Passer au contenu

ETHI Réunion de comité

Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.

Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

Publication du jour précédent Publication du jour prochain
Passer à la navigation dans le document Passer au contenu du document






Emblème de la Chambre des communes

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique


NUMÉRO 041 
l
1re SESSION 
l
41e LÉGISLATURE 

TÉMOIGNAGES

Le mardi 29 mai 2012

[Enregistrement électronique]

(1135)

[Français]

    Bonjour à tous. Comme il y a quorum, nous allons commencer. Bienvenue à cette toute première réunion en ce qui a trait à l'étude sur la protection des renseignements personnels et les médias sociaux.
     Je suis heureux de recevoir parmi nous Mme Stoddart, commissaire à la protection de la vie privée.
    Tout d'abord, je demande aux membres du comité s'ils donnent leur accord pour qu'on puisse prolonger cette séance d'une demi-heure, compte tenu des vote à la Chambre et du fait que plusieurs témoins qui comparaîtront devant nous voudront pouvoir parler et répondre aux questions. Est-on d'accord pour prolonger d'une demi-heure cette séance?

[Traduction]

    Si vous me le permettez, monsieur le président, je proposerais que nous ramenions à 45 minutes le temps accordé à chaque groupe de témoins, ce qui nous donnerait un peu de temps pour discuter des affaires du comité à la fin de la séance.

[Français]

    Si le comité est d'accord, nous prendrons un peu moins de temps pour poser des questions, mais chaque témoin aura tout de même 10 minutes pour faire sa présentation. Il y aura donc moins de questions si c'est là le désir du comité. Nous devrons aussi réserver 10 minutes à la fin de la séance, sans la présence des témoins, afin de discuter de quelques trucs importants pour le comité et de pouvoir planifier le reste de l'étude.
    Monsieur Angus, vous voulez prendre la parole?

[Traduction]

    Je demande l'indulgence de mes collègues, car j'ai été surpris, quand nous avons demandé le rapport de Mme Benoit, qu'on nous réponde plus tard qu'il était confidentiel. Ce n'est pas ce que j'avais compris.
    Je sais que nous avons des affaires à étudier, mais j'aimerais qu'il soit clair, dès le début de la séance, que, quand quelqu'un nous soumet le rapport que nous avions demandé, s'il y a une raison pour laquelle il devrait rester confidentiel, nous allons respecter cette exigence, mais un rapport qui semble avoir été fabriqué à partir d'images trouvées sur Google, à mon avis, n'a aucunement besoin de rester confidentiel.
    J'aimerais savoir si je peux compter sur votre soutien à tous, car les médias sont présents, et les gens veulent savoir ce que dit ce rapport, ils veulent que les médias diffusent l'information; nous pourrons discuter de nos affaires à la fin de la séance.

[Français]

    Cela porte sur un tout autre sujet, mais puisque M. Angus demande le consentement unanime, je veux seulement rappeler aux membres du comité qu'il y a eu une lettre de...

[Traduction]

    Pouvons-nous d'abord régler la question dont nous sommes saisis avant de passer à la motion de M. Angus?

[Français]

    La motion en ce qui concerne les 45 minutes a déjà été acceptée. Il n'y a pas vraiment eu de motion; il y a eu un accord unanime.

[Traduction]

    La question a été réglée? D'accord.
    En ce qui concerne la motion de M. Angus...

[Français]

    Je voudrais juste clarifier une chose: nous avions reçu une lettre de l'adjointe de Mme Benoît, Mme Pérusse, qui disait que ces documents étaient confidentiels. Comme je suis au service du comité, si vous en décidez autrement... C'est votre décision, mais je veux juste rappeler qu'il a été dit clairement que c'était confidentiel.
    Monsieur Del Mastro, vous voulez prendre la parole?

[Traduction]

    Je dirais tout simplement que, même si le rapport devait être confidentiel, il ne l'est pas. Je suis sûr que la plupart des membres ont lu ce matin l'article paru dans le Globe and Mail.
     Je ne vois pas non plus pourquoi ce rapport devrait rester confidentiel. Nous avons tenu ici des audiences qui se sont déroulées entièrement devant le public. Nous avons entendu des témoignages qui ont été livrés entièrement devant le public. Je crois également qu'un certain nombre de questions sont restées sans réponse ou n'ont obtenu qu'une réponse incomplète.
    J'appuie sans réserve la demande de M. Angus. J'imagine d'ailleurs que c'est la position de la plupart de mes collègues.

[Français]

    Le greffier m'a dit qu'il a parlé à Mme Benoît aujourd'hui et qu'elle a plusieurs préoccupations. Bien sûr, elle nous avait déjà fait part du fait que c'était confidentiel pour plusieurs raisons qui vont peut-être nous être expliquées un peu plus tard. Comme il s'agit d'une société qui oeuvre dans le domaine privé, on peut peut-être comprendre qu'elle ne veuille pas partager des informations avec tout le monde.
    Par ailleurs, comme la décision relève du comité, je ne peux rien empêcher non plus. C'est au comité de décider.
    Monsieur Angus?
(1140)

[Traduction]

    Malgré tout le respect que je vous dois, je crois qu'il est important que cela figure dans le compte rendu. En tant que représentants de l'opposition officielle, nous prenons très au sérieux les droits des témoins. Nous ne formons pas un comité bidon. Le fait que les contribuables ont payé ce voyage a soulevé de nombreuses préoccupations. Nous avions posé des questions. Nous avions demandé à voir le rapport.
    Si ce rapport contenait des informations, concernant, par exemple, les réunions ou les coûts ou d'autres choses, qu'on aurait pu communiquer aux divers ports de l'Australie et au port de Montréal, la question de la confidentialité se poserait, et nous serions tenus de respecter ce caractère confidentiel.
    Ce qui me préoccupe beaucoup, c'est que quelqu'un a soumis ce rapport, puis, après coup, a prétendu qu'il était confidentiel. Absolument rien dans ce rapport ne présente un caractère confidentiel. Il n'y a rien dans ce rapport qu'on ne pourrait pas demander à un stagiaire de trouver sur Google ou sur Flickr. Il me semble qu'on nous demande de traiter la confidentialité un peu comme une couverture.
    Je ne crois pas que cela soit le rôle de notre comité. Je crois que le public devrait avoir accès à ce rapport et pouvoir se faire sa propre opinion. Je crois qu'il est de notre devoir de diffuser le contenu de ce rapport.

[Français]

    Monsieur Del Mastro, vous avez la parole.

[Traduction]

    Merci beaucoup.
    Encore une fois, en ce qui concerne les doutes exprimés au sujet du caractère confidentiel prétendu de ce rapport, je n'ai rien vu qui indique qu'il est de quelque façon que ce soit confidentiel. C'est même ce que je soupçonnais lorsque le témoin s'est présenté devant le comité. J'avais laissé entendre qu'il n'y avait dans ce rapport aucun renseignement qu'on serait incapable de se procurer à l'aide de Google.
    J'ai également laissé entendre que, même si elle n'a pas voulu répondre à ma question au sujet du salaire qu'elle touche à ce poste, alors que selon moi les fonctionnaires... Et, quant à votre mention du fait qu'ils ont des concurrents du secteur privé, les deux tiers de leur financement viennent directement du Trésor public. J'estime qu'il faut respecter cette source de financement, et j'ajouterais, pour parler franchement, que je ne vois pas du tout en quoi ce serait confidentiel.
    À mon avis, il s'agissait d'un congé personnel qui a été payé en partie par les contribuables du Canada, et j'aimerais que les Canadiens et les autres intéressés puissent vérifier ces renseignements et se faire eux-mêmes une opinion.
    C'est mon opinion à ce stade, et je crois, honnêtement, que le comité devrait présenter un rapport ou du moins adopter une motion selon laquelle nous jugeons ces dépenses inappropriées et demandons au gouvernement de réagir officiellement à ce qui a été dit ici et de faire connaître cette réaction à la Chambre des communes. Je crois que c'est dans cette direction que l'affaire devrait évoluer.

[Français]

    Merci.
    Des témoins sont venus comparaître dans le cadre d'une autre étude. Plusieurs choses ont été dites, et j'ai exprimé quelques réserves. Tout le monde semble être d'accord pour poursuivre le travail. Est-ce qu'il y a consentement unanime? C'est effectivement le cas.
    Concernant les documents de Mme Benoît, il faudrait consulter le greffier pour déterminer comment les distribuer. Il s'agit de documents volumineux qui n'ont pas pu être envoyés par courriel. On verra ce qui peut être fait.
    Monsieur Del Mastro?

[Traduction]

    Merci, monsieur le président.
    J'aimerais simplement greffer à la motion de M. Angus — qui fait l'unanimité, si je ne m'abuse — une motion consistant à demander que ce rapport soit rendu public. J'aimerais également proposer que le rapport soit présenté à la Chambre des communes et que nous demandions au gouvernement de réagir à cette affaire.

[Français]

    Je suis au service du comité. Est-ce que ce dernier veut procéder de cette façon? Y a-t-il consentement unanime?
    Le greffier propose qu'une motion soit préparée par écrit et formulée d'une façon qui soit convenable pour la Chambre des communes, de sorte qu'elle puisse être présentée lors de la prochaine réunion et adoptée en bonne et due forme. Il semble y avoir un consentement unanime. Nous pouvons donc passer à l'ordre du jour d'aujourd'hui.
     Je vous remercie encore une fois, madame la commissaire, d'être parmi nous aujourd'hui. Vous disposez de 10 minutes pour livrer votre présentation. Il y aura ensuite des périodes de questions et de réponses. Je rappelle aux membres du comité qu'ils doivent s'adresser à la présidence lorsqu'ils interviennent, comme d'habitude.
    Madame la commissaire, vous avez la parole.
(1145)

[Traduction]

    Merci. Merci beaucoup, monsieur le président et honorables membres, de m'avoir invitée à prendre la parole aujourd'hui devant le comité, au moment où vous commencez à vous pencher sur les entreprises de médias sociaux et les mesures qu'elles prennent pour protéger les renseignements personnels des Canadiens.
    Je suis accompagnée par deux spécialistes en matière de médias sociaux: Daniel Caron, conseiller juridique, et Barbara Bucknell, analyste des politiques stratégiques.
    J'aimerais pour commencer vous donner un bref aperçu des médias sociaux. Je suis convaincue que vous avez tous désormais fait l'expérience de ces plateformes en ligne. Elles sont devenues d'importants canaux pour diffuser des nouvelles, communiquer, entretenir des relations et partager des photos et des vidéos et pratiquement tout ce qui peut être numérisé. Cela dit, je crois qu'il est utile de donner en premier lieu un aperçu de l'industrie pour aider à clarifier ce qu'elle fait et l'incidence de ces activités sur la protection de la vie privée des Canadiens.
    Les médias sociaux font appel à des applications grâce auxquelles les individus, les organisations et les collectivités peuvent échanger de l’information et produire un contenu. Avec les modèles fonctionnels traditionnels, les entreprises avaient besoin d'obtenir des renseignements personnels pour offrir un service. Aujourd'hui, les individus, jeunes et vieux, partagent volontairement leurs renseignements personnels sur les sites des médias sociaux pour nouer des liens avec d'autres personnes ou, dans certains cas, pour attirer l’attention sur eux-mêmes et sur leurs idées. En effet, nombre de sites de médias sociaux encouragent les utilisateurs à établir un profil indiquant: qui ils sont, ce qui les intéresse, qui ils connaissent et ce qu'ils aiment. Ils sont nombreux à offrir leurs services gratuitement dans l’espoir d'attirer un vaste bassin d'utilisateurs.
    Toutefois, il n'est pas tout à fait exact d'affirmer que ces services sont « gratuits ». En un tour de main, les entreprises de médias sociaux parviennent à réunir une quantité astronomique de renseignements personnels. En plus des préférences, des habitudes et des interactions sociales des utilisateurs, elles recueillent une foule de renseignements de base qui ne figurent pas dans le profil public, notamment l’historique des recherches, les achats effectués, les sites Web consultés et le contenu des messages privés. En recueillant ces milliards de points de données, les entreprises de médias sociaux peuvent analyser le comportement des utilisateurs au moyen d'algorithmes évolués dans le but de personnaliser leurs services et de trouver des façons de générer des revenus. Elles permettent aussi à d'autres, par exemple, des chercheurs, des employeurs, des administrateurs scolaires et des organismes d'application de la loi, d'en savoir plus sur les individus et leurs activités.
    Nous sommes à l’ère des mégadonnées, et les renseignements personnels sont devenus une monnaie d'échange utilisée librement au Canada et ailleurs dans le monde.

[Français]

    Le commissariat a pour mandat de s'assurer que le secteur privé respecte la Loi sur la protection des renseignements personnels et les documents électroniques, qui s'applique à l'utilisation commerciale des renseignements personnels par les entreprises de médias sociaux exerçant leurs activités au Canada.
    Au cours des cinq dernières années, nous avons fait enquête sur de nombreux acteurs de l'industrie, grands et petits, et nous sommes intervenus auprès d'eux. Une part appréciable des efforts que nous avons récemment consacrés à la recherche et aux politiques visait surtout à comprendre et à expliquer aux autres les répercussions du phénomène des médias sociaux sur la protection de la vie privée.
    Nous sommes pleinement conscients de l'importance de l'innovation dans l'économie numérique actuelle et nous tentons de trouver un équilibre raisonnable entre la volonté des entreprises de tester des produits ou des services nouveaux et une protection adéquate des renseignements personnels des Canadiens.

[Traduction]

    Cela dit, j’ai commencé à m'inquiéter du fait que certaines entreprises font apparemment fi des lois canadiennes sur la protection de la vie privée. Nous avons accompli des progrès dans le cas de plusieurs d'entre elles, mais j'aimerais mentionner quelques préoccupations importantes auxquelles tous les sites de médias sociaux devraient à mon avis accorder davantage d'attention. Je parle des quatre préoccupations suivantes: la responsabilité, le consentement valable, la limitation de l’utilisation et la conservation des données.
    Parlons d’abord de la responsabilité. II arrive trop souvent que l’on donne suite aux préoccupations concernant la protection de la vie privée uniquement après la découverte d'un problème majeur ou en réponse à une réaction brutale des utilisateurs. Bien que la plupart des grands acteurs semblent progresser sur ce front, le monde des médias sociaux est en constante évolution. On voit pointer à tout moment de nouvelles entités pressées de lancer sur le marché un service inédit. La protection de la vie privée ne semble pas être une priorité à leurs yeux.
(1150)
    C'est l’une des raisons qui ont incité le commissariat et mes homologues de l'Alberta et de la Colombie-Britannique à publier récemment à l'intention des entreprises des lignes directrices en matière de responsabilité indiquant les mécanismes internes et les procédures à mettre en place pour protéger la vie privée, y compris la désignation d'une personne chargée de cet aspect.
    Le consentement valable représente aussi un enjeu crucial. Les entreprises de médias sociaux doivent expliquer clairement à quelles fins elles recueillent, utilisent et divulguent des renseignements personnels et préciser quels tiers — par exemple, les développeurs d'applications — y ont accès. Et elles doivent obtenir un consentement sans équivoque des utilisateurs.
    II s'agit d'un défi de taille parce que les politiques régissant la protection de la vie privée sont généralement trop longues et alambiquées et que, dans une large mesure, les utilisateurs n'en tiennent pas compte. Les entreprises de médias sociaux et les autorités chargées de la protection des données doivent se dépasser pour atteindre un juste équilibre. II faut communiquer une information adéquate que les utilisateurs peuvent facilement lire et comprendre pour ensuite donner leur consentement en toute connaissance de cause.
    Le fait que les enfants sont de plus en plus jeunes lorsqu'ils commencent à naviguer dans Internet complique encore davantage la question du consentement. Les utilisateurs les plus jeunes ne sont peut-être pas encore en mesure de donner le consentement valable exigé par la Loi sur la protection des renseignements personnels et les documents électroniques.

[Français]

    La troisième question porte sur la limitation de l'utilisation. Les services offerts par les médias sociaux évoluent constamment pour des raisons d'innovation et de concurrence, ce qui ouvre la voie à des utilisations nouvelles et parfois inattendues, voire indésirables, des renseignements personnels. Il est important de bien renseigner les utilisateurs en leur expliquant sans tarder les nouvelles fonctionnalités et en leur demandant de consentir de manière informée aux utilisations nouvelles des renseignements personnels. À mon avis, il nous faut aussi en apprendre davantage sur les façons dont les renseignements personnels sur ces sites pourraient être utilisés au-delà de la publicité. Il incombe aux entreprises de médias sociaux et à toutes les autres organisations de faire preuve d'une transparence exemplaire quant aux pratiques concernant les renseignements personnels.
    Le quatrième point sur lequel j'attire votre attention est la conservation des données. Le fait que des organisations n'établissent pas de calendrier de conservation des données et n'offrent aux utilisateurs aucune option pour supprimer véritablement leurs renseignements personnels constitue un autre sujet de préoccupation. Les entreprises de médias sociaux doivent indiquer clairement combien de temps elles conservent les renseignements personnels recueillis. Elles doivent aussi préciser le traitement distinct qu'elles réservent aux renseignements personnels selon qu'un compte est désactivé ou réellement supprimé.
    La Loi sur la protection des renseignements personnels et les documents électroniques oblige les entreprises à détruire les données dont elles n'ont plus besoin aux fins visées. De grandes quantités de données, souvent stockées dans d'autres pays, peuvent également poser des problèmes de sécurité.

[Traduction]

    Honorables membres, au moment de vous pencher sur la protection des renseignements personnels dans les médias sociaux, il pourrait être utile de vous appuyer sur les principes de responsabilité, de consentement valable, de limitation de l’utilisation et de conservation des données pour évaluer la façon dont les médias sociaux protègent les renseignements personnels des Canadiens.
    En conclusion, monsieur le président, plus de 2 000 Canadiens ont récemment participé à un sondage d'opinion sur les médias sociaux réalisé à la demande du commissariat. D'après 83 p. 100 des répondants, les entreprises en ligne devraient être tenues d'obtenir une autorisation explicite pour surveiller l'utilisation du Web par les internautes et leur comportement en ligne. De toute évidence, les Canadiens attachent beaucoup d'importance à la protection de leur vie privée en ligne. C'est pourquoi nous jugeons primordial d'obliger les entreprises à rendre compte de la façon dont elles recueillent et utilisent les renseignements personnels.
    Le commissariat a fait des progrès constants sur ce front en utilisant les outils à sa disposition en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, mais je pense qu'il nous reste encore beaucoup à faire. Les entreprises numériques qui se servent d'Internet et des technologies mobiles pour recueillir et partager les renseignements personnels sont appelées à avoir une portée de plus en plus grande au cours des années à venir.
    Le commissariat a effectué des recherches et des analyses approfondies en prévision du deuxième examen quinquennal obligatoire de la LPRPDE par le Parlement, qui est maintenant en retard. Nous réfléchissons attentivement à la façon dont nous pourrions moderniser le régime actuel, qui a été mis en place avant tous ces progrès technologiques novateurs. La priorité consiste à déterminer les mesures à prendre pour renforcer les pouvoirs actuels en matière d'application de la loi afin de freiner la tendance à la non-conformité de l'industrie et d'encourager les entreprises à assumer une responsabilité accrue à l'égard des renseignements personnels qu'elles recueillent, utilisent et partagent avec d'autres.
    Depuis quelques années, nous observons à l'échelle internationale une tendance au renforcement des pouvoirs d'application de la loi. Le Canada a longtemps été un chef de file des lois qui protègent la vie privée, mais nous risquons maintenant de perdre du terrain.
    Je suis impatiente d'exposer en détail au cours de l'examen parlementaire la position adoptée par le commissariat sur cette question.
(1155)
    Merci beaucoup, monsieur le président, de m'avoir accordé du temps. Je répondrai avec plaisir à toute question des membres du comité.

[Français]

    Merci pour votre présentation.
    Comme il nous manque de temps, nous allons accorder des périodes de cinq minutes afin de permettre à plus de personnes de prendre la parole.
    Monsieur Angus.

[Traduction]

    Merci, monsieur le président.
    Merci, madame, d'être ici aujourd'hui. Je suis heureux que vous soyez notre premier témoin, car le commissariat est l'un des rares organismes phares reconnus dans le domaine.
    Si on envisage la question sous l'angle législatif, je crois que, pendant de nombreuses années, nous estimions qu'il était dangereux pour les politiciens de se prononcer sur cette nouvelle technologie, car nous ne savions pas où elle nous mènerait. Nous avons dû laisser au marché le temps de se développer. Nous avons dû laisser à la technologie le temps d'arriver à maturité. Puis, tout d'un coup, elle est arrivée à maturité, et cela s'est fait plus rapidement que nous ne l'aurions imaginé. Nous avons l'impression d'avoir du rattrapage à faire.
    En ce qui concerne en particulier la question de la vie privée, les gens aujourd'hui mènent pratiquement toute leur vie en ligne, et cela a d'énormes répercussions. Les médias sociaux sont une source incroyable de bienfaits et facilitent la communication, mais ils soulèvent des enjeux touchant la vie privée et la sécurité. Il y a là toutes sortes d'enjeux que nous commençons à peine à entrevoir.
    Comme je ne dispose pas de beaucoup de temps, j'aimerais m'en tenir aux quatre grandes préoccupations que vous avez mentionnées: la responsabilité, le consentement valable, la limitation de l'utilisation et la conservation des données.
    En ce qui concerne la responsabilité, le gouvernement s'apprête à mettre à jour la LPRPDE, mais selon cette loi, lorsqu'il est question d'atteinte à la vie privée, il incombe à l'entreprise de décider si elle en informera les citoyens ou non. Cela est fondé sur la question du risque ou du préjudice grave.
    Croyez-vous que nous devrions adopter une norme plus claire? Je n'arrive pas à m'imaginer une entreprise qui appellerait ses clients pour leur dire: « Devinez quoi? Quelqu'un a réussi à pénétrer illégalement dans nos bases de données, mais ne vous inquiétez pas. Continuez de faire affaire avec nous. » Je crois que l'obligation d'une entreprise envers le consommateur devrait l'emporter sur le risque pour ses bénéfices; autrement, à partir de quel moment le consommateur pourra-t-il être rassuré sur le fait que sa vie privée est respectée? Quel rôle le commissariat joue-t-il, à votre avis, et quel rôle devrait selon vous être la norme quand il est question d'atteintes à la vie privée?
    Merci d'avoir posé la question, monsieur, sur ce sujet très important, à savoir les menaces croissantes à la sécurité des données qui se présentent partout dans le monde, y compris pour les renseignements détenus par les entreprises canadiennes ou ceux détenus ailleurs qui concernent les Canadiens.
    Le Canada accuse encore une fois un retard important à ce chapitre. Nous n'avons aucune disposition précise touchant les atteintes à la sécurité des données personnelles. Je crois que nous devrions en avoir. Je crois aussi que nous devrions associer à de telles dispositions une sorte de mesure incitative pour amener les entreprises à investir dans la mise en place de normes de sécurité des données appropriées.
    Il y a un projet de loi qui en est rendu à l'étape de la deuxième lecture. Je crois que la norme proposée dans ce projet de loi est acceptable. Elle reflète la norme que l'Alberta a déjà adoptée. Mais je crois que nous devons nous doter de pouvoirs plus grands, pour ce qui est de la faire respecter, car, sous le régime actuel, une entreprise qui ne signale pas un risque réel de préjudice grave au commissariat ni aux consommateurs n'encourt pour ainsi dire aucune sanction.
    Alors, je serais heureuse qu'on se penche à nouveau sur cette question.
    Je pense à l'appel public à l'épargne de Facebook et à l'effondrement du prix de l'action... Tout le monde est sur Facebook. Je vis sur Facebook. L'entreprise subira des pressions énormes, puisque le marché a décidé que son modèle d'affaires n'est peut-être pas aussi solide qu'on s'attendait. Son autre trésor incroyable, à savoir les données, deviendra aussi source de pressions incroyables pour qu'on permette l'accès à ces données maintenant que l'entreprise est cotée en bourse.
    En ce qui concerne la limitation de l'utilisation, par quels moyens pouvons-nous établir quelques règles de base qu'il faudra faire respecter? Est-ce que l'interdiction de la collecte de renseignements peut entrer en jeu? Avez-vous pensé à ce qui se passerait si l'on établissait quelques règles en vue d'empêcher que les données soient exploitées à des fins autres que les fins prévues?
    Oui. D'ailleurs, nous enquêtons presque continuellement sur Facebook depuis 2009 environ. Les règles sont claires. Nous sommes intervenus à plusieurs reprises pour vérifier si Facebook se conformait à ces règles. La première fois, nous avons constaté que les règles n'étaient pas respectées. Lors des enquêtes subséquentes, le niveau de conformité semblait avoir été relevé.
    De manière générale, le problème des entreprises de médias sociaux, c'est leur manque de transparence face aux autorités chargées de la réglementation. Si on veut savoir de façon précise ce qu'elles font, il faut mener une enquête très habile qui repose sur de nombreux experts, en particulier du domaine des technologies de l'information.
(1200)
    Je crois que l'enjeu principal, c'est le consentement valable, parce qu'il existe sur tous les sites des mécanismes permettant de régler certains paramètres de confidentialité. Mais il faut se méfier des paramètres par défaut. Devrions-nous étudier cette question en vue de formuler des recommandations ou de légiférer en la matière? Devrait-il y avoir un mécanisme de retrait qui permet de faire un choix explicite, de savoir dans quoi on s'embarque?
    J'aimerais bien que le comité étudie la question des politiques en matière de protection des renseignements personnels. Au fil des ans, nous avons fait valoir qu'elles doivent être plus claires, qu'elles doivent être lisibles, de façon que les gens les comprennent vraiment.
    Encore une fois, à moins que nous menions une enquête et demandions à l'intéressé de clarifier sa politique pour les utilisateurs, à défaut de quoi nous serions obligés de prendre d'autres mesures — ce qui suppose d'aller devant la Cour fédérale —, je sais d'expérience que, en ligne, nous voyons toujours des politiques illisibles en matière de protection des renseignements personnels. Cela signifie selon moi que les entreprises attendent, pour présenter aux consommateurs des politiques claires en matière de protection des renseignements personnels, d'y être obligées. Dans d'autres cas, ces politiques sont rédigées dans un jargon juridique que même les avocats ont de la difficulté à comprendre, et le message est le suivant: si vous avez un problème, adressez-vous aux tribunaux du Nord de la Californie.
    C'est inacceptable.
    J'aimerais beaucoup que votre comité examine de plus près ce problème.

[Français]

     Votre temps est écoulé, monsieur Angus.
    Je vais maintenant donner la parole à M. Del Mastro.

[Traduction]

    Merci, monsieur le président.
    Merci aux témoins d'être ici aujourd'hui.
    C'était là un témoignage très intéressant. Vous avez dit, madame Stoddart, que nous vivons à l'ère des mégadonnées, et j'estime que c'est en réalité remarquable. M. Angus a fait allusion à la rapidité de cette évolution. Je crois que cela fait des générations que les entreprises étudient le comportement des consommateurs. Elles font des études de marché, et, de fait, Peterborough a longtemps été un marché-témoin pour divers produits. Mais les entreprises ne font plus autant de ces études, de nos jours, car elles s'appuient plutôt sur les données qu'elles ont glanées ça et là
    Vous avez parlé des algorithmes qu'elles utilisent, entre autres choses, pour déterminer ce que les consommateurs aiment ou n'aiment pas et ce qu'ils approuvent. Vous avez dit que les Canadiens, mais aussi les gens de partout dans le monde, donnent ces renseignements volontiers, et vous avez également parlé du consentement éclairé.
    Et quand on s'inscrit à l'un de ces sites — et je me suis inscrit moi-même à nombre d'entre eux —, on y trouve un très long document juridique qui, à mon avis, dépasse la compréhension de bien des gens qui utilisent le site en question, en particulier les jeunes gens, les très jeunes gens. Devrait-il y avoir une sorte d'avis qui dirait ceci: « Nous allons étudier votre comportement. Nous allons noter les sites que vous visitez. Nous allons utiliser ces observations et les communiquer à des entreprises qui nous paient pour obtenir ces renseignements. Acceptez-vous? »
    Ne serait-ce pas là une façon très simple d'expliquer dans une langue toute simple quel est leur but dans tout cela? Nous savons ce que les gens cherchent. Vous allez sur Facebook parce que c'est un outil de communication extraordinaire. Les sites comme YouTube sont des outils incroyables. Franchement, comme bien d'autres gens, j'aime vraiment ces sites. Mais leur but, dans tout cela, c'est d'obtenir quelque chose en retour, n'est-ce pas?
    C'est un aspect qui n'est pas bien compris, ce que ces entreprises retirent en offrant cela aux gens. Vous avez mentionné cela, le fait que les mégadonnées sont une chose que les gens donnent volontiers. Mais cela ne veut pas dire qu'ils consentent à ce que ces données soient vendues à des tiers ou utilisées à d'autre fins.
    Monsieur, je vous le dis sans détour: je suis d'accord avec ce que vous dites. C'est tout à fait cela. Il faut être clair quand on parle aux gens. Ce n'est pas ce qui se passe.
    Le projet de loi C-29, présenté durant la législature précédente, apportait quelques changements à la LPRPDE, et le projet de loi C-12, qui a été soumis de nouveau le 29 septembre 2011, contenait une modification clé, selon laquelle les organisations devaient signaler toute atteinte à l'intégrité des données — dans le projet de loi, on parlait d'atteintes importantes aux mesures de sécurité ayant trait à des renseignements personnels — au Commissariat à la protection de la vie privée de même qu'à toutes les personnes touchées, lorsque les préjudices étaient importants, par exemple, en cas de vol d'identité ou de fraude.
    Bien des gens, dans ma collectivité, craignent le vol d'identité. Il semble que nous entendons régulièrement parler d'un cas important d'atteinte à la sécurité. De fait, le commissariat a présenté des rapports touchant quelques-uns de ces cas. Seriez-vous en faveur de l'imposition de cette exigence de signalement des cas d'atteinte à la sécurité, de ces changements proposés dans le projet de loi C-12?
    Oui, monsieur. Je salue les changements proposés dans le projet de loi C-12, mais je ne crois pas qu'ils vont assez loin. Nous sommes presque rendus au milieu de l'année 2012, et, comme je l'ai dit dans mon exposé, les lois canadiennes en matière de protection de la vie privée accusent du retard par rapport aux réformes entreprises dans d'autres pays d'importance, alors les sociétés n'ont vraiment pas de raisons d'investir dans le genre de logiciels ou de programmes de formation du personnel qui permettraient de mieux protéger les données des Canadiens. Je crois donc, essentiellement, que le projet de loi pourrait être plus renforcé.
(1205)
    Je crois que c'est une arme à double tranchant. Les gens accordent de l'importance à leur vie privée, mais, en même temps, et je trouve cela surprenant, ils affichent sur Twitter, sur Facebook et dans les autres médias sociaux toutes sortes de renseignements sur eux-mêmes. Et ensuite on les entend dire: « Attendez, vous faites intrusion dans ma vie privée. »
    Il me semble que les gens sont prêts à dévoiler des détails sur leur vie et sur d'autres sujets à presque n'importe qui.
    N'est-ce pas un peu hypocrite? Ne sommes-nous pas, d'une part, inquiets de ce qui pourrait arriver à nos données personnelles et, d'autre part, enclins à nous dévoiler et à interagir avec le plus de gens possible? La situation me semble paradoxale.
    Oui, je crois que vous avez absolument raison, monsieur. C'est la nature humaine. Nous avons affaire à une société individualiste, et chacun a une opinion différente à propos de la vie privée, selon sa situation particulière. Je ne dirais pas sur une tribune donnée — par exemple ici — ce que je dirais à ma meilleure amie à l'occasion d'un repas.
    L'arrivée de nouvelles technologies a modifié ces contextes, et les gens réagissent de façons différentes et, parfois, contradictoires. Et comme ces technologies sont très nouvelles, nous ne savons pas jusqu'à quel point notre comportement en ligne changera au fil du temps, à mesure que nous vieillissons, que nous traversons différentes étapes de la vie, et ainsi de suite. Ce sont des choses qu'il nous reste à découvrir.
    Mais, en effet, les comportements en ligne sont très diversifiés.

[Français]

    Merci. Votre temps est écoulé.
    Je donne la parole à M. Andrews pour cinq minutes.

[Traduction]

    Merci, monsieur le président.
    Merci encore une fois aux invités d'être présents.
    En ce qui concerne la conservation des données, pendant combien de temps exactement les entreprises conservent-elles les renseignements? Lorsqu'une personne décide de ne plus participer et de fermer son compte, je crois que vous avez décrit deux possibilités: la désactivation ou la suppression du compte.
    Pendant combien de temps ces entreprises conservent-elles les renseignements? Comment pouvons-nous savoir qu'elles les ont vraiment détruits d'une manière acceptable, si tant est que nous puissions le savoir?
    Merci de poser la question.
    En réalité, il n'y a peut-être aucune limite au temps qu'une entreprise peut conserver des informations, et c'est là un des problèmes. Nous sommes présentement en train de mener une enquête au sujet d'une entreprise — en fait, l'enquête est terminée — qui n'avait aucune intention de supprimer les renseignements. Elle détenait des informations qui dataient de cinq ou six ans et concernaient de très jeunes utilisateurs.
    Quand nous avons expliqué aux responsables qu'ils étaient tenus par la loi de supprimer ces renseignements, ils ont répondu qu'ils ne le pouvaient pas parce que ce n'était pas prévu dans le programme. C'est un problème très grave. Nous sommes en train de discuter avec eux au sujet des solutions de rechange éventuelles
    La situation varie selon l'entreprise, mais le problème se pose toujours. C'est la raison pour laquelle nous avons mis en relief, devant votre comité, le fait qu'il n'existe aucun mécanisme approprié concernant la destruction des renseignements et qu'on n'explique pas clairement si la désactivation d'un compte signifie que les renseignements sont détruits ou s'ils sont tout simplement inaccessibles.
    Comment une personne peut-elle savoir si les renseignements la concernant ont été détruits? On présume qu'ils l'ont été. De quelle façon pourrait-elle se rendre compte que ces renseignements n'ont pas été détruits? Est-ce que l'utilisateur s'en rendrait compte?
    Je ne le crois pas; pourrais-je poser la question à Mme Bucknell, qui a participé à un bon nombre de ces enquêtes?
    Merci. Dans bien des cas, il s'agissait de personnes qui avaient pu accéder à nouveau à leur compte et savaient donc que les renseignements les concernant, qu'elles avaient demandé à faire détruire, n'avaient en réalité pas été détruits. C'est à ce moment-là qu'elles ont déposé une plainte au commissariat.
(1210)
    D'accord. Madame Stoddart, si nous envisageons les différentes administrations compétentes — nous avons affaire à des multinationales qui sont en activité dans différents pays et dans différents États —, de quelle façon exactement pouvons-nous harmoniser l'ensemble des lois en matière de protection de la vie privée?
    On pourrait penser qu'il est souhaitable que ces lois soient dans une certaine mesure harmonisées, car autrement, comment les entreprises pourraient-elles dire que les diverses administrations appliquent des lois différentes en matière de protection de la vie privée? Comment pouvons-nous faire la quadrature du cercle?
    Merci. C'est une question très importante pour les commissaires à la protection de la vie privée du monde entier. En réalité, les lois en matière de protection de la vie privée ne diffèrent pas tant que cela. Elles sont toutes fondées sur le principe du traitement équitable de l'information adopté en 1980 par l'OCDE.
    Au Canada, nous avons choisi de nous inspirer de la norme européenne en matière de loi sur la vie privée, alors notre système de transfert des données est adéquat.
    Récemment, aux États-Unis, le département du Commerce et la Commission fédérale du commerce ont fait des progrès très intéressants en vue de rendre plus explicite la norme en matière de protection des renseignements personnels des États-Unis. Il y a aujourd'hui très peu de différences entre les pays.
    J'aimerais ajouter que les organismes responsables de l'application des lois sur la protection de la vie privée travaillent de plus en plus de concert
    Le 4 avril dernier, le commissariat a publié un communiqué concernant l'enquête sur Facebook selon lequel l'entreprise avait accepté d'apporter un certain nombre de changements. Comment pouvez-vous vérifier si une entreprise a réellement apporté les changements en question? Elle peut se contenter d'acquiescer. Comment faites-vous pour savoir si les changements ont bel et bien été mis en oeuvre?
    En fait, j'ai annoncé il y a quelque temps une nouvelle politique: plutôt que d'ordonner à des fonctionnaires payés par les contribuables de faire un suivi auprès des entreprises pour déterminer si elles font bien ce qu'elles sont censées faire, nous demandons aux entreprises de se soumettre à une vérification par un tiers — un cabinet comptable ou un cabinet d'avocats, par exemple — et de nous présenter dans un délai donné un rapport sur les changements qui ont réellement été apportés.
    Est-ce que le processus fonctionne bien? Est-ce que vous avez reçu des rapports des vérificateurs ou des tierces parties?
    Nous allons bientôt en recevoir deux. Le premier concerne une vérification de Staples, entreprise qui avait constamment des problèmes à supprimer les renseignements personnels contenus dans des appareils recyclés. Ce rapport doit être présenté cet été. Nous attendons également un rapport découlant de notre dernière enquête sur Google Wi-Fi, qui devait être présenté en mai. À mon grand désappointement, le rapport sera présenté en retard. Nous ne le recevrons qu'au mois de juillet.

[Français]

    Monsieur Andrews, votre temps est malheureusement écoulé.

[Traduction]

    Une petite question. Vous a-t-on dit pourquoi le rapport allait être en retard?
    Non, je ne crois pas qu'une raison claire ait été donnée.

[Français]

    Je donne maintenant la parole à Mme Davidson.

[Traduction]

    Merci beaucoup, monsieur le président, et merci à vous, madame la commissaire, et aux personnes qui vous accompagnent, d'être à nouveau parmi nous aujourd'hui. L'étude est tout à fait intéressante; vous êtes revenue sur notre étude de la collecte de données Wi-Fi... Toutes ces études se sont certainement révélées très intéressantes, et il est à espérer que notre travail servira l'intérêt supérieur du grand public.
    Ce que vous avez dit au sujet des normes internationales touchant la protection de la vie privée m'a beaucoup intéressée. Je crois vous avoir entendu dire que des progrès ont été faits et qu'à l'heure actuelle, il n'y a que très peu de différences entre toutes ces normes. Cependant, dans votre déclaration préliminaire, vous avez fait allusion aux pouvoirs d'application de la loi et au fait qu'à votre avis, le Canada accuse peut-être un retard. Pourriez-vous en dire un peu plus sur ce sujet, s'il vous plaît?
    Oui. Contrairement à la plupart des autres pays d'importance, le Canada ne prévoit actuellement aucune sanction importante en cas d'infraction aux lois s'appliquant à l'utilisation commerciale des renseignements personnels. J'espère qu'on pourra discuter de cet enjeu à l'occasion du second examen quinquennal de la LPRPDE qu'entreprendra le Parlement. Je suis convaincue que les entreprises — et je parle de très grandes multinationales dont les activités sont très étendues — prêtent attention lorsqu'elles s'exposent à des amendes importantes ou à de quelconques mesures d'application. Nous n'avons que des pouvoirs très limités dans ce domaine, et je crois qu'on respecterait davantage les lois du Canada si nous avions ce pouvoir.
    Et dans les autres pays, les sanctions sont de nature pécuniaire, n'est-ce pas?
    C'est exact.
    Dans le contexte international, y a-t-il d'autres aspects que nous couvrons et que les autres pays ne couvrent pas, ou vice-versa? Y a-t-il d'autres aspects importants auxquels nous devrions prêter attention, outre l'application de la loi?
(1215)
    Oui. Il y a toute une série d'enjeux que vous pourriez étudier dans le cadre de l'examen de la LPRPDE. Je crois que nous devons publier très bientôt un document sur ce sujet. Dans certains cas, cela concerne davantage des détails qui sont ressortis de l'application de la loi, au fil des ans. Dans d'autres cas, il s'agit d'aspects importants comme le pouvoir d'application de la loi ou le rôle de la personne au chapitre de la protection de ses droits; je crois que ce serait un bon sujet d'étude pour votre comité.
    Dans votre déclaration préliminaire, vous avez parlé des provinces. Vous avez dit que vos homologues de l'Alberta et de la Colombie-Britannique venaient de publier à l'intention des entreprises des lignes directrices en matière de responsabilité; cependant, il n'y a pas seulement deux provinces qui ont adopté des lois, n'est-ce pas?
    En effet. Au chapitre de la réglementation du secteur privé commercial, il y a aussi la province de Québec, qui a adopté une loi en 1995. Je crois que c'est sur le conseil de son ministère de la Justice que le Québec a choisi de ne pas participer avec nous à l'élaboration de ce document, mais je crois qu'il prévoit le faire quand il s'agira d'élaborer un autre ensemble de lignes directrices.
    Il y a donc seulement trois provinces?
    C'est bien cela. Il n'y a que trois provinces. Ailleurs au Canada, c'est la LPRPDE qui régit l'utilisation commerciale des renseignements personnels.
    Ce changement mis à part, est-ce que les choses sont assez bien harmonisées? Est-ce que la situation est comparable dans les trois provinces?
    Oui. Au cours de mon mandat de commissaire à la protection de la vie privée, nous avons fait une priorité de la coordination de nos efforts sur le plan des messages. Nous produisons de plus en plus de matériel conjoint. Nous avons mené des enquêtes conjointes. Nous croyons qu'il est essentiel, dans un pays fédéré comme le Canada, d'établir des normes semblables pour l'industrie à l'échelle du pays.
    Je crois que nous avons assez bien réussi à ce chapitre.
    Croyez-vous que les entreprises ont modifié la façon dont elles gèrent les renseignements personnels recueillis dans les sites en ligne? Nous en entendons toujours parler, et on soulève constamment de nouvelles préoccupations. Est-ce simplement parce que les gens sont de plus en plus au fait de ce qui peut arriver, ou y a-t-il une différence dans la façon de les gérer?
    Je crois qu'on fait de plus en plus preuve d'imagination à cet égard, mais, encore une fois, me permettez-vous de demander à Mme Bucknell de compléter ma réponse?
    Je crois que les gens sont plus au fait de la situation, en partie à cause des atteintes et des choses comme cela, mais aussi parce que certaines de ces très grandes sociétés essaient des choses auprès de leurs membres — les utilisateurs inscrits à leur site —, puis font face à une réaction brutale des utilisateurs dans bien des cas.
    Nous avons vu cela attirer beaucoup d'attention dans les médias, surtout il y a environ deux ans. Je crois que, en ce sens, oui, nous en entendons beaucoup plus parler, mais ces sociétés trouvent toujours de nouvelles façons ingénieuses d'utiliser les renseignements personnels.
    Y a-t-il des difficultés particulières...

[Français]

    Votre temps est écoulé, madame Davidson.
    Heureusement, on pourra entendre d'autres témoins un peu plus tard.
    Madame la commissaire, le temps est écoulé pour vous poser des questions. Cependant, on va continuer cette étude pendant un certain temps et on pourra vous inviter à nouveau pour faire le point sur ce qui a été dit par d'autres témoins, selon les voeux du comité.
    On doit suspendre pendant quelques minutes pour laisser la place aux prochains témoins. Il y aura ensuite 10 minutes pour les présentations et quelques minutes pour des questions et réponses. On aura du temps pour discuter des travaux du comité un peu plus tard.
    Merci.
(1215)

(1220)
    Nous reprenons la séance le plus rapidement possible, étant donné qu'on manque un peu de temps aujourd'hui.
    Je remercie les prochains témoins du ministère de l'Industrie de s'être déplacés aujourd'hui. Je leur laisse 10 minutes pour faire une présentation. Ensuite, il y aura une période de questions et réponses. Sans plus tarder, je laisse la parole aux témoins.
    Madame Goulding, allez-y.

[Traduction]

    J'aimerais présenter mes collègues qui m'accompagnent aujourd'hui: Bruce Wallace, directeur de la Direction de la sécurité et la protection des renseignements personnels, et Jill Paterson, conseillère en politiques, au sein de la Direction générale de la politique sur les technologies numériques.
    Votre comité a jugé bon de se pencher sur un enjeu contemporain de première importance. La protection des renseignements personnels en ligne est une condition préalable pour favoriser le dynamisme de l'économie numérique mondiale. Je comparais devant vous aujourd'hui afin de vous fournir des renseignements généraux sur la loi fédérale qui assure la protection des renseignements personnels des Canadiens faisant partie d'une transaction commerciale, dans Internet et ailleurs, à savoir la Loi sur la protection des renseignements personnels et les documents électroniques ou LPRPDE.

[Français]

    Depuis sa mise en oeuvre, cette loi, qui s'adresse au secteur privé, constitue un fondement solide pour assurer la protection de la vie privée sur Internet. Elle est prise comme modèle par d'autres pays partout dans le monde, qui sont à la recherche de moyens d'assurer la protection de la vie privée. L'efficacité de cette loi repose en grande partie sur le fait qu'elle réglemente la protection de la vie privée d'une manière neutre sur le plan technologique en faisant appel à une approche souple axée sur des principes.
    La Loi sur la protection des renseignements personnels et les documents électroniques comporte deux volets distincts. La partie 1 précise les obligations en matière de protection de la vie privée qui découlent de la loi, alors que les parties 2 à 5 concernent davantage les documents électroniques que la protection des renseignements personnels et, à ce titre, ne s'appliquent pas aux travaux que vous menez en ce moment.
    La partie 1 de la loi établit les règles que doit respecter le secteur privé en matière de protection des renseignements personnels dans les transactions commerciales. Elle établit des règles de base claires qui régissent la collecte, l'utilisation et la communication des renseignements personnels.

[Traduction]

    La loi établit un équilibre entre deux considérations centrales: la nécessité de protéger le droit à la vie privée et le besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels dans le cadre de leurs activités commerciales. Il est particulièrement important de trouver le juste milieu dans un environnement électronique où des quantités considérables d'informations peuvent être recueillies et stockées rapidement et où une transaction financière peut s'effectuer en quelques secondes.
    Je voudrais aborder avec vous aujourd'hui quelques-uns des principaux volets de la loi.
    D'abord, cette loi s'applique uniquement aux renseignements personnels utilisés à des fins commerciales. Elle s'applique à tous les renseignements personnels en format électronique ou autre. La loi s'applique à l'ensemble des secteurs de l'économie, pas seulement à des secteurs individuels.
    Ensuite, la loi repose sur un ensemble de principes qui sont énoncés dans le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation. Ce code a été établi par des représentants du secteur privé et des consommateurs, et il a été adopté bien avant l'entrée en vigueur de la loi. Il contient 10 principes fondamentaux de protection de la vie privée, qui ont été intégrés dans l'annexe 1 de la loi.
    Je voudrais attirer votre attention sur le principe le plus important, à savoir le consentement, c'est-à-dire la nécessité d'obtenir le consentement. La législation canadienne relative à la protection de la vie privée et celle de nombreux autres pays son fondées sur le principe du consentement, qu'il soit explicite ou implicite, de recueillir, d'utiliser et de communiquer des renseignements personnels.
    La loi oblige également les organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels strictement à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. Il s'agit d'un critère déterminant qui s'applique à toutes les dispositions de la loi. Cette exigence introduit une flexibilité qui permet à la loi de demeurer applicable alors que les normes sociales, les comportements et les attentes changent au fil du temps, tant dans Internet qu'ailleurs.
    La loi est entrée en vigueur en 2001, avant l'avènement de services et d'activités électroniques comme Twitter, YouTube, Google et Facebook, que nous tenons aujourd'hui pour acquis. Malgré l'évolution d'Internet et l'introduction de nouveaux services, la loi s'avère toujours efficace. Son approche neutre sur le plan technologique, axée sur des principes, lui donne de la souplesse et a permis à la commissaire à la protection de la vie privée du Canada de faire face aux défis qui se posent dans Internet, y compris dans les médias sociaux. La commissaire a fait appliquer ces disposition relatives à la protection de la vie privée à l'échelle internationale par les plus importants fournisseurs de services électroniques de la planète, dont Google et Facebook.
    Par exemple, à la suite d'une enquête menée par la commissaire, Facebook a pris des mesures correctives pour aligner ses pratiques sur les obligations découlant de la loi. Facebook a accepté de fournir des renseignements pour aider les utilisateurs à mieux comprendre de quelle manière les renseignements personnels les concernant seraient utilisés et à prendre des décisions éclairées sur la mesure dans laquelle ils veulent communiquer ces renseignements.
(1225)
    Dans l'ensemble, la législation fournit toujours un cadre rigoureux permettant de trouver le juste milieu entre les pratiques commerciales et la protection de la vie privée des Canadiens. Toutefois, le rythme soutenu des innovations technologiques, conjugué au changement constant dans les pratiques individuelles dans Internet, accentue l'importance de procéder à un examen de la loi pour s'assurer qu'elle permet d'aborder les enjeux qui se dessinent.

[Français]

    Notamment, le développement d'applications permettant aux personnes de communiquer des renseignements personnels — un aspect essentiel de ce que l'on appelle le Web 2.0 — est en train de changer le comportement des utilisateurs d'Internet. Une bonne partie des renseignements personnels est fournie spontanément par les utilisateurs eux-mêmes. Bien qu'ils soient des participants actifs dans la communication de ces renseignements, bon nombre d'entre eux ne comprennent peut-être pas pleinement de quelle manière ils sont utilisés, ni les risques d'entrave à la vie privée qui y sont liés.
    La recherche indique que les utilisateurs de médias sociaux ne prévoient peut-être pas dans quelle mesure les renseignements qu'ils affichent seront rendus accessibles. De plus, l'utilisation de cookies et d'autres outils de suivi est généralisée, mais reste invisible pour l'utilisateur moyen d'Internet. Les renseignements personnels peuvent être rassemblés et utilisés à des fins que les utilisateurs n'auraient pas pu imaginer et sur lesquelles ils pourraient se trouver en désaccord.

[Traduction]

    L'élaboration de cadres stratégiques pour assurer la protection de la vie privée dans cet environnement exige la prise en compte de questions complexes. Comme de nombreux pays, le Canada est actuellement aux prises avec cette question. Par exemple, l'OCDE effectue en ce moment un examen de ses lignes directrices sur la protection de la vie privée. Ce sont les premiers principes qui ont été acceptés internationalement et qui ont influé sur l'élaboration du Code type sur la protection des renseignements personnels de la CSA sur lequel repose la loi.
    De même, il est possible d'améliorer un bon texte législatif comme cette loi en le soumettant à une révision périodique pour s'assurer qu'il suit le rythme de l'évolution des technologies et des modèles de fonctionnement.
    Le projet de loi C-12, la Loi protégeant les renseignements personnels des Canadiens, actualisera la loi actuelle de différentes manières importantes. Le projet de loi, qui attend la deuxième lecture à la Chambre des communes, résulte du premier examen de la loi, entrepris par vos prédécesseurs au sein du comité en 2006-2007. À ce moment-là, le comité avait conclu qu'il n'était pas nécessaire d'y apporter des changements. Toutefois, il avait formulé plusieurs recommandations visant à en améliorer certains volets, notamment la nécessité d'y inscrire l'obligation de déclarer toute atteinte à l'intégrité des renseignements personnels.
    À la suite de la publication du rapport du comité, Industrie Canada a procédé à une large consultation qui a débouché sur la réponse du gouvernement indiquant que plusieurs modifications seraient apportées à la loi pour donner suite à diverses recommandations du comité. Le projet de loi introduisant ces modifications a été déposé pour la première fois en mai 2010, mais il est mort au Feuilleton. Il a été introduit de nouveau sous la désignation C-12 et déposé au Parlement en septembre 2011.
    Il convient de souligner que le projet de loi C-12 donnera lieu à un outil encore plus puissant pour protéger et habiliter les consommateurs en ligne. Ce projet de loi établit un cadre en vertu duquel les entreprises doivent informer leurs clients lorsque leurs renseignements personnels ont été perdus ou volés. La commissaire à la protection de la vie privée demande depuis longtemps l'adoption d'une approche législative pour assurer la notification d'une atteinte à la sécurité des données. En 2007, le bureau de la commissaire a publié des lignes directrices sur la notification volontaire des atteintes à la sécurité des données, mais elle s'est dite inquiète que certaines entreprises ne le fassent pas et que les organisations n'aient pas toutes pris des mesures de sécurité appropriées pour protéger leurs fonds de renseignements personnels.
    Le projet de loi C-12 oblige les organisations à informer les personnes concernées lorsqu'une atteinte à la sécurité des données présente un risque réel de préjudice grave à leur endroit, comme le vol d'identité, la fraude ou l'atteinte à la réputation. La commissaire doit également être informée des atteintes aux mesures de sécurité pour lui permettre d'assurer la surveillance de la conformité avec les nouvelles exigences. En accord avec ses pouvoirs actuels, elle peut rendre public le nom des organisations qui ne respectent pas leurs obligations si elle estime que cela est dans l'intérêt public. Cela constitue une excellente incitation pour les organisations à agir de bonne foi. En fait, nous avons pu constater que des entreprises de médias sociaux bien connues comme Facebook et Google ont été contraintes de modifier leurs pratiques. Plusieurs cas notoires d'atteinte à la sécurité des données qui sont survenus au cours des dernières années comme ceux concernant Sony et Epsilon, la plus importante société de commercialisation par courrier électronique, ont mis en évidence la nécessité d'adopter rapidement ce projet de loi et ses nouvelles exigences en matière de notification.
    Ce projet de loi comprend également des améliorations aux dispositions relatives au consentement dans le but de protéger la vie privée des personnes mineures lorsqu'elles utilisent Internet. La recherche montre que les enfants n'ont pas la capacité de comprendre les conséquences associées au partage de leurs renseignements personnels. Les actions de mise en marché visant les enfants ne sont pas toutes inappropriées. Toutefois, certains services électroniques recueillent subrepticement des renseignements personnels concernant des enfants dans un environnement conçu pour s'apparenter à un terrain de jeu ou à un site éducatif. Le projet de loi C-12 exige que les organisations fassent un effort raisonnable lorsqu'elles recueillent des renseignements personnels concernant des mineurs pour communiquer clairement pourquoi ces renseignements sont recueillis de manière que le public cible puisse comprendre.
    Nous croyons que ces changements constituent une étape importante pour faire en sorte que la législation relative à la protection de la vie privée continue de protéger les Canadiens.
    Je vous remercie de nous avoir donné l'occasion de comparaître aujourd'hui devant le comité. Mes collègues et moi répondrons avec plaisir à vos questions.
(1230)

[Français]

    Merci beaucoup, madame Goulding, de votre présentation et votre présence.
    Je vais céder la parole à Mme Borg, pour une période de questions de cinq minutes.
    Merci, monsieur le président.
    J'aimerais également remercier les témoins d'être présents aujourd'hui.
     Des compagnies comme Facebook et la plupart des réseaux sociaux ne sont pas situés au Canada, mais on sait bien qu'ils comptent beaucoup d'utilisateurs canadiens. Quel est notre pouvoir législatif sur des compagnies étrangères qui sont actives à l'intérieur du Canada? Quelle est l'influence de notre pays sur la scène internationale?

[Traduction]

    La loi s'applique à la collecte de données dans le cadre d'activités commerciales ici au Canada. Mais, de toute évidence, l'activité et l'entreprise qui recueille les données peuvent être internationales, alors la coopération internationale de la commissaire à la protection de la vie privée est absolument essentielle.
    Récemment, on a mis la loi à jour pour permettre à la commissaire à la protection de la vie privée de partager des renseignements de façon plus générale avec ses homologues internationaux.

[Français]

    Merci.
    Nous savons tous qu'Internet se développe et change très rapidement. Il y a toujours de nouveaux sites Web. Cela s'accélère si rapidement qu'on tente toujours de rattraper le retard. Pour moi, il était important d'avoir des mesures proactives afin d'éviter d'avoir peur d'utiliser Internet. À mon avis, tout cela fait partie d'une stratégie numérique que votre ministère a annoncée.On n'a pas vraiment vu de nouveautés à cet égard. J'aimerais donc savoir si vous avez des nouveautés à nous signaler.

[Traduction]

    Au chapitre de la politique sur les technologies numériques, certes, le gouvernement a été très actif. L'adoption récente de la loi anti-pourriel est un élément clé, ainsi que les modifications de la LPRPDE actuellement étudiées à la Chambre et la loi sur le droit d'auteur.
    Le ministre a récemment déclaré qu'il rendra publique une stratégie plus tard cette année. De nombreux éléments de l'économie numérique continuent à évoluer au Canada, et le gouvernement et le secteur privé continuent à relever ces défis.

[Français]

    Malheureusement, je pense qu'on tire vraiment de l'arrière dans tout ce qui touche à Internet. Je pense qu'il y a beaucoup de travail à faire et qu'il vaut mieux le faire de façon proactive plutôt que d'attendre un désastre.
    Sur ce même sujet, la commissaire, Mme Stoddart, a dit lors de son témoignage que, comme vous l'avez expliqué lors de votre présentation, le Canada tirait de l'arrière en ce qui concerne les normes pour l'atteinte des données. Peut-être n'y a-t-il pas assez de mesures dans le projet de loi C-12.
     Pouvez-vous expliquer pourquoi on tire tellement de l'arrière en ce qui concerne l'information aux utilisateurs quant aux atteintes à la protection de leurs renseignements personnels?
(1235)

[Traduction]

    Je crois que la commissaire faisait allusion au fait que le Canada est l'un des rares pays qui n'ont toujours pas adopté de dispositions législatives prévoyant l'obligation de déclarer toute atteinte à l'intégrité des renseignements personnels. Ainsi, comme je l'ai mentionné, il importe que le Canada rattrape le retard et adopte les modifications du projet de loi C-12 actuellement étudiées à la Chambre.
    Quant à l'avenir, la commissaire a parlé des pouvoirs globaux en matière d'application prévus par la loi et a avancé que le deuxième examen parlementaire serait une bonne occasion de jeter un second coup d'oeil à cette question. C'est peut-être quelque chose que les parlementaires aimeraient faire.

[Français]

    Me reste-t-il du temps, monsieur le président?
    Il vous reste une minute et demie.
    J'ai discuté avec plusieurs acteurs et universitaires qui travaillent dans ce domaine. De plus, Mme Stoddart a aussi donné l'exemple d'une compagnie qui préservait les données parce qu'elle n'avait pas la technologie pour éliminer ces données. Je pense donc qu'on a des technologies adoptées, des technologies inventées, et la politique suit après coup.
    J'aimerais entendre vos commentaires à ce sujet également. Ayant la politique et ensuite la technologie, comment peut-on s'assurer qu'on n'aura pas des technologies qui vont préserver des données parce qu'on ne sait pas comment les éliminer ou les détruire?

[Traduction]

    La loi actuelle contient des dispositions selon lesquelles les organisations doivent établir des calendriers de conservation pour tous les renseignements personnels. La commissaire l'a mentionné.
    Pour ce qui est d'exiger des entreprises qu'elles réfléchissent à la protection de la vie privée lorsqu'elles mettent en oeuvre de nouvelles technologies, il s'agit d'un défi constant. C'est quelque chose que les commissaires à la protection de la vie privée partout dans le monde, et aussi au Canada... La commissaire à l'information et à la protection de la vie privée de l'Ontario a déclaré haut et fort son point de vue sur le respect de la vie privée à l'étape de la conception.
    Les entreprises songent à la façon dont elles doivent respecter la protection de la vie privée. Mais, de toute évidence, la sensibilisation est un défi. Le secteur privé ainsi que les particuliers ont un rôle à jouer dans la protection de leur vie privée en ligne.

[Français]

    Merci.
     Votre temps est écoulé, madame Borg.
     Je cède la parole à M. Calkins.

[Traduction]

    Merci, monsieur le président. Merci beaucoup, madame Goulding, d'être ici aujourd'hui.
    J'ai quelques questions directes à vous poser. Elles vont à l'essentiel et sont fondées sur votre témoignage.
    Vous dites que l'OCDE mène un examen de ses lignes directrices sur la protection de la vie privée. Savez-vous quand doit être terminé cet examen de l'OCDE?
    L'examen est en cours, mais je crois que je vais laisser ma collègue, Jill, vous parler de l'échéancier.
    J'ai bien peur de ne pas avoir de détails précis à ce sujet. Je sais que l'OCDE a récemment publié des documents liés aux changements recommandés concernant la directive de l'UE sur la protection des données personnelles. J'ai bien peur que je doive revenir vous donner des détails sur les délais relatifs à l'adoption de ces recommandations.
    Il serait tout simplement utile pour nous de le savoir, du point de vue du calendrier.
    Madame Goulding, vous avez parlé un peu de « cookies ». Croyez-le ou non, j'étais programmeur informatique avant de venir ici. J'enseignais la technologie de l'information. Je comprends assez bien certains des enjeux en question. Tout utilisateur d'un ordinateur ou d'une autre technologie devrait savoir qu'il y a des paramètres du système d'exploitation qui peuvent être réglés pour la sécurité, par exemple. Quant aux « cookies », vous pouvez désactiver les paramètres pour qu'il soit impossible de stocker des « cookies » sur votre ordinateur, et ce genre de choses.
    Avons-nous un problème d'éducation au Canada qui touche la capacité des gens de réellement comprendre ce que peut faire leur système? J'allais poser cette question à la commissaire à la protection de la vie privée, parce que, si vous savez ce que vous faites, vous pouvez en fait régler les paramètres de façon à accroître la protection des renseignements personnels vous concernant.
    En faisons-nous assez sur ce front au Canada pour nous assurer que les gens connaissent bien les risques auxquels ils sont exposés et certaines des mesures qui peuvent être prises pour atténuer ces préoccupations?
    Merci pour la question. Je crois que vous soulevez un point très important. La culture numérique est un enjeu qu'on a soulevé à plusieurs reprises pour que les gens comprennent les risques à la vie privée auxquels ils sont exposés en ligne. Je crois que la culture numérique doit être une priorité. La sensibilisation est un élément important. C'est important, comme l'a fait valoir la commissaire, parce que les écoliers sont actifs en ligne de plus en plus tôt. Il est essentiel qu'ils comprennent les risques auxquels ils s'exposent lorsqu'ils affichent des renseignements personnels les concernant en ligne.
    Encore une fois, je vous ai brièvement parlé du fait que l'une des modifications qu'introduit le projet de loi C-12 imposera une nouvelle obligation — ou une obligation plus claire — aux organisations, qui devront cibler leurs messages au public. Lorsque vous parlez des enfants — ou, à vrai dire, de l'internaute moyen —, il importe qu'ils connaissent les mesures qu'ils peuvent prendre pour renforcer la protection de leur vie privée en ligne.
(1240)
    J'espère obtenir des clarifications sur une chose. Dans l'un de vos premiers paragraphes, vous dites que la loi établit un équilibre entre deux considérations simples: la nécessité de protéger le droit à la vie privée et le besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels dans le cadre de leurs activités commerciales.
    Je crois que tout le monde comprend qu'une transaction financière — par exemple, chaque fois que vous utilisez une carte Visa ou une carte de débit ou que vous faites une opération bancaire en ligne — est sans aucun doute une activité commerciale, mais est-ce le cas pour l'inscription à un site ou le téléchargement d'une application dans iTunes gratuite? Faut-il vraiment qu'il y ait un échange monétaire pour que l'activité soit considérée comme étant commerciale? L'ouverture du compte courriel gratuit sur Gmail est-elle considérée comme étant une activité commerciale? Ou l'activité commerciale survient-elle lorsque quelqu'un prend les renseignements personnels que vous avez donnés en guise — j'imagine — de frais pour le service gratuit, puis revend ces renseignements.
    Je suis certain que tous les téléspectateurs savent clairement que, parfois, quelques minutes après avoir téléchargé une application gratuite ou je ne sais quoi — dès que vous donnez votre adresse électronique —, tout d'un coup, votre boîte de réception est pleine de pourriels. Parfois, cela arrive en moins de quelques heures. Alors, vous savez que les renseignements que vous venez de donner ont été divulgués, vendus ou quelque chose de ce genre.
    Quelles mesures sont à ma disposition pour me protéger lorsque je m'inscris à un site afin que je sache que les renseignements personnels me concernant ont été vendus? Dois-je lire les 15 pages de jargon, ou y a-t-il quelque chose d'un peu plus clair que les Canadiens peuvent consulter?
    Merci. Je crois que la question de la clarté est importante. Vous avez tout à fait raison lorsque vous parlez du besoin de clarté dans les cas où des organisations cherchent à recueillir des données qu'elles utiliseront à des fins commerciales. Je crois qu'il est clair qu'une véritable transaction...
    Le fait que le téléchargement d'une application gratuite soit toujours une transaction est peut-être matière à débat. Mais, de toute évidence, des données sont recueillies dans un contexte commercial de bien des façons, que l'argent change véritablement de main ou non. La clarté concernant les motifs pour lesquels les données sont recueillies et la façon dont elles sont utilisées pose un véritable défi dans le contexte actuel.

[Français]

    Il ne vous reste que quelques secondes.

[Traduction]

    De mon point de vue, alors, croyez-vous qu'il serait faisable d'établir un système qui ferait que les Canadiens seraient informés dès que les renseignements personnels les concernant seraient vendus ou partagés à des fins commerciales?
    Les défis associés à l'environnement en ligne pourraient rendre cette tâche difficile. La commissaire à la protection de la vie privée l'a laissé entendre simplement en disant que, même si l'information est là, il faut lire une déclaration de 10 pages pour en prendre véritablement connaissance. Beaucoup trop souvent, les Canadiens ou les consommateurs cliquent simplement sur « accepter » et passent à la prochaine étape de la transaction.
    Alors, pour revenir à votre première question, la culture numérique est essentielle, et les gens doivent prendre des mesures proactives pour protéger leur vie privée. Je ne crois pas avoir de réponse plus précise à votre question.

[Français]

    Merci.
    Je vais maintenant céder la parole à M. Andrews.

[Traduction]

    Merci, monsieur le président, et bienvenue.
    Pour poursuivre sur cette lancée, la première chose dont vous avez parlé — le principe absolument central — est la nécessité du consentement. Lorsque vous parlez de consentement, quel est le degré de jargon qui peut exister? À quel point pouvons-nous le simplifier? Je sais que nous avons parlé de la commissaire à la protection de la vie privée, lorsque quelqu'un obtient le consentement — vous consentez à transmettre des renseignements personnels vous concernant à quelqu'un d'autre —, à quel point pouvons-nous simplifier la chose, pour que les gens comprennent et que tout le monde sache ce que nous faisons lorsque nous donnons notre consentement? Est-ce possible?
    Je dois me ranger à l'avis de la commissaire à la protection de la vie privée sur cette question. Je crois qu'il est possible de le faire, mais c'est aux organisations de présenter des énoncés clairs à leurs utilisateurs pour les informer de ce à quoi ils consentent et des fins auxquelles serviront les renseignements personnels les concernant.
    Vous avez aussi parlé du consentement explicite ou implicite. Pouvez-vous nous donner un exemple de consentement implicite? Les utilisateurs devraient-ils se préoccuper vivement du fait que, parfois, le consentement est implicite et qu'ils ne s'en aperçoivent pas?
    Selon la loi, le consentement implicite dépend du contexte et des circonstances qui l'entourent. Alors, par exemple, si le consommateur s'abonne à une revue, il consent peut-être de façon implicite à obtenir un préavis lorsque son abonnement arrive à échéance, mais cela est très contextuel et dépend des circonstances présentes. Alors, ce genre de cadre est flexible parce qu'il permet à la commissaire à la protection de la vie privée d'interpréter ce qui est raisonnable en matière de consentement implicite. Je crois que c'est l'un des aspects importants de la loi.
    Lorsque vous passez à quelque chose de plus prescriptif, alors, par définition, vous excluez souvent quelque chose que vous ne pouviez pas prévoir, et c'est pourquoi les principes sont très flexibles, et c'est là l'une des forces de la loi. Mais la commissaire à la protection de la vie privée a publié un certain nombre de lignes directrices sur la façon dont le consentement devrait être interprété, et elles figurent sur notre site Web.
(1245)
    Assez souvent aujourd'hui, lorsqu'on s'inscrit à quelque chose, on voit une case à cocher à côté d'une déclaration qui dit: « Nous allons divulguer ces renseignements à d'autres fournisseurs », et vous pouvez la cocher si vous y consentez.
    Si vous cochez la case, jusqu'où vont ces données dans la chaîne de fournisseurs ou d'autres groupes? Qu'en est-il de la revente de ces données? Est-ce une réalité? Des organisations obtiennent-elles des données d'ailleurs, puis les revendent-elles à quelqu'un d'autre? Craignons-nous que ces données soient revendues à de nombreuses personnes?
    Je ne peux pas parler de tous les modèles d'entreprise, mais je crois que la situation que vous décrivez s'est déjà produite. Je crois que le principe de consentement s'applique, peu importe le contexte. Alors, si les renseignements recueillis vont être transmis à un tiers, la loi prévoit que le consentement doit être explicite et éclairé.
    Et même si ce tiers les revend par la suite?
    Certainement, dans le contexte de la loi, je dirais que oui.
    En ce qui concerne la notification des atteintes à la sécurité des données, la commissaire à la protection de la vie privée a déclaré que les entreprises ne les signalaient pas toujours. À quel point ces atteintes sont-elles courantes, à votre avis?
    Malheureusement, aucune étude n'est à notre disposition pour nous informer de la mesure dans laquelle les atteintes à la sécurité des données sont courantes, mais je crois que, dans un monde où les organisations ont une énorme quantité de données sous la main, il importe que nous ayons une loi qui les soumet aux mêmes obligations et exige qu'elles prennent des mesures pour protéger ces renseignements en fonction de leur caractère délicat.
    À mon avis, lorsque les dispositions législatives entreront en vigueur, la commissaire à la protection de la vie privée sera en mesure de mieux comprendre à quel point les atteintes à la sécurité des données sont courantes au Canada.
    Quel délai devrait-on respecter pour aviser les personnes de ces atteintes à la sécurité des données?
    Encore une fois, la vitesse à laquelle on doit aviser les personnes est fonction du préjudice potentiel. S'il y a un risque de préjudice important, on s'attend à ce que la notification soit très rapide, afin que les gens puissent prendre des mesures pour protéger les données en question.
    Alors, par exemple, dans le cas de la divulgation potentielle d'un numéro de carte de crédit, la personne voudra agir rapidement pour faire annuler sa carte ou prendre des mesures supplémentaires pour se protéger. Encore une fois, la loi n'est pas prescriptive, mais elle prévoit tout de même d'agir « dès que possible ».

[Français]

    Je vais céder les cinq dernières minutes à M. Carmichael.

[Traduction]

    Merci, monsieur le président, et je souhaite la bienvenue à nos témoins aujourd'hui.
    J'aimerais approfondir les questions de mon collègue au sujet des atteintes à la sécurité des données dans la loi. Je crois comprendre qu'il y a une modification qui protégerait les consommateurs des atteintes à la sécurité des données.
    Ma préoccupation tient au fait que la commissaire parlait plus tôt de son manque de pouvoir d'application de la loi dans le cadre de certaines de ces difficultés, alors nous avons fait inscrire l'atteinte à la sécurité des données. Nous avons intégré ce concept à la loi, mais je me demande quelles sont les pénalités. Comment protégeons-nous les consommateurs? Même si c'est là, qui est responsable de l'appliquer?
    Aux termes de la loi, la commissaire à la protection de la vie privée est responsable de la prise de mesures découlant d'une plainte. Elle a le pouvoir de lancer une enquête, de publier ses recommandations et, si elle estime que d'autres mesures s'imposent, de saisir la Cour fédérale de l'affaire. La Cour fédérale peut ensuite ordonner à une organisation de modifier son comportement et aussi de verser des dommages-intérêts. Le régime législatif actuel repose sur le concept d'ombudsman, mais, comme l'a laissé entendre la commissaire, peut-être qu'au moment du deuxième examen parlementaire de la LPRPDE, la question de ses pouvoirs en vue de faire appliquer la loi pourrait être quelque chose que les parlementaires voudront étudier.
(1250)
    Les modifications de la loi, si je comprends bien, ont permis d'intégrer des mesures de protection pour les enfants et les personnes vulnérables. J'ai observé mon petit-fils âgé de trois ans naviguer sur un iPad avec une aisance remarquable. De toute évidence, il n'a pas lu tous les règlements régissant la nature de ses responsabilités.
    Ensuite, je pense aux personnes âgées à l'autre bout du spectre. Dans le cadre des nombreux séminaires de lutte contre la fraude que j'ai animés dans ma circonscription, j'ai entendu maintes histoires d'activités frauduleuses visant les personnes âgées sur des sites Internet ou au moyen de courriels et de toutes sortes d'obstacles à leur sécurité. J'ai une véritable préoccupation qui tient au fait que la technologie évolue plus vite que notre capacité d'assurer la sécurité et la protection des consommateurs qui utilisent ces produits. Êtes-vous d'accord avec moi?
    Je crois que la question revient à la culture numérique, et je conviens du fait qu'il est très difficile pour les consommateurs de parcourir la multitude de renseignements qui viennent probablement avec différentes applications en ligne. Je crois que la question de la culture numérique reviendra constamment. Obliger les organisations à communiquer d'une façon claire et compréhensible avec son public cible est essentiel et, encore une fois, c'est quelque chose que nous espérons voir appliquer grâce à l'adoption du projet de loi C-12.
    Il y aurait une simplification pour que nous puissions tous comprendre.
    Oui.
    Combien de temps me reste-t-il, monsieur le président?

[Français]

    Il vous reste une minute et trois quarts.

[Traduction]

    J'aime l'idée d'une vérification des sociétés par un tiers, mais je suis très préoccupé du fait qu'il semble y avoir un long intervalle entre la vérification et le moment où nous pouvons observer les résultats et les mesures correctives.
    Encore une fois, pour revenir à la question de la sécurité, de la gestion, de la responsabilisation et de la gouvernance, comment pouvez-vous accélérer le processus qui nous permettra d'avoir le dessus dans les cas où il y a de graves atteintes à la sécurité des données et de maintenir la gouvernance pour réellement protéger nos consommateurs?
    La responsabilité de l'application de la loi appartient à la commissaire à la protection de la vie privée, et le concept de la vérification par un tiers — une très bonne idée, selon moi — est une mesure qu'elle a introduite. Je crois que la commissaire à la protection de la vie privée est mieux placée pour répondre à ce genre de questions.
    J'aime l'idée de la vérification par un tiers. Elle nous a donné un exemple, toutefois, d'une vérification qui aurait dû être effectuée il y a longtemps et du fait qu'elle semble avoir très peu de pouvoir pour rectifier le tir. Cela est pour moi une préoccupation.
    C'est tout. Merci.

[Français]

    Merci, monsieur Carmichael.
    La période des questions et réponses est maintenant terminée. Je remercie les témoins de s'être présentés devant le comité aujourd'hui.
    Ainsi que prévu, nous allons passer aux travaux du comité et y consacrer les quelques minutes qu'il nous reste.
    D'abord, comme on vient de vous en informer, une erreur s'est glissée dans le rapport sur le lobbying. Or, comme celui-ci a déjà été déposé à la Chambre des communes, il va falloir recourir à une procédure spéciale pour corriger cette erreur. Je demanderais à l'attaché de recherche de nous expliquer en quoi consiste l'erreur en question. Je vais ensuite décrire la procédure à suivre pour la corriger.
    Une erreur s'est en effet glissée dans le rapport, et c'est à l'endroit où sont énumérées les recommandations de la commissaire au lobbying que le comité a retenues. Un numéro y figure mais ne devrait pas se trouver là. Ça n'a aucune répercussion sur le reste du rapport, mais le fait que ce numéro apparaisse à cet endroit laisse croire que le comité a retenu une certaine recommandation de la commissaire alors que ce n'est pas le cas, d'où la nécessité d'apporter une correction.
    Je vous remercie.
     Comme le rapport a déjà été déposé, la procédure à suivre pour corriger l'erreur consiste à demander le consentement unanime de la Chambre. Il est donc un peu difficile d'apporter des modifications sans passer par la Chambre une deuxième fois. Il s'agit d'une modification assez simple, mais cette erreur pourrait tout de même avoir certaines répercussions, étant donné qu'elle laisse croire que nous avons adopté une recommandation, alors que ce n'est pas le cas. Ce sera fait au cours des prochains jours. On ne sait pas encore à quelle date. Quoi qu'il en soit, la collaboration des partis va être nécessaire.
    Y a-t-il des questions à ce propos?
    Monsieur Del Mastro?
(1255)

[Traduction]

    Merci, monsieur le président.
    Je constate qu'il est maintenant l'heure pour le comité d'entreprendre ses travaux. Je demande simplement au comité de poursuivre la séance à huis clos, comme d'habitude, pour entreprendre les travaux.

[Français]

    La motion ne peut pas faire l'objet d'un débat. On demande un vote par appel nominal. Il est proposé que le comité siège maintenant à huis clos pour traiter des travaux du comité.
    (La motion est adoptée par 7 voix contre 4.)
    Le président: Nous allons donc suspendre la séance pendant une minute pour laisser à tout le monde le temps de partir.
    [La séance se poursuit à huis clos.]
Explorateur de la publication
Explorateur de la publication
ParlVU