excusez-moi.

    Vous avez le temps de poser une courte question. Il vous reste 30 secondes.

    Comment pouvons-nous obtenir un consentement plus éclairé de la part des personnes qui utilisent leur téléphone cellulaire et ces programmes sans compromettre les données sur la santé publique dont nous avons besoin pour...? Vous comprenez ce que je veux dire?

    Comment pouvons-nous obtenir le consentement éclairé des gens, et veiller à ce qu'ils sachent ce qu'ils font? On peut se retirer de ces programmes, mais comment pouvons-nous sensibiliser la population afin qu'elle soit mieux informée?

    D'accord. Vous avez dépassé les 30 secondes qu'il vous restait en posant votre question.

    Merci.

    J'inviterais les témoins qui souhaitent nous transmettre d'autres renseignements ou répondre à la dernière question — ou à d'autres — à le faire par écrit. Nous vous en serons reconnaissants.

    Voilà qui met fin à la séance d'aujourd'hui.

    Je remercie les témoins de leur présence.

    Nous allons passer à la réunion du Sous-comité. Je demanderais aux membres du Comité qui ne font pas partie du Sous-comité de quitter la réunion Zoom ou la salle. La réunion du Sous-comité se tient à huis clos.

    La séance est levée.