INDU Réunion de comité

    Bonjour à toutes et à tous.

    Je déclare la séance ouverte.

    Je vous souhaite la bienvenue à la 118^e réunion du Comité permanent de l'industrie et de la technologie de la Chambre des communes.

    La réunion d'aujourd'hui se déroule sous forme hybride, conformément au Règlement. De plus, conformément à l'ordre de renvoi du lundi 24 avril 2023, le Comité reprend l'étude du projet de loi C‑27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l'intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d'autres lois.

    Nous reprenons aujourd'hui l'étude article par article du projet de loi.

    J'aimerais de nouveau souhaiter la bienvenue aux représentants du ministère de l'Industrie et les remercier de se joindre de nouveau à nous.

    Nous recevons M. Mark Schaan, sous-ministre adjoint principal, Secteur des stratégies et politiques d'innovation; M. Samir Chhabra, directeur général, Direction générale de la politique d'encadrement du marché; et Mme Runa Angus, directrice principale, Secteur des stratégies et politiques d'innovation.

    Chers collègues, comme vous vous en souvenez sûrement, nous étions rendus à l'amendement NDP‑2, qui a trait à l'article 2.

    (Article 2)

     Monsieur Williams, c'est vous qui aviez la parole lorsque nous débattions de l'amendement NDP‑2. Je vous la cède à nouveau maintenant que nous reprenons l'étude article par article du projet de loi C‑27.

     Merci, monsieur le président.

    Je suis heureux de revoir les témoins. Je suis sûr que nous vous reverrons quelques fois avant l'été.

    Lorsque nous nous sommes arrêtés la semaine dernière, nous étions en train de discuter de la définition du terme « anonymiser ». L'amendement NDP‑2 vise à supprimer les mots « conformément aux meilleures pratiques généralement reconnues ». Nous approuvons l'amendement.

     Si nous l'approuvons, c'est principalement parce qu'il faut que les définitions soient claires et concises. Selon le libellé actuel, les organisations peuvent anonymiser des renseignements personnels conformément aux meilleures pratiques généralement reconnues. Toutefois, le libellé n'est pas assez clair sur la nature des pratiques en question et sur ce qu'on entend par « meilleures pratiques généralement reconnues ». L'ambiguïté ferait en sorte qu'on pourrait se servir de techniques d'anonymisation recommandées par certains spécialistes qui peuvent ne pas convenir à un ensemble de données particulier.

     Nous aimerions vous parler de deux ou trois points. La formulation n'est pas très claire et nous croyons qu'il faut qu'elle soit très claire. C'est le commissaire à la protection de la vie privée qui assurera l'application de la loi. Il a déclaré qu'il lui faut une définition claire et concise.

     Si les méthodes d'anonymisation varient d'une organisation à l'autre et s'il n'y a pas de lignes directrices claires sur ce que sont les meilleures pratiques généralement reconnues, on risque d'assister à un manque d'uniformité quant au niveau de protection des données ainsi qu'à un affaiblissement des normes en matière de protection de la vie privée.

    Nous avons quelques exemples où cela s'est produit et c'est la raison pour laquelle nous nous penchons sur la question. Je pense que le point le plus important, de manière générale, c'est que d'après ce que nous ont dit les témoins, il y a une différence entre l'anonymisation et la dépersonnalisation. Le problème qui s'est posé à moi et à nous lorsque nous avons parlé de la dépersonnalisation avec certains témoins, c'est que dans la définition, on indique que le risque qu'un individu puisse être identifié demeure. C'est un problème majeur par rapport à ce que nous essayons d'accomplir ici.

     En ce qui concerne la protection de la vie privée, les individus doivent avoir le droit de voir leurs renseignements personnels non seulement dépersonnalisés, compte tenu du risque qu'ils soient repersonnalisés, mais aussi complètement anonymisés ou protégés en vertu de la mesure législative sur la protection de la vie privée.

    Je voudrais donner deux exemples de ce qui s'est déjà produit dans le passé. Nous savons tous que nos renseignements ont été compromis, que notre vie privée a été violée, à de nombreuses occasions. Je reçois des courriels sur certaines applications et, parfois, même ma banque ou Netflix m'envoient un courriel pour m'informer que mes renseignements ont été compromis et que je dois changer mon mot de passe. Cela arrive tout le temps.

     Je vais donner deux exemples, l'un américain et l'autre canadien, de la manière dont cela s'est produit et a causé du tort à des consommateurs. En 2006, Netflix a lancé un concours, soit « The Netflix Prize », dans lequel on offrait un prix d'un million de dollars pour améliorer de 10 % son algorithme de recommandation. Netflix a publié un ensemble de données contenant des évaluations de films qu'avaient faites des utilisateurs anonymes. Cependant, des chercheurs ont démontré par la suite qu'il était possible d'identifier les individus à nouveau dans l'ensemble de données en utilisant des informations externes.

    En 2007, deux personnes ont montré qu'en combinant l'ensemble de données de Netflix avec des données de l'IMDb, soit l'Internet Movie Database, accessibles au public, elles pouvaient identifier des personnes et connaître leurs préférences cinématographiques. De sérieuses préoccupations en matière de protection de la vie privée ont alors été soulevées, car cela a mis en évidence le risque de repersonnalisation, même lorsque les données sont anonymisées.

    Au Canada, le ministère de la Santé et des Soins de longue durée de l'Ontario a été touché par une atteinte à la protection des données en 2011. Lors de cet incident, les renseignements personnels sur la santé de milliers d'Ontariens ont été compromis en raison de mesures de dépersonnalisation inadéquates. Le ministère avait communiqué des données sur la santé à des chercheurs à des fins d'analyse, mais il n'avait pas suffisamment anonymisé les données, ce qui a permis la réidentification des personnes. Par conséquent, des renseignements sensibles relatifs à des problèmes de santé, à des traitements et à des visites à l'hôpital, sont devenus accessibles à des parties non autorisées. L'atteinte a soulevé de graves préoccupations concernant la protection de la vie privée et a mis en évidence toute l'importance d'adopter des pratiques rigoureuses de dépersonnalisation, en particulier lorsqu'il s'agit de données sensibles sur la santé.

    Ce qu'il faut retenir, c'est qu'il nous faut être clairs et concis. Nous devons veiller à ce que le commissaire à la protection de la vie privée, qui a soulevé des préoccupations au sujet de la définition en question, ne voie pas d'ambiguïté lorsqu'il se penche là‑dessus, tout en veillant à ce que les entreprises ne puissent pas contourner les règles et se montrer peu rigoureuses à l'égard des données personnelles. Je pense que c'est le principal point que nous soulevons.

    Monsieur Schaan, je crois que je vous ai posé quelques questions la dernière fois. Je n'ai pas les bleus devant moi et je ne vois donc pas si j'ai déjà posé la question. Je pense vous avoir interrogé sur les meilleures pratiques généralement reconnues pour anonymiser des renseignements. Si ce n'est pas le cas, pourriez-vous en parler?

    Je remercie le député de sa question.

     L'une des choses qui caractérisent les meilleures pratiques généralement reconnues est qu'elles continuent d'évoluer en fonction de la technologie. C'est l'une des raisons pour lesquelles nous croyons qu'il est important de l'inclure dans la loi, pour garantir que l'on s'adapte à la technologie la plus récente.

     Nous craignons qu'en l'absence d'un engagement en faveur des meilleures pratiques généralement reconnues, les organisations ne disposent pas d'un guide quant à ce qu'elles doivent faire en ce qui concerne l'anonymisation des renseignements. Une foule d'approches pourraient être adoptées.

    Les meilleures pratiques généralement reconnues varieraient, mais je pense que l'on trouverait dans l'industrie et parmi les utilisateurs beaucoup de choses vers lesquelles se tourner à cet égard.

    Telle serait ma principale réponse.

    En fin de compte, vous insérez une définition qui n'est pas définie dans la loi. Est‑ce exact?

    Nous insérons dans la loi un concept qui s'associe à la définition. On définit le terme « anonymiser », puis le concept de « meilleures pratiques généralement reconnues » y est associé.

    La grande question est de savoir qui déterminera si les données ont été anonymisées conformément aux meilleures pratiques généralement reconnues. Est‑ce le ministère, le commissaire à la protection de la vie privée, ou parle‑t‑on d'autoréglementation ici?

    Monsieur le président, j'aimerais faire deux ou trois remarques.

     On parle ici d'une définition, ce qui signifie que cela concerne les pouvoirs et les obligations liées à l'application de la loi. L'application de la loi est assurée par le Commissariat à la protection de la vie privée.

    C'est le commissaire à la protection de la vie privée qui déterminera si quelqu'un a anonymisé des renseignements pour satisfaire au critère des meilleures pratiques généralement reconnues, s'il y a des raisons de penser qu'une violation de la Loi sur la protection de la vie privée des consommateurs a été commise.

     Comme je l'ai souligné, le concept des meilleures pratiques généralement reconnues figure dans la loi du Québec. C'est également l'approche qui correspond à ce que des spécialistes ont demandé.

    Le Canadian Anonymization Network, ou CANON, est un organisme sans but non lucratif composé de représentants des secteurs public, privé et des soins de santé au Canada. Cela comprend la participation de spécialistes dans le domaine de la dépersonnalisation et de l'anonymisation, dont Statistique Canada. Il a déclaré que l'inclusion de l'expression « meilleures pratiques généralement reconnues » « [...] contribuera à pérenniser la définition du terme “anonymiser”, car elle crée une obligation légale pour les organisations de prendre en considération l'évolution des techniques et des normes de dépersonnalisation afin d'assurer la protection adéquate des renseignements personnels pour leur secteur d'activité et leur contexte. »

    Nous avons entendu certains de ces témoins, mais c'est le commissaire à la protection de la vie privée lui-même qui a signalé que ce n'est pas quelque chose qu'il aimerait voir ici, surtout si l'on ne sait pas de façon claire et concise qui établit cela et quelles entreprises connaissent les meilleures pratiques.

     Avons-nous examiné ce qu'ont fait d'autres pays? Vous avez parlé du Québec, mais avez-vous examiné d'autres pays qui ont inclus dans leur loi le concept des meilleures pratiques généralement reconnues en ce qui concerne l'anonymisation?

    Celle que je connais le mieux est la Loi 25 du Québec, qui... Je ne sais pas ce qu'il en est ailleurs.

    D'après ce que nous avons vu, il n'y a pas beaucoup d'autres exemples, et cela ne figure pas dans la Loi sur la protection de la vie privée des consommateurs.

    En ce qui concerne les consultations, de nombreux témoins ont comparu devant le Comité. Vous, au ministère, avez rencontré personnellement quelques témoins.

    Est‑ce exact?

    C'est exact.

    Avez-vous rencontré tous les témoins que notre comité a entendus?

    Il faudrait que je consulte la liste des témoins, mais je dirais qu'au fil des ans, depuis que je suis au ministère, il est probable que j'aie rencontré tous les témoins que vous avez entendus.

    Avez-vous rencontré certains témoins plus souvent que d'autres? Y en a‑t‑il qui ont demandé à vous rencontrer davantage sur le sujet ou sur d'autres questions?

    Il faudrait que je vérifie. Je dirais qu'en général, j'ai souvent rencontré des représentants du secteur universitaire et de l'industrie.

    Nous avons constaté que vous avez rencontré à 10 reprises des représentants de l'Association canadienne du marketing — qui défendent ardemment l'inclusion de ce type de libellé dans le projet de loi.

    Savez-vous que l'Association souhaite que l'on conserve la mention des meilleures pratiques généralement reconnues dans la définition?

    Je sais que c'est l'une des questions qu'elle a soulevées dans le mémoire qu'elle a présenté au Comité.

    Je sais que nous avons eu des témoignages, mais puisque vous avez rencontré des représentants de l'Association canadienne du marketing à 10 reprises... Affirment-ils que cela va nuire à leurs activités si ce n'est pas inclus dans la loi?

    Craignent-ils que la définition de l'anonymisation soit trop stricte pour eux?

    Non. Je pense que vous trouverez les détails dans leur mémoire ainsi que dans leur témoignage. Or, selon moi — je ne veux pas paraphraser leur point de vue, mais je vais dire ce que j'en ai compris —, ils aimeraient qu'il y ait une norme pour les guider. Ils veulent pouvoir s'assurer qu'il existe des approches normalisées et c'est pourquoi ils croient que le concept des « meilleures pratiques généralement reconnues », je pense, est utile.

    En ce qui concerne la façon dont ce sera indiqué, pour ce qui est des meilleures pratiques reconnues, le ministère les aura‑t‑il? Si c'est inclus, y aura‑t‑il une liste quelque part que le public et les entreprises pourront consulter?

     Je pense qu'il y a deux aspects. Tout d'abord, il existe des normes industrielles que l'on peut utiliser. La Loi sur la protection de la vie privée des consommateurs offre une possibilité à cet égard. Ensuite, le Commissariat à la protection de la vie privée peut également fournir des conseils.

    Si le commissaire à la protection de la vie privée affirme d'emblée que la disposition ne fournit aucune orientation, qu'elle sera ambiguë, je me demande à quoi c'est censé servir.

    Notre mesure de sécurité consiste à nous adresser au commissaire à la protection de la vie privée, parce que d'abord et avant tout, le principe de cette loi — et c'est notre point de vue, de ce côté‑ci —, c'est que la protection de la vie privée doit être un droit fondamental et qu'il faut éviter toute ambiguïté. Si certaines organisations souhaitent qu'on inclue le libellé pour qu'il y ait une plus grande marge de manœuvre, ce n'est pas vraiment la raison pour laquelle nous sommes ici. Nous sommes ici pour protéger les droits fondamentaux des Canadiens en matière de vie privée.

    Lorsque nous examinons le projet de loi, je ne vois pas pourquoi, jusqu'à présent — à part le fait que cela figure dans la loi du Québec —, nous considérons qu'il s'agit d'une pratique exemplaire d'inclure ce libellé, à l'exception du fait que certaines organisations, comme l'Association canadienne du marketing, disent qu'elles ne pourront pas recueillir les renseignements personnels des Canadiens et jouir d'une certaine liberté.

     Monsieur le président, je vais m'arrêter là pour que les autres membres du Comité puissent intervenir, mais de notre côté, nous ne voyons pas pourquoi cette modification se trouverait ici.

    Merci.

    Merci, monsieur Williams.

    Je cède maintenant la parole à M. Garon, qui sera suivi de M. Masse, de M. Turnbull, de M. Généreux et de M. Perkins.

    Monsieur Garon, vous avez la parole.

    Merci beaucoup.

    Je vais poursuivre sur la lancée de mon collègue M. Williams. Évidemment, nous introduisons la notion de meilleures pratiques, qui est une notion qui évolue très rapidement. Selon un professeur de l'Université de Toronto que nous avons reçu, certaines pratiques que l'on considérait comme efficaces il y a trois ou quatre ans ne le sont plus aujourd'hui.

    Vous nous dites que vous introduisez un concept, et non une définition, dans la loi. J'ai l'impression qu'un jour ou l'autre, s'il y a une poursuite ou si les droits d'un individu ou d'un groupe sont lésés, il reviendra aux tribunaux d'interpréter ce concept. Cela introduit beaucoup d'incertitudes.

    Qu'est-ce qui fait que la notion de concept ne fonctionnait pas pour l'intérêt supérieur de l'enfant, à l'époque? Vous savez que nous avons discuté de cela. C'est un concept. Là, on nous dit que cela amène de l'incertitude, qu'il n'y a pas de définition, qu'il va falloir aller devant les tribunaux, que c'est épouvantable pour les compagnies.

    Qu'est-ce qui fait qu'avec ce concept-ci, tout à coup, la notion est correcte et qu'elle n'introduit pas trop d'incertitudes? Est-ce parce qu'il y a une espèce de consensus et qu'il n’y a pas d'incertitude quant à la façon dont les entreprises vont interpréter cela?

    Je pense que le concept de meilleures pratiques a un but, parce qu'il y a un but dans la définition et que l'on vise vraiment l'incapacité à réidentifier un individu. Il y a une méthode associée au concept de meilleures pratiques, soit d'utiliser les meilleures pratiques du monde pour rendre impossible la réidentification des personnes.

    Ce n'est donc pas un concept sans objectif. C'est une méthode, un processus visant les comparaisons utilisées pour...

    Permettez-moi de vous interrompre. Je parle du concept de l'intérêt supérieur de l'enfant, parce que je trouve que, d'abord, il y avait là un objectif.

    Ce que vous dites n'est pas tout à fait exact. J'essaie de comprendre pourquoi, dans certains cas, l'ambiguïté et le recours aux tribunaux sont tolérés, mais que ce ne l'est pas dans d'autres situations.

    Existe-t-il, à votre connaissance, une seule technique qui garantisse à cent pour cent l'incapacité à identifier les individus, sans incertitude ni risque?

    Cela dépend un peu de chaque cas. On utilise l'information sensible relevant de la vie privée d'un individu dans beaucoup de contextes ou de secteurs.

    Je ne connais pas le contexte technologique lié à l'utilisation de cette information. Il m'est donc impossible de vraiment me prononcer et de dire s'il est possible ou non que de l'information soit identifiable. Cela dépend aussi un peu du cas, parce que, comme je l'ai dit, la capacité technologique évolue. C'est le Règlement général sur la protection des données, ou RGPD, qui...

    Excusez-moi de vous interrompre.

    Dans ce cas-ci, vous dites qu'il y a un objectif clair, à savoir qu'on ne peut pas réidentifier des individus.

    Oui, c'est cela.

    Selon ce que j'ai appris dans ma vie professionnelle antérieure et de ce que les experts nous ont dit, il n'existe pas de technique qui assure complètement qu'une personne ne puisse pas être réidentifiée. Le fait est que plusieurs méthodes de réidentification peuvent être utilisées conjointement, notamment au moyen des données en circulation.

    Quel est le risque acceptable et qui le détermine?

    Dans ce contexte, qui détermine les méthodes qui sont acceptables suivant le niveau de risques jugé acceptable, à un moment précis dans le temps?

    Il faut comprendre que tout cela évolue très rapidement. Je répète plusieurs fois le mot « acceptable », mais vous comprenez ce que je veux dire.

    Qui détermine cela? À part le fait que le projet de loi est proposé de bonne foi, il n'y a pas grand-chose.

    Dans le projet de loi, il y a une définition des verbes « anonymiser » et « dépersonnaliser ». C'est au cours du processus d'application de ce projet de loi que le commissaire à la protection de la vie privée détermine si les pratiques d'une organisation correspondent vraiment aux définitions établies dans la loi.

    Le commissaire va donc conserver une liste des meilleures pratiques à adopter.

    Est-ce exact?

    Si on suppose qu'il y a eu violation de la vie privée, le commissaire consulte les experts en technologie pour s'assurer que les bonnes pratiques ont été utilisées.

    En attendant l'entrée en vigueur du projet de loi, il y a des normes industrielles, et peut-être aussi des lignes directrices établies par secteur ou selon le contexte.

    Sur le plan international, il existe aussi des règles qui régissent la protection des données. Par exemple, le RGPD, bien qu'il n'énonce pas quelles sont les meilleures pratiques généralement acceptables, indique qu'il est essentiel d'utiliser ou de considérer la technologie disponible pour l'anonymisation. C'est le même concept.

    Essentiellement, vous dites qu'une personne lésée dans ses droits peut porter plainte auprès du commissaire, qui étudie alors la situation. Il vérifie si l'entreprise a utilisé les meilleures pratiques, puis il donne son avis là-dessus.

    Ne croyez-vous pas que s'il y avait, par exemple, un règlement qui permettait au ministre de déterminer à l'avance, à la suite de consultations, un certain nombre de meilleures pratiques, on pourrait éviter d'imposer à un individu le fardeau de porter plainte auprès du commissaire?

    Une fois que les droits d'une personne ont été violés, on peut dédommager cette dernière ou reconnaître que ses droits ont été violés, mais son identité numérique est perdue à tout jamais.

    C'est la raison pour laquelle le projet de loi favorise l'établissement de normes et de lignes directrices. Cela donne la possibilité aux individus de consulter des sources utiles. Cela permet aussi d'établir cette liste ou de mettre au point ce concept.

    Il y a deux aspects à l'utilisation de meilleures pratiques. Le premier est la normalisation des pratiques au sein des entreprises. C'est important pour l'efficacité et pour le bon fonctionnement de l'économie ainsi que pour les citoyens...

    Je suis désolé de vous interrompre, mais il est nécessaire d'avoir cette conversation.

    Comment uniformise-t-on ces pratiques, quand la pratique liée à l'anonymisation, par exemple, peut faire partie des secrets commerciaux, de la capacité de bien faire les choses? C'est un avantage commercial d'être en mesure de bien faire les choses.

    Comment s'assure-t-on d'uniformiser les pratiques quand il n'y a pas de définition?

    C'est la même chose pour beaucoup de normes. On établit un objectif, puis on indique les méthodes ou les processus à suivre pour l'atteindre.

    Beaucoup d'organisations, comme l'Organisation internationale de normalisation, désignée sous le sigle ISO, créent ce genre de normes pour confirmer quelles sont les bonnes méthodes et les bonnes pratiques.

    Cela étant dit, les normes doivent être éventuellement revues à cause de la vitesse à laquelle la technologie évolue. C'est la raison pour laquelle le Réseau canadien d'anonymisation réunit beaucoup d'acteurs de la société civile et d'organisations. C'est bien, parce que le Réseau peut offrir des directives. De plus, il est toujours possible d'améliorer ce processus en s'inspirant des normes établies par d'autres organisations.

    Je vais conclure en posant ma question directement à M. Masse.

    L'amendement proprement dit ne me pose pas de problème. Toutefois, je ne comprends pas ce que l'on cherche à accomplir en enlevant la notion de meilleures pratiques. J'aimerais mieux comprendre l'objectif de cet amendement.

    Cela tombe bien, monsieur Garon, parce que c'est M. Masse qui est le prochain intervenant sur la liste.

    D'accord.

    Vous avez la parole, monsieur Masse.

     Merci, monsieur le président.

    Je remercie mon collègue de la question.

     Tout d'abord, je pense qu'il y a deux ou trois choses à préciser par rapport à ce qui a été dit initialement sur le sujet. Il était intéressant de constater que certains tentaient d'utiliser le commissaire à la protection de la vie privée pour démontrer que l'on doit se débarrasser de l'amendement. Le commissaire à la protection de la vie privée a lui-même proposé l'amendement, à la page 16 de son mémoire. Je peux probablement apporter quelques éclaircissements sur les deux points que nous soulevons ici.

    Tout d'abord, dans le mémoire qu'il nous a soumis, chers collègues, c'est dans la partie intitulée « La dépersonnalisation et l'anonymisation ». On dit ensuite: « Recommandation n^o 7: Renforcer le cadre applicable aux renseignements dépersonnalisés et anonymisés. »

    Le commissaire à la protection de la vie privée a dit que « [le] Commissariat appuie l'introduction d'un nouveau cadre de dépersonnalisation et d'anonymisation ». Il dit:

     Ainsi, on ouvre une porte en ce qui a trait aux entreprises et à leur capacité d'utiliser certaines mesures.

     Il poursuit:

     C'est là que nous entrons dans les détails de la question. En ce qui concerne les « meilleures pratiques », pouvez-vous nous dire qui va les élaborer, monsieur Schaan?

    Comme je l'ai indiqué, monsieur le président, il existe un certain nombre de mécanismes...

    Pas des mécanismes: quelles personnes et quelles entreprises élaboreront les meilleures pratiques?

    Monsieur le président, si je peux terminer ma phrase, je dirais que les organisations de normalisation industrielle, qui doivent nécessairement être constituées de trois partenaires, avec des universitaires et des acteurs de la société civile, ainsi que l'industrie, participent souvent à l'élaboration de...

     Or, elles en font partie, et c'est le point que l'on soulève ici. Soit on se range du côté de la dépersonnalisation et de l'anonymisation des renseignements pour protéger les gens, soit on se range du côté de l'industrie, sous la direction de Google et d'autres et de leurs associations, dont certaines ont d'autres sources de financement et ainsi de suite.

     Ce qui est intéressant, c'est la question relative à l'uniformité avec les lois du Québec. Je pense que c'est une distinction importante que le commissaire à la protection de la vie privée a abordée. La question a aussi été abordée par l'ancienne présidente de la Commission de l'accès à l'information du Québec, Diane Poitras, dans son témoignage. En ce qui concerne la loi québécoise, la disposition pertinente de l'article 23 est la suivante:

    Lors de son témoignage, le commissaire à la protection de la vie privée a dit qu'il fallait faire preuve de prudence, mais ce qui est intéressant, c'est que l'ancienne présidente de la Commission du Québec a dit ceci en réponse à une question:

     La porte était ouverte pour améliorer la situation, même pour les résidants du Québec, en ce qui concerne l'habilitation à l'égard de certaines de leurs données, et on juge que cette différence est acceptable.

     Au bout du compte, ce qu'on se demande, c'est si les pratiques exemplaires, qui seraient dirigées, contrôlées et déterminées par l'industrie, pourraient être utilisées contre le CPVP, dans les cas où il y aurait des divergences.

    Il faut donc déterminer si le commissaire à la protection de la vie privée devrait avoir le contrôle de cette mesure ou si nous voulons ou non qu'elle soit dirigée par l'industrie. Je vais me ranger du côté du commissaire à la protection de la vie privée.

     Merci, monsieur le président.

    Merci, monsieur Masse.

    Le prochain intervenant est M. Turnbull. Il y aura ensuite les interventions de MM. Généreux et Perkins.

    Vous avez la parole, monsieur Turnbull.

    Merci beaucoup, monsieur le président. C'est un excellent débat sur une question importante relative au projet de loi.

    À votre avis, en raison de sa nature, l'anonymisation favorise la protection de la vie privée, n'est‑ce pas? Monsieur Schaan, pouvez-vous répondre à cette question?

    Oui, l'anonymisation est un mécanisme de renforcement de la protection de la vie privée, parce qu'elle rend l'information non identifiable.

     Selon certains commentaires, dans le cas présent, le commissaire à la protection de la vie privée dit en gros que si l'on ajoute l'expression « meilleures pratiques généralement reconnues », on pourrait ouvrir la porte à certaines possibilités.

    À notre avis, c'est plutôt le contraire: cet ajout permet l'évolution des meilleures pratiques et le recours à de nouvelles propriétés pour améliorer le processus.

     Pourriez-vous nous fournir une meilleure justification? J'ai l'impression que c'est la principale différence. M. Masse nous parle du CPVP et veut laisser entendre qu'il se range de son côté.

     Nous ne sommes pas contre le CPVP. Ce que nous voulons, c'est le meilleur mécanisme pour favoriser l'anonymisation d'une manière qui tienne compte de l'évolution de la technologie.

     En l'absence des termes « meilleures pratiques généralement reconnues », la définition n'a qu'un objectif, soit l'impossibilité pour la réidentification des personnes.

     Nous sommes d'avis que l'expression « meilleures pratiques généralement reconnues » oblige les organisations à s'assurer continuellement que les techniques d'anonymisation qu'elles utilisent sont conformes aux normes en évolution. Sans la référence aux « meilleures pratiques généralement reconnues » dans la définition, les organisations peuvent déterminer elles-mêmes ce qui constitue une technique appropriée, peu importe si elle répond à des normes largement reconnues ou s'il s'agit même d'une technique crédible.

     À notre avis, en obligeant les organisations à se conformer à ce qui constitue la meilleure approche en matière d'anonymisation, nous avons une norme plus élevée que si nous nous en tenons uniquement à un objectif.

    Si la loi du Québec oblige les entreprises à respecter les meilleures pratiques généralement reconnues, mais que la loi que nous adoptons par l'entremise du Comité ne prévoit pas de telles obligations, quel sera le risque? Il semble que l'on pourrait compromettre l'interopérabilité des lois. Cela n'aurait‑il pas également une incidence sur...? Il me semble que les pratiques exemplaires du Québec seraient reconnues, mais pas dans les autres provinces du pays. Est‑ce qu'on ne créerait pas d'autres problèmes?

    Bien sûr, nous espérons qu'avec le recours à l'expression « meilleures pratiques généralement reconnues », nous allons établir une norme très élevée qui exige des sociétés qu'elles continuent de faire évoluer le processus et qu'elles utilisent les meilleures techniques possible.

    Si le Québec prévoit une telle obligation, mais pas les autres provinces, le risque est que certaines organisations n'aient pas recours aux meilleures techniques possible et que la protection de la vie privée varie selon la loi à laquelle on se conforme.

    Je voulais aussi vous demander qui sont les experts en matière d'anonymisation. Nous avons entendu beaucoup de gens parler du commissaire à la protection de la vie privée, mais j'imagine que le Canadian Anonymization Network, qui a demandé à ce que ces termes soient inclus, a peut-être plus d'expérience en matière d'anonymisation. Je n'ai rien contre le commissaire à la vie privée. Je l'adore; il est excellent. J'ai eu affaire à lui lorsqu'il était conseiller juridique, et il était tout simplement fantastique. J'ai le plus grand respect pour lui, mais n'est‑il pas vrai que le Canadian Anonymization Network, ou CANON, a beaucoup d'expérience dans le domaine? Que disent ses représentants à ce sujet?

    Le CANON est un organisme sans but lucratif qui compte des représentants des secteurs public, privé et de la santé au Canada et qui compte également la participation d'experts dans le domaine de la dépersonnalisation et de l'anonymisation, y compris Statistique Canada, pour qui l'anonymisation de l'information est une considération de principe. Je crois que sa recommandation voulant que les meilleures pratiques généralement reconnues soient une norme utile à imposer repose sur de grandes capacités et expertises.

     Certains des commentaires que nous avons entendus de la part d'autres personnes donnent à penser que si la liste n'est pas exhaustive aujourd'hui, cela crée une certaine ambiguïté dont on pourrait tirer parti, mais à mon avis, c'est plutôt le contraire. On pourrait faire valoir qu'elle doit évoluer parce que la technologie et les méthodes d'anonymisation changent assez rapidement. Comment vous assurez-vous que le CPVP peut...? À quel mécanisme a‑t‑on recours pour une mise à jour continue? Je pense que bon nombre d'entre nous ont besoin de ces précisions pour avoir l'impression que le projet de loi est suffisamment robuste pour ne pas ouvrir cette porte.

     Comment entrevoyons-nous l'évolution des lignes directrices générales sur les meilleures pratiques généralement reconnues? Est‑ce qu'il faut suivre les conseils du Commissariat à la protection de la vie privée du Canada, ou CPVP? D'où viendrait l'expertise?

    Je demanderais à M. Chhabra de répondre à cette question.

     Je pense qu'il est important de reconnaître que les techniques de dépersonnalisation et d'anonymisation se situent sur un spectre. L'anonymisation se trouve à une extrémité; la dépersonnalisation est quelque chose de beaucoup plus simple.

     Dans ses délibérations précédentes aujourd'hui, le Comité a fait référence à certains cas qui remontent au milieu des années 2000 où des renseignements ont été retirés d'un ensemble de données et ont facilement pu être repersonnalisés. C'est exactement le genre de problème que nous essayons de régler en établissant une norme plus élevée d'anonymisation.

     Les techniques d'anonymisation sont généralement de nature algorithmique. Elles comprennent notamment la protection différentielle de la vie privée ou la k‑anonymisation. Ce sont des techniques mathématiques algorithmiques très sophistiquées qui, en raison de leur nature algorithmique, peuvent voir leur efficacité réduite au fil du temps. À mesure que d'autres algorithmes et de nouvelles techniques mathématiques sont mis au point, que l'informatique quantique devient plus puissante, par exemple, il y a des possibilités en aval pour que ce qui était considéré à un moment donné comme étant de nature anonyme devienne, en quelques années, beaucoup plus facile à déchiffrer.

     La raison pour laquelle on a inclus une norme qui parle de « meilleures pratiques généralement reconnues », c'est qu'elle exige qu'une organisation revoie et mette à jour continuellement ses pratiques.

     Le but de l'anonymisation dans le contexte de la loi ici est de veiller à ce que des données vraiment anonymisées puissent être utilisées à des fins bénéfiques comme l'amélioration de l'informatique de la santé, des systèmes de santé et de la prestation. Lorsqu'il y a un risque de réidentification, cela signifie que l'information est alors assujettie à la loi et que toutes les exigences s'appliquent.

     Dans la pratique, le Commissariat à la protection de la vie privée aurait recours à l'exigence relative aux meilleures pratiques généralement reconnues dans les cas d'atteinte à la sécurité ou de fuite de renseignements personnels. Il serait alors en mesure de faire valoir que la loi exige l'anonymisation conformément aux meilleures pratiques généralement reconnues et qu'il peut ou ne peut pas trouver de preuve du respect de cette exigence, ou que l'entreprise a maintenu un certain niveau de modernité ou de contemporanéité avec les meilleures pratiques généralement reconnues. C'était peut-être le cas il y a 8 ou 10 ans, mais l'entreprise a ensuite négligé les ensembles de données, qui sont maintenant compromis.

     On exige donc une évolution constante des normes. Ainsi, pour maintenir l'anonymisation d'un ensemble de données et les protections qui s'y rattachent, il faut continuer à mettre à jour les normes en fonction desquelles on a appliqué cette anonymisation.

     En gros, puisque l'anonymisation vise l'impossibilité de repersonnaliser l'information et que le processus et les techniques d'anonymisation évoluent très rapidement, quel est le risque associé à l'absence d'une mise à jour?

     À mon avis, il y a un risque que les pratiques soient dépassées ou que les organisations et les entreprises ne suivent pas le rythme de ces meilleures pratiques généralement reconnues.

     Quel est le grand risque, cependant, en ce qui concerne le public et la protection de la vie privée? Monsieur Chhabra, vos commentaires mettent vraiment en lumière un risque dont personne n'a encore parlé, qui est la raison principale pour laquelle nous sommes contre le retrait de cette disposition.

    Nous avons reconnu la notion d'anonymisation de l'information, mais nous avons placé la barre très haut pour son utilisation, premièrement, pour qu'il n'y ait aucune perspective raisonnable de réidentification et, deuxièmement, pour qu'elle soit conforme aux meilleures pratiques généralement reconnues. Autrement, ce qui est inquiétant, c'est que l'engagement vise uniquement l'impossibilité de repersonnaliser l'information et qu'il ne prévoit pas nécessairement cette obligation continue pour l'industrie de toujours s'adapter.

    La barre est constamment rehaussée, de sorte que la norme que nous établissons sera de plus en plus accrue au fur et à mesure que la technologie évoluera. L'obligation pour ces entreprises serait alors liée à une cible mouvante. Les normes et les pratiques exemplaires devront être respectées. Les entreprises ne peuvent pas s'en dégager, utiliser des techniques d'anonymisation désuètes et oublier de se tenir à jour en ce qui concerne les pratiques exemplaires, n'est‑ce pas?

    C'est exact. On évite donc de procéder à des tests de réidentification qui pourraient révéler une infraction, qui serait ensuite confirmée par le commissaire à la protection de la vie privée.

     On se fonde plutôt sur deux éléments: la dépersonnalisation et l'engagement à utiliser les meilleures pratiques généralement reconnues. Cela signifie que les sociétés doivent toujours miser sur les techniques les plus modernes.

    J'aimerais soulever un dernier point: en laissant ce passage plutôt que de le retirer, comme le propose le NPD, on maintient l'harmonisation entre les lois du Canada et du Québec en matière de protection de la vie privée. Je tiens aussi à souligner que notre prochain amendement, qui a été lu par M. Masse — sur la loi québécoise relative au risque raisonnablement prévisible —, s'harmonise également à la loi du Québec en matière de protection de la vie privée. Est‑ce exact?

    C'est exact.

    D'accord. Merci, monsieur le président.

    Merci beaucoup.

    Monsieur Généreux, vous avez maintenant la parole.

    Merci, monsieur le président.

    Je remercie également les témoins d'être avec nous.

    D'emblée, madame, messieurs, j'aimerais vous dire que la série de questions que je vais vous poser ne porte pas tant sur l'amendement lui-même que sur le processus qui y a conduit.

    Je pense que nous nous entendons tous pour dire que la définition du verbe « anonymiser » qui figure dans le projet de loi C‑27 est un élément vraiment très important pour la suite des choses et pour l'interprétation qui en sera faite à l'avenir.

    Je ne veux absolument pas que vous considériez ma série de questions comme une forme de jugement. Je veux seulement bien connaître le processus.

    Il y aura bientôt deux ans, le gouvernement a déposé ce projet de loi, qui se trouve maintenant à l'étude en comité. Nous l'avons analysé avec l'aide de témoins, et nous nous retrouvons aujourd'hui avec plus de 50 amendements de la part du gouvernement.

    Est-ce vous qui avez rédigé le projet de loi, au départ?

    En collaboration avec mes collègues du ministère de la Justice, mon équipe est responsable de la rédaction du projet de loi C‑27, dont les objectifs ont été établis par les ministres et les cabinets.

    D'accord.

    À la suite des consultations menées après le dépôt de ce projet de loi, le ministre de l'Innovation, des Sciences et de l'Industrie a présenté une série d'amendements au mois de septembre dernier. Il nous a dit que vous aviez consulté environ 300 personnes et groupes.

    Par ailleurs, pendant les consultations, des gens qui ont été convoqués à des réunions de notre comité nous ont dit que leur nom ne figurait pas dans la liste de ces 300 personnes et groupes. Certains sont venus nous dire qu'ils n'avaient pas été consultés ou qu'ils auraient aimé l'être, ou encore qu'ils auraient souhaité la tenue de consultations beaucoup plus vastes. D'ailleurs, nous nous sommes fait dire à plusieurs reprises que les consultations relatives au projet de loi C‑27 auraient dû être beaucoup plus étendues.

    Maintenant, nous devons examiner une série d'amendements, dont les amendements NDP‑2 et G‑2, qui montrent une fois de plus que certaines personnes ont essayé de vous faire modifier votre perception du projet de loi ou votre façon de le rédiger.

    Vous avez rencontré certains groupes de façon beaucoup plus intensive que d'autres, si j'ai bien compris. C'est le cas de représentants du Réseau canadien d'anonymisation des données, ou réseau CANON, que vous auriez rencontrés une dizaine de fois.

    Pour quelles raisons a-t-il été nécessaire de rencontrer des représentants de ce groupe plus d'une dizaine de fois depuis le dépôt du projet de loi et l'analyse que nous en avons faite en comité?

    Merci, monsieur le président.

    Nous sommes ouverts à l'idée de rencontrer toutes les parties intéressées en ce qui a trait au projet de loi C‑27. Nous avons reçu beaucoup de demandes de rencontre, que j'ai acceptées.

    Évidemment, mon emploi du temps est assez chargé, notamment parce que je viens témoigner devant les comités de la Chambre, mais les membres de mon équipe sont disponibles pour rencontrer ces gens.

    À mon avis, votre question comporte deux volets importants.

    Nous avons rencontré des représentants de l'Association canadienne du marketing ainsi que ceux du Réseau canadien d'anonymisation, ou réseau CANON, une organisation à but non lucratif, qui réunit des experts, d'autres organisations à but non lucratif et des universitaires. Ce groupe a participé à plusieurs conférences ainsi qu'à des réunions concernant le projet de loi.

    Comme je l'ai dit, j'accepte toute demande de réunion visant à discuter du projet de loi.

    D'accord.

    Au mois de septembre, le ministre de l’Innovation, des Sciences et de l’Industrie a présenté une série d'amendements, et le gouvernement en propose aujourd'hui une cinquantaine d'autres à la suite des réunions que vous avez eues avec les différents groupes.

    Ces amendements font-ils suite aux témoignages que nous avons entendus lors de l'étude du projet de loi ou découlent-ils aussi des rencontres que vous avez eues avec des représentants de certains groupes? Je rappelle que vous avez rencontré ces derniers plus d'une dizaine de fois.

    Le processus de rédaction d'un projet de loi n'est pas linéaire. Un amendement ne découle pas nécessairement d'une réunion au cours de laquelle des représentants ont fait des recommandations.

    En fait, les intervenants proposent des améliorations ou des concepts, ou encore ils font part de leurs intérêts. Le ministère procède ensuite à une analyse afin de s'assurer que le projet de loi continue d'atteindre les objectifs qui ont été déterminés par le cabinet et le ministre.

    Je vais revenir à l'amendement dont il est question actuellement.

    Le gouvernement propose une nouvelle définition. Le NPD en propose une autre, qui s'aligne sur celle utilisée au Québec, si j'ai bien compris.

    Quelle est l'intention du gouvernement pour ce qui est de modifier la définition? Selon nous, cette dernière est moins appropriée que celle contenue dans l'amendement du NPD, qui s'aligne sur la définition utilisée au Québec.

    Comme on l'a dit, vous avez rencontré divers intervenants plus d'une dizaine de fois. Ceux-ci tentaient de vous influencer afin que vous rédigiez telle ou telle définition.

    Au moment où nous nous parlons, avez-vous toujours des rencontres avec ces intervenants?

    Si je comprends bien, votre question comporte deux parties.

    Il est important que j'apporte une clarification. Dans un amendement du NPD, on demande d'enlever quelques phrases de la définition proposée dans le projet de loi. La définition initiale était conforme à celle adoptée au Québec. Il faut encourager l'utilisation de l'information anonymisée, parce que cela protège davantage la vie privée des Canadiens.

    Pour revenir à l'amendement et à ce qui l'a motivé, ainsi qu'à la définition actuelle énoncée dans le projet de loi, je dois dire que beaucoup d'intervenants ont fait des analyses, et c'est sur celles-ci que se fonde la définition proposée au mois de mai 2022.

    Croyez-vous que le grand nombre d'interventions faites par certains groupes, beaucoup plus que par d'autres, pourrait donner l'impression que les acteurs de l'industrie tentent d'assouplir le projet de loi C‑27, de le rendre plus acceptable pour eux ou plus facile à interpréter et à mettre en œuvre?

    Les acteurs de l'industrie cherchent-ils à faciliter leur travail au détriment du véritable besoin de protéger fondamentalement la vie privée ou les enfants?

    Le but de la loi proposée est de protéger les Canadiens. Avez-vous l'impression que ces organisations veulent édulcorer le projet de loi — si je peux m'exprimer ainsi — pour en rendre l'interprétation plus facile?

    Je ne suis pas capable d'interpréter les intentions des intervenants. Toutefois, je peux dire que deux objectifs se sont dégagés des conversations que j'ai eues avec les gens de chaque secteur.

    D'une part, on veut que les normes soient clarifiées pour que les entreprises soient vraiment capables de les implanter.

    D'autre part, on vise la protection de la vie privée.

    Merci, monsieur Généreux.

    Nous poursuivons avec M. Perkins, puis ce sera le tour de MM. Vis et Garon.

    Monsieur Perkins, vous avez la parole.

    Merci, monsieur le président.

    Je remercie les témoins d'être avec nous.

    J'aimerais prendre un pas de recul, monsieur Schaan, et que vous nous expliquiez à quoi sert l'anonymisation.

     Comme M. Chhabra l'a expliqué, il y a un continuum de la protection des renseignements personnels. À une extrémité, il y a l'anonymisation, qui empêche essentiellement de repersonnaliser l'information, et à l'autre, la déclarabilité totale. Je ne sais pas quel est le bon terme à utiliser, mais on sait de qui il s'agit.

     L'objectif est de créer un continuum des statuts probables des renseignements et de reconnaître leur existence dans un contexte commercial, que la Loi sur la protection de la vie privée des consommateurs réglementera, de veiller à ce que des mesures de protection appropriées soient mises en place à chaque étape du continuum et, éventuellement, d'encourager l'utilisation de l'information selon les mesures de protection appropriées en place à chaque étape.

    À quoi sert‑il d'obliger une entreprise à se soumettre à ce dernier test pour garantir l'anonymisation? Est‑ce parce que l'information est communiquée à l'extérieur de l'organisation? S'il s'agit de renseignements recueillis à l'interne auprès de la clientèle, par exemple, l'entreprise n'a pas besoin de les anonymiser, à moins qu'elle ne les partage d'une façon ou d'une autre.

     Les cas d'utilisation de renseignements anonymisés varieraient, mais je pense qu'il est entendu que les renseignements peuvent tout de même être utiles au sein de l'organisation ou à l'extérieur de celle‑ci, parce que même les renseignements identificatoires doivent être utilisés selon les fins pour lesquelles ils ont été recueillis. La loi stipule expressément qu'il faut restreindre l'utilisation de l'information aux fins les plus nécessaires.

     Même au sein d'une organisation, il pourrait y avoir des cas où les renseignements anonymisés pourraient encore avoir une valeur, mais n'atteindraient pas un niveau où il faudrait communiquer des renseignements dépersonnalisés ou identificatoires à certaines parties de l'organisation, parce qu'il n'y aurait rien qui justifierait de le faire. De façon particulière, les ensembles de données de plus en plus grands et agrégés peuvent avoir de la valeur sans que les renseignements soient identificatoires.

    À titre d'exemple, je vais m'inspirer de mon expérience de détaillant.

    J'étais membre d'un programme collectif, comme AIR MILES. Nous recueillions et obtenions des données sur l'utilisation que nos clients faisaient des milles aériens et sur l'incidence sur les ventes. Nous avions aussi accès à des données plus générales de la part du programme, par exemple les habitudes de consommateurs ayant certains profils, mais elles n'étaient pas nécessairement associées à un identifiant individuel. Nous savions quelles étaient les habitudes d'achat des consommateurs d'une certaine tranche de revenu, d'une région géographique ou se caractérisant par un autre facteur. Je pouvais ainsi tirer des conclusions.

    C'est un cas où un spécialiste du marketing pourrait acheter ou obtenir des données anonymisées. Parlez-vous de ce genre de scénarios?

    Oui. Je pense que l'utilisation déterminerait si ces renseignements ont été dépersonnalisés ou anonymisés. Je pense que dans bien des cas, les gens pensent utiliser des renseignements anonymisés, alors qu'il s'agit en fait de renseignements dépersonnalisés.

    Tout dépend des conditions d'utilisation acceptées au moment de s'inscrire à un programme — dans ce cas‑ci, au programme AIR MILES.

    Eh bien, non, cela dépend en fait des techniques qui ont été utilisées pour supprimer tout identifiant personnel. Il se pourrait qu'un ensemble de données dépersonnalisées, comme un programme de fidélisation, compte toujours suffisamment de renseignements discernables pour pouvoir être dépersonnalisé. Les renseignements ne seraient pas considérés comme anonymes; ils seraient encore considérés comme étant dépersonnalisés.

    C'est un excellent point. Des organisations, comme l'Association canadienne du marketing et d'autres, ont témoigné devant le Comité qu'il est impossible d'anonymiser les données et que cette définition est trop stricte. Nous avons entendu d'autres témoins, comme le commissaire à la protection de la vie privée et d'autres experts de la protection de la vie privée, qui ont dit que les données peuvent être anonymisées, mais que le libellé n'est tout simplement pas assez fort.

    L'objectif est d'en arriver au point où il est impossible de personnaliser à nouveau les données. Cependant, vous avez dit il y a quelques instants que c'est presque impossible. Le but du gouvernement n'est pas de rendre cette action impossible, mais presque impossible.

    Quelle est la différence, selon vous?

    Je pense que vous verrez dans l'amendement G‑2 la notion de « raisonnablement prévisible, » ce qui est une autre raison pour laquelle nous croyons que les « meilleures pratiques généralement reconnues » sont un concept important. En effet, l'accès continu à d'autres ensembles de données, à d'autres techniques et à d'autres types d'outils de calcul pourrait permettre de transformer ce que l'on croyait être des données anonymisées en des données qui pourraient l'être. C'est pourquoi la conformité continue aux meilleures pratiques généralement reconnues et la norme du « raisonnablement prévisible » — l'idée de se dire « Je n'aurais pas pu imaginer que c'était possible » — sont les deux nuances que je qualifie d'importantes dans le contexte des renseignements anonymisés.

    Dans le mémoire qu'il nous a présenté à ce sujet — M. Masse n'en a lu qu'un court passage —, le commissaire à la protection de la vie privée poursuit en disant, à ce sujet:

    C'est le terme dont il est question ici.

    Il poursuit ainsi:

    Les députés libéraux, le gouvernement et vous-même avez utilisé le Canadian Anonymization Network, ou CANON, comme exemple d'organisme qui pourrait nous orienter. J'ai rencontré un certain nombre de membres de CANON, qui comprend les cinq grandes banques, Rogers, Telus, Loblaws, Sun Life, Microsoft, l'Agence du revenu du Canada — ou ARC —, Postes Canada, Statistique Canada et Santé Canada. Je pense à ces grandes sociétés, et je sais que lorsque j'ai rencontré leurs représentants, ils ne voulaient pas d'une définition pointue parce qu'il n'est pas dans leur intérêt d'être limités de cette façon. Si cet article est supprimé, je pense qu'il incombera davantage aux organisations de se concentrer sur ce que le commissaire à la protection de la vie privée dit et interprète. Comme nous en avons parlé à la dernière réunion au sujet de l'intérêt supérieur des enfants, le commissaire à la protection de la vie privée a la responsabilité, en vertu des dispositions de cette loi, de fournir des conseils aux organisations dans ces domaines, n'est‑ce pas?

    Le commissaire à la protection de la vie privée a le pouvoir de publier des lignes directrices sur des questions liées à la mise en œuvre de la Loi sur la protection de la vie privée des consommateurs.

    C'est exact, et c'est ce qu'il énonce dans son mémoire:

    Je ne m'intéresse pas tellement aux meilleures pratiques généralement reconnues par les associations de l'industrie. Je m'intéresse davantage au pouvoir d'orientation du commissaire à la protection de la vie privée. J'hésite à appuyer une disposition qui permet de rendre l'anonymisation « presque impossible, mais peut-être possible, » parce que le libellé permet aux associations de l'industrie de l'extérieur, et non au commissaire à la protection de la vie privée, d'établir la norme. Ne convenez-vous pas que c'est le commissaire à la protection de la vie privée qui est le mieux placé pour établir ces normes, et non les organisations du secteur privé?

    Je pense que personne ne conteste le fait que le commissaire à la protection de la vie privée est l'interprète ultime de l'application de la loi.

    En ce qui concerne les techniques utilisées pour l'anonymisation, il y a des voix importantes à inclure, comme celles des universitaires — qui participent à certains des éléments qui ont été encouragés dans ce domaine — et celles de Statistique Canada, de Santé Canada et de l'Agence de la santé publique du Canada. Tous ces acteurs contribuent à faire valoir que des pratiques exemplaires acceptables peuvent être établies et maintenues dans le cadre de ce mandat.

    Le commissaire à la protection de la vie privée n'a‑t‑il pas la responsabilité, cependant, de parler à tous ces groupes au moment d'élaborer les politiques et les lignes directrices?

    Les obligations de consultation du commissaire à la protection de la vie privée sont à sa discrétion.

    Encore une fois, ma préférence... J'imagine que je vais en rester là. Je vais simplement répéter que je ne suis pas certain qu'une organisation comme CANON — qui est dominée par les cinq grandes banques, les grandes compagnies de téléphone oligopolistiques, les compagnies d'assurances et les grands exploitants de données à l'échelle mondiale, comme Microsoft — est le guide que je souhaite voir orienter les politiques de la législation canadienne sur la protection des renseignements personnels.

    Merci, monsieur le président.

     Merci, monsieur Perkins.

    Je vais donner la parole à M. Vis.

    Avant de le faire, je tiens à rappeler aux membres, puisque nous discutons de l'amendement NDP‑2, que s'il est adopté, l'amendement G‑2 ne peut être proposé en raison d'un conflit de lignes. Je l'ai souligné la dernière fois. Je veux simplement m'assurer que tout le monde garde cet élément en tête.

    Monsieur Vis, vous avez la parole.

    C'est très utile, monsieur le président.

    Pour faire suite à cette importante discussion sur les normes largement acceptables, M. Schaan a mentionné plus tôt aujourd'hui que le passage sur les pratiques exemplaires, qui a occupé la majeure partie de la dernière heure, figure dans la loi québécoise sur la protection des renseignements personnels.

    Est‑ce exact, monsieur Schaan? Est‑ce la raison pour laquelle le gouvernement adopte ce libellé?

    Ce n'est pas la seule raison, mais on a noté que c'est l'un des avantages d'accepter cette formulation.

    Merci.

    À l'article 2, sous « Objet et champ d'application, » à la page 8 du projet de loi, on peut lire:

    Je pense que le débat que nous tenons en ce moment en est un... Nous avons entendu des témoins comme Mme Scassa, qui a parlé de la quasi-impossibilité de dépersonnaliser les données au moyen des pratiques exemplaires qui existent, et du fait que nous ne pouvons jamais avoir la certitude qu'elles sont dépersonnalisées. Son témoignage était très clair. Elle a souligné que le ministère semble se ranger du côté de certaines des grandes sociétés qui veulent le plus de latitude possible dans la conception de l'anonymisation et de la dépersonnalisation afin de protéger leurs intérêts organisationnels et commerciaux. Je comprends. C'est leur objectif, et je le reconnais, que je l'appuie ou non.

    Cependant, si on fait une comparaison avec la loi québécoise, cette dernière exempte‑t‑elle les données anonymisées de la portée et de l'application du texte de loi?

    Plus précisément, est‑il entendu plus clairement dans la loi québécoise qu'elle ne s'applique pas aux renseignements personnels qui ont été anonymisés? Y a‑t‑il un passage dans la loi du Québec qui ressemble à ce que nous avons à la page 8?

    La loi québécoise sur la protection des renseignements personnels stipule que si les données sont anonymisées selon les définitions contenues dans le règlement, elles dépassent alors la portée de la loi.

    Dans la loi du Québec, les données dépersonnalisées ne s'appliquent pas dans ce...

    Nous parlons des données anonymisées.

    Nous parlons des données qui sont anonymisées, mais qui ne sont pas dépersonnalisées.

    Les données anonymisées ne sont pas visées. Une fois que les données sont réputées anonymisées, elles échappent à la portée de la loi québécoise sur la protection des renseignements personnels. C'est semblable à ce qui se produirait dans le cas de la Loi sur la protection de la vie privée des consommateurs.

    Merci.

    Merci, monsieur Vis.

    Je donne maintenant la parole à M. Garon, qui est la dernière personne sur ma liste des intervenants désirant discuter de l'amendement NDP‑2.

    Ma question fait suite à la conversation que nous avons eue sur l'arrimage avec la loi québécoise. Nous en avons aussi discuté en privé, mais nous pouvons faire les choses ouvertement.

    Selon le gouvernement fédéral, la loi québécoise fait mention des meilleures pratiques. C'est vrai. La loi du Québec fait effectivement mention des meilleures pratiques. Par conséquent, selon le gouvernement, le projet de loi C‑27, dans sa version actuelle, s'alignerait sur la loi québécoise.

    Cette affirmation me semble absolument fausse. Bien qu'il soit effectivement question des meilleures pratiques dans la loi québécoise, les entreprises devront anonymiser et dépersonnaliser les données selon les modalités établies, par règlement, par le gouvernement du Québec.

    Qu'on s'entende sur le fait qu'il y a de meilleures pratiques, c'est une chose. Cependant, il ne suffit pas d'intégrer ces mots. M. Masse le disait aussi.

    Nous avons parlé du Réseau canadien d'anonymisation, ou réseau CANON. Il faut savoir qu'il s'agit d'un lobby. C'est un ensemble d'entreprises. Pour avoir le droit de venir nous parler ici, de rencontrer des députés, les membres de ce réseau doivent être inscrits au Registre des lobbyistes.

    Je ne suis absolument pas convaincu que l'industrie n'établira pas ses propres normes en cette matière. Cela me semble clair. Ce n'est aucunement conforme à ce qui est énoncé dans la loi 25 du Québec. Le gouvernement n'a aucun pouvoir pour ce qui est d'établir des critères par règlement. J'ai besoin d'être convaincu sur ce point, mais ce sera difficile.

    Merci beaucoup, monsieur Garon.

    Nous passons à M. Turnbull. Son intervention sera suivie de celle de M. Vis.

    Je voulais parler de l'amendement NDP‑2 et de l'amendement G‑2, qui est un autre amendement proposé par le gouvernement. Je pense que vous l'avez tous reçu. Si l'amendement NDP‑2 est adopté, l'amendement G‑2 ne pourra plus être proposé.

    Je tiens à le mentionner parce que cela a peut-être une incidence sur le débat que nous avons et sur l'harmonisation avec la loi du Québec, que M. Garon relève à juste titre, à mon avis.

    Simplement pour nous permettre de comprendre pourquoi le « risque raisonnablement prévisible » est nécessaire pour nous harmoniser avec la loi du Québec, monsieur Schaan, pouvez-vous nous dire en quoi ce concept est pertinent, mais aussi comment il améliore la protection de la vie privée?

    Nous avons consulté plusieurs experts, dont des universitaires et des chercheurs en protection de la vie privée, et le concept de prévisibilité raisonnable, qui est un principe bien établi en droit, est nécessaire. Il est mentionné près de 50 fois dans la Loi sur la protection des renseignements personnels et les documents électroniques actuelle, ou LPRPDE, et nous croyons que les organismes de réglementation et les tribunaux sont aptes à l'interpréter. Le fait de ne pas inclure ce terme pourrait avoir un effet dissuasif sur l'utilisation de la technique, ce qui, au bout du compte, minerait la protection de la vie privée. Nous pensons, en raison de l'utilité pour la protection de la vie privée, qu'il devrait y avoir une utilisation accrue de l'anonymisation pour essayer de rendre le plus grand nombre possible d'informations anonymisées plutôt que non identifiables ou dépersonnalisées.

    En fait, l'utilisation d'ensembles de données anonymisées pourrait être utile dans un certain nombre d'applications pour grands utilisateurs de données, y compris peut-être dans le domaine de l'intelligence artificielle.

    Voilà pourquoi, à notre avis, la notion de prévisibilité raisonnable est importante.

    Je comprends. Je ne suis pas avocat, mais je sais que le concept est très bien intégré dans la loi, donc la notion de « prévisibilité raisonnable » est assez bien comprise. Pouvez-vous nous en parler?

    Comme je l'ai dit, la notion de prévisibilité raisonnable se retrouve dans un certain nombre de lois, mais elle apporte une forte valeur interprétative à la loi actuelle sur la protection des renseignements personnels dans le secteur privé, dans la LPRPDE. Elle y figure à de nombreuses reprises et est considérée comme un concept qui peut servir de critère pour les organismes de réglementation et les tribunaux afin de déterminer si la personne comprenait le concept ou non à l'époque et si elle a pris ou non les mesures appropriées pour anonymiser les renseignements.

    L'ajout de « raisonnablement prévisible » renforce‑t‑il l'obligation des entreprises énoncée dans la loi? Il me semble que cela place la barre encore plus haut. En diriez-vous autant?

    Je pense qu'avec les expressions « raisonnablement prévisible » et « meilleures pratiques généralement reconnues, » nous mettons davantage à l'épreuve l'hypothèse selon laquelle quelqu'un pourrait simplement dire: « Eh bien, j'ai anonymisé les données. À mon avis, elles étaient anonymisées. » Nous pourrions alors rétorquer: « Mais était‑il raisonnablement prévisible que les données aient été anonymisées? Avez-vous testé l'anonymisation en fonction des technologies accessibles et de ce qui existe sur le terrain? Ensuite, en vertu des meilleures pratiques généralement reconnues, vous êtes-vous servi des meilleurs outils pour vous assurer que les données ne pouvaient pas être de nouveau personnalisées? » Je pense que ces deux éléments accroissent les exigences, car ils empêchent encore une fois qu'on baisse simplement les bras et qu'on affirme qu'on croyait que les données étaient anonymisées.

    Quel est l’argument en faveur de l’ajout de « meilleures pratiques généralement reconnues » et de « raisonnablement prévisible »? Je comprends que les deux reprennent des éléments de la loi du Québec, en dépit de l'argument de M. Garon, qui est très bon à mon avis, à savoir que l'inclusion d'une exigence pour apporter des précisions dans un règlement pourrait davantage renforcer la loi et répondre à certaines des préoccupations de mes collègues d'en face. Je pense qu'ils ont tous exprimé la même préoccupation, à savoir que l'industrie ne devrait pas établir ses propres normes et qu'en fait, il devrait peut-être y avoir un règlement. Pouvez-vous nous en parler?

    Je suis désolé de m'éterniser. J'ai parfois tendance à le faire. À titre de précision, la question que je posais était de savoir en quoi l'ajout de « meilleures pratiques généralement reconnues » et de « raisonnablement prévisible » est bénéfique.

    L'expression « raisonnablement prévisible » s'harmonise avec les « meilleures pratiques généralement reconnues », en ce sens que ce qui est raisonnablement prévisible doit s'inspirer des meilleures pratiques généralement reconnues en matière d'anonymisation. En d'autres mots, si vous prenez des précautions à ces deux égards — c'est-à-dire que l'utilisation est raisonnablement prévisible, mais que vous exigez aussi que les intervenants s'appuient vraiment sur les pratiques exemplaires en matière d'anonymisation —, vous liez essentiellement les deux pour dire que l'utilisation était raisonnablement prévisible en partie parce que vous utilisez réellement les meilleures pratiques généralement reconnues.

    Les deux notions se soutiennent donc mutuellement, en quelque sorte. Ce sont des concepts complémentaires qui s'harmonisent tous les deux avec la loi du Québec, bien qu'il y ait une grande différence. Si nous rejetions l'amendement NDP‑2, que nous conservions « meilleures pratiques généralement reconnues » et que nous appuyions l'amendement G‑2, qui dit « raisonnablement prévisible, » notre loi s'harmoniserait avec celle du Québec. Or, le seul élément qui ne s'harmoniserait pas complètement serait le règlement, celui qui précise les deux.

     M. Mark Schaan: C'est exact.

     M. Ryan Turnbull: Ce que j'aimerais proposer à mes collègues, c'est que nous rejetions l'amendement NDP‑2 et que nous incluions un libellé qui précise que les meilleures pratiques seraient définies dans un règlement. J'ai proposé un libellé pour cela si nous en arrivons à l'amendement G‑2.

    Je pense que la formulation « meilleures pratiques généralement acceptées » doit se retrouver dans le projet de loi pour préciser qu'elles seront définies par règlement. Je pense que cela répond à certaines des préoccupations qui ont été exprimées et qui, à mon avis, sont légitimes. Si l'on craint que les groupes de l'industrie puissent essentiellement définir les meilleures pratiques comme bon leur semble, cet amendement réglerait ce problème et rendrait le tout essentiellement tributaire d'un règlement. Je pense que cette solution renforcerait le projet de loi et permettrait certainement de tenir des consultations. Je pense que ce serait très important, mais la réglementation serait établie ou ces meilleures pratiques seraient définies essentiellement par le gouvernement et le Commissariat à la protection de la vie privée. Je crois que le texte de loi s'harmoniserait ainsi avec la loi québécoise. À la lumière du débat que nous avons, c'est ce que je proposerais comme compromis.

    J'espère que nous pourrons rejeter l'amendement NDP‑2 et ensuite, en toute bonne foi, proposer un sous-amendement à l'amendement G‑2 qui le renforcerait de la façon que j'ai suggérée.

    Merci.

    Merci beaucoup.

    Monsieur Vis, vous avez la parole.

    À ce sujet, j'ai deux questions à poser pour obtenir des éclaircissements.

    Pour revenir à ma dernière question — et j'ai peut-être manqué quelque chose —, avez-vous dit que la loi du Québec comporte une disposition semblable à l'article 5 pour plus de précision, comme ce que nous avons à la page 8 du texte de loi, ou est‑ce seulement dans le règlement que le Québec considère que les données anonymisées ne sont pas assujetties à sa loi?

    Ce n'est pas le même article. Je vais demander à Mme Angus d'apporter des précisions, mais le résultat est le même. Les renseignements anonymisés ne sont pas assujettis à la loi.

    Cela se fait‑il par voie de règlement ou en vertu de la loi?

    Voici ce que dit la loi:

    Il s'agit de l'article 23, sous le titre « Destruction ou anonymisation. » Lorsqu'on se débarrasse de renseignements personnels, on les détruit ou on les transforme en renseignements anonymes, de sorte qu'on ne peut pas les personnaliser de nouveau.

    Les données anonymisées selon une norme acceptable pour le gouvernement du Québec ne seront plus assujetties à la loi, n'est‑ce pas?

    Voilà pourquoi elles sont dans la même catégorie que les informations détruites.

    Merci.

    Ma deuxième question est liée à la discussion générale que nous avons eue, mais n'a pas encore été posée. Le projet de loi C‑27 prévoit‑il un scénario où des données réputées anonymisées pourraient être considérées comme repersonnalisées, par l'utilisation d'une éventuelle technologie nouvelle?

    Les données repersonnalisées seraient-elles alors de nouveau visées par la loi? Le projet de loi comprend‑il une disposition traitant de ce scénario?

    Cela fait partie des effets des pratiques exemplaires généralement acceptées. Les organisations sont tenues de rendre les renseignements anonymes conformément aux pratiques exemplaires généralement acceptées, qui évoluent. Par exemple, l'Organisation internationale de normalisation a une norme en matière d'anonymisation, et cette norme peut évoluer.

    Si vous n'êtes plus conforme à ces normes généralement acceptées, les renseignements ne sont plus considérés comme anonymisés aux termes de la loi. Ils deviennent identifiables, et deviennent du coup des renseignements personnels.

    D'accord.

    J'ai une préoccupation découlant des propos du commissaire à la protection de la vie privée. Je ne vois pas pourquoi le terme « anonymisé » empêcherait l'inclusion de pratiques exemplaires dans un règlement.

    Je vais m'arrêter ici.

    Merci, monsieur Vis.

    Nous poursuivons avec M. Garon, qui sera suivi de M. Masse.

    Monsieur Garon, vous avez la parole.

    D'abord, monsieur le président, je vais me permettre d'exprimer un léger malaise.

    Le processus qui nous a menés à l'étude article par article de ce projet de loi n'est pas évident. Nous le savons, et on l'a répété à plusieurs reprises. Le ministère a tenu des rencontres en privé. Nous n'avons pas eu de rapport ni de mémoire à ce sujet. Nous ne savons pas ce qui a été dit. C'est difficile pour moi, en tant que parlementaire, à certains moments.

    Je présume que ce n'est pas volontaire de la part des fonctionnaires. Je ne sais pas s'ils défendent l'industrie ou pas, mais j'ai l'impression qu'ils nous vendent le projet de loi C‑27 beaucoup plus qu'ils ne répondent à nos questions. De plus, nous ne savons pas d'où provient l'information qu'ils possèdent.

    Cette situation rend les choses difficiles et mine la confiance envers les témoins que nous recevons aujourd'hui. Il y a, par exemple, la question de l'arrimage avec la loi 25 du Québec. Les témoins auraient pu nous dire que, au Québec, on peut réglementer cet aspect et que c'est dans la loi. Cependant, à la place, on essaie de nous vendre le texte du projet de loi. C'est un argumentaire de vente.

    Je trouve très difficile d'accepter la façon dont a agi le gouvernement. Nous travaillons de bonne foi. Je ne fais pas de l'obstruction systématique, mais nous voulons travailler de bonne foi, et le travail parlementaire n'est pas facile.

    L'attitude des témoins n'est peut-être pas volontaire, mais je les invite à faire un effort, à répondre aux questions beaucoup plus qu'à nous présenter un argumentaire de vente. Au bout du compte, nous avons été élus par la population pour étudier ce type de projet de loi. Nous ne pouvons pas tout connaître en détail des projets de loi des dix provinces et des trois territoires. Lors de mon dernier tour de parole, la réponse que j'ai obtenue visait à me faire croire que la version actuelle du projet de loi est conforme à ce que fait le Québec. Je trouve très difficile de travailler de cette façon. C'est problématique dans le cadre de nos travaux parlementaires. Notre travail nécessite de la rigueur. Je tiens juste à vous le dire.

    Nous essayons maintenant de déterminer si c'est à l'industrie de nous dire ce que sont les meilleures pratiques et si nous sommes capables de faire un compromis là-dessus. M. Turnbull m'a montré le sous-amendement qu'il propose pour modifier l'amendement G‑2. Il propose que « les entreprises doivent se conformer aux meilleures pratiques ainsi qu'à ce qui aurait été déterminé par règlement ».

    Je ne sais pas si vous avez lu ou non ce sous-amendement. Nous pouvons nous demander si ce texte laisse au gouvernement la possibilité de ne pas réglementer, de prendre la décision de ne pas adopter de règlement et de laisser, comme dans sa version actuelle, le choix des meilleures pratiques à l'industrie.

    De toute évidence, comme le projet de loi est déjà rédigé dans ce sens, cela laisse sous-entendre que ce serait la préférence du gouvernement, en tout cas celle du gouvernement actuel.

    Le gouvernement peut-il prendre cette décision? Peut-il déposer un règlement vide de tout contenu?

    Merci de la question.

    Cela dépend un peu des mots précisément utilisés dans le sous-amendement. Si on utilise l'expression « prescrit par règlement » — je ne sais pas si c'est le bon mot en français —, cela exige du gouvernement de produire ces règlements.

    Je me permets de vous lire le texte de la définition, et j'aimerais connaître votre avis sur celle-ci:

    Concrètement, quelle est l'obligation du gouvernement en matière de réglementation?

    Si c'est libellé de cette façon, cela dit que la réglementation est nécessaire.

    Elle est requise pour que la disposition soit pleinement en vigueur. Donc, le gouvernement aurait l'obligation d'établir une réglementation pour appuyer ces efforts.

    Selon ce que je comprends, l'ancien commissaire à la protection de la vie privée du Québec a aussi dit que la version actuelle du projet de loi avait la faiblesse de permettre à un gouvernement de réglementer un peu à vide.

    J'essaie vraiment de me faire une idée quant à la bonne chose à faire.

    L'amendement de M. Masse dit que, en cas de doute, la personne lésée a toujours raison. La norme est donc très élevée.

    Dans la version initiale du projet de loi, le gouvernement nous dit qu'on va laisser l'industrie déterminer les meilleures pratiques et que les gens vivront avec les conséquences.

    Nous cherchons le juste milieu dans le compromis. J'essaie de comprendre la nature du compromis d'un point de vue réglementaire.

    Comprenez-vous?

    Non. Voulez-vous répéter, s'il vous plaît?

    Si nous enlevons l'expression « meilleures pratiques », cela impose une obligation très importante aux entreprises. Le fait que le commissaire puisse déterminer, entre autres choses, qu'une personne a été lésée et qu'on n'aurait pas dû pouvoir l'identifier lui donne — et je pense que c'est l'intention de M. Masse — un pouvoir considérable. C'est une protection très importante.

    Dans la version actuelle du projet de loi C‑27, on dit que les pratiques généralement reconnues seraient de facto déterminées par le secteur privé. L'amendement de M. Turnbull propose un compromis entre les deux.

    J'essaie donc de savoir si le sous-amendement proposé pour modifier l'amendement G‑2 donne la possibilité au gouvernement de se soustraire à son obligation de réglementer correctement.

    Comprenez-vous ma question?

    Je pense que oui.

    J'aimerais aborder trois éléments sur ce sujet.

    L'introduction du concept de « meilleures pratiques » fournit temporairement des normes claires sur la bonne façon d'anonymiser les données. Il est précisé dans la réglementation afin de prévoir des normes claires sur l'utilisation des données et de guider le commissaire.

    Il est aussi possible que le commissaire, grâce aux mesures qu'il prendra pour faire appliquer la loi, contribue à l'évolution de ces concepts dans toutes les facettes du projet de loi. Le commissaire a aussi la capacité d'influer sur la définition de ces concepts.

    Cela arrive tout le temps, dans le sens où les mesures d'application s'accompagnent de précisions supplémentaires quant à la manière dont ce sera interprété. Au départ, il y aura un engagement à utiliser la meilleure technologie disponible. Cela sera ensuite défini dans le cadre du processus d'élaboration de la réglementation, qui est de nature consultative, avant d'être renforcé par l'application de la loi.

    Très bien.

    Merci beaucoup, monsieur Garon.

    Monsieur Masse, vous avez la parole.

    Je pense qu'il y a deux ou trois choses qu'il importe vraiment de renforcer. Je sais que nous parlons un peu de l'amendement G‑2 aussi, qui a été présenté plus tard et qui semble devoir être corrigé, mais dans son premier argument contre cela, le gouvernement a essayé de se servir du commissaire à la protection de la vie privée contre... le commissaire à la protection de la vie privée. Le commissaire appuie une modification proposée pour maintes raisons, et cela n'a pas changé.

    La deuxième partie était l'utilisation du facteur de la peur avec le Québec, qui a été réduit dans tous les aspects importants. La réalité, c'est que l'ancien commissaire à l'information du Québec a souligné une importante distinction entre les régimes. Cela pourrait offrir au Québec une protection accrue par l'intermédiaire du commissaire à la protection de la vie privée.

    Si nous options pour une réglementation quelconque, cela reviendrait aussi à retirer ce pouvoir au Parlement pour le confier à d'autres, qui sont moins indépendants. Alors que nous examinons les pratiques exemplaires, je ne vois absolument pas comment on peut ensuite supposer que les pires pratiques sont celles du commissaire à la protection de la vie privée. En fait, il est possible que le commissaire à la protection de la vie privée ait d'excellentes pratiques, mais très différentes de celles qu'on inclut dans l'argument des meilleures pratiques. Dans certains secteurs, certaines choses auparavant considérées comme des pratiques exemplaires ne le sont plus, par exemple l'installation facultative de ceintures de sécurité dans les voitures, il y a eu des changements ou des modifications à certains moments. On assiste à l'émergence d'une industrie importante, ici.

    Encore une fois, je pense que c'est une question de philosophie. Je ne veux pas que ce soit renvoyé au gouvernement. Il était intéressant d'entendre les arguments à ce sujet, pour garder le débat ici, venant d'organismes qui comptent dans leur conseil d'administration des représentants de Loblaws, Sun Life, Private AI, Telus, Microsoft, la banque TD, BMO, CIBC, RBC, Rogers, Magna et MetroLinx, une multitude d'avocats, etc., et c'était la principale discussion utilisée pour appuyer cela.

    Cela dit, j'espère que nous pourrons passer au vote. Je pense qu'il est important d'en finir avec cette question philosophique. Je me range du côté du commissaire à la protection de la vie privée, du côté de l'intérêt public, au lieu de soustraire cela à notre maîtrise et accorder de l'influence au lobbying en coulisses et à d'autres organisations malveillantes qui n'ont peut-être pas l'intérêt public à cœur, mais ont un grand intérêt pour vos informations.

    Merci, monsieur Masse.

    Le prochain intervenant est M. Williams. Il sera suivi de M. Turnbull.

    Monsieur Williams, vous avez la parole.

    Merci. Je suis d'accord pour dire que nous devons passer au vote.

    Je pense qu'il s'agit d'un excellent débat, car il porte précisément sur ce que nous essayons de protéger. À mon avis, l'adoption d'une formulation autre que la plus simple, en particulier pour « anonymiser », revient à introduire une ambiguïté quant au fait que les précédents sont établis par le commissaire à la protection de la vie privée et les tribunaux. Comme mon collègue M. Masse vient de le mentionner, les pratiques exemplaires seront établies par le commissaire à la protection de la vie privée et les tribunaux examineront les cas en fonction de la jurisprudence, puis établiront les pratiques exemplaires pour les entreprises.

    Il n'incombe pas au gouvernement d'avoir une liste évolutive. Le RGPD a été mentionné. Le RGPD, que nous considérons comme la norme d'excellence en matière de protection de la vie privée, ne définit pas explicitement les « meilleures pratiques généralement acceptées ». Il vise à fournir un cadre général qui peut suivre l'évolution des technologies et des normes sociétales. On l'a supprimé et non ajouté. Le Parlement ne peut en aucun cas intervenir aussi rapidement que les entreprises pour le protéger ni pour veiller à s'en défaire.

    Si l'objectif est que les entreprises protègent la vie privée, le commissaire à la protection de la vie privée devrait alors être la référence pour la définition de la vie privée, les débats sur la question et le respect de la vie privée. En outre, encore une fois, ce sont les tribunaux qui auraient le dernier mot. Mais l'ajout d'un libellé, y compris l'absence de « prévisibilité raisonnable » — étant donné que l'on n'ajoute aucun contexte, encore une fois —, et l'ajout de « meilleures pratiques reconnues » sans contexte concret reviendrait à créer une ambiguïté par rapport à la notion d'anonymisation, ce qu'on ne veut surtout pas dans un projet de loi censé protéger la vie privée des Canadiens.

    Donc, nous voterons contre ces deux amendements. Nous espérons pouvoir passer aux parties importantes de ce projet de loi.

    Merci.

    Merci.

    Vous avez la parole, monsieur Turnbull.

    Ce n'est pas surprenant.

    Nous avons déjà eu ce débat. Respectueusement, monsieur Williams, je ne suis pas d'accord avec le fait que vous évoquiez quelque chose visant à rester à jour et à évoluer, ce qui est exactement ce que vise à faire l'expression « meilleures pratiques généralement reconnues ». J'ai envoyé un sous-amendement pour l'amendement G‑2. M. Garon et moi en avons discuté et il faisait référence à cela, et je voulais m'assurer que tout le monde avait reçu le libellé.

    J'invoque le Règlement.

    Un instant, monsieur Turnbull.

    Monsieur Masse, la parole est à vous pour votre rappel au Règlement.

    Je sais que vous avez la latitude nécessaire pour de telles situations, mais nous en sommes maintenant à échanger des observations sur un amendement à venir sans nous occuper de l'amendement dont nous sommes saisis, et je pense que nous devons nous en occuper.

    Puis‑je réagir à ce rappel au Règlement?

    Je vais répondre à cela.

    C'est effectivement ce que nous faisons, monsieur Masse. Nous traiterons de l'amendement NDP‑2 de toute façon avant d'aller plus loin. Cependant, puisque l'amendement G‑2 sera inutile advenant l'adoption de l'amendement NDP‑2, je pense qu'il est également juste de permettre une discussion sur les amendements futurs, étant donné l'incidence que cela pourrait avoir. Évidemment, rien ne fera l'objet d'un vote avant l'amendement NDP‑2.

    D'accord. Je comprends votre décision, monsieur le président. J'aimerais seulement souligner que jusqu'à il y a quelques minutes, le gouvernement n'avait présenté rien de tout cela. Nous discutons de cet amendement depuis des heures et des heures, alors que le gouvernement n'avait même pas abordé la question dans son intervention initiale. Or, soudainement, la question fait surface. À l'avenir, un peu plus de courtoisie serait peut-être de mise, au lieu de passer un temps considérable sur quelque chose pour finalement adopter autre chose.

    C'est noté, monsieur Masse. Je vous remercie de votre commentaire.

    Je cède la parole à M. Turnbull.

    Beaucoup de choses sont réglées à la volée au sein de ce comité. Dans ce cas précis, nous essayons de rédiger un sous-amendement qui s'harmonise avec le Québec tout en répondant à certaines préoccupations soulevées par les membres du Comité. C'est ce que j'appelle un compromis, la collégialité et un processus constructif. Voilà l'intention derrière le sous-amendement proposé. Je suis donc en désaccord avec les propos exprimés par M. Masse à ce sujet. En réalité, il s'agit d'une façon constructive d'aller de l'avant et je pense que cela répond à bon nombre des préoccupations soulevées par les membres du Comité. Nous pouvons évidemment en débattre. Comme le sort de l'amendement G‑2 dépend du vote sur l'amendement NDP‑2, je pense qu'il est tout à fait légitime d'aborder la question et de discuter de l'interaction entre ces concepts, qui ont tous la même définition du terme « anonymiser », et c'est important.

    J'ignore s'il y a une façon d'aller de l'avant, mais je me demande s'il serait pertinent de suspendre la séance brièvement pour examiner le libellé, en espérant trouver une solution concernant ce que j'ai fait circuler. Au retour, nous pourrions mettre l'amendement NDP‑2 aux voix. Monsieur le président, je demande respectueusement si les membres du Comité sont prêts à suspendre la séance pour cinq minutes afin de réfléchir et voir s'il est possible de trouver une solution par rapport aux amendements NDP‑2 et G‑2, puis possiblement de voter lorsque nous reprendrons nos travaux.

    Je suis disposé à accepter de suspendre la séance pendant cinq minutes, puis à mettre l'amendement NDP‑2 aux voix à notre retour.

    Est‑ce que tout le monde est d'accord?

    Pour que ce soit clair, irons-nous à huis clos afin que le public ne voie pas ce qui se passe pendant que nous négocions en privé pour ensuite revenir avec une décision, après avoir passé autant de temps en séance publique? Je veux juste savoir exactement de quoi il est question ici.

    Monsieur Masse, je crois savoir que M. Garon a lu, aux fins du compte rendu, le texte du sous-amendement qui a été envoyé aux membres du Comité. Donc, c'est essentiellement là‑dessus que porteront les discussions. Je crois comprendre que le but est uniquement de donner aux membres du Comité le temps de lire le texte de manière approfondie. Ensuite, si nous souhaitons en débattre davantage, nous pourrons toujours le faire. Cela dit, nous serons toujours saisis de l'amendement NDP‑2, bien entendu, et nous pourrons le mettre aux voix à notre retour, soit dans cinq minutes, je dirais, parce que la séance tire à sa fin.

    Nous allons suspendre la séance pendant cinq minutes pour permettre aux membres de lire le sous-amendement, puis nous reprendrons.

    Nous reprenons. Je crois avoir vu une fumée blanche sortir. Donc, la parole est à vous, monsieur Turnbull.

    Ce fut une bonne discussion entre les vice-présidents des différents partis représentés. Nous avons discuté des façons de rédiger un sous-amendement à l'amendement NDP‑2.

    Il s'agirait essentiellement de supprimer « meilleures pratiques généralement reconnues », tout en conservant la formulation « risque raisonnablement prévisible ». À cette fin, nous travaillerions sur un libellé qui serait présenté lors de la prochaine séance du Comité, de sorte que nous pourrions régler cela assez rapidement. En conséquence, l'amendement G‑2 ne serait pas présenté ou ne serait pas recevable.

    Ce travail serait fait d'ici la prochaine réunion afin de pouvoir régler l'amendement NDP‑2 et passer à autre chose. C'est ce dont nous avons convenu.

    Il y a une dernière chose. Je sais que M. Perkins a une motion à présenter. Nous avons pensé qu'on pourrait y consacrer les 10 dernières minutes, monsieur le président, si vous êtes d'accord.

    Vous me rendez la vie et le travail très faciles, monsieur Turnbull. Merci beaucoup.

    Nous traiterons de l'amendement NDP‑2 modifié lors de la prochaine séance.

    Monsieur Perkins, vous avez la parole pour votre motion.

    Merci, monsieur le président.

    Merci, monsieur Turnbull.

    Je pense qu'il y a un bémol: M. Masse veut s'assurer d'être à l'aise avec le libellé, puisqu'il s'agit de son amendement original au projet de loi. Je vous remercie de l'avoir fait.

    Nous avons présenté un avis de motion la semaine dernière. Je ne reprendrai pas le débat sur « annexe » et « annexe 1 », mais dans cette discussion, nous parlons de l'annexe 1 et de l'annexe 2.

    J'ai parlé d'une de nos préoccupations au sujet de l'annexe 2, mais le sous-ministre s'est entretenu avec un groupe d'avocats à la tour de la Banque TD et a déclaré, essentiellement, qu'en matière de gestion de contenu, la définition de « systèmes à incidence élevée » leur permettrait de demander des algorithmes d'IA et d'y accéder dans le cadre de toute activité de modération de contenu qu'il qualifie, je crois, de « biaisée ».

    Cela dit, j'aimerais proposer la motion suivante:

    La date indiquée est aujourd'hui, mais je propose le 22 avril 2024. C'est dans une semaine. Quelqu'un pourrait nous indiquer si ce délai est suffisant pour obtenir le document dans les deux langues officielles, car j'ignore s'il a été préparé dans les deux langues.

    Nous pourrions évidemment faire preuve de souplesse et accorder une semaine supplémentaire, peut-être, à compter de cette date. Compte tenu des ressources de traduction du gouvernement du Canada, le discours du sous-ministre pourra certainement être traduit d'ici deux semaines.

    Merci, monsieur Perkins.

    J'ai M. Turnbull, au sujet de la motion.

    Cela ne nous pose pas problème. Je pense que le seul problème était la date.

    Pouvons-nous modifier cela pour dire « le plus tôt possible »? Est‑ce que ce serait suffisant pour les conservateurs?

    Vous auriez ainsi l'assurance d'obtenir le document dès qu'il sera disponible.

    Monsieur Perkins, la parole est à vous.

    Je comprends qu'ils voulaient dire [inaudible]. Voilà pourquoi j'ai proposé le 22 avril ou peut-être une semaine plus tard.

    Je pense que rien ne permet de mieux rassembler ses esprits que la perspective d'être pendu au matin. Donc, il serait peut-être plus approprié de fixer une date pour veiller à ce que le gouvernement travaille en fonction d'une date précise.

    Je propose de dire deux semaines à compter d'aujourd'hui. Si cela ne convient pas, nous pourrions en discuter avec la greffière et chercher une date plus raisonnable.

    D'accord, disons le 1^er mai. Cela conviendrait‑il?

    M. Rick Perkins: Oui.

    Le président: Y a‑t‑il consensus pour modifier au 1^er mai la date qui figure à la fin de la motion?

    Des députés: D'accord.

    (La motion telle que modifiée est adoptée. [Voir le Procès-verbal])

    Le président: Très bien; la motion est adoptée. Merci, monsieur Perkins.

    Je remercie encore une fois les fonctionnaires de leur présence aujourd'hui. À mercredi.

    La séance est levée.