:
Bon après-midi à tous et à toutes. Je déclare la séance ouverte.
Bienvenue à la 92e réunion du Comité permanent de l'industrie et de la technologie de la Chambre des communes.
La réunion d'aujourd'hui se déroule sous forme hybride, conformément au Règlement.
Conformément à l'ordre de renvoi du lundi 24 avril 2023, le Comité reprend l'étude du projet de loi .
J'aimerais souhaiter la bienvenue aux témoins d'aujourd'hui et m'excuser, par ailleurs, pour le bref retard causé par un vote à la Chambre.
Nous recevons M. Colin J. Bennett, professeur; M. Michael Geist, professeur de droit et titulaire de la Chaire de recherche du Canada en droit d'Internet et du commerce électronique; M. Vivek Krishnamurthy, professeur agrégé de droit à la faculté de droit de l'Université du Colorado; Mme Brenda McPhail, directrice générale par intérim du programme de politique publique dans la société numérique; et finalement Mme Teresa Scassa, titulaire de la Chaire de recherche en droit et politiques de l'information, à la section de la common law de la faculté de droit de l'Université d'Ottawa.
Je souhaite la bienvenue à tous et à toutes.
Nous commençons sans plus tarder la discussion.
Je cède la parole à M. Bennett pour cinq minutes.
:
Merci beaucoup, monsieur le président.
Je suis rattaché à l'Université de Victoria, mais je me trouve actuellement en Australie. Bonjour à tous.
J'aimerais mettre l'accent sur cinq domaines précis de la réforme de la Loi de la protection de la vie privée des consommateurs, la LPVPC, et suggérer des façons de mieux harmoniser le projet de loi avec les nouvelles dispositions protégeant la vie privée des Québécois, la loi 25. Il faut veiller à ce que le projet de loi ne porte pas atteinte à la loi québécoise, comme le font certaines dispositions actuelles. J'estime également que certains domaines rendent le projet de loi vulnérable lorsque vient le temps pour la Commission européenne d'évaluer si le droit canadien continue d'offrir un « niveau adéquat de protection ».
Certaines des recommandations qui suivent sont tirées du rapport du Centre pour les droits numériques, qui vous a été remis et dont je vous recommande fortement la lecture.
Premièrement, je crois que l'article 15 de la LPVPC, qui porte sur le consentement, porte à confusion tant pour les consommateurs que pour les entreprises. Je m'interroge en particulier sur le fait que l'on continue de s'appuyer sur le « consentement implicite » au paragraphe 15(5), qui stipule que le consentement doit être « obtenu expressément », à moins qu'il ne soit « approprié de présumer le consentement implicite de l'individu ».
Le projet de loi énumère les activités commerciales pour lesquelles le consentement n'est pas requis, notamment si l'organisation a « un intérêt légitime qui l'emporte sur tout effet négatif que la collecte ou l'utilisation peut avoir pour l'individu », une norme provenant du Règlement général sur la protection des données, le RGPD. Cependant, dans le RGPD, le consentement signifie le consentement exprès, qui est librement donné, précis, éclairé et sans ambiguïté.
Dans la version actuelle de la LPVPC, les entreprises peuvent jouer sur les deux tableaux. Elles peuvent déclarer qu'elles ont un « consentement implicite » en raison d'une certaine inaction qu'un consommateur aurait commise dans le passé parce qu'il n'a pas lu le jargon juridique des conditions générales d'utilisation complexes. Elles peuvent également affirmer un « intérêt légitime » à l'égard des données personnelles, et prétendre qu'il n'y a pas d'effet préjudiciable potentiel pour la personne. Il s'agit d'une évaluation des risques effectuée par l'entreprise, plutôt que d'un jugement portant sur le droit des personnes de contrôler leurs renseignements personnels.
À cet égard, il serait important que le projet de loi s'inscrive dans un cadre des droits de la personne. La notion de consentement implicite n'a pas sa place dans ce projet de loi. C'est une idée dépassée, qui crée de la confusion chez les consommateurs autant que chez les entreprises.
Deuxièmement, la LPVPC ne contient aucune disposition sur les transferts internationaux de données, ce qui est particulièrement étrange. Je ne connais aucune autre loi moderne sur la protection des renseignements personnels qui ne donne pas aux entreprises des directives appropriées sur ce qu'elles doivent faire si elles veulent traiter des données personnelles à l'étranger. La seule exigence est que l'organisation oblige le fournisseur de services, « par contrat ou autrement », à assurer une protection des renseignements personnels « équivalente à celle qu'elle est tenue d'offrir sous le régime de la présente loi », tel qu'il est énoncé au paragraphe 11(1) de la LPVPC.
Cette obligation de diligence s'applique, que l'entreprise transfère des données personnelles à une autre province du Canada ou à l'étranger, dans un pays qui peut ou non avoir une solide protection de la vie privée ou un registre en matière de protection des droits de la personne. C'est particulièrement troublant si on considère qu'il est prévu à l'article 19 de la LPVPC que « l'organisation peut transférer à des fournisseurs de services les renseignements personnels d'un individu à son insu ou sans son consentement ».
Le gouvernement canadien n'a jamais adopté une approche de « sphère de sécurité » ou de liste blanche, et ce n'est pas ce que je préconise. Pourtant, selon moi, le Québec a trouvé un compromis acceptable à l'article 17 de la loi 25, qui oblige les entreprises à faire une évaluation, y compris du cadre juridique, lorsqu'elles envoient des renseignements personnels à l'extérieur du Québec. Puisque de nombreuses entreprises canadiennes devront se conformer à la loi québécoise, pourquoi ne pas reproduire cette disposition dans le projet de loi ?
Troisièmement, le projet de loi ne tient pas compte des importants mécanismes de reddition de comptes qui ont été mis au point au Canada et exportés dans d'autres pays, notamment en Europe. Il est donc très étrange que certaines de ces mesures ne figurent pas dans la LPVPC. En particulier, les évaluations des facteurs relatifs à la vie privée, ou EFVP, sont un instrument établi et une composante essentielle de la gouvernance responsable des données personnelles, et elles devraient être requises avant l'élaboration de produits ou de services, particulièrement lorsque des technologies envahissantes et des modèles d'affaires entrent en jeu, lorsque des mineurs sont concernés, lorsque des renseignements personnels sensibles sont recueillis et lorsque le traitement est susceptible d'entraîner un risque élevé pour les droits et libertés d'une personne. Les entreprises effectuent les EFVP et sont prêtes à attester leur conformité ou leur volonté de reddition de comptes à l'instance de réglementation.
Un quatrième problème lié se pose, soit l'absence de définition des « formes de données personnelles sensibles ». Le terme « sensible » revient dans plusieurs dispositions du projet de loi mais, outre la mention expresse des données concernant des personnes mineures, cette notion n'est définie nulle part. Le projet de loi devrait préciser ce qui est entendu par « renseignements de nature sensible », et il devrait contenir également une liste non exhaustive de catégories, qui par ailleurs sont utilisées dans plusieurs mesures législatives.
Enfin, et je sais que vous l'avez déjà entendu — j'ai fait mes recherches —, l'absence de normes appropriées en matière de protection de la vie privée pour les partis politiques fédéraux est injustifiable et inacceptable. Le gouvernement s'appuie sur l'argument comme quoi les pratiques en matière de protection de la vie privée des partis politiques fédéraux sont réglementées en vertu de la Loi sur la modernisation des élections de 2018, ce qui rend leur inclusion dans le projet de loi inutile. Toutefois, les dispositions de cette loi ne sont qu'une pâle imitation des dispositions du projet de loi . Je pense que les entreprises n'apprécient guère que les partis politiques soient exemptés. Ce problème ne dissipera pas, compte tenu des progrès de la technologie et de son utilisation dans les campagnes numériques modernes. Le Canada est un des rares pays démocratiques où les lois sur la protection des renseignements personnels ne s'appliquent pas aux partis politiques et aux renseignements de nature sensible sur les opinions politiques.
Merci beaucoup.
:
Merci beaucoup, monsieur le président.
Bonjour à tous. Comme vous l'avez entendu, je m'appelle Michael Geist et j'enseigne le droit à l'Université d'Ottawa, où je suis titulaire de la chaire de recherche du Canada en droit d'Internet et du commerce électronique. Je suis également membre du Centre de recherche en droit, technologie et société. Je témoigne à titre personnel et les idées que je vais exprimer n'engagent que moi.
D'entrée de jeu, je souligne que mon premier passage devant un comité de la Chambre des communes remonte à mars 1999 et portait sur le projet de loi , qui a précédé la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE. Je dois avouer que je savais plus ou moins pourquoi je témoignais, mais je sais que je m'intéressais particulièrement à l'époque à la question de savoir si le cadre législatif allait protéger suffisamment les renseignements personnels des internautes débutants, qui avaient alors très peu d'antécédents et de connaissances en matière de renseignements personnels ou de sécurité, et même pour ce qui concernait Internet tout court.
J'avais alors pointé certaines lacunes du projet de loi, y compris la définition approximative des normes de consentement et le risque d'abus du consentement implicite, les exceptions trop générales liées à l'utilisation ou à la communication de renseignements personnels. J'avais aussi parlé de mes réserves quant à la mise en application. J'avais enjoint au Comité de renforcer le projet de loi, sans toutefois avoir pris la mesure du fait que les décisions politiques prises à l'époque auraient des répercussions pendant des décennies.
J'ai fait ce retour dans le temps parce que j'ai l'impression que nous sommes aujourd'hui à peu près dans la même position, et que les décisions politiques qui seront prises aujourd'hui concernant l'intelligence artificielle, ou IA, et les nouvelles technologies continueront d'avoir des répercussions pendant beaucoup plus longtemps que nous voulons l'admettre.
C'est pour cette raison que j'insiste pour dire sur l'importance de faire les choses correctement plutôt que rapidement. J'entends souvent le dire qu'il faut prendre les devants, surtout dans le cas de l'IA, mais j'avoue que je ne comprends pas vraiment pourquoi c'est un de nos grands objectifs. Outre le fait que la plupart des dispositions, notamment celles qui concernent la protection des renseignements personnels, ont été présentées en 2020 et qu'il a fallu des années pour y revenir… Je ne comprends pas pourquoi il est tout à coup urgent de tenir des audiences. Un projet de loi sur l'IA fait l'objet d'une révision majeure, et nous n'avons pas encore reçu de texte. Il semble que les témoins doivent choisir entre la protection des renseignements personnels et l'IA, ce qui risque de limiter l'analyse globale.
Nous pouvons faire mieux. Je vais me concentrer sur la protection des renseignements personnels, mais je mentionne au passage que le projet de loi sur l'IA et les réformes proposées soulèvent bon nombre de préoccupations, liées notamment à la nécessité de créer une instance indépendante d'application et aux définitions associées aux systèmes à incidence élevée, qui englobent les algorithmes de recherche et de médias sociaux. C'est assez curieux.
L'autre leçon que j'ai apprise depuis une vingtaine d'années est que même si l'objectif est d'adopter une mesure législative la plus équilibrée possible, et je sais qu'il a beaucoup été question d'équilibre, la réalité est que les règles du jeu ne seront jamais équilibrées. Elles seront toujours plus favorables aux entreprises, qui souvent ont les ressources et l'expertise voulues pour contester la loi, les plaintes et les décisions du commissaire à la protection de la vie privée. La majorité des Canadiens partent perdants. C'est pourquoi il faut adopter des règles visant à équilibrer les règles et prévoir un vaste champ d'application, établir des mécanismes de surveillance et de vérification, de même que des pénalités sévères afin que les mesures incitatives favorisent une protection accrue des renseignements personnels.
Comment y parviendrons-nous? Étant donné que mon temps est limité, je vous propose rapidement cinq pistes.
Premièrement, pour reprendre là où M. Bennett s'est arrêté, il faut mettre fin au modèle « faites ce que je dis, pas ce que je fais » dans le domaine de la protection des renseignements personnels. Il est à mes yeux inacceptable qu'en 2023, les partis politiques se soustraient aux normes qu'ils veulent imposer aux entreprises. On ne peut pas sérieusement faire valoir d'un côté que le respect de la vie privée est un droit fondamental et, de l'autre, plaider que les partis politiques peuvent être soustraits à une application rigoureuse des normes.
Deuxièmement, l'ajout d'un libellé sur le droit fondamental à la vie privée est certes nécessaire, mais je crois qu'il devrait être intégré ailleurs pour assurer la prise en compte directe aux fins de l'application de la loi. Par exemple, comme l'ex‑commissaire Therrien l'avait proposé, ce libellé pourrait être incorporé dans la liste des éléments à prendre en compte pour établir le caractère acceptable des fins au paragraphe 12(2) du projet de loi actuel.
Troisièmement, nous avons vu depuis 20 ans que les pénalités sont efficaces pour renforcer la conformité et font partie intégrante de la recherche d'équilibre. Or, le projet de loi comporte des exceptions assez singulières. Des pénalités sont prévues pour des éléments énumérés à l'article 12 du projet de loi pour établir le caractère acceptable, mais pas dans la disposition essentielle limitant la collecte, l'utilisation et la communication à des fins acceptables.
Dans l'article 15 du projet de loi, qui porte sur la question cardinale du consentement, aucune pénalité n'est prévue relativement au moment du consentement ou à l'utilisation d'un consentement implicite dans la clause portant exception pour un intérêt légitime. Le projet de loi énonce que ce « n'est pas approprié », peu importe ce que cela signifie. Il s'agit d'une formule plutôt bancale dans un projet de loi. Quoi qu'il en soit, la disposition sur les pénalités ne s'y applique pas.
Quatrièmement, le Comité a déjà entendu le débat au sujet de la norme à appliquer aux données anonymisées. Je comprends les arguments en faveur de l'harmonisation avec les autres mesures législatives. Cela dit, je vous ferais observer que le paragraphe 6(6) du projet de loi soustrait expressément les données anonymisées de l'application de la loi, mais je pense que nous voulons nous assurer que le commissaire aura un rôle de gouvernance dans le cadre de processus de vérification et d'examen, surtout si la norme adoptée est moins stricte.
Cinquièmement, et ce sera mon dernier point, si le tribunal de la protection de la vie privée est considéré comme un tribunal spécialisé dont les décisions seront traitées avec déférence par les autres tribunaux, j'appuie la création d'un autre mécanisme de gouvernance en la matière. Je comprends les craintes que ce nouveau palier rallonge le règlement des dossiers, mais le paramètre prioritaire n'est pas tant la vitesse avec laquelle le commissaire peut régler une question que la vitesse à laquelle un plaignant obtient une décision définitive et exécutoire. Étant donné les risques d'appel et le fait que les tribunaux procèdent à un examen de novo des dossiers, les délais actuels peuvent dépasser largement le moment où le commissaire rend sa décision, et un tribunal pourrait en ce sens s'avérer utile.
Merci de votre attention. Je suis impatient de répondre à vos questions.
:
Monsieur le président, distingués membres du Comité, merci. C'est un grand honneur pour moi de prendre la parole devant vous aujourd'hui concernant le projet de loi .
J'enseigne actuellement le droit à l'Université du Colorado, mais, alors que je dirigeais la Clinique d'intérêt public et de politique d'Internet du Canada Samuelson-Glushko à l'Université d'Ottawa, au printemps 2023, nous avons publié deux rapports sur la Loi sur l'intelligence artificielle et les données, la LIAD, et sur la LPVPC. Je vais me concentrer sur la LPVPC, et plus particulièrement sur les dispositions portant sur les renseignements personnels d'un mineur. Je serai toutefois heureux de vous faire part de mes réflexions sur la LIAD.
Permettez-moi de dire tout d'abord que je suis d'accord avec l'intégralité de ce que MM. Bennett et Geist ont dit. Vous pourrez considérer mes propres remarques comme étant complémentaires.
Nous sommes ravis que la LPVPC, contrairement à la LPRPDE, précise expressément que les renseignements personnels d'un mineur sont « de nature sensible ». M. Bennett a déjà mentionné qu'il n'y a pas de définition de « renseignement de nature sensible » dans le projet de loi. Si le projet de loi est adopté, l'importance de protéger de manière plus rigoureuse les renseignements personnels des enfants sera reconnue, ce qui est une bonne chose, mais nous pensons qu'il est possible de faire beaucoup mieux.
En guise de contexte, je rappelle que les enfants passent de plus en plus de temps en ligne et qu'ils commencent de plus en plus jeunes. C'est un fait. Cette tendance s'est accentuée durant la pandémie de COVID‑19 et la transition à l'apprentissage en ligne. Je suis moi-même parent, comme beaucoup d'entre vous, j'imagine. Nos enfants utilisent constamment des appareils visés par des conditions de service commerciales qui posent des risques considérables d'atteinte à leurs droits à la protection de leurs renseignements personnels.
La pandémie est derrière nous, mais la nouvelle réalité est que les enfants commencent de plus en plus jeunes à utiliser les technologies, et ils le font de plus en plus souvent. Que pouvons-nous faire? Notre action peut se diviser en trois volets, auquel un quatrième s'ajoute qui concerne les compétences.
Le commissaire à la protection de la vie privée a recommandé l'incorporation de la notion de « l'intérêt supérieur des jeunes » au projet de loi, et il propose de l'incorporer au préambule. Je n'ai pas d'opinion quant à l'endroit où ce passage devra figurer, mais c'est bien évidemment la pratique exemplaire adoptée à l'échelle internationale. Le Royaume-Uni et la Californie ont incorporé cette notion à des lois nouvellement adoptées, et nous pensons que le Canada devrait leur emboîter le pas. Qu'est‑ce qui en découlerait? Il en découlerait que les organismes qui traitent des données personnelles concernant des enfants devront tenir compte de leur intérêt supérieur, qui doit avoir préséance sur les intérêts commerciaux.
Deuxièmement, nous pensons que la LPVPC doit impérativement exiger des organismes qui font du développement de produits ou de services susceptibles d'être utilisés par des enfants qu'ils règlent les paramètres de confidentialité au niveau supérieur. Les réglages par défaut jouent vraiment un grand rôle dans notre expérience subjective de la vie privée. C'est formidable d'avoir des droits, mais la réalité est qu'on y renonce si un réglage nous en prive. Nous pensons qu'il est impératif d'obliger les entreprises à régler les paramètres par défaut au niveau supérieur lorsque des enfants sont des utilisateurs potentiels ou connus de leurs produits.
Troisièmement, je vais revenir sur ce que M. Bennett a mentionné au sujet des évaluations des facteurs relatifs à la vie privée, un concept canadien. Le projet de loi est très permissif pour ce qui a trait à ces évaluations. Les dispositions s'appliquent seulement si le critère de l'intérêt légitime est revendiqué et que le consentement n'est pas requis. Cela pose un problème pour tout le monde, et surtout pour les enfants.
Nous pensons, et moi le premier, que les exigences liées aux évaluations des facteurs relatifs à la vie privée devront être considérablement renforcées dans le projet de loi lorsque des activités de traitement des données exposent les droits des Canadiens à la protection de leurs renseignements personnels à un risque important. À mon avis, si les renseignements personnels des enfants sont de nature sensible, il s'ensuit que des évaluations de ces facteurs doivent être exigées en tout temps.
En dernier lieu, je vais aborder le thème de la compétence constitutionnelle. Il existe des craintes quant à la possibilité que le fédéral n'ait pas la compétence voulue pour adopter des dispositions plus larges afin de protéger les droits des enfants à la protection de leurs renseignements personnels. Ce n'est pas ce que notre analyse nous suggère. La LPVPC, à l'instar de la LPRPDE qui l'a précédée, est adoptée au titre du pouvoir du Parlement de réglementer les échanges et le commerce.
Certes, dans notre régime fédéral, il appartient aux gouvernements provinciaux d'établir l'âge de la majorité, mais beaucoup de lois fédérales visent à protéger les droits des enfants. La manière dont nous concevons cette mesure de protection de la vie privée des consommateurs entre aussi en jeu. Bien plus qu'une mesure pour réglementer la vie privée, c'est aussi une mesure de protection des consommateurs qui encadre la sécurité des produits numériques qui empiètent sur notre droit à la vie privée et qui le briment.
Considérant que le fédéral édicte depuis fort longtemps des règlements visant à protéger les enfants dans la sphère commerciale, nous pensons qu'il y aurait lieu pour lui d'intégrer des mesures de protection de leurs renseignements personnels plus rigoureuses, qui n'empiéteront pas sur les lois provinciales plus strictes, comme celles du Québec. Tout comme la LPRPDE, qui donne préséance aux lois provinciales si elles sont essentiellement équivalentes ou supérieures, la nouvelle LPVPC pourrait comporter des mesures renforcées de protection des renseignements personnels des enfants.
Merci beaucoup.
:
Merci, monsieur le président, et merci, distingués membres du Comité, de m'avoir invitée à vous parler du mémoire rédigé par Mme Jane Bailey, qui est professeure à la Faculté de droit de l'Université d'Ottawa; Mme Jacquelyn Burkell, qui est professeure à la Faculté de l'information et des médias de l'Université Western, et par moi-même. Je suis actuellement directrice exécutive par intérim du programme de politique publique dans la société numérique de l'Université McMaster.
C'est un privilège de me présenter devant vous dans le cadre de ce projet de loi omnibus qui, à notre avis, requiert d'importantes améliorations pour protéger les gens face aux nouvelles technologies avides de données.
Durant mon exposé, je vais me concentrer sur la partie 1 et parler brièvement de la partie 3 du projet de loi. Je répondrai volontiers à vos questions sur ces deux parties.
La notion de vie privée, je ne vous apprends rien, est un principe fondamental dans notre société démocratique, mais c'est également un droit qui donne accès à d'autres droits pour en faciliter l'exercice ou l'application, y compris les droits à l'égalité. Notre mémoire met l'accent sur le lien entre la vie privée et l'égalité parce que des mesures rigoureuses et efficaces limitent l'utilisation abusive et discriminatoire des données.
Nous avons relevé huit lacunes dans la LPVPC. Je vais parler de quatre de ces lacunes.
Premièrement, le droit à la vie privée doit être reconnu comme faisant partie des droits fondamentaux de la personne. Comme d'autres de mes collègues dans ce groupe, nous sommes favorables à l'amendement proposé par le , nous estimons que l'article 12 du projet de loi pourrait aussi être amendé pour que l'analyse visant à établir si un renseignement est recueilli ou utilisé à des fins acceptables soit fondée sur ce droit.
Le projet de loi propose une amélioration importante à la LPRPDE en incluant explicitement les renseignements dépersonnalisés dans la portée de la loi, mais la définition donnée dans la mesure précédente, le projet de loi , a été restreinte puisqu'il n'y est plus question d'identificateurs indirects. Le projet de loi introduit également une nouvelle catégorie, les renseignements anonymisés, qui sont exclus de sa portée. Le Québec a adopté une meilleure approche. Considérant que même l'anonymisation des renseignements personnels est inefficace contre les pratiques de tri social, qui sont à l'intersection de la vie privée et de l'égalité, toutes les données dérivées de renseignements personnels, qu'elles soient identifiables, non personnalisées ou anonymisées, devraient faire l'objet d'une surveillance proportionnelle par le commissaire à la vie privée. C'est nécessaire pour assurer que tout se fait dans les règles.
Troisièmement, le paragraphe 12(4) du projet de loi affaiblit les exigences liées à l'établissement des fins. Il autorise une organisation à recueillir des renseignements à une nouvelle fin; il lui suffit de consigner cette nouvelle fin à un moment quelconque après la collecte initiale. Combien de fois avez-vous donné des renseignements à une entreprise à qui vous avez demandé une année plus tard si elle avait changé d'idée quant à leur utilisation? Le projet de loi devrait minimalement limiter les nouvelles utilisations à des fins compatibles avec celles ayant fait l'objet d'un consensus initial.
Enfin, la LPVPC ajoute une série d'exceptions au consentement. Je vais m'attarder à la pire, soit l'exception liée à l'intérêt légitime prévue au paragraphe 18(3) du projet de loi. À l'inverse de mes collègues, j'estime qu'il faut l'éliminer. Cette exception dangereusement permissive ouvre droit à la collecte de renseignements à l'insu ou sans le consentement de l'individu si une organisation qui veut obtenir ces renseignements estime que son simple intérêt l'emporte sur les répercussions négatives pour une personne.
Essentiellement, cette disposition autorise une organisation à recueillir des renseignements pour ses propres fins, même si cette collecte n'offre aucun avantage au consommateur. C'est la LPVPC qui ouvrira ou fermera le robinet aux fins de la LIAD, mais cette exception ouvrira le robinet et retirera la commande. Je vous invite à prendre connaissance des réserves énoncées par la coalition Right2YourFace, selon laquelle cette exception risque d'être utilisée par des organisations pour justifier et camoufler leur recours à des technologies invasives de reconnaissance faciale.
Concernant la partie 3 du projet de loi , la LIAD n'a pratiquement pas fait l'objet de consultations publiques avant son incorporation au projet de loi. L'absence ou presque de rétroactions se traduit par un projet de loi fondamentalement embryonnaire, qui donne la priorité aux intérêts commerciaux plutôt qu'aux intérêts du public. Comme le projet de loi met l'accent sur les systèmes à incidence élevée, les systèmes qui ne remplissent pas les critères sont soustraits à la réglementation. L'IA peut avoir des effets subtils sur l'égalité, même dans le cas de systèmes qui n'ont pas une incidence manifestement élevée. La loi doit être suffisamment souple pour s'appliquer de manière proportionnelle à ces systèmes.
Un système de recommandation semble banal aujourd'hui, mais il peut déterminer si nous envisageons le monde avec un regard tolérant ou rempli de préjugés. Les élections sont un exemple de moment charnière où ces effets cumulatifs peuvent changer notre société. Il est impossible de savoir s'il faut supprimer ou conserver ces dispositions puisqu'il n'y a pas eu de consultations publiques pour évaluer tous les risques possibles. Les Canadiens ne sont certainement pas bien servis lorsque nous sommes réduits à discuter des amendements à apporter à un projet de loi qui est de piètre qualité parce qu'il n'y a pas de compréhension commune de tout ce qu'il doit accomplir et des effets négatifs à éviter.
Nous avons quand même formulé des recommandations précises dans notre mémoire visant à inclure les organismes d'application de la loi dans la portée de la loi, à instaurer un mécanisme de surveillance indépendante et à amender les définitions de « préjudice » et de « résultat biaisé ». De plus, nous appuyons les recommandations soumises par le Fonds d'action et d'éducation juridique pour les femmes.
Je pourrai vous parler plus longuement de ces recommandations durant la période des questions.
Merci.
J'ai des réserves au sujet de la LPVPC et de la LIAD. J'en ai exposé plusieurs dans mes propres écrits, et d'autres sont énoncées dans le rapport que le Centre pour les droits numériques a présenté au Comité. Je vais me concentrer aujourd'hui sur la Loi sur la protection de la vie privée des consommateurs. Je tiens néanmoins à souligner que j'ai aussi des réserves importantes au sujet de la loi sur l'IA et les données, et que je serai heureuse de répondre aux questions qui la concernent.
Tout d'abord, permettez-moi de dire que j'appuie de manière générale les recommandations que le commissaire Dufresne a exposées dans la lettre du 26 avril 2023 qu'il a adressée au Comité au sujet des amendements à apporter au projet de loi .
Mon exposé sera divisé en trois points.
Le a choisi de faire du consentement la pierre d'assise de la LPVPC, et de proposer des exceptions précises à l'exigence d'obtenir un consentement. Une des principales exceptions est liée à « l'intérêt légitime », et fait l'objet du paragraphe 18(3). Selon cette disposition, une organisation peut recueillir ou utiliser des renseignements personnels à l'insu ou sans le consentement de l'individu si elle le fait en vue d'une activité dans laquelle elle a un intérêt légitime. Des balises sont établies: l'intérêt légitime doit l'emporter sur tout effet négatif pour l'individu; il faut qu'une personne raisonnable s'attende à la collecte ou à l'utilisation, et les renseignements personnels ne doivent pas être recueillis ou utilisés en vue d'influencer le comportement ou les décisions de l'individu. D'autres exigences sont prévues concernant la documentation et les mesures d'atténuation.
Le problème vient de ce que le « consentement implicite » reste autorisé au paragraphe 15(5) de la LPVPC telle qu'elle est proposée. La LPRPDE autorisait le consentement implicite parce que c'était justifié dans certaines circonstances et qu'il n'existait pas d'exception liée à l'intérêt légitime. Dans la LPVPC, cette exception a le même effet que le consentement implicite. Son maintien dans le projet de loi permettra le contournement des balises prévues au paragraphe 18(3). Une organisation pourrait décider de faire valoir qu'il y a eu consentement implicite plutôt que l'existence d'un intérêt légitime. Cela créera de la confusion pour les organisations, qui risquent de ne pas pouvoir établir quelle est la meilleure approche. La solution est simple: il faut éliminer le consentement implicite. Je souligne au passage que le consentement implicite ne permet pas le traitement des renseignements au titre du Règlement général sur la protection des données. Le consentement doit être explicite, sans quoi le traitement sera fonction d'un autre motif autorisé.
Mon second point a trait à l'article 39 de la version proposée de la LPVPC, qui prévoit une exception à l'interdiction de communiquer des renseignements à l'insu et sans le consentement d'un individu s'ils visent un groupe potentiellement très large d'entités à des « fins socialement bénéfiques ». Il suffit de dépersonnaliser, et non d'anonymiser, ces renseignements, ce qui les rend plus vulnérables à une repersonnalisation. Je m'interroge sur l'acceptabilité sociale de la communication à ces fins de renseignements qui ne sont pas anonymisés, mais qui sont dépersonnalisés. Je souligne que le projet d'article 39 a été transposé mot pour mot du projet de loi , rédigé à une époque où la définition de « dépersonnalisation » correspondait à notre définition actuelle d'« anonymisation ». Autoriser la communication à des fins socialement bénéfiques est une belle idée, mais le projet d'article 39, surtout après le changement du sens attribué à la « dépersonnalisation », est dénué des mesures de protection voulues.
Premièrement, il n'existe pas d'obligation explicite de transparence. Si nous tirons un seul enseignement de l'enquête du comité de l'éthique sur l'utilisation des données sur la mobilité des Canadiens par l'Agence de la santé publique du Canada, c'est à quel point la transparence est fondamentale. Il faut à tout le moins exiger la remise d'un avis écrit concernant la communication de données à des fins socialement bénéfiques au commissaire à la vie privée du Canada. Dans l'idéal, il faudrait aussi exiger un avis public. L'article 39 devrait prévoir également que toute communication fasse toujours l'objet d'une entente de communication de données, laquelle devrait aussi être soumise au commissaire. Ces précautions n'ont rien d'exagéré lorsque des données sont réquisitionnées dans l'intérêt public. L'absence d'obligation de transparence et de mesure de base de surveillance ébranlera la confiance et la légitimité.
Je vais parler en troisième lieu de l'exception à l'interdiction de communiquer des renseignements à l'insu et sans le consentement d'un individu s'ils sont publics. L'article 51 du projet de loi reprend la disposition de la LPRPDE concernant les renseignements publics: « L'organisation peut recueillir, utiliser ou communiquer les renseignements personnels d'un individu, à son insu ou sans son consentement, s'il s'agit de renseignements personnels précisés par les règlements, auxquels le public a accès ». Nous avons vu les conséquences du moissonnage de données par les plateformes de médias sociaux dans l'affaire Clearview AI, qui utilisait des photographies récupérées sur le Web pour monter une énorme base de données de reconnaissance faciale. Le commissaire à la vie privée est d'avis que les renseignements personnels affichés sur les plateformes de réseaux sociaux ne sont pas visés par l'exception des renseignements personnels accessibles au public.
Cette approche risque de subir les répercussions des activités du nouveau Tribunal de la protection des renseignements personnels et des données, et elle risque également d'être modifiée par de nouveaux règlements. L'ancien commissaire Therrien a reconnu l'importance du projet d'article 52 et recommandé de l'amender pour y ajouter que les renseignements publics devraient être tels que l'individu n'a aucune attente raisonnable en matière de respect de la vie privée. L'autre possibilité consisterait à incorporer le passage du règlement en vigueur qui donne la liste des renseignements publics à la LPVPC, à le réviser pour en clarifier la portée et l'application à l'environnement de données actuel. Je serai ravie de vous proposer des exemples de libellés.
Cet enjeu ne peut pas faire seulement l'objet d'un règlement. Les volumes de renseignements personnels auxquels le public a accès en ligne sont astronomiques et ils sont très exposés aux risques de moissonnage et de mauvaises utilisations. Il doit être clair et explicite dans la loi que les données personnelles ne peuvent pas être récupérées sur le Web, exception faite des circonstances circonscrites énumérées dans la loi.
Pour terminer, j'ajoute ma voix à celle d'un grand nombre de personnes qui plaident pour que les obligations de protection des données énoncées dans la LPVPC s'appliquent aux partis politiques. C'est inacceptable qu'ils n'y soient pas assujettis.
Merci.
:
Merci, monsieur le président.
Après huit longues années, le Comité a enfin devant lui un projet de loi sur la protection de la vie privée. Bien entendu, des témoins nous ont dit que la dernière mise à jour de la législation sur la protection de la vie privée remonte à 24 ans.
Durant l'étude du texte en deuxième lecture à la Chambre, nous avons vraiment porté notre attention sur ce qui manquait dans le projet de loi. Ce qui manquait, c'était la reconnaissance de la protection de la vie privée comme faisant partie des droits fondamentaux. Toutefois, quand nous nous sommes réunis en comité et avons établi une liste de témoins, le a ajouté une série d'amendements. Ces amendements donnent à penser qu'il est à l'écoute. De toute évidence, nous ne savons pas trop où nous en sommes parce que les amendements seront apportés à certaines parties du projet de loi.
Monsieur Geist, merci de comparaître devant le Comité aujourd'hui. Quand nous avons reçu l'original du texte… Si j'ai bien compris, vous avez participé au processus d'élaboration de la version originale du projet de loi, la LPRPDE, il y a de cela 24 ans. Vous n'avez pas l'air si âgé, monsieur.
Le nous a présenté un projet de loi dans lequel le respect de la vie privée n'est pas reconnu comme un droit fondamental, et il nous arrive maintenant avec une série d'amendements. Est‑ce que le ministre a compromis le projet de loi?
:
Il y aura toujours des divergences d'opinion sur la question de savoir si des définitions sont suffisamment contraignantes ou si elles sont au contraire démesurément larges.
Quelle serait la réponse à mes préoccupations? Nos préoccupations à l'égard des renseignements dépersonnalisés et anonymisés sont de trois ordres. Premièrement, il y a eu un affaiblissement de la définition entre le projet de loi et la version actuelle, le projet de loi . La définition antérieure incluait des identifiants indirects. Vous pouvez m'identifier par mon nom, mais vous pouvez aussi m'identifier à partir de divers renseignements comme mon code postal, mon sexe et d'autres facteurs me concernant. Pour dépersonnaliser complètement un renseignement et satisfaire à une norme appropriée qui empêche la ré‑identification, je crois, comme mes coauteurs, que la définition devrait inclure des identifiants indirects.
Dans une certaine mesure, la définition a été affaiblie parce que le projet de loi ajoute une nouvelle catégorie, les renseignements anonymisés. Cette nouvelle catégorie de renseignements est problématique dans la mesure où on reconnaît qu'il est extrêmement difficile sur le plan technique d'anonymiser parfaitement et réellement des renseignements. Si les renseignements anonymisés sont soustraits à la portée du projet de loi, nous privons du même coup le Commissariat à la protection de la vie privée de la capacité d'inspecter le processus suivi pour assurer que l'anonymisation satisfait à la norme fixée.
Comme des témoins vous l'ont dit… Ces témoins ne seraient pas d'accord avec moi sur la question de savoir si les définitions devraient être plus contraignantes ou plus larges, mais je crois que nous convenons tous du fait que le traitement des renseignements personnels, que ce soit pour les dépersonnaliser ou les anonymiser, devrait faire l'objet de contrôles pour nous assurer que les entreprises effectuent le processus respectent une norme raisonnable largement acceptée. Pour ce faire, le projet de loi doit habiliter le Commissariat à la protection de la vie privée à mener une inspection pour déterminer si une entreprise obtient la note de passage, si c'est nécessaire.
Le dernier aspect de l'anonymisation qui nous préoccupe, et qui donne encore plus d'importance à cet examen, a trait à la confusion entre l'anonymisation et la suppression dans le projet de loi. Au moment de la présentation du projet de loi, on nous a annoncé en grande pompe que les individus auraient dorénavant le droit de soumettre une demande concernant leurs renseignements personnels aux entreprises avec qui ils font affaire.
Ce droit, à mon avis, est devenu assez illusoire. Certes, personne dans le public ne s'attend à pouvoir demander la suppression de leurs renseignements à une entreprise et que celle‑ci procède immédiatement à l'anonymisation de ces renseignements et continue de les utiliser à ses propres fins. Si nous assimilons l'anonymisation des renseignements à la suppression, comme je l'ai dit, alors il sera éminemment impérieux de nous assurer que l'équivalence est réelle et valide, et que personne ne pourra être identifié à partir de ces renseignements, et que leur utilisation ne leur causera aucun préjudice après qu'ils auront exercé leur droit de réclamer leur suppression.
:
Merci, monsieur le président.
Je remercie tous les témoins.
Monsieur Bennett, dans votre soumission du 12 février 2021 dans le cadre des consultations publiques concernant le projet de loi , vous faisiez une distinction entre le concept d'interopérabilité et celui d'harmonisation. Je pense que c'est particulièrement intéressant dans le contexte qui nous occupe, parce que ces deux concepts peuvent effectivement être confondus. Vous avez illustré la différence entre les deux par un exemple que j'aimerais citer:
Par exemple, il devrait y avoir une interopérabilité des processus du gouvernement fédéral et des provinces pour effectuer des évaluations des facteurs relatifs à la vie privée. Si une organisation effectue une évaluation des facteurs relatifs à la vie privée en vertu d'une loi, elle peut avoir besoin de l'assurance que cette même évaluation sera également acceptée dans une autre autorité compétente au Canada. Cependant, cela ne signifie pas nécessairement qu'il y aura une harmonisation ou une convergence des règles.
D'abord, pouvez-vous nous donner une définition de ces deux concepts distincts?
Ensuite, pouvez-vous nous dire si les dispositions du projet de loi favorisent plutôt l'interopérabilité des processus des divers ordres de gouvernement ou l'harmonisation des règles? Si oui, lequel de ces deux concepts devrait-on favoriser?
:
Merci de cette question.
Par cette déclaration, j'ai essayé d'expliquer la distinction entre la convergence axée sur l'harmonisation, qui consiste à harmoniser les libellés pour que des lois disent essentiellement la même chose, et l'interopérabilité, qui à mon avis a un sens différent, bien que ce soit subtil. L'interopérabilité est le fait pour des entreprises qui sont assujetties à une norme à un endroit et à une autre ailleurs — pensons à l'évaluation des facteurs relatifs à la vie privée prévue dans la loi 25 du Québec — de faire en sorte d'obtenir l'approbation d'une autre instance de réglementation. Cette opérabilité a été atteinte de façon pragmatique au fil du temps pour réconcilier des différences entre divers régimes législatifs provinciaux en vigueur au Canada, mais c'est important de comprendre que le RGPD prévoit cette interopérabilité à l'échelle internationale.
C'est ce que je voulais expliquer. Je ne suis pas spécialiste du droit québécois, mais j'ai essayé de faire ressortir certains éléments de la loi du Québec qui, selon moi, obligeront les entreprises à en faire davantage que ce que leur impose la version actuelle du projet de loi . La question qui se pose alors est celle de savoir s'il y aura des incidences économiques à l'échelle du Canada si la LPVPC est perçue comme abaissant la norme établie dans la loi québécoise. C'est ce que je voulais dire.
La disposition sur les flux internationaux de données est un exemple intéressant si on considère que, dans sa version actuelle, la LPVPC ne précise pas explicitement comment les entreprises doivent traiter des données à l'étranger, et la grande majorité des régimes de protection des données que je connais… C'est un autre aspect extrêmement important aux yeux de l'Union européenne quand une décision doit être prise pour déterminer si les lois canadiennes sont pertinentes et restent pertinentes. Qu'arrive‑t‑il lorsque des données concernant des Européens sont communiquées au Canada et qu'elles sont traitées ailleurs, dans un autre pays? Ce sont des questions essentielles. Je crois que ces aspects pourraient susciter certaines préoccupations chez nos amis européens quand viendra le moment de trancher ces questions.
J'espère que ma réponse vous satisfait.
:
Merci d'avoir lu cet article.
J'ai commencé à écrire sur ce sujet il y a une dizaine d'années. J'avais soumis un rapport sur les partis politiques et la vie privée à Mme Stoddart, la commissaire qui était en poste à ce moment. C'est évident à cette époque que notre régime législatif était très déficient. Il y a eu l'affaire Cambridge Analytica ensuite, la question s'est retrouvée en première page des journaux et elle a attiré plus d'attention.
Je vais vous dire une chose. Les partis politiques peuvent de moins en moins défendre et justifier leur exemption — ou plus exactement, dire qu'ils sont exemptés — de l'application de dispositions auxquelles les entreprises sont tenues de se conformer. Je ne pense pas que la question va être reléguée aux oubliettes.
Il reste à déterminer ce qui peut être fait. Une solution facile serait d'étendre l'application de la LPVPC aux partis politiques. Le travail du Québec ne serait pas forcément compromis, même si dans les faits sa loi modifie la Loi électorale du Canada. Je ne préconise certainement pas d'aller aussi loin.
En Colombie-Britannique, le commissariat a pris une décision comme quoi cette loi s'applique aux partis politiques fédéraux de la même manière qu'aux partis provinciaux. La décision fait actuellement l'objet d'un examen judiciaire, mais la question de l'interopérabilité, si je reviens à votre question, pose un véritable problème. J'entends par là qu'il est devenu absurde d'exiger que des partis politiques provinciaux respectent des normes plus strictes en Colombie-Britannique et au Québec que les partis politiques fédéraux.
D'ailleurs, je ne crois pas que ce soit dans l'intérêt de nos partis politiques. Il faut régler ce problème. Il faut que les partis politiques fédéraux soient soumis aux mêmes normes communément admises sur la vie privée que celles qui sont imposées aux entreprises et dont nous discutons actuellement.
:
Merci, monsieur le président.
Je m'excuse auprès des témoins pour mon petit retard. Nos collègues conservateurs nous avaient préparé un mauvais coup pour nous retarder à la Chambre aujourd'hui.
Des députés: Oh, oh!
M. Brian Masse: Je blague.
Si mes questions sont un peu hors contexte, veuillez m'en excuser à l'avance.
Je vais commencer avec M. Geist.
Un des changements proposés pour le Commissariat à la protection de la vie privée serait de créer un tribunal. Qu'en pensez-vous? J'ai moi-même des sentiments partagés et j'ai réfléchi à ce sujet.
J'ai également vu récemment les répercussions du tribunal sur le Bureau de la concurrence, et je suis très inquiet du risque que nous nous retrouvions dans le même bateau. Des gens de l'administration au sein du ministère m'ont affirmé que ce ne serait pas possible, mais d'autres me disent maintenant le contraire. Je suis un peu dans un vide sidéral et j'aimerais savoir ce que vous pensez de la situation.
:
J'en ai parlé dans ma déclaration liminaire, mais je vais volontiers y revenir.
Vous avez raison. Ce qui vient de se passer concernant Rogers et Shaw peut renforcer les doutes quant à la mise en place d'un tribunal qui sera chargé de ce genre de surveillance.
Cela dit, une des choses que nous avons observées au fil des années est qu'en raison de l'examen de novo que la Cour fédérale fait des décisions du commissaire à la protection de la vie privée fondées sur des critères — s'il y a un appel, elles sont renvoyées à la Cour, qui peut recommencer à zéro —, la tentation est assez forte de contester les décisions, ce qui s'est vu, parce qu'il y a une nouvelle chance d'obtenir gain de cause.
La création d'un tribunal spécialisé, si elle est envisagée du point de vue du droit administratif, dont les décisions devront être traitées avec déférence par les tribunaux qui en seront saisis par la suite, le cas échéant, peut renforcer les incidences du processus. Ce résultat serait dû en partie à la déférence accordée aux décisions, mais il faudra vraiment s'assurer que le tribunal sera véritablement perçu comme étant spécialisé et qu'il sera validement constitué.
La version originale du projet de loi était très loin de cela puisqu'elle prévoyait seulement la nomination d'un spécialiste de la protection de la vie privée. Nous sommes actuellement à mi‑chemin.
En nous assurant que l'intérêt public est bien représenté au sein du tribunal et qu'il a une véritable expertise, nous laissons la porte ouverte à l'idée qu'il pourrait y avoir des avantages. Cela dit, je comprends tout à fait que quelqu'un plaide que les processus sont déjà assez longs et qu'il vaudrait mieux laisser le commissaire à la protection de la vie privée gérer l'intégralité du processus.
:
Ce que nous voulons, c'est que les juges disent qu'une décision rendue par le tribunal est une décision qu'ils vont à première vue respecter.
Actuellement, lorsque le commissaire rend une décision, les tribunaux reprennent l'affaire de zéro. Ils ont la capacité de reprendre la cause dès le début, et c'est pourquoi nous voyons... L'affaire Cambridge Analytica a déjà été mentionnée à quelques reprises aujourd'hui, et les tribunaux canadiens sont toujours saisis de cette affaire. Nous avons eu le commissaire, puis nous avons eu une première décision de la cour, et maintenant il y a un appel de cette décision.
Ces processus sont longs et les tribunaux jouent un rôle quelque peu différent de celui de l'administration pour ce qui est de la protection de la vie privée. Il faut plutôt en arriver à ce que le processus du commissaire à la protection de la vie privée et le tribunal soient mieux respectés par l'ensemble des cours, en particulier en raison des types de sanctions que nous envisageons. Je crois que nous pouvons très bien supposer que, si les sanctions sont importantes, les organisations qui y sont exposées porteront les décisions en appel devant les tribunaux.
:
Je suis moins favorable au tribunal de la protection de la vie privée proposé, et ce, pour plusieurs raisons.
La première chose, c'est que... Il est certainement vrai que la Cour fédérale, en vertu du processus prévu à l'article 14 de la LPRPDE, plus précisément dans la loi, tient de nouvelles audiences. Vous pouvez changer cela. Vous pouvez conserver le même cadre, mais vous pouvez exiger qu'il n'y ait pas de procédure de novo. Cela fait actuellement partie de la loi, mais cette partie pourrait être modifiée sans créer un tout nouveau tribunal pour la protection des données.
À l'heure actuelle, le commissaire à la protection de la vie privée ne prend pas de décisions. Il n'a pas le pouvoir de rendre des ordonnances. Le commissaire présente des conclusions. Le processus devant la Cour fédérale est utilisé par le commissaire ou par le plaignant pour demander une ordonnance; ou par le plaignant pour demander des dommages-intérêts. Il ne s'agit pas d'une procédure d'appel. L'organisation, par exemple, n'a pas de mécanisme pour s'adresser aux tribunaux dans le cadre de ce processus. Encore une fois, vous pourriez certainement modifier cette formule, mais il ne s'agit pas vraiment d'un appel; il s'agit d'une audience de novo pour déterminer si une ordonnance doit être rendue.
Le Tribunal de la protection des renseignements personnels et des données aura le pouvoir non seulement de réviser les ordonnances du commissaire à la protection de la vie privée — car le commissaire aura de nouveaux pouvoirs lui permettant de rendre des ordonnances — ou d'examiner les recommandations à l'égard de sanctions administratives pécuniaires, mais aussi d'entendre les appels interjetés à l'encontre des conclusions puisque le commissaire pourra encore présenter des conclusions. Les conclusions ne sont pas des ordonnances. Elles ne sont pas exécutoires. Le commissaire exprime des opinions précises concernant la loi. Ces conclusions peuvent également être portées en appel devant le tribunal.
Je crois qu'il faut réexaminer le tout dans ce contexte. En fait, vous prenez un organisme de réglementation indépendant avec l'approche et les interprétations qu'il apporte à son rôle décisionnel. Vous avez ensuite un tribunal nommé qui va examiner ces décisions et ces conclusions, les approches et les interprétations qui ne sont pas exécutoires et qui sont celles du commissaire à l'égard de la loi.
L'une des choses sur laquelle j'ai exprimé des préoccupations... Le commissaire précédent et le commissaire actuel ont travaillé en étroite collaboration avec les provinces qui ont adopté des lois sur la protection des données dans le secteur privé, soit l'Alberta, la Colombie-Britannique et le Québec. Ils ont mené des enquêtes conjointes. Ils ont publié des conclusions conjointes. Ils travaillent en étroite collaboration pour essayer d'assurer une certaine uniformité dans l'ensemble du pays relativement à l'interprétation de leurs lois et pour tenter de trouver des interprétations communes et cohérentes des lois.
Nous allons nous retrouver dans un contexte dans lequel le commissaire a moins de latitude, parce qu'il peut être d'accord avec les commissaires provinciaux, qui ont le pouvoir de rendre des ordonnances qui peuvent uniquement faire l'objet d'une révision judiciaire, sans possibilité d'appel devant un tribunal quelconque. Le commissaire fédéral sera peut-être d'accord avec eux dans les conclusions communes, et il verra ensuite ces conclusions faire l'objet d'un appel devant un juge qui pourrait statuer autrement, ce qui perturberait la collaboration entre les commissaires et l'équilibre qui pourrait exister.
J'ai plusieurs réserves concernant la structure du tribunal et les incidences possibles sur la manière dont les décisions sont prises relativement à l'interprétation et à l'application de la loi.
:
Merci, monsieur le président.
Je remercie nos témoins d'être avec nous aujourd'hui.
Je suis quelque peu préoccupé par ce mauvais projet de loi dont nous sommes saisis aujourd'hui.
Avec le projet de loi , le gouvernement du Canada avait l'occasion d'enchâsser le droit fondamental à la vie privée des enfants, de définir ce qu'est un mineur, de définir ce qui pourrait être l'âge de consentement et de faire beaucoup de choses pour assurer la protection des enfants. Ce projet de loi est mort au Feuilleton.
Puis, nous avons eu le projet de loi lorsque le Parlement a repris ses travaux. Encore une fois, le ministre a eu l'occasion d'inscrire le droit fondamental des enfants de protéger leur vie privée par certaines mesures pouvant être prises en ligne. Le gouvernement a ensuite eu l'occasion de définir ce qu'est un renseignement de nature délicate, vraisemblablement lorsqu'il s'agit d'un enfant. Il a eu l'occasion de définir ce que sont des fins socialement bénéfiques lorsqu'il s'agit d'un enfant.
Le ministre a comparu devant nous il y a quelques semaines. Il nous a dit qu'il avait ce projet de loi qui allait faire énormément de choses pour protéger les enfants, mais qu'ils allaient y apporter des modifications. Nous avons ensuite été obligés de présenter une motion pour obtenir une copie de ces amendements. Nous sommes ici aujourd'hui. Je ne céderai pas sur ce point tant que nous n'aurons pas obtenu plus de précisions et entendu le plus grand nombre de témoins possibles pour veiller à ce que les droits des enfants soient protégés.
Ma question est ouverte. Je vais commencer par vous, monsieur Geist. À votre avis, quels articles du projet de loi devraient être modifiés pour veiller à ce que le droit fondamental d'un enfant à la protection de sa vie privée et à ce que ses activités en ligne ne soient pas utilisés d'une manière qui le compromettrait en tant qu'adulte ou plus tard dans sa vie?
:
Je vais vous donner une réponse brève, mais le professeur Krishnamurthy, qui est l'un des témoins, a réalisé des études et écrit des rapports à ce sujet. Il est donc probablement le mieux placé pour répondre à certaines de ces questions. Cependant, je dirai deux choses en réponse à vos commentaires initiaux.
Tout d'abord, je le répète, je crois que beaucoup de personnes sont déçues par le peu de priorité qui a été accordé à la protection de la vie privée au cours des dernières années. Comme vous l'avez mentionné, les projets de loi sont présentés, puis semblent stagner.
Je suis heureux que nous soyons ici aujourd'hui, mais j'ai tendance à être d'accord avec vous pour dire que la meilleure façon d'utiliser le temps dont vous disposez avec vos témoins et de mener le meilleur examen possible est de réfléchir à la loi telle qu'elle est envisagée par le gouvernement. Si nous nous retrouvons avec cet amalgame de projets de loi et des commentaires sur la direction que prennent les choses, nous n'aurons pas le meilleur examen possible.
Pour ce qui est des mineurs, plus précisément, je ferai remarquer que l'une des réelles préoccupations porte sur les définitions des mineurs qui sont différentes d'une province à l'autre, et d'autres choses de ce genre. Par conséquent, je pense qu'une chose à inclure dans la loi — et je sais que d'autres témoins l'ont soulignée — est la nécessité d'avoir une définition commune qui nous assurera qu'il existe une protection uniforme.
Je suis d'accord avec les premières réponses de M. Geist, mais permettez-moi de revenir un peu en arrière.
Il y a certainement des articles précis du projet de loi qui pourraient être modifiés pour améliorer la protection des enfants et des mineurs. Cependant, nous devons examiner ce que fait l'ensemble de la structure du projet de loi pour protéger les enfants, et aussi les adultes, en fait.
Plusieurs témoins — non seulement Mme Scassa et M. Bennett — ont parlé de l'interaction entre l'exception relative à l'intérêt légitime et les dispositions du projet de loi sur le consentement implicite. Lorsqu'elles sont appliquées aux mineurs, structurellement parlant, ces exceptions pourraient être très problématiques, et je pense qu'une approche structurelle est requise à cet égard. Toutes ces parties du projet de loi sont en interaction.
Quelles sont les exceptions au consentement? Dans quelles situations une personne qui recueille ou utilise des données doit-elle se soumettre à un processus pour justifier ce qu'elle fait? Il s'agit d'évaluer l'incidence sur la protection des données. Quels sont les recours?
Plus précisément, il y a quelques points que j'aimerais souligner et qui, à mon avis, sont des amendements relativement simples à apporter. La première concerne l'expression « l'intérêt supérieur de l'enfant », qui pourrait être insérée dans...
:
Je ne pense pas que nous devrions y voir une compétition entre l'innovation et la protection de la vie privée. Il est possible d'harmoniser les deux. La question est de savoir comment nous pouvons favoriser une innovation responsable qui respecte ce que je crois être les droits fondamentaux à la vie privée de chacun.
Je crois qu'il est très utile d'examiner ce qui s'est passé dans l'Union européenne depuis l'adoption du Règlement général sur la protection des données, ou RGPD, qui a le consentement à titre d'une des six bases que peut utiliser une organisation qui recueille, traite et utilise les renseignements personnels. L'intérêt légitime est un élément clé du cadre européen de protection des données sur lequel on compte beaucoup pour fournir différents services novateurs. En fait, dans l'Union européenne, pour autant que je sache — et cela touche l'environnement de la Loi sur l'intelligence artificielle et les données, ou LIAD —, il s'agit de la principale façon d'acquérir des données pour la formation de l'IA.
La loi européenne, contrairement à ce à quoi nous pensons ici, comporte beaucoup plus de protections concernant l'utilisation des exceptions au consentement. Lorsque nous comptons sur ces exceptions pour soutenir des activités commerciales ou d'autres formes d'innovation, je pense qu'il est très important de mener, par exemple — et je l'ai déjà mentionné —, des évaluations de l'incidence sur la protection des données afin que nous puissions bien réfléchir et évaluer très soigneusement les intérêts du responsable du traitement des données et ce qu'il fait par rapport aux intérêts des personnes dont les données sont utilisées.
Surtout dans le cas de données sensibles, ces protections sont extrêmement rigoureuses dans l'approche européenne, et cela nous ramène au point soulevé par M. Bennett en réponse à la question d'un autre député au sujet de l'interopérabilité par opposition à l'harmonisation. Nous pouvons rendre notre loi compatible avec d'autres lois, mais il s'agit peut-être d'un domaine où une certaine harmonisation avec l'Europe serait souhaitable pour protéger le droit à la vie privée des Canadiens, mais aussi pour avoir des relations commerciales transatlantiques, car nous aurions un niveau élevé de protection semblable à celui de nos principaux partenaires commerciaux.
:
Historiquement, il y a deux façons de faire. Vous pouvez procéder conformément à ce qui est prévu dans la LPRPDE, c'est‑à‑dire qu'il incombe à l'organisation de s'assurer que les mêmes protections juridiques existent lorsque des données sont transférées à un fournisseur de services, que ce soit au Canada ou ailleurs. Le problème avec cette approche, c'est qu'elle repose sur des contrats ou d'autres ententes interentreprises qui ont tendance à exclure les personnes.
L'autre approche est de faire ce que les Européens ont fait au fil des ans, c'est‑à‑dire utiliser un test juridique, une approche de juridiction à juridiction, qui consiste à dire: « Voici les pays vers lesquels les données personnelles pourraient être transférées en toute sécurité. » Le désavantage, c'est que cette approche est longue. Elle est très légaliste. En fin de compte, elle ne fait pas grand-chose pour assurer la protection des données sur le terrain.
En bref, la réponse à votre question est qu'il s'agit d'une approche complexe. Comme je l'ai dit, je pense que l'approche selon laquelle lorsqu'une entreprise transfère des données à un fournisseur de services, que ce soit au Canada ou à l'étranger, elle doit faire une évaluation, non seulement de ce que fait l'entreprise, mais aussi de l'environnement juridique et politique... Pour des raisons économiques, nos entreprises transfèrent des données personnelles sur des Canadiens à des pays qui n'assurent pas une protection adéquate de la vie privée et qui, dans certains cas, ont un bilan douteux en matière de droits de la personne. Je crois que les Canadiens ne seraient pas très contents d'apprendre que cela se produit.
Toute entreprise devrait être tenue de faire cette évaluation. C'est essentiellement ce qu'exige la loi québécoise. Elle exige une évaluation des facteurs relatifs à la vie privée — en fait, une évaluation élargie des facteurs relatifs à la vie privée — et que l'entreprise soit prête à rendre des comptes sur ces données si un organisme de réglementation en fait la demande.
C'est l'approche de compromis que je proposerais, mais pour le moment, si une entreprise examine le projet de loi actuel, elle pensera: « Je veux transférer ces données à l'étranger. Je veux que ces données soient traitées à l'étranger. Que dois‑je faire? » Ce n'est pas clair. Il n'y a rien. La plupart des lois, comme je l'ai dit, comportent une section sur les transferts internationaux de données, et c'est quelque chose que je recommanderais fortement.
:
La Loi sur la protection des renseignements personnels est une façon conventionnelle d'examiner la collecte de données par le gouvernement. Les commissaires successifs, bien avant la création de la LPRPDE, ont soutenu qu'elle était insuffisante et inadéquate. Le gouvernement n'est jamais parvenu à respecter les normes qu'il impose au commissaire à la protection de la vie privée. Nous savons pourquoi les commissaires à la protection de la vie privée ont régulièrement soulevé ce problème, mais il a rarement atteint le niveau d'une réforme proprement dite.
Si l'enjeu concerne davantage les partis politiques et l'application possible des données — ce que plusieurs témoins ont mentionné —, je crois que si nous sommes honnêtes à ce sujet, la raison de leur exclusion est assez évidente. C'est parce que les partis politiques sont devenus très dépendants de l'accès à ces données. Ils valorisent ces données et, bien franchement, ils craignent que s'ils devaient obtenir le même niveau de consentement auquel sont assujetties les entreprises, ils ne l'obtiendraient pas et l'accès à ces données serait compromis.
À mon avis, cela met en lumière deux choses. Tout d'abord, je pense que c'est très évident: si vous affirmez qu'il existe un droit fondamental à la vie privée et que vous allez renforcer les exigences imposées aux entreprises, je vous prie de prendre un miroir et de respecter vous-mêmes, en tant que partis politiques, ces mêmes exigences.
Cela montre aussi pourquoi la loi pose de réels problèmes au secteur privé. Les partis politiques ne veulent pas de limites à la collecte et à l'utilisation des données en dehors d'une législation exigeant le minimum, et il en va de même pour de nombreuses entreprises. Elles affirmeraient aussi qu'elles sont très innovatrices et qu'elles agissent dans l'intérêt public ou qu'elles ont un intérêt légitime. Nous connaissons tous les types de discours qui en découlent. Fondamentalement, elles ne veulent pas être obligées de demander un consentement réel et éclairé parce qu'elles savent qu'elles pourraient ne pas l'obtenir.
Nous pouvons comprendre pourquoi vous devez vous assurer que les règles obligent ces entreprises à respecter des normes plus élevées. Je dirais que nous devrions imposer la même chose aux partis politiques.
:
Je crois que je vais commencer.
À mon avis, une partie du problème — et je pense que d'autres témoins l'ont mentionné et qu'ils voudront peut-être intervenir — est que cette approche omnibus qui regroupe la protection de la vie privée et l'intelligence artificielle empêche vraiment de procéder à un examen efficace de la loi dans son ensemble. Sans surprise, nous discutons beaucoup de la protection de la vie privée, ce que je comprends. C'est ce que le Comité voulait faire, du moins au début, mais les règles relatives à l'intelligence artificielle sont d'une importance cruciale. Comme nous l'avons dit, nous n'avons même pas le texte intégral qui la concerne, et les répercussions sont énormes.
À mon avis, le point de départ du Comité est de dire que cela ne fonctionne pas comme il se doit pour que le Comité puisse faire son travail efficacement. Vous voulez mettre de côté la partie qui concerne l'intelligence artificielle pour l'instant et retourner à la planche à dessin ou dire que vous allez mener deux études ou que deux comités vont mener des études. Le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique y participera peut-être. Il doit y avoir un mécanisme quelconque pour que ces deux mesures législatives reçoivent l'attention qu'elles méritent.
Pour ce qui est de la protection de la vie privée dans ce projet de loi, j'ai très rapidement parlé des partis politiques. J'insiste de nouveau sur le fait que nous entendrons, et que nous entendons, plusieurs témoins dire que nous devons faire preuve d'innovation. Nous ne pouvons pas prendre du retard dans ces aspects. Je dois dire que vous devez reconnaître que cela remonte aux audiences des années 1990. Nous avons vu le même genre de raisonnement selon lequel le ciel nous tomberait sur la tête si nous adoptions une telle loi. Nous avons vu le même genre de commentaires en Europe lors de l'élaboration du RGPD. La réalité, c'est que les entreprises vont s'adapter. Elles adopteront ces règles et, dans bien des cas, elles y trouveront un avantage concurrentiel.
Pendant votre examen du projet de loi, je vous encourage fortement à chercher les aspects à renforcer et là où se trouvent les exceptions — il a été question aujourd'hui de plusieurs exceptions qui posent problème —, mais plus fondamentalement, je vous encourage à reconnaître que l'optique à adopter ici n'est pas une tactique alarmiste du type « Vous allez nuire à l'innovation au pays », parce que ce n'est qu'un guide de base sur les règles de confidentialité. Il s'agit plutôt de voir ce que nous pouvons faire pour nous assurer d'avoir la meilleure loi possible pour les 10 ou 20 prochaines années.
:
Merci, monsieur le président.
Je suis désolé. J'ai eu un appel urgent. J'ai dû partir, alors comme le député Masse, je m'excuse si quelqu'un a couvert cette question.
Mes premières questions s'adresseront à Mme McPhail.
J'aimerais commencer par dire que nous avons déjà entendu des témoignages intéressants et que nous nous sommes fait arracher les dents par le pour obtenir les amendements qu'il a dit qu'il ferait, qu'il a ensuite refusé de faire et qu'il a ensuite présentés sous forme d'ébauches — qui, à mon avis, sont tout à fait inadéquates dans certains cas en ce qui concerne la protection de la vie privée.
Vous savez, nous avons eu le projet de loi , que le gouvernement libéral a présenté et qui était imparfait. Il n'a pas écouté le commissaire à la protection de la vie privée de l'époque et a reçu des réponses après le dépôt du projet de loi, indiquant qu'il s'agissait d'un mauvais projet de loi. Puis les élections de 2021 sont arrivées et le projet est mort au Feuilleton. Le n'a pas écouté les témoignages et a présenté à nouveau un projet de loi imparfait, qu'il a laissé en suspens à la Chambre pendant un an avant que nous n'en débattions. Puis, à la dernière minute, après quatre ans de batailles, il décide que la vie privée est peut-être importante et que nous allons donc reconnaître un droit fondamental.
Voici mon problème avec la position du gouvernement, et je pense que Mme McPhail et Mme Scassa en ont exposé certaines des raisons. Si vous aviez regardé ma question précédente... Alors que les libéraux vont placer le droit fondamental dans la section « Objet », la plus importante, ils disent aussi que la capacité d'une organisation à utiliser ces données est fondamentalement d'une importance parallèle dans l'objet du projet de loi.
Ensuite, comme vous l'avez souligné, l'article 12 proposé soulève des questions concernant le consentement et le consentement implicite. Très franchement, je pensais que le consentement implicite avait disparu il y a longtemps, dans les années 1990, comme le consentement inversé. Apparemment, le consentement implicite existe toujours ici, et je peux donc dire: « Pas de problème, monsieur Vis. Je pense que vous auriez consenti à cela, alors je l'utiliserai quand même. »
Ensuite, au paragraphe 15(5) proposé, comme l'a souligné le témoignage que nous avons entendu plus tôt, il y a un énorme problème.
L'article 18 proposé, dont j'ai beaucoup parlé, dit en substance: « Pas de problème. Les grandes entreprises peuvent utiliser vos données, quel que soit le consentement, s'il est dans leur intérêt de les utiliser, même si cela leur cause du tort. »
Ensuite, il y a la proposition de l'article 35. La dernière fois, j'ai parlé de l'article 35 proposé à l'ancien commissaire à la protection de la vie privée. Il stipule que si une organisation utilise vos données à des fins de recherche ou de statistiques, elle peut utiliser les données comme elle l'entend — sans identification, directement. Il ne précise pas, comme le faisait la LPRPDE, qu'il s'agit d'un travail d'érudition. Ces mots n'existent plus. Elle dit qu'une organisation peut l'utiliser, et « une organisation », comme nous le savons, dans ce projet de loi, est une entreprise.
Il y a beaucoup de choses à corriger dans ce projet de loi pour rétablir l'équilibre entre l'individu et l'entreprise. Les libéraux ont fait pencher la balance du côté des grandes sociétés multinationales d'extraction de données — Facebook, Google et d'autres — pour qu'elles aient le droit de faire ce qu'elles veulent avec les données d'un individu. Je me demande s'il suffit de supprimer l'article 18 proposé, l'intérêt légitime, pour rétablir l'équilibre, ou s'il faut faire une autre déclaration d'un niveau plus élevé dans la section « Objet »? Faut‑il supprimer l'article 35 proposé et le remplacer par ce qui existait déjà dans la LPRPDE et qui est supprimé ici?
Je pourrais peut-être demander à Mme McPhail, puis à Mme Scassa, de faire des commentaires
:
L'un des véritables défis que pose ce projet de loi est qu'il ne s'agit pas seulement d'amendements spécifiques et ciblés à la loi que nous avions auparavant, mais d'une réécriture et d'un remaniement complets. Nombre de ces dispositions reprennent mot pour mot celles de la LPRPDE, mais des concepts connexes ont été modifiés ou redéfinis. Dans certains cas, de nouvelles dispositions ont été ajoutées et un nouveau langage a été utilisé. Il y a donc beaucoup de choses qui se passent et il y a des préoccupations de fond, mais aussi des préoccupations sur la façon dont les dispositions interagissent les unes avec les autres. On se demande s'il n'y a pas des problèmes d'héritage créés parce que des choses ont été reprises sans être adaptées à d'autres concepts qui ont été introduits dans le projet de loi.
Je pense que tous ceux d'entre nous qui ont étudié et examiné ce projet de loi, lorsqu'on leur a demandé de citer les trois points les plus importants, ont dressé des listes de 15, 20 ou 25 points et ont considéré qu'il s'agissait de listes courtes, parce qu'il y a beaucoup de choses que l'on pourrait commenter et aborder. Je pense que nous avons essayé d'aller vers les choses les plus importantes.
Je crains que si ce projet de loi est adopté, au cours des prochaines années, nous allons trouver des problèmes et des questions dans le projet de loi liés à certains de ces autres changements et ajustements linguistiques que nous n'avons pas abordés ou que nous n'avons pas anticipés. Je pense qu'il s'agit d'une préoccupation, en particulier à la lumière des commentaires de M. Geist selon lesquels il faut un temps terriblement long avant qu'il y ait de la place dans l'agenda législatif pour d'autres amendements.
Je pense que c'est l'un des défis fondamentaux de ce projet de loi. Je regrette que le Comité ne puisse pas y consacrer tout son temps et doive le partager entre ce projet et la loi sur l'IA et les données, qui pose également de sérieux problèmes.
:
Merci de cette question, et aussi d'avoir lu mon mémoire universitaire, ce que j'apprécie. Il est agréable de voir qu'il est lu.
J'aimerais en fait répondre à cette question, si possible, dans le cadre de la discussion précédente sur la proposition d'article 51 de la législation, qui porte sur la manière dont les données peuvent être réutilisées avec des renseignements accessibles au public, ou plus tôt dans la loi en ce qui concerne les statistiques et d'autres types d'objectifs. Je pense qu'il s'agit là d'un point clé d'interaction entre la LPVPC et la LIAD — si l'on peut dire.
La technologie évolue très rapidement et nous assistons à une prolifération de technologies extrêmement puissantes — que nous appellerons IA — qui ont un modèle commercial intéressant. Le modèle commercial est que des entreprises de plus en plus petites — celles qui ont moins de capacités qu'auparavant en termes de conformité, d'affaires réglementaires et juridiques — sont en mesure d'exploiter des outils extraordinairement puissants et de faire des choses incroyables avec nos données.
Dans l'article, je parle d'une entreprise qui se contente de prendre des éléments des offres en nuage d'Amazon — un système de reconnaissance vocale, un système de traduction ou de transcription, l'analyse de données — et qui crée des systèmes automatiques pour surveiller les appels téléphoniques des prisonniers. L'utilisation qui peut être faite des données personnelles une fois qu'elles ont été collectées, en raison de l'environnement IA dans lequel nous vivons et du fait que ces technologies sont accessibles à tout le monde en glissant une carte de crédit, change radicalement ce dont nous parlons lorsque nous parlons de protection de la vie privée.
La LPRPDE a été adoptée il y a 25 ans. Nous n'aurions pas pu prévoir ce changement révolutionnaire, et aujourd'hui nous avons cette législation et ses deux composantes principales. Bien sûr, il y a le volet procédural avec les parties qui établissent le tribunal. Compte tenu de l'évolution du paysage et de ce que nous pensons qu'il va se passer dans les 15, 20 ou 25 prochaines années en ce qui concerne les avancées technologiques qui peuvent utiliser plus efficacement nos données et déterminer des choses sur nous que nous ne connaissions pas, nous devons être extrêmement réfléchis sur les deux parties du paquet législatif.
Une fois encore, je crois que Mme McPhail l'a mentionné. La LPVPC est la loi qui régit l'entrée des données dans les systèmes d'IA, pour le meilleur ou pour le pire, et la LIAD, espérons‑le, avec des amendements, réglementera les utilisations auxquelles les systèmes peuvent être soumis. Je pense qu'il s'agit d'une intersection d'une importance cruciale à laquelle ce comité doit réfléchir très attentivement à mesure que la technologie devient plus puissante et accessible à de plus en plus d'acteurs.
:
Je pense qu'un excellent exemple qui devrait être présent à l'esprit de ce comité et de tous les Canadiens est celui de Clearview AI, une entreprise technologique basée aux États-Unis qui prend des renseignements accessibles au public — vos photos sur Facebook, sur Tumblr ou autre — et qui a développé un système de reconnaissance faciale très puissant basé sur l'IA, en utilisant des renseignements accessibles au public, sans aucun consentement pour la collecte ou l'utilisation de ces renseignements. Bien entendu, tous les commissaires à la protection de la vie privée qui se sont penchés sur la question sont parvenus à la conclusion que cette pratique était contraire à toutes les lois canadiennes en vigueur en matière de protection de la vie privée.
Dans le cas présent, il s'agit d'une entreprise basée aux États-Unis, ce qui soulève des questions quant à l'applicabilité de la loi, mais je pense que cela démontre plusieurs choses. Elle montre que certaines de ces exceptions sont très susceptibles d'être utilisées à mauvais escient et, une fois que les données ont été ingérées et que le modèle a été formé, il faut également réglementer la façon dont elles sont utilisées.
On pourrait faire valoir qu'il y a des raisons pour lesquelles les renseignements accessibles au public peuvent et doivent être collectés et utilisés. Nous pouvons en discuter. Cependant, le fait qu'elle ne soit soumise à aucune surveillance — une exigence d'évaluation d'impact, par exemple — pose problème en ce qui concerne la partie du projet de loi relative à la LPVPC, et nous pourrons alors parler séparément des nombreuses faiblesses de la LIAD.
:
Nombre de mes collègues qui conceptualisent la loi sur la protection de la vie privée voient dans cette loi ses dispositions de fond — vous pouvez faire ceci et vous pouvez faire cela — et la voient aussi en tant que processus. L'idée est d'amener les organisations qui recueillent et utilisent des données personnelles à établir des modalités de gouvernance et une obligation de rendre compte de la manière dont elles le font. Il s'agit de réfléchir soigneusement aux utilisations, de les documenter et d'effectuer des contrôles.
Dans mes observations précédentes, j'ai parlé du cadre général de la loi et des éléments qui interagissent. C'est là que je pense qu'une orientation plus forte des processus s'impose dans les deux... Dans la LPVPC, c'est la disposition relative à l'évaluation d'impact pour la protection des données, qui interagira par la suite avec les dispositions d'application. En ce qui concerne la LIAD, il s'agit d'établir clairement certaines utilisations qui sont inacceptables et que nous allons interdire, puis ajuster la loi en fonction du niveau de risque. À l'heure actuelle, la LIAD ne régit que les systèmes qui posent de grands risques et nous ne savons pas quels sont ces systèmes parce qu'il n'y a pas de critères.
La législation européenne, qui, selon moi, est faible et pourrait être améliorée, régit tous les systèmes d'IA à partir de présomptions. Même les systèmes qui présentent peu de risques, pour lesquels les créateurs ont démontré que le risque était faible, sont soumis à des exigences. Je pense que c'est là une garantie essentielle. Si nous voulons créer une loi durable, il faut évaluer l'ensemble de l'environnement de risque et l'intégrer dans ces mesures législatives.
:
Merci pour la question.
Techniquement parlant, le projet de loi n'aborde pas cette question parce que nous avons le projet de loi. Comme vous le savez, nous avons également une note de service du selon laquelle ils ont commencé à repérer ce qu'ils ont l'intention d'inclure pour les systèmes à incidence élevée. Comme vient de le dire M. Krishnamurthy, l'approche consiste à chercher à réglementer ces systèmes et à établir un certain nombre de cadres réglementaires de ces dispositions.
On s'accorde généralement à dire qu'il est approprié et nécessaire d'établir des règles, en particulier lorsque les systèmes d'IA suscitent des inquiétudes quant aux préjugés qu'ils véhiculent. Pensez à l'utilisation de l'IA sur les marchés du travail pour l'embauche. Pensez à l'utilisation de l'IA dans le secteur de la santé, dans le secteur financier et dans l'application de la loi. Il y a beaucoup d'endroits où nous pouvons facilement voir des risques et des préjudices potentiels. C'est là‑dessus que s'est porté l'essentiel des discussions.
Curieusement, du moins en ce qui concerne la liste qui a été fournie, les algorithmes des moteurs de recherche et les algorithmes des médias sociaux sont également inclus ici. Il ne fait aucun doute qu'il faut de la transparence dans les algorithmes de ces entreprises. Nous devons cerner les moyens de traiter les préjudices qui peuvent en découler, tels que tout comportement concurrentiel dans les résultats de recherche, ce qui est manifestement une question qui soulève de grandes inquiétudes. Cependant, je suis très perplexe à l'idée que nous pourrions traiter ce système comme un système à incidence élevée de la même manière que nous traiterions l'utilisation de ce système par les forces de l'ordre ou son utilisation dans le domaine de la santé. Je ne sais pas si quelqu'un d'autre, où que ce soit dans le monde, a jugé bon de faire cela pendant ses travaux sur certaines de ces questions.
:
Merci, monsieur le président.
Je remercie mon collègue de partager son temps de parole avec moi.
Je remercie tous les témoins de leur présence.
Monsieur Geist, j'aimerais parler de la façon dont le projet de loi, anciennement le projet de loi , a été présenté depuis deux ans. Nous savons que des modifications ont été demandées et que le ministre n'a pas vraiment été à l'écoute, puisque la nouvelle version n'est pas meilleure. Nous nous retrouvons donc dans la situation actuelle où, 18 mois plus tard, vous devez venir témoigner ici à propos de ce projet de loi.
Durant tout ce processus, qui durera plusieurs mois, nous allons rencontrer une centaine de témoins. Comment vous sentez-vous concernant le processus actuel, alors que nous n'avons pas eu accès aux huit amendements qui ont été proposés par le ministre, sauf les quelques lignes que nous avons pu obtenir jusqu'à maintenant? Je vous pose cette question parce que vous en avez parlé tout à l'heure.
J'aimerais que vous vous exprimiez en tant que témoin. Je ne vous demande pas nécessairement de vous exprimer au nom des autres, mais je voudrais à tout le moins que les gens comprennent le processus dans lequel nous sommes actuellement, que je considère comme faussé. Comment est-ce possible pour vous, de même que pour l'ensemble des témoins qui viendront ici, de vous prononcer sur le contenu d'un projet de loi alors que nous n'avons pas accès aux amendements?
:
Tout d'abord, je dirai qu'il y a eu des améliorations entre le projet de loi précédent et le projet de loi actuel, ce qui signifie que le gouvernement a écouté, et que certaines des choses qui figurent dans ce projet de loi sont meilleures que dans le projet de loi qui avait été présenté en premier lieu et qui n'a vraiment abouti à rien.
Je dois également admettre en toute franchise que c'est l'une des comparutions en comité les plus difficiles que j'ai eues depuis très longtemps, en partie parce qu'habituellement, lorsqu'on est invité — et j'ai déjà comparu pour des projets de loi omnibus comme celui que nous obtenons avec, disons, la loi d'exécution du budget —, on est invité pour l'examen d'un type de dispositions précis, et on sait comment cela fonctionne.
Dans le cas présent, nous avons vraiment deux projets de loi distincts, peut-être plus que deux, mais deux projets de loi portant fondamentalement sur ces deux questions, plus, bien sûr, la question du tribunal. On dispose de cinq minutes. Je reconnais qu'il n'y a pas de comparutions multiples et qu'on ne dispose pas de beaucoup de temps pour traiter la question. Je pense, en regardant autour de moi, que les témoins — des personnes comme Brenda McPhail, M. Krishnamurthy, ma collègue Teresa Scassa et M. Bennett — ont une grande expertise dans tous les domaines. Il y a là une certaine corrélation.
Cela me semble être non seulement une manière inefficace de traiter cette question, mais je pense, si je peux être honnête, que c'est une manière inefficace d'essayer d'être efficace dans mes réponses. Il y a évidemment une limite de temps, une limite de priorités et de types de questions que j'essaie de mettre en évidence. Il faut faire des compromis, pour ainsi dire. En fin de compte, on ne peut pas parler de tout, et je pense que cela aurait été bien mieux si les deux avaient été séparés.
:
C'était une référence, et nous l'avons entendue régulièrement, au désir d'atteindre un équilibre dans ces dispositions, mais reconnaissons qu'une fois que l'on sort et que l'on commence à appliquer ces règles, le partage du terrain n'est pas équitable. De nombreux Canadiens ne connaissent pas leurs droits en matière de protection de la vie privée ou, s'ils les connaissent, la perspective de déposer une plainte et de faire face à tous les défis inhérents au système — et cela est vrai pour d'autres domaines que la protection de la vie privée, mais c'est certainement vrai pour la protection de la vie privée — les décourage.
Nous avons un système qui, au cours des deux dernières décennies, a vraiment déçu les gens parce que, souvent, ils passent par tout ce processus et n'obtiennent en fin de compte qu'une conclusion non exécutoire.
Je suis heureux que cette loi cherche à remédier à cela. L'application de la loi est importante, mais il faut reconnaître que, surtout si nous prévoyons des sanctions plus sévères, ce qui est l'une des très bonnes choses que contient cette législation, ceux qui risquent des sanctions adopteront une approche beaucoup plus agressive dans la façon dont ils réagissent à ces différentes plaintes.
Les règles du jeu ne sont pas équitables, ce qui signifie qu'il faut intégrer autant que possible dans la loi des moyens de limiter la possibilité pour ces entreprises d'exploiter ce qui est manifestement un déséquilibre de pouvoir entre elles et les individus.
:
Bien sûr. Je tiens à souligner l'importance de cette loi et à quel point il est important d'y inclure des mesures d'application nettement meilleures. Je pense que l'expérience des deux dernières décennies montre que, souvent... S'il ne reste que des conclusions non exécutoires, il est très difficile de les faire respecter, et je pense qu'il est difficile pour le commissaire de s'assurer que les entreprises elles-mêmes se conforment, parce qu'elles s'engageront naturellement dans une analyse des risques, du moins dans le cadre du projet de loi actuel. Elles se demanderont: « Qu'arrivera‑t‑il si je ne respecte pas les règles? » ou « Qu'arrivera‑t‑il si je dépasse un peu les limites? » La réponse est qu'elles risquent de faire l'objet d'une enquête si quelqu'un s'en rend compte et dépose une plainte et, au pire, du moins au début, il n'y aura qu'une conclusion non exécutoire, et elles devront essayer de faire quelque chose. Cela s'est déjà produit. Je me souviens d'une affaire, concernant Bell, je crois, qui a rejeté certaines des conclusions initiales du commissaire, ce qui a donné lieu à certaines pressions et ils ont réagi.
Nous avons vu des entreprises adopter une approche assez agressive. Je suis heureux que le gouvernement ait jugé bon d'améliorer l'application de la loi, tant en ce qui concerne les pouvoirs du commissaire que les sanctions prévues dans la loi. Je suis heureux qu'il ait jugé bon de commencer à adopter certains types de dispositions adoptés en Europe. Cela aurait dû être fait depuis longtemps, et ce n'est pas tout à fait la même chose, ou identique, mais cela nous permet néanmoins d'avancer dans une certaine direction.
Absolument, je pense qu'il y a des choses qui améliorent la loi existante. Cette loi a plus de 20 ans. Nous devons la corriger, mais, comme je l'ai dit, le point essentiel pour moi et d'autres personnes que nous avons entendues est que si, selon toute probabilité, vous ne corrigez ce projet de loi ou cette loi que tous les 10 ou 20 ans, vous ne pourrez pas vous reposer sur vos lauriers avec le sentiment d'avoir réussi un certain nombre de choses s'il reste encore bien d'autres choses qui doivent être corrigées.
:
Il ne fait aucun doute que l'ensemble des amendements du projet de loi constitue une amélioration par rapport au statu quo. Je pense que nous le reconnaissons tous. Cependant, je ne suis pas sûr que nous devrions nous contenter d'un projet de loi C+. Je pense que les Canadiens méritent une protection de la vie privée de niveau A+, et les amendements à ce projet de loi peuvent nous permettre d'y parvenir.
Je pense que c'est l'esprit dans lequel tous ceux d'entre nous qui sont des universitaires et des activistes, qui réfléchissent à la protection de la vie privée et qui adoptent une approche globale de la question, voient les choses. Nous comprenons que des renseignements privés doivent être recueillis et traités, mais cela doit se faire dans le respect de ce qui est un droit de la personne très fondamental, un droit qui devient de plus en plus important dans notre ère numérique, à mesure que la technologie devient de plus en plus envahissante, et il est important d'y parvenir.
L'oxygène politique est rare. Encore une fois, vous avez de nombreuses priorités, de nombreuses choses à légiférer, alors si c'est notre chance, nous devons faire de notre mieux. Je pense que toutes les personnes présentes ici aujourd'hui ont proposé de très bonnes idées, et si ce comité les adopte et adopte certains amendements, ce projet de loi pourrait être bien meilleur.
:
Merci, monsieur le président.
Les discussions qui ont eu lieu étaient intéressantes. Or, je m'interroge sur la volonté ou la capacité réelle qu'aura notre comité d'aller de l'avant rapidement et d'aider à l'adoption du projet de loi. Je vais le dire honnêtement, je me demande même si, à ce stade-ci, le gouvernement a réellement la volonté de faire adopter le projet de loi dans le contexte de la présente législature.
Cela dit, j'ai le goût de vous poser des questions, madame McPhail.
Dans vos publications, vous mettez beaucoup l'accent sur le développement de l'intelligence artificielle responsable et sur la gouvernance transparente de l'intelligence artificielle.
Comme l'avancement rapide de la technologie pose d'importants défis en matière de sécurité des données et de protection de la vie privée, que pensez-vous de la mise en place d'un bac à sable technologique qui permettrait d'isoler les technologies émergentes dans un environnement séparé, dans le but d'évaluer leur conformité aux normes relatives à la vie privée avant qu'elles soient mises à la disposition du public?
:
Merci beaucoup pour cette question.
On peut améliorer la LIAD de nombreuses façons pour faciliter une gouvernance de l'IA véritablement responsable.
L'idée d'un bac à sable est un modèle intéressant. L'un des grands problèmes liés à la manière dont les outils d'intelligence artificielle sont actuellement développés est qu'ils sont créés et jetés dans la nature, puis nous attendons de voir ce qui se passe. Un bac à sable, dans la mesure où il permettrait d'atténuer ce type de risque, est un concept très intéressant. Je voudrais faire remarquer qu'il n'y a présentement absolument rien dans le projet de loi actuel qui favorise la création d'un tel bac à sable.
Bien entendu, ce n'est là que de l'une des nombreuses lacunes de la structure fondamentalement squelettique de la LIAD qui, même avec certains des amendements qui ont été proposés, a encore un long chemin à parcourir avant de devenir le projet de loi efficace auquel ont droit les citoyens de tout le Canada. C'est pourquoi nombre d'entre nous ont demandé une réécriture de ce projet de loi, plutôt qu'une révision. Il est si fondamentalement défectueux qu'il est difficile d'imaginer comment en faire quelque chose qui respecte vraiment les droits des Canadiens et qui les rassure vraiment sur le fait que l'intelligence artificielle est un outil qui peut être utilisé comme on l'envisage dans tous les secteurs de notre économie, en toute sécurité et dans le respect de leur droit à la protection de la vie privée.
Nous avons un peu entendu parler des risques de réticence. J'opposerais les risques de réticence, qui est un concept commercial, à l'acceptabilité sociale. Les membres du public sont profondément préoccupés par le fait que leurs renseignements sont recueillis et utilisés d'une manière qu'ils ne comprennent pas, souvent sans leur consentement — ce que la LPVPC faciliterait — et à des fins qu'ils désapprouvent fondamentalement.
Si nous permettons à notre loi sur l'IA de prendre ces données, de les recueillir de cette manière et de les exploiter dans des outils auxquels, encore une fois, les membres du public ont du mal à faire confiance, nous n'encouragerons pas une économie de l'innovation dynamique au Canada; nous encouragerons une société méfiante qui ne croira pas que son gouvernement assure ses arrières, et nous serons vraiment réticents, en tant que citoyens, à utiliser ces technologies de la manière dont nous le souhaiterions, si nous prenons au sérieux l'idée que cette technologie a un immense potentiel pour améliorer notre monde, si elle est utilisée de manière responsable.
:
Il est positif à mon avis que la divulgation doive être faite au commissaire lorsque cela se produit. Toutefois, je pense que nous devons nous interroger sur le degré de surveillance que le commissaire peut exercer.
Encore une fois, c'est un point où une interaction entre la LPVPC et la LIAD... Quelles sortes de recherches à des fins statistiques les organisations pourraient-elles effectuer? Il pourrait s'agir de former des modèles d'intelligence artificielle. Nous savons maintenant, grâce à la recherche, que lorsque des données sont utilisées pour former une IA, les systèmes d'IA peuvent conserver ces données. Je crois que le nom technique est « réimpression ». Si vous utilisez le ChatGPT et que vous l'utilisez à fond, vous pouvez faire en sorte qu'un système d'IA recrache ces données, et c'est un gros problème.
Le simple fait d'informer le commissaire que cela se produit, sans une quelconque analyse des risques éventuels... C'est la raison pour laquelle je reviens sans cesse sur l'aspect évaluation de l'impact de la protection des données. Il est très important de procéder à cette évaluation. Quels sont les risques en l'occurrence?
Nous voulons bien sûr encourager la recherche, mais n'oublions pas que Cambridge Analytica était un organisme de recherche. C'est une divulgation de données à des fins de recherche qui a été à l'origine de ce terrible scandale sur la protection de la vie privée. Seule, cette mesure de protection n'est pas suffisante. Je pense que nous avons besoin de plus.
Je m'intéresse beaucoup à la recherche. Je travaille dans un établissement universitaire. Je veux la promouvoir. C'est une chose très prosociale, et il y a un réel problème anticourant à essayer d'obtenir un consentement individuel chaque fois, mais les garanties doivent être plus fortes.
:
Je conviens tout à fait que cette disposition pose des problèmes.
Le premier que j'ai signalé dans ma déclaration liminaire est qu'elle fait référence à des renseignements dépersonnalisés. Cela a été repris mot à mot du projet de loi et inséré dans le projet de loi , mais dans le projet de loi C‑11, le terme « dépersonnalisé » est défini comme les renseignements anonymes sont généralement définis.
Le projet de loi prévoit deux catégories différentes: les renseignements dépersonnalisés et les données anonymisées, ces dernières étant les plus protégées. Maintenant, une disposition autorise le partage de renseignements dépersonnalisés — qui ne sont pas anonymisés, mais simplement dépersonnalisés —, ce qui affaiblit l'article 39 proposé dans le projet de loi C‑27 par rapport au projet de loi , ce qui ne devrait pas être le cas.
En outre, il n'y a pas de garde-fous, comme vous l'avez mentionné, pour la transparence ou pour d'autres protections lorsque les renseignements sont partagés à des fins socialement bénéfiques. Le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique a tenu des audiences sur l'utilisation par l'ASPC de données sur la mobilité, qui est un exemple du genre de partages à des fins socialement bénéfiques.
Les objectifs peuvent être socialement bénéfiques. Ils peuvent être justifiables et c'est peut-être quelque chose que nous voulons faire, mais s'il n'y a pas un certain degré de transparence et la possibilité d'un certain contrôle, il n'y aura pas de confiance. Je pense que nous risquons de recréer le même genre de situation où les gens découvrent soudainement que leurs renseignements ont été partagés avec une organisation du secteur public à des fins particulières qui ont été jugées par quelqu'un comme étant socialement bénéfiques, et ces gens ne le savent pas. Ils n'ont pas eu la possibilité d'en savoir plus, ils n'ont pas eu la possibilité de se retirer et le commissaire à la protection de la vie privée n'a pas été informé ou n'a pas eu la possibilité d'examiner la situation.
Je pense que nous devons être très prudents à l'égard de l'article 39 proposé, en partie parce que je pense qu'il a été transplanté sans les changements appropriés et en partie parce qu'il n'a pas les garde-fous requis pour cette disposition.
:
Merci pour cette question.
Je pense que cela a déjà été mentionné aujourd'hui, mais je vais le répéter. Il ne suffit pas d'examiner les systèmes à incidence élevée, quelle que soit la façon dont ils sont définis — et pour l'instant, ce n'est pas clair dans les amendements actuels — pour atténuer pleinement les risques de l'IA, en particulier les risques collectifs pour les collectivités et les groupes. En outre, ce type de risque n'est pas couvert par la définition actuelle de « préjudice » dans le projet de loi, qui se concentre strictement sur les individus et les formes quantitatives de préjudice. Si l'on cherche à mieux restructurer cette définition, on peut s'inspirer de l'acte européen, mais je vous renvoie à quelque chose de plus proche de nous.
Le Service de police de Toronto a récemment mené une vaste consultation publique et élaboré des règles sur l'intelligence artificielle à l'usage de ses services. Il a adopté une approche à plusieurs niveaux: certains systèmes sont considérés comme présentant un risque faible, mais nécessitent une évaluation pour déterminer si c'est le cas. Certains systèmes sont considérés comme présentant un risque moyen, et il existe différentes séries de précautions et de garanties pour s'assurer que ces risques sont correctement analysés et atténués avant que la technologie ne soit utilisée. Il existe également des systèmes considérés comme présentant un risque élevé, qui bénéficient du niveau de protection et de sauvegarde le plus élevé. Enfin, il y a des systèmes qui sont considérés comme étant inacceptables. Certains systèmes sont considérés comme étant tellement risqués qu'il n'est pas approprié de les utiliser dans un pays régi par la Charte des droits et libertés et où les libertés démocratiques sont appréciées.
Il s'agit d'une approche beaucoup plus graduelle et nuancée qui nécessite des évaluations à différents stades, puis des mesures de protection et des restrictions proportionnelles, en fonction du degré de risque, peuvent être beaucoup plus finement ajustées et beaucoup plus à l'écoute des préoccupations réelles des membres du public sur la façon dont les systèmes d'IA peuvent être utilisés pour eux ou contre eux en violation de leurs croyances et de leurs valeurs.
:
Je suis sûr qu'on peut l'obtenir. Elle est disponible en ligne.
Je vous remercie de votre attention.
Voilà qui conclut notre réunion.
Merci à tous nos témoins. Le débat a été fort instructif.
Merci, en particulier, à M. Bennett. Nous avons vu le jour se lever en Australie à travers les stores derrière vous. Merci de vous être levé si tôt pour venir nous rencontrer. Nous vous en sommes très reconnaissants.
[Français]
Je remercie les analystes, les interprètes, la greffière et le personnel de soutien.
La séance est levée.