:
Bonjour à toutes et à tous.
Je déclare la séance ouverte.
Je vous souhaite la bienvenue à la 118e réunion du Comité permanent de l'industrie et de la technologie de la Chambre des communes.
La réunion d'aujourd'hui se déroule sous forme hybride, conformément au Règlement. De plus, conformément à l'ordre de renvoi du lundi 24 avril 2023, le Comité reprend l'étude du projet de loi , Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l'intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d'autres lois.
Nous reprenons aujourd'hui l'étude article par article du projet de loi.
J'aimerais de nouveau souhaiter la bienvenue aux représentants du ministère de l'Industrie et les remercier de se joindre de nouveau à nous.
Nous recevons M. Mark Schaan, sous-ministre adjoint principal, Secteur des stratégies et politiques d'innovation; M. Samir Chhabra, directeur général, Direction générale de la politique d'encadrement du marché; et Mme Runa Angus, directrice principale, Secteur des stratégies et politiques d'innovation.
Chers collègues, comme vous vous en souvenez sûrement, nous étions rendus à l'amendement NDP‑2, qui a trait à l'article 2.
(Article 2)
[Traduction]
Monsieur Williams, c'est vous qui aviez la parole lorsque nous débattions de l'amendement NDP‑2. Je vous la cède à nouveau maintenant que nous reprenons l'étude article par article du projet de loi .
:
Merci, monsieur le président.
Je suis heureux de revoir les témoins. Je suis sûr que nous vous reverrons quelques fois avant l'été.
Lorsque nous nous sommes arrêtés la semaine dernière, nous étions en train de discuter de la définition du terme « anonymiser ». L'amendement NDP‑2 vise à supprimer les mots « conformément aux meilleures pratiques généralement reconnues ». Nous approuvons l'amendement.
Si nous l'approuvons, c'est principalement parce qu'il faut que les définitions soient claires et concises. Selon le libellé actuel, les organisations peuvent anonymiser des renseignements personnels conformément aux meilleures pratiques généralement reconnues. Toutefois, le libellé n'est pas assez clair sur la nature des pratiques en question et sur ce qu'on entend par « meilleures pratiques généralement reconnues ». L'ambiguïté ferait en sorte qu'on pourrait se servir de techniques d'anonymisation recommandées par certains spécialistes qui peuvent ne pas convenir à un ensemble de données particulier.
Nous aimerions vous parler de deux ou trois points. La formulation n'est pas très claire et nous croyons qu'il faut qu'elle soit très claire. C'est le commissaire à la protection de la vie privée qui assurera l'application de la loi. Il a déclaré qu'il lui faut une définition claire et concise.
Si les méthodes d'anonymisation varient d'une organisation à l'autre et s'il n'y a pas de lignes directrices claires sur ce que sont les meilleures pratiques généralement reconnues, on risque d'assister à un manque d'uniformité quant au niveau de protection des données ainsi qu'à un affaiblissement des normes en matière de protection de la vie privée.
Nous avons quelques exemples où cela s'est produit et c'est la raison pour laquelle nous nous penchons sur la question. Je pense que le point le plus important, de manière générale, c'est que d'après ce que nous ont dit les témoins, il y a une différence entre l'anonymisation et la dépersonnalisation. Le problème qui s'est posé à moi et à nous lorsque nous avons parlé de la dépersonnalisation avec certains témoins, c'est que dans la définition, on indique que le risque qu'un individu puisse être identifié demeure. C'est un problème majeur par rapport à ce que nous essayons d'accomplir ici.
En ce qui concerne la protection de la vie privée, les individus doivent avoir le droit de voir leurs renseignements personnels non seulement dépersonnalisés, compte tenu du risque qu'ils soient repersonnalisés, mais aussi complètement anonymisés ou protégés en vertu de la mesure législative sur la protection de la vie privée.
Je voudrais donner deux exemples de ce qui s'est déjà produit dans le passé. Nous savons tous que nos renseignements ont été compromis, que notre vie privée a été violée, à de nombreuses occasions. Je reçois des courriels sur certaines applications et, parfois, même ma banque ou Netflix m'envoient un courriel pour m'informer que mes renseignements ont été compromis et que je dois changer mon mot de passe. Cela arrive tout le temps.
Je vais donner deux exemples, l'un américain et l'autre canadien, de la manière dont cela s'est produit et a causé du tort à des consommateurs. En 2006, Netflix a lancé un concours, soit « The Netflix Prize », dans lequel on offrait un prix d'un million de dollars pour améliorer de 10 % son algorithme de recommandation. Netflix a publié un ensemble de données contenant des évaluations de films qu'avaient faites des utilisateurs anonymes. Cependant, des chercheurs ont démontré par la suite qu'il était possible d'identifier les individus à nouveau dans l'ensemble de données en utilisant des informations externes.
En 2007, deux personnes ont montré qu'en combinant l'ensemble de données de Netflix avec des données de l'IMDb, soit l'Internet Movie Database, accessibles au public, elles pouvaient identifier des personnes et connaître leurs préférences cinématographiques. De sérieuses préoccupations en matière de protection de la vie privée ont alors été soulevées, car cela a mis en évidence le risque de repersonnalisation, même lorsque les données sont anonymisées.
Au Canada, le ministère de la Santé et des Soins de longue durée de l'Ontario a été touché par une atteinte à la protection des données en 2011. Lors de cet incident, les renseignements personnels sur la santé de milliers d'Ontariens ont été compromis en raison de mesures de dépersonnalisation inadéquates. Le ministère avait communiqué des données sur la santé à des chercheurs à des fins d'analyse, mais il n'avait pas suffisamment anonymisé les données, ce qui a permis la réidentification des personnes. Par conséquent, des renseignements sensibles relatifs à des problèmes de santé, à des traitements et à des visites à l'hôpital, sont devenus accessibles à des parties non autorisées. L'atteinte a soulevé de graves préoccupations concernant la protection de la vie privée et a mis en évidence toute l'importance d'adopter des pratiques rigoureuses de dépersonnalisation, en particulier lorsqu'il s'agit de données sensibles sur la santé.
Ce qu'il faut retenir, c'est qu'il nous faut être clairs et concis. Nous devons veiller à ce que le commissaire à la protection de la vie privée, qui a soulevé des préoccupations au sujet de la définition en question, ne voie pas d'ambiguïté lorsqu'il se penche là‑dessus, tout en veillant à ce que les entreprises ne puissent pas contourner les règles et se montrer peu rigoureuses à l'égard des données personnelles. Je pense que c'est le principal point que nous soulevons.
Monsieur Schaan, je crois que je vous ai posé quelques questions la dernière fois. Je n'ai pas les bleus devant moi et je ne vois donc pas si j'ai déjà posé la question. Je pense vous avoir interrogé sur les meilleures pratiques généralement reconnues pour anonymiser des renseignements. Si ce n'est pas le cas, pourriez-vous en parler?
:
Je remercie le député de sa question.
[Traduction]
L'une des choses qui caractérisent les meilleures pratiques généralement reconnues est qu'elles continuent d'évoluer en fonction de la technologie. C'est l'une des raisons pour lesquelles nous croyons qu'il est important de l'inclure dans la loi, pour garantir que l'on s'adapte à la technologie la plus récente.
Nous craignons qu'en l'absence d'un engagement en faveur des meilleures pratiques généralement reconnues, les organisations ne disposent pas d'un guide quant à ce qu'elles doivent faire en ce qui concerne l'anonymisation des renseignements. Une foule d'approches pourraient être adoptées.
Les meilleures pratiques généralement reconnues varieraient, mais je pense que l'on trouverait dans l'industrie et parmi les utilisateurs beaucoup de choses vers lesquelles se tourner à cet égard.
Telle serait ma principale réponse.
:
Monsieur le président, j'aimerais faire deux ou trois remarques.
On parle ici d'une définition, ce qui signifie que cela concerne les pouvoirs et les obligations liées à l'application de la loi. L'application de la loi est assurée par le Commissariat à la protection de la vie privée.
C'est le commissaire à la protection de la vie privée qui déterminera si quelqu'un a anonymisé des renseignements pour satisfaire au critère des meilleures pratiques généralement reconnues, s'il y a des raisons de penser qu'une violation de la Loi sur la protection de la vie privée des consommateurs a été commise.
Comme je l'ai souligné, le concept des meilleures pratiques généralement reconnues figure dans la loi du Québec. C'est également l'approche qui correspond à ce que des spécialistes ont demandé.
Le Canadian Anonymization Network, ou CANON, est un organisme sans but non lucratif composé de représentants des secteurs public, privé et des soins de santé au Canada. Cela comprend la participation de spécialistes dans le domaine de la dépersonnalisation et de l'anonymisation, dont Statistique Canada. Il a déclaré que l'inclusion de l'expression « meilleures pratiques généralement reconnues » « [...] contribuera à pérenniser la définition du terme “anonymiser”, car elle crée une obligation légale pour les organisations de prendre en considération l'évolution des techniques et des normes de dépersonnalisation afin d'assurer la protection adéquate des renseignements personnels pour leur secteur d'activité et leur contexte. »
:
Si le commissaire à la protection de la vie privée affirme d'emblée que la disposition ne fournit aucune orientation, qu'elle sera ambiguë, je me demande à quoi c'est censé servir.
Notre mesure de sécurité consiste à nous adresser au commissaire à la protection de la vie privée, parce que d'abord et avant tout, le principe de cette loi — et c'est notre point de vue, de ce côté‑ci —, c'est que la protection de la vie privée doit être un droit fondamental et qu'il faut éviter toute ambiguïté. Si certaines organisations souhaitent qu'on inclue le libellé pour qu'il y ait une plus grande marge de manœuvre, ce n'est pas vraiment la raison pour laquelle nous sommes ici. Nous sommes ici pour protéger les droits fondamentaux des Canadiens en matière de vie privée.
Lorsque nous examinons le projet de loi, je ne vois pas pourquoi, jusqu'à présent — à part le fait que cela figure dans la loi du Québec —, nous considérons qu'il s'agit d'une pratique exemplaire d'inclure ce libellé, à l'exception du fait que certaines organisations, comme l'Association canadienne du marketing, disent qu'elles ne pourront pas recueillir les renseignements personnels des Canadiens et jouir d'une certaine liberté.
Monsieur le président, je vais m'arrêter là pour que les autres membres du Comité puissent intervenir, mais de notre côté, nous ne voyons pas pourquoi cette modification se trouverait ici.
Merci.
Je vais poursuivre sur la lancée de mon collègue M. Williams. Évidemment, nous introduisons la notion de meilleures pratiques, qui est une notion qui évolue très rapidement. Selon un professeur de l'Université de Toronto que nous avons reçu, certaines pratiques que l'on considérait comme efficaces il y a trois ou quatre ans ne le sont plus aujourd'hui.
Vous nous dites que vous introduisez un concept, et non une définition, dans la loi. J'ai l'impression qu'un jour ou l'autre, s'il y a une poursuite ou si les droits d'un individu ou d'un groupe sont lésés, il reviendra aux tribunaux d'interpréter ce concept. Cela introduit beaucoup d'incertitudes.
Qu'est-ce qui fait que la notion de concept ne fonctionnait pas pour l'intérêt supérieur de l'enfant, à l'époque? Vous savez que nous avons discuté de cela. C'est un concept. Là, on nous dit que cela amène de l'incertitude, qu'il n'y a pas de définition, qu'il va falloir aller devant les tribunaux, que c'est épouvantable pour les compagnies.
Qu'est-ce qui fait qu'avec ce concept-ci, tout à coup, la notion est correcte et qu'elle n'introduit pas trop d'incertitudes? Est-ce parce qu'il y a une espèce de consensus et qu'il n’y a pas d'incertitude quant à la façon dont les entreprises vont interpréter cela?
:
Permettez-moi de vous interrompre. Je parle du concept de l'intérêt supérieur de l'enfant, parce que je trouve que, d'abord, il y avait là un objectif.
Ce que vous dites n'est pas tout à fait exact. J'essaie de comprendre pourquoi, dans certains cas, l'ambiguïté et le recours aux tribunaux sont tolérés, mais que ce ne l'est pas dans d'autres situations.
Existe-t-il, à votre connaissance, une seule technique qui garantisse à cent pour cent l'incapacité à identifier les individus, sans incertitude ni risque?
:
Selon ce que j'ai appris dans ma vie professionnelle antérieure et de ce que les experts nous ont dit, il n'existe pas de technique qui assure complètement qu'une personne ne puisse pas être réidentifiée. Le fait est que plusieurs méthodes de réidentification peuvent être utilisées conjointement, notamment au moyen des données en circulation.
Quel est le risque acceptable et qui le détermine?
Dans ce contexte, qui détermine les méthodes qui sont acceptables suivant le niveau de risques jugé acceptable, à un moment précis dans le temps?
Il faut comprendre que tout cela évolue très rapidement. Je répète plusieurs fois le mot « acceptable », mais vous comprenez ce que je veux dire.
Qui détermine cela? À part le fait que le projet de loi est proposé de bonne foi, il n'y a pas grand-chose.
:
Si on suppose qu'il y a eu violation de la vie privée, le commissaire consulte les experts en technologie pour s'assurer que les bonnes pratiques ont été utilisées.
En attendant l'entrée en vigueur du projet de loi, il y a des normes industrielles, et peut-être aussi des lignes directrices établies par secteur ou selon le contexte.
Sur le plan international, il existe aussi des règles qui régissent la protection des données. Par exemple, le RGPD, bien qu'il n'énonce pas quelles sont les meilleures pratiques généralement acceptables, indique qu'il est essentiel d'utiliser ou de considérer la technologie disponible pour l'anonymisation. C'est le même concept.
:
Essentiellement, vous dites qu'une personne lésée dans ses droits peut porter plainte auprès du commissaire, qui étudie alors la situation. Il vérifie si l'entreprise a utilisé les meilleures pratiques, puis il donne son avis là-dessus.
Ne croyez-vous pas que s'il y avait, par exemple, un règlement qui permettait au ministre de déterminer à l'avance, à la suite de consultations, un certain nombre de meilleures pratiques, on pourrait éviter d'imposer à un individu le fardeau de porter plainte auprès du commissaire?
Une fois que les droits d'une personne ont été violés, on peut dédommager cette dernière ou reconnaître que ses droits ont été violés, mais son identité numérique est perdue à tout jamais.
:
C'est la même chose pour beaucoup de normes. On établit un objectif, puis on indique les méthodes ou les processus à suivre pour l'atteindre.
Beaucoup d'organisations, comme l'Organisation internationale de normalisation, désignée sous le sigle ISO, créent ce genre de normes pour confirmer quelles sont les bonnes méthodes et les bonnes pratiques.
Cela étant dit, les normes doivent être éventuellement revues à cause de la vitesse à laquelle la technologie évolue. C'est la raison pour laquelle le Réseau canadien d'anonymisation réunit beaucoup d'acteurs de la société civile et d'organisations. C'est bien, parce que le Réseau peut offrir des directives. De plus, il est toujours possible d'améliorer ce processus en s'inspirant des normes établies par d'autres organisations.
:
Merci, monsieur le président.
Je remercie mon collègue de la question.
Tout d'abord, je pense qu'il y a deux ou trois choses à préciser par rapport à ce qui a été dit initialement sur le sujet. Il était intéressant de constater que certains tentaient d'utiliser le commissaire à la protection de la vie privée pour démontrer que l'on doit se débarrasser de l'amendement. Le commissaire à la protection de la vie privée a lui-même proposé l'amendement, à la page 16 de son mémoire. Je peux probablement apporter quelques éclaircissements sur les deux points que nous soulevons ici.
Tout d'abord, dans le mémoire qu'il nous a soumis, chers collègues, c'est dans la partie intitulée « La dépersonnalisation et l'anonymisation ». On dit ensuite: « Recommandation no 7: Renforcer le cadre applicable aux renseignements dépersonnalisés et anonymisés. »
Le commissaire à la protection de la vie privée a dit que « [le] Commissariat appuie l'introduction d'un nouveau cadre de dépersonnalisation et d'anonymisation ». Il dit:
Ce cadre a des éléments positifs. Par exemple, il offre une certaine souplesse aux organisations qui utilisent des renseignements dépersonnalisés et apporte des précisions nécessaires sur la manière et les circonstances selon lesquelles les renseignements dépersonnalisés peuvent être utilisés et communiqués.
Ainsi, on ouvre une porte en ce qui a trait aux entreprises et à leur capacité d'utiliser certaines mesures.
Il poursuit:
Cela dit, dans sa forme actuelle, il n'offre pas suffisamment de protection aux données dépersonnalisées et anonymisées.
C'est là que nous entrons dans les détails de la question. En ce qui concerne les « meilleures pratiques », pouvez-vous nous dire qui va les élaborer, monsieur Schaan?
:
Or, elles en font partie, et c'est le point que l'on soulève ici. Soit on se range du côté de la dépersonnalisation et de l'anonymisation des renseignements pour protéger les gens, soit on se range du côté de l'industrie, sous la direction de Google et d'autres et de leurs associations, dont certaines ont d'autres sources de financement et ainsi de suite.
Ce qui est intéressant, c'est la question relative à l'uniformité avec les lois du Québec. Je pense que c'est une distinction importante que le commissaire à la protection de la vie privée a abordée. La question a aussi été abordée par l'ancienne présidente de la Commission de l'accès à l'information du Québec, Diane Poitras, dans son témoignage. En ce qui concerne la loi québécoise, la disposition pertinente de l'article 23 est la suivante:
Lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise doit le détruire ou l'anonymiser pour l'utiliser à des fins sérieuses et légitimes, sous réserve d'un délai de conservation prévu par une loi. Pour l'application de la présente loi, un renseignement concernant une personne physique est anonymisé lorsqu'il est, en tout temps, raisonnable de prévoir dans les circonstances qu'il ne permet plus, de façon irréversible, d'identifier directement ou indirectement cette personne. Les renseignements anonymisés en vertu de la présente loi doivent l'être selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement.
Lors de son témoignage, le commissaire à la protection de la vie privée a dit qu'il fallait faire preuve de prudence, mais ce qui est intéressant, c'est que l'ancienne présidente de la Commission du Québec a dit ceci en réponse à une question:
Si j'ai bien compris, une partie de votre question visait à savoir si nous avions des préoccupations quant à l'interopérabilité. Il y a en effet quelques points au sujet desquels j'ai des préoccupations. Il y a, entre autres, des distinctions importantes en ce qui concerne les régimes applicables aux données anonymisées et aux renseignements dépersonnalisés.
La porte était ouverte pour améliorer la situation, même pour les résidants du Québec, en ce qui concerne l'habilitation à l'égard de certaines de leurs données, et on juge que cette différence est acceptable.
Au bout du compte, ce qu'on se demande, c'est si les pratiques exemplaires, qui seraient dirigées, contrôlées et déterminées par l'industrie, pourraient être utilisées contre le CPVP, dans les cas où il y aurait des divergences.
Il faut donc déterminer si le commissaire à la protection de la vie privée devrait avoir le contrôle de cette mesure ou si nous voulons ou non qu'elle soit dirigée par l'industrie. Je vais me ranger du côté du commissaire à la protection de la vie privée.
Merci, monsieur le président.
:
Selon certains commentaires, dans le cas présent, le commissaire à la protection de la vie privée dit en gros que si l'on ajoute l'expression « meilleures pratiques généralement reconnues », on pourrait ouvrir la porte à certaines possibilités.
À notre avis, c'est plutôt le contraire: cet ajout permet l'évolution des meilleures pratiques et le recours à de nouvelles propriétés pour améliorer le processus.
Pourriez-vous nous fournir une meilleure justification? J'ai l'impression que c'est la principale différence. M. Masse nous parle du CPVP et veut laisser entendre qu'il se range de son côté.
Nous ne sommes pas contre le CPVP. Ce que nous voulons, c'est le meilleur mécanisme pour favoriser l'anonymisation d'une manière qui tienne compte de l'évolution de la technologie.
:
En l'absence des termes « meilleures pratiques généralement reconnues », la définition n'a qu'un objectif, soit l'impossibilité pour la réidentification des personnes.
Nous sommes d'avis que l'expression « meilleures pratiques généralement reconnues » oblige les organisations à s'assurer continuellement que les techniques d'anonymisation qu'elles utilisent sont conformes aux normes en évolution. Sans la référence aux « meilleures pratiques généralement reconnues » dans la définition, les organisations peuvent déterminer elles-mêmes ce qui constitue une technique appropriée, peu importe si elle répond à des normes largement reconnues ou s'il s'agit même d'une technique crédible.
À notre avis, en obligeant les organisations à se conformer à ce qui constitue la meilleure approche en matière d'anonymisation, nous avons une norme plus élevée que si nous nous en tenons uniquement à un objectif.
:
Je pense qu'il est important de reconnaître que les techniques de dépersonnalisation et d'anonymisation se situent sur un spectre. L'anonymisation se trouve à une extrémité; la dépersonnalisation est quelque chose de beaucoup plus simple.
Dans ses délibérations précédentes aujourd'hui, le Comité a fait référence à certains cas qui remontent au milieu des années 2000 où des renseignements ont été retirés d'un ensemble de données et ont facilement pu être repersonnalisés. C'est exactement le genre de problème que nous essayons de régler en établissant une norme plus élevée d'anonymisation.
Les techniques d'anonymisation sont généralement de nature algorithmique. Elles comprennent notamment la protection différentielle de la vie privée ou la k‑anonymisation. Ce sont des techniques mathématiques algorithmiques très sophistiquées qui, en raison de leur nature algorithmique, peuvent voir leur efficacité réduite au fil du temps. À mesure que d'autres algorithmes et de nouvelles techniques mathématiques sont mis au point, que l'informatique quantique devient plus puissante, par exemple, il y a des possibilités en aval pour que ce qui était considéré à un moment donné comme étant de nature anonyme devienne, en quelques années, beaucoup plus facile à déchiffrer.
La raison pour laquelle on a inclus une norme qui parle de « meilleures pratiques généralement reconnues », c'est qu'elle exige qu'une organisation revoie et mette à jour continuellement ses pratiques.
Le but de l'anonymisation dans le contexte de la loi ici est de veiller à ce que des données vraiment anonymisées puissent être utilisées à des fins bénéfiques comme l'amélioration de l'informatique de la santé, des systèmes de santé et de la prestation. Lorsqu'il y a un risque de réidentification, cela signifie que l'information est alors assujettie à la loi et que toutes les exigences s'appliquent.
Dans la pratique, le Commissariat à la protection de la vie privée aurait recours à l'exigence relative aux meilleures pratiques généralement reconnues dans les cas d'atteinte à la sécurité ou de fuite de renseignements personnels. Il serait alors en mesure de faire valoir que la loi exige l'anonymisation conformément aux meilleures pratiques généralement reconnues et qu'il peut ou ne peut pas trouver de preuve du respect de cette exigence, ou que l'entreprise a maintenu un certain niveau de modernité ou de contemporanéité avec les meilleures pratiques généralement reconnues. C'était peut-être le cas il y a 8 ou 10 ans, mais l'entreprise a ensuite négligé les ensembles de données, qui sont maintenant compromis.
On exige donc une évolution constante des normes. Ainsi, pour maintenir l'anonymisation d'un ensemble de données et les protections qui s'y rattachent, il faut continuer à mettre à jour les normes en fonction desquelles on a appliqué cette anonymisation.
:
En gros, puisque l'anonymisation vise l'impossibilité de repersonnaliser l'information et que le processus et les techniques d'anonymisation évoluent très rapidement, quel est le risque associé à l'absence d'une mise à jour?
À mon avis, il y a un risque que les pratiques soient dépassées ou que les organisations et les entreprises ne suivent pas le rythme de ces meilleures pratiques généralement reconnues.
Quel est le grand risque, cependant, en ce qui concerne le public et la protection de la vie privée? Monsieur Chhabra, vos commentaires mettent vraiment en lumière un risque dont personne n'a encore parlé, qui est la raison principale pour laquelle nous sommes contre le retrait de cette disposition.
:
Merci, monsieur le président.
Je remercie également les témoins d'être avec nous.
D'emblée, madame, messieurs, j'aimerais vous dire que la série de questions que je vais vous poser ne porte pas tant sur l'amendement lui-même que sur le processus qui y a conduit.
Je pense que nous nous entendons tous pour dire que la définition du verbe « anonymiser » qui figure dans le projet de loi est un élément vraiment très important pour la suite des choses et pour l'interprétation qui en sera faite à l'avenir.
Je ne veux absolument pas que vous considériez ma série de questions comme une forme de jugement. Je veux seulement bien connaître le processus.
Il y aura bientôt deux ans, le gouvernement a déposé ce projet de loi, qui se trouve maintenant à l'étude en comité. Nous l'avons analysé avec l'aide de témoins, et nous nous retrouvons aujourd'hui avec plus de 50 amendements de la part du gouvernement.
Est-ce vous qui avez rédigé le projet de loi, au départ?
À la suite des consultations menées après le dépôt de ce projet de loi, le a présenté une série d'amendements au mois de septembre dernier. Il nous a dit que vous aviez consulté environ 300 personnes et groupes.
Par ailleurs, pendant les consultations, des gens qui ont été convoqués à des réunions de notre comité nous ont dit que leur nom ne figurait pas dans la liste de ces 300 personnes et groupes. Certains sont venus nous dire qu'ils n'avaient pas été consultés ou qu'ils auraient aimé l'être, ou encore qu'ils auraient souhaité la tenue de consultations beaucoup plus vastes. D'ailleurs, nous nous sommes fait dire à plusieurs reprises que les consultations relatives au projet de loi auraient dû être beaucoup plus étendues.
Maintenant, nous devons examiner une série d'amendements, dont les amendements NDP‑2 et G‑2, qui montrent une fois de plus que certaines personnes ont essayé de vous faire modifier votre perception du projet de loi ou votre façon de le rédiger.
Vous avez rencontré certains groupes de façon beaucoup plus intensive que d'autres, si j'ai bien compris. C'est le cas de représentants du Réseau canadien d'anonymisation des données, ou réseau CANON, que vous auriez rencontrés une dizaine de fois.
Pour quelles raisons a-t-il été nécessaire de rencontrer des représentants de ce groupe plus d'une dizaine de fois depuis le dépôt du projet de loi et l'analyse que nous en avons faite en comité?
:
Merci, monsieur le président.
Nous sommes ouverts à l'idée de rencontrer toutes les parties intéressées en ce qui a trait au projet de loi . Nous avons reçu beaucoup de demandes de rencontre, que j'ai acceptées.
Évidemment, mon emploi du temps est assez chargé, notamment parce que je viens témoigner devant les comités de la Chambre, mais les membres de mon équipe sont disponibles pour rencontrer ces gens.
À mon avis, votre question comporte deux volets importants.
Nous avons rencontré des représentants de l'Association canadienne du marketing ainsi que ceux du Réseau canadien d'anonymisation, ou réseau CANON, une organisation à but non lucratif, qui réunit des experts, d'autres organisations à but non lucratif et des universitaires. Ce groupe a participé à plusieurs conférences ainsi qu'à des réunions concernant le projet de loi.
Comme je l'ai dit, j'accepte toute demande de réunion visant à discuter du projet de loi.
:
Je vais revenir à l'amendement dont il est question actuellement.
Le gouvernement propose une nouvelle définition. Le NPD en propose une autre, qui s'aligne sur celle utilisée au Québec, si j'ai bien compris.
Quelle est l'intention du gouvernement pour ce qui est de modifier la définition? Selon nous, cette dernière est moins appropriée que celle contenue dans l'amendement du NPD, qui s'aligne sur la définition utilisée au Québec.
Comme on l'a dit, vous avez rencontré divers intervenants plus d'une dizaine de fois. Ceux-ci tentaient de vous influencer afin que vous rédigiez telle ou telle définition.
Au moment où nous nous parlons, avez-vous toujours des rencontres avec ces intervenants?
:
Si je comprends bien, votre question comporte deux parties.
Il est important que j'apporte une clarification. Dans un amendement du NPD, on demande d'enlever quelques phrases de la définition proposée dans le projet de loi. La définition initiale était conforme à celle adoptée au Québec. Il faut encourager l'utilisation de l'information anonymisée, parce que cela protège davantage la vie privée des Canadiens.
Pour revenir à l'amendement et à ce qui l'a motivé, ainsi qu'à la définition actuelle énoncée dans le projet de loi, je dois dire que beaucoup d'intervenants ont fait des analyses, et c'est sur celles-ci que se fonde la définition proposée au mois de mai 2022.
:
Dans le mémoire qu'il nous a présenté à ce sujet — M. Masse n'en a lu qu'un court passage —, le commissaire à la protection de la vie privée poursuit en disant, à ce sujet:
Selon le libellé actuel, les organisations peuvent anonymiser des renseignements personnels conformément aux « meilleures pratiques généralement reconnues ».
C'est le terme dont il est question ici.
Il poursuit ainsi:
Or, la LPVPC ne donne aucune explication sur la nature de ces pratiques ni sur ce qui serait considéré comme des pratiques « généralement reconnues ». Ce libellé fait en sorte que certaines organisations pourraient se servir de techniques d’anonymisation promues par certains experts ou groupes, mais qui sont insuffisantes pour un ensemble de données en particulier.
Les députés libéraux, le gouvernement et vous-même avez utilisé le Canadian Anonymization Network, ou CANON, comme exemple d'organisme qui pourrait nous orienter. J'ai rencontré un certain nombre de membres de CANON, qui comprend les cinq grandes banques, Rogers, Telus, Loblaws, Sun Life, Microsoft, l'Agence du revenu du Canada — ou ARC —, Postes Canada, Statistique Canada et Santé Canada. Je pense à ces grandes sociétés, et je sais que lorsque j'ai rencontré leurs représentants, ils ne voulaient pas d'une définition pointue parce qu'il n'est pas dans leur intérêt d'être limités de cette façon. Si cet article est supprimé, je pense qu'il incombera davantage aux organisations de se concentrer sur ce que le commissaire à la protection de la vie privée dit et interprète. Comme nous en avons parlé à la dernière réunion au sujet de l'intérêt supérieur des enfants, le commissaire à la protection de la vie privée a la responsabilité, en vertu des dispositions de cette loi, de fournir des conseils aux organisations dans ces domaines, n'est‑ce pas?
:
Merci, monsieur Perkins.
Je vais donner la parole à M. Vis.
[Traduction]
Avant de le faire, je tiens à rappeler aux membres, puisque nous discutons de l'amendement NDP‑2, que s'il est adopté, l'amendement G‑2 ne peut être proposé en raison d'un conflit de lignes. Je l'ai souligné la dernière fois. Je veux simplement m'assurer que tout le monde garde cet élément en tête.
Monsieur Vis, vous avez la parole.
À l'article 2, sous « Objet et champ d'application, » à la page 8 du projet de loi, on peut lire:
Il est entendu que la présente loi ne s'applique pas à l'égard des renseignements personnels qui ont été anonymisés.
Je pense que le débat que nous tenons en ce moment en est un... Nous avons entendu des témoins comme Mme Scassa, qui a parlé de la quasi-impossibilité de dépersonnaliser les données au moyen des pratiques exemplaires qui existent, et du fait que nous ne pouvons jamais avoir la certitude qu'elles sont dépersonnalisées. Son témoignage était très clair. Elle a souligné que le ministère semble se ranger du côté de certaines des grandes sociétés qui veulent le plus de latitude possible dans la conception de l'anonymisation et de la dépersonnalisation afin de protéger leurs intérêts organisationnels et commerciaux. Je comprends. C'est leur objectif, et je le reconnais, que je l'appuie ou non.
Cependant, si on fait une comparaison avec la loi québécoise, cette dernière exempte‑t‑elle les données anonymisées de la portée et de l'application du texte de loi?
Plus précisément, est‑il entendu plus clairement dans la loi québécoise qu'elle ne s'applique pas aux renseignements personnels qui ont été anonymisés? Y a‑t‑il un passage dans la loi du Québec qui ressemble à ce que nous avons à la page 8?
:
Ma question fait suite à la conversation que nous avons eue sur l'arrimage avec la loi québécoise. Nous en avons aussi discuté en privé, mais nous pouvons faire les choses ouvertement.
Selon le gouvernement fédéral, la loi québécoise fait mention des meilleures pratiques. C'est vrai. La loi du Québec fait effectivement mention des meilleures pratiques. Par conséquent, selon le gouvernement, le projet de loi , dans sa version actuelle, s'alignerait sur la loi québécoise.
Cette affirmation me semble absolument fausse. Bien qu'il soit effectivement question des meilleures pratiques dans la loi québécoise, les entreprises devront anonymiser et dépersonnaliser les données selon les modalités établies, par règlement, par le gouvernement du Québec.
Qu'on s'entende sur le fait qu'il y a de meilleures pratiques, c'est une chose. Cependant, il ne suffit pas d'intégrer ces mots. M. Masse le disait aussi.
Nous avons parlé du Réseau canadien d'anonymisation, ou réseau CANON. Il faut savoir qu'il s'agit d'un lobby. C'est un ensemble d'entreprises. Pour avoir le droit de venir nous parler ici, de rencontrer des députés, les membres de ce réseau doivent être inscrits au Registre des lobbyistes.
Je ne suis absolument pas convaincu que l'industrie n'établira pas ses propres normes en cette matière. Cela me semble clair. Ce n'est aucunement conforme à ce qui est énoncé dans la loi 25 du Québec. Le gouvernement n'a aucun pouvoir pour ce qui est d'établir des critères par règlement. J'ai besoin d'être convaincu sur ce point, mais ce sera difficile.
:
Je voulais parler de l'amendement NDP‑2 et de l'amendement G‑2, qui est un autre amendement proposé par le gouvernement. Je pense que vous l'avez tous reçu. Si l'amendement NDP‑2 est adopté, l'amendement G‑2 ne pourra plus être proposé.
Je tiens à le mentionner parce que cela a peut-être une incidence sur le débat que nous avons et sur l'harmonisation avec la loi du Québec, que M. Garon relève à juste titre, à mon avis.
Simplement pour nous permettre de comprendre pourquoi le « risque raisonnablement prévisible » est nécessaire pour nous harmoniser avec la loi du Québec, monsieur Schaan, pouvez-vous nous dire en quoi ce concept est pertinent, mais aussi comment il améliore la protection de la vie privée?
:
Les deux notions se soutiennent donc mutuellement, en quelque sorte. Ce sont des concepts complémentaires qui s'harmonisent tous les deux avec la loi du Québec, bien qu'il y ait une grande différence. Si nous rejetions l'amendement NDP‑2, que nous conservions « meilleures pratiques généralement reconnues » et que nous appuyions l'amendement G‑2, qui dit « raisonnablement prévisible, » notre loi s'harmoniserait avec celle du Québec. Or, le seul élément qui ne s'harmoniserait pas complètement serait le règlement, celui qui précise les deux.
M. Mark Schaan: C'est exact.
M. Ryan Turnbull: Ce que j'aimerais proposer à mes collègues, c'est que nous rejetions l'amendement NDP‑2 et que nous incluions un libellé qui précise que les meilleures pratiques seraient définies dans un règlement. J'ai proposé un libellé pour cela si nous en arrivons à l'amendement G‑2.
Je pense que la formulation « meilleures pratiques généralement acceptées » doit se retrouver dans le projet de loi pour préciser qu'elles seront définies par règlement. Je pense que cela répond à certaines des préoccupations qui ont été exprimées et qui, à mon avis, sont légitimes. Si l'on craint que les groupes de l'industrie puissent essentiellement définir les meilleures pratiques comme bon leur semble, cet amendement réglerait ce problème et rendrait le tout essentiellement tributaire d'un règlement. Je pense que cette solution renforcerait le projet de loi et permettrait certainement de tenir des consultations. Je pense que ce serait très important, mais la réglementation serait établie ou ces meilleures pratiques seraient définies essentiellement par le gouvernement et le Commissariat à la protection de la vie privée. Je crois que le texte de loi s'harmoniserait ainsi avec la loi québécoise. À la lumière du débat que nous avons, c'est ce que je proposerais comme compromis.
J'espère que nous pourrons rejeter l'amendement NDP‑2 et ensuite, en toute bonne foi, proposer un sous-amendement à l'amendement G‑2 qui le renforcerait de la façon que j'ai suggérée.
Merci.
:
D'abord, monsieur le président, je vais me permettre d'exprimer un léger malaise.
Le processus qui nous a menés à l'étude article par article de ce projet de loi n'est pas évident. Nous le savons, et on l'a répété à plusieurs reprises. Le ministère a tenu des rencontres en privé. Nous n'avons pas eu de rapport ni de mémoire à ce sujet. Nous ne savons pas ce qui a été dit. C'est difficile pour moi, en tant que parlementaire, à certains moments.
Je présume que ce n'est pas volontaire de la part des fonctionnaires. Je ne sais pas s'ils défendent l'industrie ou pas, mais j'ai l'impression qu'ils nous vendent le projet de loi beaucoup plus qu'ils ne répondent à nos questions. De plus, nous ne savons pas d'où provient l'information qu'ils possèdent.
Cette situation rend les choses difficiles et mine la confiance envers les témoins que nous recevons aujourd'hui. Il y a, par exemple, la question de l'arrimage avec la loi 25 du Québec. Les témoins auraient pu nous dire que, au Québec, on peut réglementer cet aspect et que c'est dans la loi. Cependant, à la place, on essaie de nous vendre le texte du projet de loi. C'est un argumentaire de vente.
Je trouve très difficile d'accepter la façon dont a agi le gouvernement. Nous travaillons de bonne foi. Je ne fais pas de l'obstruction systématique, mais nous voulons travailler de bonne foi, et le travail parlementaire n'est pas facile.
L'attitude des témoins n'est peut-être pas volontaire, mais je les invite à faire un effort, à répondre aux questions beaucoup plus qu'à nous présenter un argumentaire de vente. Au bout du compte, nous avons été élus par la population pour étudier ce type de projet de loi. Nous ne pouvons pas tout connaître en détail des projets de loi des dix provinces et des trois territoires. Lors de mon dernier tour de parole, la réponse que j'ai obtenue visait à me faire croire que la version actuelle du projet de loi est conforme à ce que fait le Québec. Je trouve très difficile de travailler de cette façon. C'est problématique dans le cadre de nos travaux parlementaires. Notre travail nécessite de la rigueur. Je tiens juste à vous le dire.
Nous essayons maintenant de déterminer si c'est à l'industrie de nous dire ce que sont les meilleures pratiques et si nous sommes capables de faire un compromis là-dessus. M. Turnbull m'a montré le sous-amendement qu'il propose pour modifier l'amendement G‑2. Il propose que « les entreprises doivent se conformer aux meilleures pratiques ainsi qu'à ce qui aurait été déterminé par règlement ».
Je ne sais pas si vous avez lu ou non ce sous-amendement. Nous pouvons nous demander si ce texte laisse au gouvernement la possibilité de ne pas réglementer, de prendre la décision de ne pas adopter de règlement et de laisser, comme dans sa version actuelle, le choix des meilleures pratiques à l'industrie.
De toute évidence, comme le projet de loi est déjà rédigé dans ce sens, cela laisse sous-entendre que ce serait la préférence du gouvernement, en tout cas celle du gouvernement actuel.
Le gouvernement peut-il prendre cette décision? Peut-il déposer un règlement vide de tout contenu?
:
Selon ce que je comprends, l'ancien commissaire à la protection de la vie privée du Québec a aussi dit que la version actuelle du projet de loi avait la faiblesse de permettre à un gouvernement de réglementer un peu à vide.
J'essaie vraiment de me faire une idée quant à la bonne chose à faire.
L'amendement de M. Masse dit que, en cas de doute, la personne lésée a toujours raison. La norme est donc très élevée.
Dans la version initiale du projet de loi, le gouvernement nous dit qu'on va laisser l'industrie déterminer les meilleures pratiques et que les gens vivront avec les conséquences.
Nous cherchons le juste milieu dans le compromis. J'essaie de comprendre la nature du compromis d'un point de vue réglementaire.
Comprenez-vous?
J'aimerais aborder trois éléments sur ce sujet.
L'introduction du concept de « meilleures pratiques » fournit temporairement des normes claires sur la bonne façon d'anonymiser les données. Il est précisé dans la réglementation afin de prévoir des normes claires sur l'utilisation des données et de guider le commissaire.
Il est aussi possible que le commissaire, grâce aux mesures qu'il prendra pour faire appliquer la loi, contribue à l'évolution de ces concepts dans toutes les facettes du projet de loi. Le commissaire a aussi la capacité d'influer sur la définition de ces concepts.
[Traduction]
Cela arrive tout le temps, dans le sens où les mesures d'application s'accompagnent de précisions supplémentaires quant à la manière dont ce sera interprété. Au départ, il y aura un engagement à utiliser la meilleure technologie disponible. Cela sera ensuite défini dans le cadre du processus d'élaboration de la réglementation, qui est de nature consultative, avant d'être renforcé par l'application de la loi.
:
Je pense qu'il y a deux ou trois choses qu'il importe vraiment de renforcer. Je sais que nous parlons un peu de l'amendement G‑2 aussi, qui a été présenté plus tard et qui semble devoir être corrigé, mais dans son premier argument contre cela, le gouvernement a essayé de se servir du commissaire à la protection de la vie privée contre... le commissaire à la protection de la vie privée. Le commissaire appuie une modification proposée pour maintes raisons, et cela n'a pas changé.
La deuxième partie était l'utilisation du facteur de la peur avec le Québec, qui a été réduit dans tous les aspects importants. La réalité, c'est que l'ancien commissaire à l'information du Québec a souligné une importante distinction entre les régimes. Cela pourrait offrir au Québec une protection accrue par l'intermédiaire du commissaire à la protection de la vie privée.
Si nous options pour une réglementation quelconque, cela reviendrait aussi à retirer ce pouvoir au Parlement pour le confier à d'autres, qui sont moins indépendants. Alors que nous examinons les pratiques exemplaires, je ne vois absolument pas comment on peut ensuite supposer que les pires pratiques sont celles du commissaire à la protection de la vie privée. En fait, il est possible que le commissaire à la protection de la vie privée ait d'excellentes pratiques, mais très différentes de celles qu'on inclut dans l'argument des meilleures pratiques. Dans certains secteurs, certaines choses auparavant considérées comme des pratiques exemplaires ne le sont plus, par exemple l'installation facultative de ceintures de sécurité dans les voitures, il y a eu des changements ou des modifications à certains moments. On assiste à l'émergence d'une industrie importante, ici.
Encore une fois, je pense que c'est une question de philosophie. Je ne veux pas que ce soit renvoyé au gouvernement. Il était intéressant d'entendre les arguments à ce sujet, pour garder le débat ici, venant d'organismes qui comptent dans leur conseil d'administration des représentants de Loblaws, Sun Life, Private AI, Telus, Microsoft, la banque TD, BMO, CIBC, RBC, Rogers, Magna et MetroLinx, une multitude d'avocats, etc., et c'était la principale discussion utilisée pour appuyer cela.
Cela dit, j'espère que nous pourrons passer au vote. Je pense qu'il est important d'en finir avec cette question philosophique. Je me range du côté du commissaire à la protection de la vie privée, du côté de l'intérêt public, au lieu de soustraire cela à notre maîtrise et accorder de l'influence au lobbying en coulisses et à d'autres organisations malveillantes qui n'ont peut-être pas l'intérêt public à cœur, mais ont un grand intérêt pour vos informations.
:
Merci. Je suis d'accord pour dire que nous devons passer au vote.
Je pense qu'il s'agit d'un excellent débat, car il porte précisément sur ce que nous essayons de protéger. À mon avis, l'adoption d'une formulation autre que la plus simple, en particulier pour « anonymiser », revient à introduire une ambiguïté quant au fait que les précédents sont établis par le commissaire à la protection de la vie privée et les tribunaux. Comme mon collègue M. Masse vient de le mentionner, les pratiques exemplaires seront établies par le commissaire à la protection de la vie privée et les tribunaux examineront les cas en fonction de la jurisprudence, puis établiront les pratiques exemplaires pour les entreprises.
Il n'incombe pas au gouvernement d'avoir une liste évolutive. Le RGPD a été mentionné. Le RGPD, que nous considérons comme la norme d'excellence en matière de protection de la vie privée, ne définit pas explicitement les « meilleures pratiques généralement acceptées ». Il vise à fournir un cadre général qui peut suivre l'évolution des technologies et des normes sociétales. On l'a supprimé et non ajouté. Le Parlement ne peut en aucun cas intervenir aussi rapidement que les entreprises pour le protéger ni pour veiller à s'en défaire.
Si l'objectif est que les entreprises protègent la vie privée, le commissaire à la protection de la vie privée devrait alors être la référence pour la définition de la vie privée, les débats sur la question et le respect de la vie privée. En outre, encore une fois, ce sont les tribunaux qui auraient le dernier mot. Mais l'ajout d'un libellé, y compris l'absence de « prévisibilité raisonnable » — étant donné que l'on n'ajoute aucun contexte, encore une fois —, et l'ajout de « meilleures pratiques reconnues » sans contexte concret reviendrait à créer une ambiguïté par rapport à la notion d'anonymisation, ce qu'on ne veut surtout pas dans un projet de loi censé protéger la vie privée des Canadiens.
Donc, nous voterons contre ces deux amendements. Nous espérons pouvoir passer aux parties importantes de ce projet de loi.
Merci.
:
Ce fut une bonne discussion entre les vice-présidents des différents partis représentés. Nous avons discuté des façons de rédiger un sous-amendement à l'amendement NDP‑2.
Il s'agirait essentiellement de supprimer « meilleures pratiques généralement reconnues », tout en conservant la formulation « risque raisonnablement prévisible ». À cette fin, nous travaillerions sur un libellé qui serait présenté lors de la prochaine séance du Comité, de sorte que nous pourrions régler cela assez rapidement. En conséquence, l'amendement G‑2 ne serait pas présenté ou ne serait pas recevable.
Ce travail serait fait d'ici la prochaine réunion afin de pouvoir régler l'amendement NDP‑2 et passer à autre chose. C'est ce dont nous avons convenu.
Il y a une dernière chose. Je sais que M. Perkins a une motion à présenter. Nous avons pensé qu'on pourrait y consacrer les 10 dernières minutes, monsieur le président, si vous êtes d'accord.
:
Merci, monsieur le président.
Merci, monsieur Turnbull.
Je pense qu'il y a un bémol: M. Masse veut s'assurer d'être à l'aise avec le libellé, puisqu'il s'agit de son amendement original au projet de loi. Je vous remercie de l'avoir fait.
Nous avons présenté un avis de motion la semaine dernière. Je ne reprendrai pas le débat sur « annexe » et « annexe 1 », mais dans cette discussion, nous parlons de l'annexe 1 et de l'annexe 2.
J'ai parlé d'une de nos préoccupations au sujet de l'annexe 2, mais le sous-ministre s'est entretenu avec un groupe d'avocats à la tour de la Banque TD et a déclaré, essentiellement, qu'en matière de gestion de contenu, la définition de « systèmes à incidence élevée » leur permettrait de demander des algorithmes d'IA et d'y accéder dans le cadre de toute activité de modération de contenu qu'il qualifie, je crois, de « biaisée ».
Cela dit, j'aimerais proposer la motion suivante:
Que, relativement au projet de loi C‑27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l'intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d'autres lois, et étant donné que
(a) Simon Kennedy, le sous-ministre de l'Innovation, des Sciences et du Développement économique, a été l'orateur principal du « petit-déjeuner des dirigeants d'entreprises » aux conseillers stratégiques de McCarthy Tétrault à la TD Bank Tower à Toronto, le 7 novembre 2023; et
(b) étant donné que le sous-ministre a lu un discours de vingt minutes, préparé à l'avance sur les plus récents développements du ministère en matière d'utilisation de l'IA, qui comprenait des discussions sur la modération et la hiérarchisation du contenu des réseaux sociaux que les Canadiens voient aux fins de la lutte contre la désinformation en ligne par l'entremise du projet de loi C‑27,
le Comité ordonne la production (i) de l'ébauche des notes d'allocution recommandées au sous-ministre pour utilisation par son ministère relativement au petit-déjeuner, et (ii) de la version finale des notes d'allocution sur lesquelles le sous-ministre s'est appuyé lors de sa comparution au petit-déjeuner, pourvu que ces documents soient déposés auprès de la greffière du Comité, dans les deux langues officielles, au plus tard le 15 avril 2024.
La date indiquée est aujourd'hui, mais je propose le 22 avril 2024. C'est dans une semaine. Quelqu'un pourrait nous indiquer si ce délai est suffisant pour obtenir le document dans les deux langues officielles, car j'ignore s'il a été préparé dans les deux langues.
Nous pourrions évidemment faire preuve de souplesse et accorder une semaine supplémentaire, peut-être, à compter de cette date. Compte tenu des ressources de traduction du gouvernement du Canada, le discours du sous-ministre pourra certainement être traduit d'ici deux semaines.