ETHI Réunion de comité

    Bonjour à tous. Comme il est 15 h 30, nous allons commencer.

    Avant de débuter, j'aimerais vous dire qu'on va sûrement entendre la sonnerie à 17 h 15 pour aller voter. On va donc devoir terminer la réunion 15 minutes plus tôt.

    Je remercie les trois témoins qui sont avec nous, soit M. Péladeau, M. Elder ainsi que M. Zushman, de Winnipeg, qui est avec nous par l'entremise de la vidéoconférence.

    Nous allons commencer sans plus tarder avec une période de 10 minutes de présentation pour chaque témoin. Ensuite, comme à l'habitude, il y aura une période de questions de la part des membres du comité. Je cède la parole à M. Péladeau. Vous avez 10 minutes pour faire votre présentation.

    Merci, monsieur le président, madame et messieurs les députés.

    Ayant lu les témoignages précédents, je vous soumets ici huit remarques sur les questions qui n'ont pas été abordées jusqu'à maintenant.

     La première remarque est que les médias sociaux ne sont pas un secteur d'activités commercial. Les médias sociaux sont plutôt une variété d'applications qui permettent de créer et d'échanger du contenu utilisé non seulement par quelques entreprises spécialisées bien connues, mais aussi par toutes sortes d'entreprises commerciales, des organismes publics, des associations, des employeurs, des écoles, des universités et même des hôpitaux qui sont, actuellement, en train d'en développer.

    Il n'y a pas que des personnes qui les utilisent. Il y a aussi des machines. Par exemple, les policiers, les travailleurs sociaux et les personnes oeuvrant dans des maisons de refuge doivent aujourd'hui expliquer aux adultes et aux enfants qui sont sous leur protection que leurs ordinateurs, tablettes, téléphones et caméras diffusent automatiquement des informations qui permettent de les localiser.

     Bref, les médias sociaux sont un environnement. La solution ne peut donc pas passer par une approche sectorielle applicable à certaines entreprises, ni même à tout le secteur privé, mais plutôt par une approche universelle qui s'appliquerait aussi, dans une certaine mesure, aux fabricants de certaines machines produisant de telles informations. Aujourd'hui, nous sommes entrés dans une ère qu'on appelle l'Internet des objets.

    Deuxièmement, la transparence des processus d'un média social n'est pas importante seulement pour l'opérateur afin qu'il puisse respecter ses obligations légales ou pour l'individu afin qu'on respecte ses droits ou pour permettre au commissariat de faire son travail. La transparence des processus est aussi importante pour que les organisations tierces puissent respecter leurs propres obligations.

    Je vais vous donner un petit exemple très simple. La Brasserie Sleeman avait lancé le concours Évadez-vous à Alcatraz, qui nécessitait d'accéder à une page Facebook. Or, le fonctionnement de sa page Facebook contredisait le règlement officiel du concours. Sleeman se retrouvait donc plus ou moins à enfreindre les lois sur les tirages et concours publicitaires et les lois relatives à la protection des informations personnelles. Je soulève ces deux points.

    L'application exigeait d'être abonné à Facebook pour s'inscrire au concours, alors que ce n'était pas une condition d'admissibilité. Le règlement du concours affirmait qu'aucun renseignement personnel ne serait transmis à Facebook, mais l'application obligeait à cliquer le bouton « J'aime » de cette page et, donc, à produire et diffuser des informations personnelles sur l'abonné.

    L'explication la plus probable dans un cas comme celui-là est que les professionnels engagés par Sleeman ne comprenaient pas les processus de Facebook, ni comment les processus de l'application de Sleeman s'y arrimaient. Cela m'amène à la troisième remarque.

    La convivialité des médias sociaux donne une fausse impression de transparence. Par exemple, je vous réfère au premier schéma qui vous a été distribué. On imagine communément qu'un tweet fait 140 caractères. C'est faux et vous allez le voir sur les schémas. Un tweet fait plusieurs centaines de caractères, composant une trentaine de champs différents d'information personnelle. C'est la même chose pour les processus. L'usager a l'impression de voir les opérations effectuées sur ses informations. En réalité, l'application est une sorte de boîte noire dont on ne peut voir que ce que l'opérateur nous montre.

    Quatrièmement, les textes des contrats d'adhésion, des conditions d'utilisation et des déclarations en matière d'usage d'information personnelle ne sont pas des moyens appropriés pour expliquer les processus. Il faut se rappeler que les premières lois dites de protection des informations personnelles ont été adoptées dans les années 1970. Donc, elles ont été conçues dans les années 1960. Le paysage de l'époque était dominé par des bureaucraties publiques ou privées où un préposé s'assurait que les informations produites sur un individu étaient compatibles à la fois avec les processus internes de l'organisation et avec la situation de l'individu.

     C'est ce défi qu'on appelle la pragmatique de l'information. Je fais référence ici au deuxième schéma qui vous indique les facteurs qui peuvent déterminer le choix des bonnes informations pour obtenir les bons résultats. Je vais vous donner un exemple très simple à cet égard.

    L'admission à une école et l'inscription à une année scolaire sont deux processus différents qui demandent d'identifier la mère, dans les deux cas, sauf qu'il ne s'agit pas de la même personne. La secrétaire de l'école s'assure que la bonne personne est décrite. L'admission a besoin de la personne inscrite au registre d'état civil afin de distinguer entre les petits Tremblay, les petits Smith, les petits Nguyen, alors que l'inscription identifie la personne qui s'occupe quotidiennement de l'enfant. Il ne s'agit donc pas nécessairement de la même personne.

    Dans un contexte bureaucratique classique, les textes d'application générale suffisaient parce que les organisations avaient des centaines de préposés qui assuraient la médiation entre la réalité de l'individu et les processus de l'organisation. Aujourd'hui, on demande à des millions d'individus de s'auto-administrer les processus, et cela n'est viable qu'à deux conditions:

     1) si l'individu, au moment opportun, a des explications spécifiques sur les processus précis qu'il enclenche;

     2) si ces explications sont compréhensibles, y compris pour des enfants, des technophobes ou pour la moitié de la population canadienne adulte qui est à faible littératie.

    Ici, par contre, les applications peuvent être la solution puisqu'elles sont interactives et multimédias. Je reprends l'exemple de Valerie Steeves. Le 29 mai, si le système m'a profilé comme étant une adolescente vancouvéroise de 16 ans et indiqué les intérêts caractéristiques de ce profil, pourquoi n'afficherait-il pas aussitôt ce profil ainsi qu'à quoi et à qui il sert exactement? Cela me permettrait d'ajuster les paramètres afin que le système réponde mieux à mes attentes et besoins, un peu comme dans le schéma auquel je me suis référé plus tôt. Il ne s'agit pas de dévoiler le secret industriel de l'algorithme de profilage, mais plutôt d'établir un dialogue qui va raffiner la relation, et peut-être même l'algorithme par la même occasion.

    Voici la cinquième remarque. Même si les lois sur la protection des renseignements personnels ont émergé dans une large part en réaction au risque totalitaire et qu'elles demeurent une condition préalable au respect des droits de la personne, qui sont souvent garantis ailleurs — par exemple les questions liées au consentement de l'enfant —, il reste que ces lois ne sont substantiellement que l'expression de principes relatifs à une gestion efficace de l'information. J'ai participé à leur mise en oeuvre dans plus de 500 organisations, grandes et petites, de tous les secteurs. Or, une fois qu'on avait rationalisé la gestion, la loi était de facto respectée. En plus, on diminuait les coûts et on améliorait les processus.

    Voici la sixième remarque. Le modèle législatif canadien en matière de protection des renseignements personnels ne couvre essentiellement que trois phases logiques ou critiques, à savoir la production, la conservation et la communication de l'information. Il couvre beaucoup moins bien la phase du traitement et celle de la conclusion du processus qui aboutit souvent à une décision. Or, on ne peut pas expliquer utilement les processus aux usagers qui s'autoadministrent sans rendre transparent l'ensemble des phases. Autant l'autonomisation des individus n'est pas possible sans cette compréhension, autant le dialogue démocratique entre les communautés d'usagers, d'une part, et les développeurs ainsi que les opérateurs, d'autre part, n'est pas possible sans cette transparence.

    Voici la septième remarque. Si l'amélioration du modèle législatif canadien se maintient par l'entremise de principes de gestion appliqués au niveau des phases logiques plutôt que par l'imposition de procédures particulières, ces normes pourront durer malgré les changements technologiques et être plus aisément acceptées par les opérateurs.

    Cependant — et il s'agit ici de la huitième et dernière remarque —, toute l'économie de la législation sur la protection des renseignements personnels est fondée sur le principe de finalité ou, en d'autres mots, sur le principe voulant qu'on établisse une relation prédéfinie avec l'individu.

     Par conséquent, les entreprises qui n'ont pas de modèle d'affaires clair ou qui privilégient l'approche « générons n'importe quelle information, nous trouverons toujours une façon de l'utiliser » ne pourront jamais accepter d'emblée quelque législation que ce soit, parce que les deux logiques sont contradictoires.

    Dans de tels cas, il est clair qu'on ne pourra pas transiger avec ce type d'acteurs autrement qu'en affirmant clairement les valeurs et principes auxquels on donne force de loi et en prévoyant des pouvoirs d'ordonnance ainsi qu'un régime de sanctions pénales conséquent permettant de faire respecter la loi.

    C'était donc les huit remarques que je croyais pouvoir ajouter au débat qui s'est tenu à ce jour. Évidemment, je suis disposé à répondre à toute question que vous jugerez à propos de me poser.

    Merci, monsieur Péladeau.

     Je donne maintenant la parole à M. Elder, de l'Association canadienne du marketing.

    Monsieur Elder, vous disposez de 10 minutes.

    Merci beaucoup.

    Bon après-midi à vous, monsieur le président, et aux membres du comité. Je m'appelle David Elder. Je suis avocat chez Stikeman Elliot, ici, à Ottawa, et je me spécialise dans le domaine des communications et de la protection des renseignements personnels. Je suis également conseiller juridique spécial à la protection des renseignements personnels numériques pour l'Association canadienne du marketing.

    L'Association canadienne du marketing, ou l'ACM, est la plus importante association de marketing et de publicité au Canada, comptant quelque 800 membres corporatifs dans les principaux secteurs d'affaires du Canada et toutes les disciplines, voies de communication et technologies liées au marketing. Les programmes de l'ACM aident à façonner l'avenir du marketing au Canada, mettant de l'avant le rôle stratégique du marketing comme principal moteur de la réussite en affaires. Les membres de l'association contribuent grandement à l'économie par la vente de biens et de services, l'investissement dans les médias et les nouvelles technologies de marketing, et la création d'emplois pour les Canadiens. Dans ce contexte, l'Association canadienne du marketing se fait la voix du milieu du marketing au Canada, défendant un environnement propice à la réussite du marketing éthique.

    Au nom de l'ACM, je veux vous remercier de m'avoir invité à venir témoigner devant le comité pour son étude sur les enjeux relatifs à la protection de la vie privée qui découlent de l'évolution du monde des médias sociaux. Je vous propose cet après-midi de jeter un oeil sur les pratiques générales de l'industrie pour remédier aux problèmes relatifs à la protection de la vie privée pouvant découler des médias sociaux. Je vais surtout parler des codes et des lignes directrices de l'ACM. Toutefois, en tant que représentant d'une association de l'industrie, je vais m'abstenir de discuter des politiques et des activités d'une organisation ou d'une entreprise en particulier.

    Ce n'est pas par hasard que l'ACM a participé à l'élaboration des lois et des politiques du secteur privé en matière de protection des renseignements personnels. L'ACM est en effet à l'avant-scène de ce secteur au Canada depuis de nombreuses années.

    En 1995, l'ACM a été la première association de gens d'affaires à réclamer l'adoption d'une loi nationale sur la protection des renseignements personnels afin d'établir les principes de base de ce secteur. Et c'est l'un des membres originaux du comité technique de l'Association canadienne de normalisation qui a élaboré les 10 principes de la protection des renseignements personnels de l'ACM.

    Plus tard, l'ACM a soutenu publiquement la Loi sur la protection des renseignements personnels et les documents électroniques quand elle a été adoptée par le gouvernement. Les membres de l'association ont milité fortement en faveur d'une loi qui établirait des consignes claires à l'égard de la collecte, de l'utilisation et de la communication des renseignements personnels, tout en permettant la latitude nécessaire pour que les entreprises puissent tirer profit des technologies émergentes et contribuer à la croissance de l'économie canadienne.

    L'ACM demeure convaincue que ce délicat équilibre législatif entre les intérêts individuels et les besoins commerciaux profite grandement aux consommateurs et au marketing axé sur l'information, qui représente une part de plus en plus importante de l'économie du Canada.

    De plus, suivant l'adoption de la LPRPDE, l'ACM a continué à participer activement au débat politique continu entourant la loi canadienne sur la protection des renseignements personnels et sa mise en oeuvre. Il y a plusieurs années, par exemple, l'ACM a proposé que le Commissaire à la protection de la vie privée du Canada entreprenne des consultations avec des intervenants intéressés en vue d'élaborer des lignes directrices sur la notification de violations, même si la loi ne l'obligeait pas. Ces consultations ont mené à la publication, en 2007, des lignes directrices du CPVP intitulées « Principales étapes à suivre par les organisations en cas d'atteintes à la vie privée ».

    Outre son intérêt et son engagement envers les approches législatives et politiques concernant la protection des renseignements personnels, l'ACM a longtemps fait valoir que les spécialistes du marketing eux-mêmes avaient la responsabilité de mettre en place des pratiques de gestion des renseignements personnels qui sont responsables et transparentes, et ils ont aussi un rôle important à jouer dans la promotion de telles pratiques.

    À cette fin, l'association s'est dotée, au début des années 1990, d'un code d'éthique obligatoire et de normes de pratique, de même que d'un code d'autoréglementation qui offre aux membres de l'ACM, et aux spécialistes du marketing en général, une série complète de pratiques exemplaires pour un marketing éthique.

    En 1993, l'ACM était la première organisation d'envergure du secteur privé à publier et à rendre obligatoire un code exhaustif de protection de la vie privée régissant les activités de ses membres, code qui reflète aujourd'hui les 10 principes de la LPRPDE. Le code de l'ACM vise à permettre aux consommateurs de garder mainmise sur leurs renseignements personnels, ainsi qu'à favoriser la transparence du processus de collecte et d'utilisation des données des clients par les spécialistes du marketing.

    Le code de l'ACM est reconnu comme la référence en fait de pratiques exemplaires dans le monde du marketing au Canada. Plusieurs gouvernements et organismes de réglementation le voient également comme l'exemple à suivre pour un marketing éthique et une autoréglementation efficace de l'industrie. Par exemple, l'ACM était l'un des 10 membres du groupe de travail fédéral sur le pourriel, qui a utilisé le code comme guide principal sur les pratiques exemplaires du marketing éthique. Tous les membres de l'ACM sont tenus d'adhérer au code d'éthique de l'association, leur appartenance à l'ACM en dépendant.

    Le code de l'ACM est aussi un document en constante évolution. L'association surveille régulièrement le marché pour veiller à ce que son code reste en phase avec les nouvelles pratiques et technologies du secteur du marketing. Au fil des ans, elle a formé plusieurs groupes de travail pour examiner des questions émergentes.

    Si le contexte de la protection des renseignements personnels a changé, c'est aussi vrai pour les exigences d'autoréglementation et les lignes directrices régissant les activités des membres de l'ACM.

    Par exemple, en 1999 et en 2002, l'ACM s'est penchée sur des questions de nature délicate à propos du marketing ciblant les enfants et les adolescents; elle a ensuite révisé son code afin de fournir aux spécialistes du marketing des consignes claires sur les pratiques de marketing appropriées pour ces groupes démographiques. Entre autres exigences, la collecte ou la sollicitation de renseignements personnels auprès d'enfants de moins de 13 ans nécessitent le consentement explicite d'un parent ou d'un tuteur, et toutes les communications commerciales doivent être adaptées à l'âge du groupe visé et formulées en termes simples que peuvent facilement comprendre les enfants.

     Quelques années plus tard, face à l'arrivée de nouvelles technologies et techniques de marketing et à l'adoption d'une nouvelle réglementation, les groupes de travail de l'ACM ont examiné scrupuleusement les activités de marketing sur Internet avant d'émettre de nouvelles lignes directrices sur l'autoréglementation pour l'ensemble de l'industrie, en plus d'inclure au code de nouvelles dispositions obligatoires pour les membres de l'association, dont l'obligation de déclarer la raison de la collecte et de l'utilisation des adresses courriel, d'obtenir le consentement du destinataire avant d'envoyer des communications marketing non sollicitées par courriel, et de fournir un moyen simple et facile de cliquer pour refuser de recevoir à l'avenir les communications.

    En 2010, l'ACM a révisé son code de déontologie pour donner à ses membres des directives sur les meilleures pratiques de marketing pour la publicité en ligne fondée sur les intérêts, aussi appelée « publicité comportementale », qui est peut-être la plus pertinente pour l'étude du comité. Les nouvelles exigences portent sur la transparence, le consentement des consommateurs et la publicité en ligne adressée aux enfants; elles découlent de discussions tenues par le comité de déontologie et de protection de la vie privée de l'ACM, en collaboration avec d'autres associations canadiennes.

    Plus précisément, au sujet de la transparence, les lignes directrices exigent que les agents de marketing utilisant la publicité en ligne fondée sur les intérêts s'assurent qu'eux-mêmes et les canaux publicitaires et les éditeurs de sites Web qu'ils utilisent pour afficher ces annonces en leur nom offrent des informations claires pour expliquer comment sont recueillis et utilisés les renseignements envoyés lors de la navigation, et qu'ils offrent une façon simple d'attirer l'attention des consommateurs vers cette information. Pour ce qui est du consentement des consommateurs, le code exige que les agents de marketing prennent les mesures nécessaires pour s'assurer que les canaux publicitaires et les éditeurs de sites Web qu'ils utilisent pour afficher les annonces fondées sur les intérêts en leur nom offrent aux consommateurs un moyen clair et facile de voir, de comprendre et d'effectuer leur retrait du suivi de leurs activités en ligne au fil du temps qui sert à la distribution d'annonces fondées sur les intérêts.

    Finalement, en ce qui a trait au marketing adressé aux enfants, conformément aux lignes directrices en place de l'association, les nouvelles directives interdisent aux agents de marketing de participer à l'utilisation de publicité en ligne fondée sur les intérêts visant directement des enfants de moins de 13 ans, sauf dans les situations où un parent ou un tuteur accorde un consentement distinct et explicite.

    En conclusion, l'Internet en général et les médias sociaux en particulier ont ouvert de nouvelles voies extraordinaires pour les particuliers, la société et les entreprises. Ils ont fondamentalement changé notre façon d'entrer en contact les uns avec les autres, en plus d'avoir démocratisé les médias et d'offrir des façons innovatrices aux entreprises pour interagir avec leurs clients actuels et élargir leur clientèle. Parallèlement, les consommateurs veulent recevoir des offres plus personnalisées et profiter d'un meilleur service, en plus de rechercher la commodité. Les entreprises doivent ainsi se spécialiser afin de pouvoir anticiper les besoins et d'y répondre.

    Sans surprise, cette quête d'une économie axée sur l'information, qui croît à un rythme effréné, a suscité des inquiétudes à l'égard de la protection des renseignements personnels, tant du côté des agents de marketing que de celui des consommateurs. Toutefois, à mesure que se multiplient les possibilités qu'offrent les médias sociaux, et que les connaissances et les attentes des consommateurs évoluent, on arrive à remédier aux situations qui pouvaient poser problème. Les entreprises légitimes ont en effet tout intérêt à anticiper les besoins des consommateurs à l'égard de la protection des renseignements personnels et à résoudre toute situation problématique, indépendamment des exigences ou des sanctions juridiques.

    Les agents de marketing canadiens reconnaissent depuis longtemps que la confiance des consommateurs est de la plus haute importance, et que la protection des renseignements personnels et les pratiques d'information transparentes sont primordiales à leur réussite à long terme. Autrement dit, les agents de marketing savent que c'est bon pour les affaires de respecter les renseignements personnels, autant dans le monde virtuel que dans le monde réel.

    Je remercie le comité de m'avoir accordé son attention; je serai heureux de répondre à toutes les questions que vous aurez à me poser.

    Je vous remercie de nous avoir livré votre présentation.

     Sans plus tarder, nous allons laisser la parole à M. Zushman, du Merchant Law Group. Il fera sa présentation à partir de Winnipeg.

    Monsieur Zushman, la parole est à vous.

    Très bien. Merci, monsieur le président.

    Je m'appelle Jason Zushman. Je suis avocat et je pratique le droit à Winnipeg, au Manitoba.

    Bon après-midi à vous, monsieur le président, et aux membres du comité. C'est un honneur pour moi d'avoir été invité à vous parler aujourd'hui de la protection des renseignements personnels et des médias sociaux. J'ai hâte de pouvoir discuter avec vous de ces sujets importants qui touchent la vie de nombreux Canadiens.

    C'est devenu « cool » de donner de l'information à notre sujet, et c'est devenu « cool » d'en donner beaucoup. Chaque jour, les Canadiens échangent une quantité incroyable de renseignements sur leur vie quotidienne. Par exemple, plus de 18,5 millions de Canadiens possèdent un compte Facebook, ce qui représente environ 55 p. 100 de la population. C'est énorme par rapport aux statistiques qu'enregistrait Facebook il y a à peine quelques années. Vu l'énorme portée que cela a, il est nécessaire dans l'intérêt de l'ensemble des Canadiens d'adopter des protections juridiques adéquates.

    Le monde de la technologie et Internet ont changé nos interactions sociales de bien des façons. La transmission d'information est immédiate. Il y a de nombreux avantages à pouvoir communiquer des renseignements aussi largement, mais cela comporte aussi certains dangers, car les avancées technologiques peuvent évoluer à un rythme que le Parlement et les lois applicables ne peuvent tout simplement pas suivre.

    Dans cette analyse des problèmes entourant la protection des renseignements personnels en ligne, il faut noter que les menaces ne proviennent pas seulement des sites de réseautage social traditionnels tels que l'on se les imagine en général. Les sites de quasi-réseautage, comme les sites de jeux en ligne, peuvent aussi poser problème. Beaucoup de ces sites offrent des services payants qui requièrent des renseignements de nature délicate. Si quelqu'un réussissait à pirater ou à infiltrer ces sites, les renseignements hautement confidentiels des utilisateurs, comme leur adresse à domicile ou leur numéro de carte de crédit, pourraient se retrouver entre les mains d'individus sans scrupule.

    Quand il est possible de mettre en corrélation les coordonnées des utilisateurs grâce à leurs profils dans les médias sociaux conventionnels, où on trouve leur nom, numéro de téléphone, adresse courriel et mot de passe, le vol d'identité devient encore plus facile. Bien des utilisateurs ont des mots de passe identiques ou des voies d'accès qui se répètent dans l'ensemble de leur présence en ligne. Si un seul de ces services était piraté, tous les services utilisés par ces Canadiens pourraient devenir aussi la cible du pirate.

    J'aimerais plus précisément parler de la protection des renseignements personnels et des médias sociaux. Voici quelques commentaires dont je veux vous faire part à ce sujet.

    Tout d'abord, il est primordial d'obtenir le consentement éclairé de l'utilisateur. Cela signifie que lorsque l'utilisateur consent aux conditions d'utilisation des services, il doit aussi consentir à toutes les étapes du processus. On doit également lui redemander son consentement chaque fois que les services ou leurs conditions d'utilisation sont modifiés. Le fournisseur de services ne peut pas se contenter de demander aux utilisateurs de consentir une seule fois aux conditions d'utilisation qu'il pourrait modifier de façon unilatérale par la suite.

    Parfois, lorsqu'un utilisateur soumet des renseignements à un service de réseautage social, il le fait dans l'intention de limiter la transmission de ces renseignements à un cercle de confiance. Cela peut causer bien des ennuis et entraîner des conséquences inattendues si l'information donnée par l'utilisateur ne sert plus à ce qu'elle avait été prévue au départ. Quand les conditions d'utilisation changent ou qu'elles sont modifiées subséquemment par le fournisseur de services, celui-ci doit obtenir à nouveau le consentement de l'utilisateur avant d'appliquer les changements et les nouvelles conditions.

    Souvent l'utilisateur est informé de la modification des conditions d'utilisation par une simple fenêtre contextuelle qui ne permet qu'une lecture en diagonale du contenu, une formalité qui peut être éclipsée par le désir de l'utilisateur de retourner à son réseautage. L'utilisateur n'a apparemment pas toujours l'option de continuer à utiliser le service sans avoir consenti aux nouvelles conditions.

    Tous les changements devraient être communiqués clairement à l'utilisateur, et il devrait être mis au courant des répercussions importantes possibles sur ses droits. Il est crucial que l'utilisateur sache toujours comment l'information qu'il fournit est utilisée et entreposée, et comment il peut la faire retirer du site de réseautage social. De plus, l'utilisateur devrait savoir exactement comment on fait le suivi de ses habitudes en ligne et comment la collecte d'information pour déterminer son profil psychographique ou biométrique, comme on l'a vu récemment avec les logiciels de reconnaissance faciale, sert notamment au placement publicitaire.

    L'utilisateur doit également savoir dans quelle mesure l'information est communiquée non seulement au sein de l'organisation, mais aussi au public et à des tierces parties, qui pourraient utiliser l'information à des fins qui n'étaient pas nécessairement prévues au contrat initial que l'utilisateur a conclu avec le fournisseur de services de médias sociaux.

    Je crois par ailleurs que les lois régissant la protection des renseignements personnels devraient être plus rigoureuses. En cas de violation de la vie privée, les lois devraient prévoir des recours importants et significatifs. Une loi sévère axée sur les conséquences aurait pour effet de dissuader les organisations de s'adonner à des pratiques non autorisées dès le départ. De plus, de telles lois incitent les organisations à prendre des mesures préventives pour éviter les cas de violation de la vie privée, ou toute modification des conditions qui entraînent l'utilisation ou la communication non autorisée des renseignements de l'utilisateur.

    Le fait d'utiliser, de changer de façon unilatérale ou de modifier subséquemment, et sans consentement, le contrat qui donne accès aux renseignements de l'utilisateur devrait être lourd de conséquences. Une utilisation inadéquate des renseignements fournis en toute bonne foi par les utilisateurs ne devrait pas simplement s'inscrire dans le calcul des dépenses d'entreprise. Il pourrait être indiqué d'adopter des lois qui prévoient que l'évaluation quantitative des dommages-intérêts doit être calculée directement en fonction des profits ou des multiples de capitalisation des entreprises qui ont utilisé de façon inadéquate les renseignements des utilisateurs. À mon avis, des solutions parlementaires rigoureuses qui vont resserrer et consolider nos lois sur la protection des renseignements personnels contribueront grandement à veiller à ce que le droit à la vie privée des Canadiens soit véritablement reconnu et respecté.

    J'aimerais aborder un troisième point. J'ai entendu M. Péladeau parler des règlements entourant un concours organisé par Sleeman, si je ne m'abuse, et comment ils sont entrés en conflit avec des protections juridiques potentielles qu'offre une loi qui n'est pas applicable au Canada.

     Finalement, je veux vous parler de l'utilisation des dispositions concernant le choix d'une instance. Comme je le disais plus tôt, la plupart des conditions d'utilisation auxquelles consentent les consommateurs sont des modèles standard de contrat et sont rédigés dans les termes du diffuseur ou du site de réseautage social. Le consommateur n'a pas vraiment de pouvoir de négociation qui lui permettrait de changer ou de modifier les conditions de ces contrats.

    Tandis qu'on s'engage dans un débat animé sur la possibilité de modifier la loi et d'octroyer des pouvoirs à ceux qui pourraient imposer des sanctions aux organisations qui ne respectent pas les droits à la vie privée des Canadiens, j'aimerais signaler au comité que bien des contrats de service offerts par les sites de réseautage social contiennent ce qu'on appelle dans le domaine du droit des dispositions sur le choix de la loi applicable ou le choix d'une instance. Ce n'est pas nécessairement évident pour le consommateur de comprendre de quoi elles retournent, mais elles s'avèrent très pratiques et avantageuses pour le diffuseur.

    C'est bien beau de s'appuyer sur le droit de la responsabilité délictuelle et les codifications obligatoires qui fait des droits à la vie privée une priorité et qui protège les Canadiens, mais cela ne sert plus à rien quand le contrat accepté par le consommateur ne permet pas l'application de la loi canadienne. Les Canadiens se font dire que leur utilisation des médias sociaux et les atteintes à leur vie privée découlant de cette utilisation sont plutôt assujetties aux lois de la Californie ou de New York.

    Conformément à cette disposition sur le choix de l'instance, nos lois nationales peuvent être supplantées par une loi étrangère, et tous les recours offerts seront conformes à cette dernière, une loi qui ne tient pas nécessairement compte des valeurs et des protections qui sont chères aux Canadiens. Il est essentiel qu'il y ait des conséquences significatives pour les organisations qui offrent des services aux Canadiens et abusent des renseignements personnels des utilisateurs en vue de récolter des profits. Il est primordial que les Canadiens soient protégés par les lois promulguées par le Parlement, pour qu'ils sachent que les normes juridiques sociétales que nous avons établies sont respectées et mises en application.

    Beaucoup d'entreprises de réseautage social offrent des services directement aux Canadiens pour engranger des profits. Elles acceptent et diffusent des publicités locales. Elles ont des sièges sociaux au Canada. Elles offrent des promotions et des services qui sont adaptés à nos réalités nationales. Quand ces entreprises font le choix de mener des affaires au Canada en s'intégrant à notre industrie locale, elles devraient aussi accepter de reconnaître et de respecter les lois et les sanctions prévues par notre pays.

    Je résume donc les trois points principaux de ma présentation que j'aimerais soumettre au comité.

    Il y a premièrement le consentement éclairé de l'utilisateur. Il devrait être nécessaire d'obtenir le consentement éclairé de l'utilisateur au moment de l'acceptation initiale des conditions d'utilisation, en ce qui concerne les renseignements personnels, mais aussi à chaque modification subséquente des conditions qui aura des répercussions sur l'expérience de l'utilisateur ou sur la façon dont l'entreprise de réseautage social utilisera ces renseignements.

    Deuxièmement, je crois que les lois sur la protection des renseignements personnels devraient être resserrées. Des sanctions efficaces devraient être appliquées en ce qui concerne les dommages-intérêts en matière de responsabilité délictuelle, la common law, ou d'autres infractions aux règles. Des sanctions sévères devraient être imposées à titre de mesures de dissuasion, de façon à protéger les droits à la vie privée de tous les Canadiens.

     La troisième chose sur laquelle j'aimerais attirer votre attention concerne le territoire de compétence. Toute mesure que prendra le Parlement à l'égard de la Loi sur la protection des renseignements personnels devrait essentiellement remplacer le critère juridique des liens réels et importants par une juridiction en soi, afin d'avoir autorité sur les éléments auxquels peut s'appliquer la loi canadienne.

    Il faut qu'il soit clair et non ambigu que les entreprises choisissant de faire des affaires au Canada devront se conformer à la loi canadienne. Je crois que cela devrait être codifié de façon explicite.

    Merci beaucoup de m'avoir donné l'occasion de m'adresser à vous aujourd'hui. Je serai heureux de répondre à vos questions cet après-midi.

    Merci, monsieur Zushman. Je remercie les trois témoins.

     Nous allons maintenant passer à la période de questions et commentaires. Je cède la parole à Mme Borg. Elle dispose de sept minutes.

    Merci, monsieur le président. Je remercie les témoins d'être parmi nous aujourd'hui.

    Ce sujet nous interpelle énormément et je suis certaine que cela vous interpelle aussi puisque vous vous êtes déplacés et que vous travaillez beaucoup sur le sujet.

    Les membres du comité reviennent de Washington. Nous avons longuement discuté de ce sujet avec nos voisins américains et nous avons parlé de ce qu'ils faisaient. Nous avons couvert ce sujet en profondeur avec eux. Ils nous ont dit que, comme parlementaires, nous ne devrions pas trop réglementer ce secteur technologique en croissance, parce qu'on ne veut pas décourager l'innovation.

    Monsieur Péladeau, j'aimerais savoir quelles sont vos réactions à cet égard. Est-on nécessairement en train de sacrifier l'innovation par la réglementation? Sinon, y aurait-il un juste milieu à trouver?

    La réponse courte serait celle-ci. Si on est aux États-Unis, la question se pose. Pour ma part, j'ai fait, en 1986, l'étude de toutes les lois au monde pour le compte du gouvernement du Québec. L'une des caractéristiques particulières des lois américaines, si on les compare à toutes les autres lois dans le monde, est qu'aux États-Unis on réglementait beaucoup trop dans les détails. On bricolait, ce qui figeait l'innovation. C'est pourquoi j'ai dit précédemment qu'il fallait que les lois en matière de protection des renseignements personnels s'appliquent aux phases d'exploitation et non pas aux procédures. C'était d'ailleurs une des recommandations du rapport intitulé L'identité piratée, qui recommandait cela pour la loi sur la protection des renseignements personnels au Québec. Dans le contexte américain, je comprends cette façon de légiférer.

    Par contre, les lois canadiennes ou européennes se situent à un niveau plus large. Elles n'imposent pas nécessairement des procédures. Elles fixent des objectifs de gestion qui s'appliquent à la production, au stockage et à la communication d'informations de façon générale. Elle laisse le soin aux entreprises de les appliquer. C'est à la fois plus robuste face à l'évolution technologique et cela permet aux entreprises et aux organisations de les appliquer.

    Depuis cette époque, j'ai remarqué que ce sont pour l'essentiel des règles de bonne gestion, comme je le disais plus tôt. Si on applique des règles de bonne gestion, cela sera profitable pour les entreprises. Brièvement, je vais vous donner trois exemples.

    Dans une grande entreprise de services de communications, on s'était rendu compte que la section couvrant l'île de Montréal produisait 80 000 notes par mois. Il fallait de une à trois minutes pour écrire ces notes, qui étaient totalement inutiles et encombraient les gens qui allaient donner le service à la clientèle. Lorsque j'ai fait le travail en 1995, j'ai constaté que dans des petites entreprises, comme les garderies, il y a de très petites unités: une secrétaire et une directrice administrative. À l'époque, on avait réussi à réduire jusqu'à l'équivalent de trois mois par personne la quantité d'informations inutiles qu'elles géraient, en plus des conséquences que cela avait sur le service.

    En somme, il faut intervenir le plus possible sur le plan des phases logiques de l'information, c'est-à-dire les grandes phases du cycle de vie de l'information, et non pas au niveau des procédures car, en effet, on compliquera la vie de tout le monde.

    Comme je le signalais, il faut aussi se rendre compte qu'en matière de protection des renseignements personnels, il faut rester au niveau des règles de bonne gestion et de transparence. On peut régler à l'extérieur, par exemple, la question du consentement des enfants. Cette question ne touche pas uniquement l'usage de renseignements personnels, mais elle touche toutes les interactions qui se font avec des enfants. Cela peut être tenu comme un principe à part et de façon universelle.

    En résumé, il ne faut pas agir de façon sectorielle comme aux États-Unis et non pas dans les détails comme on l'a fait, mais de la façon la plus universelle possible, à savoir sur le plan des phases et des principes de gestion.

    Ma prochaine question est encore pour vous, monsieur Péladeau.

    Trouvez-vous qu'un manque de confiance et de transparence peut limiter le développement du plein potentiel des réseaux sociaux comme outil démocratique?

    Oui, c'est un fait. L'historique disponible n'est pas suffisamment grand pour le vérifier et pouvoir l'affirmer. Toutefois, il y a des indices très clairs. Le cas de Facebook est éloquent. Facebook a fait certains changements qui ont déplu à ses abonnés. Ceux-ci ont réagi fortement. Cet événement nous fait prendre conscience que, essentiellement, on gère de la relation. La question de la relation de confiance est ainsi un élément fondamental.

    Cela dit, indépendamment de la confiance, il faut se rendre compte que certaines de ces applications se développent en monopole local. C'est temporaire, mais c'est un monopole.

    Reprenons le cas de Facebook. Dans certaines écoles et certaines classes, si vous ne faites pas partie de Facebook, vous ne faites pas partie de la bande. Les mécanismes de marché existent. On les voit à l'oeuvre à l'échelle macroéconomique. Toutefois, quand on les considère à partir de la position microsociologique de l'individu, ce dernier n'a pas nécessairement le choix de faire partie d'un groupe ou de l'autre.

     Je vous donne un exemple très simple. Je suis grand-père depuis 18 mois. Il a fallu que je m'abonne à Facebook pour voir les photos de mon petit-fils. Ma fille est inscrite sur Facebook et a une centaine de contacts. Alors, même si j'aurais préféré qu'elle vienne sur Google+, Flickr ou un autre site, elle m'a dit que c'était là, sur Facebook, que ça se passait. Alors, je n'ai pas eu le choix. Ainsi, la confiance influe à l'échelle des communautés. Cependant, elle ne peut pas nécessairement influer à l'échelle des individus parce que les mécanismes de marché ne sont pas disponibles.

    Cela a une conséquence. Si les mécanismes de marché ne sont pas nécessairement disponibles, il faut aller du côté d'autres mécanismes. Si le walk ne fonctionne pas, il faut aller du côté du talk. C'est pourquoi je disais qu'il faut assurer au maximum la transparence des processus. Il faut permettre aux gens de s'autodéterminer et de changer eux-mêmes les paramètres en toute connaissance de cause.

     Ce média social nous impose une série de règles. C'est un exercice de pouvoir social auquel je suis obligé d'adhérer. Comme je vous le disais, le mécanisme de marché ne fonctionne pas nécessairement à l'échelle individuelle. Or, à l'échelle de la communauté, les médias sociaux sont des lieux de discussion où les communautés d'abonnés peuvent entrer en relation — dans ce que j'appelais plus tôt un dialogue démocratique — avec les développeurs et les opérateurs de ces systèmes.

    Le législateur doit s'assurer que ce qui se passe se fait dans la transparence. Par la suite, il faut compter sur les relations sociales et les communautés pour débattre de la direction où cela doit aller. C'est par ce moyen qu'on peut appeler au boycott ou au changement de services, comme ça se fait dans les universités. Par exemple, on y utilise différents médias sociaux pour discuter avec les étudiants. Ceux-ci peuvent décider ensemble d'aller ailleurs si ça ne fonctionne pas.

    Grâce à cela et aux lois de protection sur les renseignements personnels, on permet la transparence et la tenue d'un dialogue entre des individus ou une collectivité, d'une part, et les opérateurs de ces systèmes, d'autre part.

    Merci. Je vais devoir vous interrompre.

    Je rappelle que la période de sept minutes s'applique aux questions et aux réponses.

    Je cède maintenant la parole à M. Calkins.

    Merci, monsieur le président.

    J'ai quelques questions à vous poser, mais j'aimerais d'abord préciser qu'il y a deux écoles de pensée à cet égard. La première consisterait à adopter une approche réglementaire plus rigoureuse, un processus qui pourrait s'avérer très lourd et pas très rapide, alors qu'il faut tenter de suivre l'évolution constante de la technologie et des utilisations innovatrices de cette technologie dans le contexte actuel des médias sociaux. L'autre serait de simplifier et de codifier une série de normes de déontologie ou de règles établissant ce que devrait être une pratique adéquate, puis de fournir les outils permettant de sanctionner ceux qui en dérogent.

    Qu'on recourt à un procès civil ou à d'autres moyens de contestation du permis social, si je puis dire, on sait que les entreprises qui ont vu leurs pratiques étalées au grand jour ont déjà réagi en conséquence.

    Je demanderais à MM. Elder et Zushman quelle approche ils privilégieraient et laquelle serait la plus profitable. Serait-ce préférable de donner plus de pouvoirs aux commissaires à la protection de la vie privée pour qu'ils puissent faire appliquer les règles et les lignes directrices de base, et peut-être recourir à une approche disciplinaire quand la situation dégénère? Ou devrait-on plutôt se lancer dans l'élaboration d'une énorme approche réglementaire pour tenter de régir certains de ces enjeux?

    Avons-nous l'option de choisir ni l'une ni l'autre?

    Je suppose que vous avez l'option de choisir les deux, ou ni l'une ni l'autre. J'aimerais savoir ce que vous en pensez.

    J'avancerais que nous étions proche de la deuxième option pour ce qui est de simplifier et de codifier une série de règles. C'est exactement ce que fait la LPRPDE, reconnaissant que la technologie évolue très rapidement et que le processus législatif accusera toujours du retard. La LPRPDE s'appuie sur des principes de base que toutes les organisations doivent respecter. C'est une approche qui donne assez de latitude aux utilisateurs, et au bout du compte aux commissaires à la protection de la vie privée pour déterminer ce qui est requis, dans quelle mesure la communication de l'information est permise, quel type de consentement est nécessaire, quelles sont les utilisations qui correspondent aux attentes raisonnables des consommateurs, et ainsi de suite.

    Je pense que nous sommes à un doigt d'avoir l'approche adéquate.

    Pour ce qui est de donner plus de pouvoirs aux commissaires à la protection de la vie privée, je dirais que pour bien des entreprises, en particulier les grandes entreprises et celles de renom, les sanctions et autres mesures exécutoires de ce genre sont assez peu pertinentes. Ce qui blesse réellement, c'est le type de publicité auquel vous avez fait référence.

    Lorsqu'on découvre une brèche importante dans la protection des renseignements personnels et que l'entreprise fait toutes les manchettes pour avoir été victime de piratage ou pour avoir utilisé les données de façon inappropriée, la marque de commerce en prend pour son rhume. Les gens se disent qu'ils devraient peut-être changer de fournisseur. Peu importe les lois, c'est surtout là-dessus que se concentrent la plupart des entreprises.

    Ce qui pose notamment problème avec l'octroi de pouvoirs exécutoires supplémentaires, c'est que cela vient changer la nature de la relation entre les commissaires à la protection de la vie privée et les entreprises. En ce moment, on se base davantage sur un modèle plutôt axé sur la coopération, semblable à celui de l'ombudsman. Je crois que c'est assez efficace. Les organisations sont plus enclines à échanger proactivement de l'information avec les commissaires dans ce contexte.

    Si nous adoptons un régime qui prévoit davantage de sanctions, on se rapproche beaucoup plus d'un régime contentieux, et je ne pense pas que ce soit la voie à suivre au Canada pour la protection des renseignements personnels.

    Merci.

    Monsieur Zushman, avez-vous des commentaires à formuler à ce sujet?

    Oui, j'en ai.

    Premièrement, je dirais que le commissaire à la protection de la vie privée joue un rôle essentiel. Vous vouliez savoir s'il faudrait octroyer davantage de pouvoirs au commissaire, ou encore adopter un modèle judiciaire hybride, en quelque sorte, mettant de l'avant des lois et des codifications qui conféreraient plus de pouvoirs pour appliquer un régime contentieux.

    La théorie semble dire entre autres que lorsque l'entreprise fait l'objet d'une publicité négative — pensons aux changements apportés par Facebook en 2009 —, les consommateurs ont alors tendance à voter avec leurs pieds, et ce n'est pas une image que l'entreprise veut se donner. Mais comme l'a indiqué M. Péladeau, avoir un profil sur Facebook devient une norme sociale. C'est aussi le cas pour les autres sites de réseautage social, alors les gens continuent à les utiliser, tout en étant bien conscients qu'on a porté atteinte à leurs droits, et que cela peut se reproduire.

    Vous pourriez peut-être aussi envisager d'élaborer un modèle hybride qui favoriserait la collaboration des entreprises et des organisations du monde des médias sociaux, avec lesquelles vous pourriez travailler à la rédaction des lois et règlements en question, qui pourraient alors protéger l'ensemble des Canadiens et leurs droits à la vie privée.

    Mes prochaines questions se rapportent à mon expérience personnelle. Croyez-le ou non, j'avais une vie avant d'entrer en politique. J'étais administrateur de bases de données, et je sais que les données commerciales représentent le plus important élément d'actif d'une entreprise, après les ressources humaines. Bien sûr, il est question ici de ce qu'on fait avec les données qui sont recueillies sciemment ou non, et comment on s'en sert par la suite, que les données identifient une personne en particulier ou qu'elles soient colligées aux fins d'une étude de marché ou des méthodes employées de nos jours.

    La question du consentement éclairé mérite d'être étudiée de plus près. Plusieurs témoins nous ont dit que le coeur du problème se situait dans les paramètres établis par défaut. Sauf le respect que je dois aux avocats dans la salle, nous avons entendu des histoires d'horreur mettant en vedette 15 pages de jargon juridique. Les utilisateurs ont bien sûr l'option d'accepter ou non l'ensemble des conditions, sans peut-être même savoir à quoi ils consentent.

    Seriez-vous tous les trois d'accord pour dire que le processus devrait être simplifié, de façon à ce que les utilisateurs finaux puissent savoir avec certitude à quoi ils consentent quand ils choisissent d'utiliser une application gratuite qu'ils ont téléchargée, ou de créer un profil sur Facebook ou tout autre site de cette nature, qui peuvent ou non enregistrer leur utilisation personnelle et leurs renseignements quand ils sont en ligne?

    Je vais laisser environ 30 secondes à chacun d'entre vous si vous voulez répondre à la question, car le temps est déjà écoulé.

    Je vais répondre à la question.

    Un des plus grands défis qui se posent est certainement de trouver le parfait équilibre. En tant qu'ancien chef de la protection des renseignements personnels, je peux vous assurer que c'est extrêmement frustrant. Par contre, certains diront que c'est trop court, que telle ou telle chose n'est pas mentionnée. Mais si votre politique sur la protection des renseignements personnels contient tout ce qu'elle doit contenir, on vous accuse d'avoir produit un document plus volumineux que la Déclaration d'indépendance.

    Je pense qu'on commence à se diriger vers certains modèles, et le Web lui-même offre un excellent modèle à cet égard. On trouve des politiques étagées; tout le contenu y est, mais il est présenté sous forme d'hyperliens permettant aux utilisateurs de consulter très rapidement les sujets qui les intéressent en particulier, et ils peuvent donc aller chercher l'information voulue et prendre une décision éclairée pour la suite des choses.

    Je suis d'accord. C'est un autre processus. Comme je le disais précédemment, ce n'est pas up front où l'on donne un formulaire et, une fois qu'il est rempli, c'est terminé. Cela devrait être un processus continu. Effectivement, l'interactivité permettrait non seulement d'avoir des hyperliens, mais même de voir ce qui se passe. Le texte n'est pas le seul élément qui peut être utilisé. Une fenêtre contextuelle pourrait apparaître sur laquelle on pourrait indiquer que si les gens font une chose donnée, l'information sera envoyée à telle personne. On pourrait aussi indiquer ce à quoi elle servira. On peut donc visuellement voir cela. Il faut trouver des méthodes qui sont liées au Web. Le Web nous offre cette flexibilité.

    Je crois que j'ai déjà utilisé la période de 30 secondes.

    Pour ajouter mon grain de sel, oui, je serais en faveur de la simplification des conditions d'utilisation que doivent accepter les utilisateurs.

    J'imagine que c'est difficile pour les utilisateurs de consentir à des utilisations inédites ou imprévues des données, par exemple la reconnaissance faciale. Supposons qu'un utilisateur verse une photo dans le site. Il est possible que des avancées technologiques permettent des utilisations de cette photo auxquelles l'utilisateur n'aurait pas nécessairement consenti. Pour moi, cela revient à la possibilité de récupérer et de retirer de l'information que l'utilisateur a fournie au réseau social.

    Mais oui, la simplicité aurait certainement ses avantages.

    Merci.

    Monsieur Andrews, vous avez la parole. Vous disposez de sept minutes.

    Merci beaucoup, monsieur le président.

    Nous allons revenir à la simplification du formulaire de consentement dans un instant, Jason.

    Ma première question s'adresse à vous, David.

     Vous nous avez dit que l'ACM a un code d'autoréglementation auquel adhèrent ses membres. Simplement pour mettre les choses en contexte, pourriez-vous nous donner une idée de votre effectif au Canada? Combien d'agents de marketing sont membres de votre association?

    Ce n'est jamais pareil, mais nous comptons plus de 800 membres. Je ne pourrais pas vous dire exactement combien d'agents de marketing et de publicité en font partie. Je pourrais sans doute essayer de trouver cette information pour vous, mais j'ai bien l'impression que l'association représente la majeure partie des principaux spécialistes du marketing et de la publicité au Canada.

    D'accord. Notre travail nous pousse à essayer de tout couvrir, mais c'est difficile.

    Certaines entreprises Web nous ont dit que les agents de marketing ne voyaient pas en réalité les renseignements personnels. Les campagnes de marketing visent plutôt des groupes démographiques généraux ou des groupes de consentement général. Ils ne savent pas que Scott Andrews est un homme âgé entre 35 et 40 ans, mais les publicités s'adresseraient à un groupe semblable. Est-ce exact? Quelles sortes de renseignements sont réellement communiqués aux entreprises de marketing?

    Dans quel contexte au juste? Celui des médias sociaux?

    Oui, dans les médias sociaux.

     Tout dépend si on parle d'une plateforme de réseautage social ou non. Nous avons beaucoup parlé de Facebook. Évidemment, Facebook détient énormément de données et possède toutes les informations contenues dans votre profil. Facebook a tous ces renseignements.

    Je ne peux certainement pas parler au nom de Facebook, mais si j'ai bien compris, l'entreprise garde la majorité de ces données pour elle-même. C'est son plus important élément d'actif, ce n'est pas quelque chose...

    Qu'est-ce qu'ils fournissent aux agents de marketing?

    Ces sites offrent aux agents de marketing un accès à leur plateforme. Sans leur donner de renseignements, ils demandent aux agents de marketing quel public ils veulent cibler, par exemple les membres du comité de l'éthique, puis ils tâchent d'acheminer les publicités aux personnes visées.

    De la même façon, les agents de marketing n'ont évidemment pas toutes ces données, alors ils indiquent quel est le groupe visé et toutes les caractéristiques recherchées. La plateforme de réseautage sociale tâchera alors d'afficher la publicité aux personnes correspondant aux critères donnés. Les publicitaires n'ont certainement pas accès à ces informations.

    Est-ce une pratique généralisée, ou y a-t-il que Google et Facebook qui fonctionnent de cette façon parmi toutes les applications offertes?

    C'est difficile de généraliser, mais c'est vrai dans la plupart des cas. Encore là, c'est une part importante des activités de ces entreprises. En transmettant toutes ces données détaillées à des tiers, si on oublie un moment les atteintes à la vie privée que cela implique, c'est un peu comme si les entreprises donnaient leur commerce. C'est leur principal argument de vente.

    Très bien.

    Jason.

    Il y a quelques années, votre cabinet a intenté avec succès un recours collectif contre Facebook. Est-ce que c'en a valu la peine? Avez-vous constaté un changement de comportement chez Facebook? Est-ce une manière de le forcer à rester vigilant?

    Question subsidiaire: on nous a également dit que ces compagnies changent la hauteur de la barre chaque fois qu'on les conteste. Si on leur tape sur les doigts, elles établissent telles exigences. Au gré des circonstances, la barre change de hauteur.

    Est-ce que c'est vrai dans tous les pays où elles opèrent? Si une entreprise ou des utilisateurs canadiens leur tapent sur les doigts, les exigences restent-elles les mêmes pour les utilisateurs à l'étranger?

    Merci de votre question.

    Je ne suis pas en mesure de parler précisément de leurs activités à l'étranger.

    Le recours collectif contre Facebook a valu la peine. Pendant ce recours, nous nous sommes adaptés aux traitements différents que Facebook applique aux données des utilisateurs. J'ai cru m'apercevoir d'une tendance chez lui: il semble mettre en oeuvre un ensemble d'exigences nouvelles, qu'il retire devant la réaction du public, pour revenir à la charge ultérieurement.

    Il fixe la barre à telle hauteur. Il s'ensuit une réaction négative du public. Plus tard, ces exigences réapparaissent néanmoins dans son système.

    À mon avis, il faudrait des lois plus rigoureuses pour exposer les compagnies à des conséquences significatives.

    D'où ma prochaine question. Je pense que vous avez dit, dans le troisième point de votre énumération que vous aviez songé à l'adoption de lois à ce sujet. Pouvez-vous nous donner des précisions sur la façon dont nous nous y prendrions? Compte tenu de la diversité des réseaux sociaux, comment pouvons-nous légiférer cet aspect, mais avec simplicité?

    Nous pourrions en discuter très longtemps. J'ai d'abord pensé à des études exactement comme celle-ci. J'ai aussi songé à m'adresser à l'industrie, notamment, pour connaître différentes méthodes par lesquelles elle assurerait le respect de la vie privée.

    Je ne voudrais certainement pas que les données que les Canadiens divulguent de bonne foi à ces compagnies soient publiées sans discernement pour être par la suite utilisées à des fins qui n'étaient pas prévues. Je pense que le Parlement devrait examiner ce risque pour trouver une parade convenable.

    Venons-en aux formulaires simplifiés de consentement. Ils comptent souvent de nombreuses pages. Comment faire pour les réduire à une taille raisonnable? Qu'est-ce qui est raisonnable?

    Il faudrait simplifier le choix de la juridiction de manière à ce que la clause dise simplement que [Note de la rédaction: difficultés techniques]... vous est accordée au Canada peut ne pas exister si vous optez pour ce service.

    À un certain moment, comme l'a déclaré notre premier témoin, on a critiqué les conditions de service de Facebook, dont le libellé était aussi long, sinon plus, que la Déclaration d'indépendance.

    Je pense que l'on devrait régler la présentation des points essentiels. Ces points devraient se trouver dans la première partie de la fenêtre contextuelle, pour informer l'utilisateur, de manière très concise, de ce en quoi il est touché. Souvent, la totalité des modifications apportées aux conditions et au service figure dans cette fenêtre contextuelle, tandis que le bouton d'acceptation est là, bien en évidence. On peut cliquer sur ce bouton sans nécessairement avoir fait défiler la totalité du texte. Je sais qu'on a déjà utilisé une technique qui exigeait d'avoir fait défiler la totalité du texte avant de confirmer que l'on avait pris connaissance des conditions, même superficiellement, avant de cliquer sur ce bouton.

    D'après moi, cette simplification existe.

    Comment condenser tout cela en deux paragraphes? Est-ce possible ou bien rêvons-nous?

    Monsieur Zushman, je vais vous laisser 30 secondes pour répondre.

    C'est complexe. Je pense que l'on devrait condenser les conditions principales.

    Je vais maintenant céder la parole à M. Carmichael.

    Vous disposez de sept minutes.

    Merci, monsieur le président et merci également à nos témoins.

    Tout cet échange d'idées montre clairement la raison d'être de notre réunion: nous sommes tous d'accord pour dire que les entreprises de réseaux sociaux — à l'exception, peut-être, de certaines sociétés de marketing, parce que je ne vois pas très bien la différence, la limite entre les deux — repoussent les limites à l'extrême et se contentent de formuler des excuses quand elles ont enfreint la loi ou qu'on leur demande des comptes.

    Un membre du comité a parlé de notre voyage à Washington, la semaine dernière. Nous avons entendu beaucoup de réactions et de témoignages sur le nouveau cadre réglementaire américain, qui, bien sûr, s'appuie sur des fondements plus généraux que les nouvelles lignes directrices européennes, mais qui sont plus rigoureuses qu'elles ne l'étaient. Sauf erreur, il devrait être promulgué cette semaine. Nous constatons que les différents pays et les différentes parties du monde réagissent différemment à un problème grave évident.

    Ce qui me préoccupe le plus, c'est la collecte de données. Où ces données se retrouvent-elles? Est-ce que les consommateurs, les utilisateurs d'Internet ont un mot à dire? Notre commissaire à la protection de la vie privée a déclaré que ces renseignements étaient librement communiqués. Je pense qu'elle avait raison de dire que nous, qui utilisons Facebook ou tout autre réseau social, nous communiquons librement toutes sortes de renseignements, sans avoir une idée de leur destination ou de leur utilisation éventuelles, que ce soit à des fins de marketing ou à d'autres fins. Le problème s'aggrave s'il y a ensuite manquement aux règles de sécurité. Toutes sortes de menaces peuvent être dirigées contre les divers utilisateurs d'Internet, les individus.

    Est-ce que les utilisateurs d'Internet peuvent maîtriser l'information qu'ils communiquent ou accéder plus facilement aux renseignements qu'ils ont effectivement divulgués, pour en connaître la nature ou pour savoir ce qu'on sait d'eux sur Internet? Je me demande s'ils peuvent, d'une manière ou d'une autre, exercer une forme de maîtrise sur les données communiquées sur Internet.

    Monsieur Elder, commençons par vous.

    Je pense que les utilisateurs disposent de moyens de contrôle sur Internet. Certains de ces moyens sont précisés dans les préférences de navigation. On peut, par exemple, les paramétrer pour diverses zones sûres ou pour accepter des témoins ou d'autres types d'information. Sur Internet, dans un réseau social, on maîtrise évidemment ce qu'on publie, la méthode de publication, la divulgation de sa date complète de naissance, par exemple, sa divulgation sur sa page d'accueil et l'accessibilité de tous ces renseignements pour tous les internautes.

    J'ignore si vous en avez entendu parler lors de votre passage à Washington, mais on commence à s'intéresser, aux États-Unis, à des modalités de publicité appelées publicités axées sur les intérêts, que nous travaillons à canadianiser. C'est à l'initiative de la Digital Advertising Alliance, DAA. Parfois, le navigateur peut apercevoir un petit triangle renfermant un « i », qui se superpose à une publicité. Il peut cliquer dessus pour obtenir des renseignements sur les raisons pour lesquelles cette publicité lui est destinée.

    Cela lui permettra aussi d'aller sur un site central où il pourra accepter des témoins logés dans son ordinateur pour recevoir ces publicités ciblées. Il pourra ainsi filtrer les publicités ciblées et empêcher certaines compagnies de rassembler des renseignements sur lui. L'utilisateur a donc une grande liberté de manoeuvre.

    Je reviens à l'exemple simple de la photo. Je m'inquiéterais d'éventuelles utilisations imprévues des données. En général, une fois l'information rendue dans Internet, il est difficile de garantir qu'on a le droit de la récupérer; elle pourrait bien y rester éternellement. Par exemple, si un utilisateur divulgue des renseignements par Facebook et que Facebook possède une application sophistiquée d'un tiers et que, par la suite, l'utilisateur consent à ce que l'application utilise les données qu'il a divulguées, quelle garantie possède-t-il sur l'honnêteté rigoureuse de son développeur?

    L'information circule sur un mode différent. Il y a passage de l'information de l'utilisateur de la photo à Facebook, une utilisation de la photo par le développeur de l'application. Qu'en fait ensuite le développeur? Quelles utilisations échappent à la capacité de Facebook de rappeler la photo et à la capacité de l'utilisateur de la récupérer? C'est ce dont je m'inquiéterais.

    Merci.

    Monsieur Péladeau, avez-vous une opinion?

    Oui.

    On travaille à la construction de certains modèles. Malheureusement, je ne parviens pas à me rappeler le nom, mais un constructeur de modèles essaie de créer une sorte de tableau de commande sur le flux de l'information pour que l'utilisateur, et non le réseau social, contrôle et possède l'information. Techniquement, tous ces modèles utilisent des machines de Turing, qui pourraient appliquer toutes sortes d'algorithmes imaginables. Il est techniquement possible de concevoir des modèles de rechange.

    Le problème, c'est comment faire et, manifestement, à partir du régime actuel. Actuellement, c'est la liberté totale, et nous ne voulons pas agir aux dépens de l'innovation.

    En théorie, c'est possible. On y travaille, mais je ne connais personne qui sait comment faire qui le ferait.

    C'est tout?

    Monsieur Carmichael, votre temps de parole est déjà écoulé.

    Je vais donc céder la parole à M. Angus. Vous disposez de cinq minutes.

    Merci.

    Merci messieurs. La discussion a été fascinante.

    Je pense que nous sommes certainement d'accord, monsieur Elder, que nous sommes à la veille d'assister à des changements dans le marché, dans la démocratisation, dans l'innovation à partir des nouveaux médias. Je pense que tous les membres du comité sont déterminés à trouver une façon de ménager l'innovation. La question est de savoir comment réagir aux infractions, parce qu'il n'y a rien de joli là-dedans. Nous parlons de vol d'identité, de victimisation, d'infractions à la loi et de droit international, des questions graves. Cependant, si nous jouons aux apprentis sorciers, nous risquons de gravement compromettre le développement de toutes les formes d'idées et de marketing.

    Je suis très heureux que votre organisme de marketing possède un code d'éthique. La démocratisation de la profession est également une chose intéressante. Il semble maintenant que les gros joueurs doivent s'adapter et se comporter comme les petits, parce que les nouveaux médias favorisent les petites compagnies débutantes. Ils favorisent les gens qui, auparavant, n'auraient jamais pu faire paraître leurs publicités dans un journal. Ils utilisent Twitter, Facebook, Tumblr, n'importe quoi d'autre. Maintenant, les gros doivent jouer avec les petits et je pense que c'est fascinant.

    Monsieur Elder, vous parlez de statu quo, mais qu'en est-il de ceux qui ne respectent pas les règles? Ne devrait-on pas confier à la commissaire à la protection de la vie privée les outils permettant de conférer une certaine prévisibilité au marché, de sorte que vos professionnels respectent les règles, mais qu'on peut mater les autres?

    C'est déjà le cas. Actuellement, la commissaire peut faire enquête. Elle peut exposer ses constatations dans un rapport. Elle ou le plaignant peut décider de saisir la Cour fédérale de l'affaire. La cour peut publier une ordonnance, notamment de mesures injonctives ou accorder des dommages-intérêts.

    Nous avons entendu la commissaire et beaucoup d'autres joueurs. La Loi sur la protection des renseignements personnels et les documents électroniques a joué un rôle. Le monde a posé son regard sur cette loi. On dit maintenant que nous sommes rattrapés par l'absence de sanctions pécuniaires administratives, alors que tout le reste évolue si vite.

    Seriez-vous d'accord pour qu'elle impose ces sanctions? Votre organisation ne triche pas, mais il y a des tricheurs.

    Comme j'ai dit plus tôt, quand un ombudsman ou un organisme d'enquête reçoivent le pouvoir d'imposer des amendes, cela change fondamentalement la donne. L'enquêteur devient juge et jury, au détriment d'un dialogue surtout franc et fructueux sur la protection de la vie privée, entre le commissariat et les gens d'affaires. Actuellement, quand les entreprises mettent sur pied un nouveau service ou qu'elles mettent une nouvelle technologie en vedette, elles en informent systématiquement le commissariat. Au risque de me tromper, je dirais que si le modèle changeait, ce comportement deviendrait beaucoup moins fréquent.

    C'est intéressant. Je me demande si la dichotomie entre l'innovation et le respect des règles n'est pas fausse, parce que nous avons besoin de prévisibilité. Actuellement, c'est l'anarchie. Cela donne de belles choses, mais les dégâts ou les menaces sont certainement réels. Comment faire? Voilà la question.

    Monsieur Zushman, vous proposez de passer par le Parlement. Ne croiriez-vous pas que, pour maîtriser cette situation, la commissaire à la vie privée est mieux pourvue que les parlementaires qui doivent discuter comme nous le faisons maintenant, connaître les faits un ou deux ans après coup, essayer d'élaborer ou de rapiécer à la hâte un projet de loi? Si la commissaire avait les outils nécessaires, nous pourrions continuer d'être des joueurs sans nuire inutilement à l'évolution du secteur. Proposeriez-vous qu'elle puisse appliquer des sanctions pécuniaires administratives?

    Oui. Bien dit pour la dichotomie! Je pense que la commissaire traite quotidiennement ces questions. Je pense que leur résolution ferait partie de ses compétences. J'appuierais des sanctions pécuniaires discrétionnaires, après examen des questions jugées appropriées et détermination d'une solution finale et complète. Je serais d'accord avec vous.

    Rapidement, monsieur Péladeau et, dans le même ordre d'idées, quand les sanctions et les règles sont ambiguës et que nous assistons à des recours collectifs — il y en a eu un certain nombre dernièrement — cela risque aussi d'entraver le développement. D'après vous, si on faisait respecter les grands principes, mais en donnant à la commissaire le pouvoir de les faire respecter, est-ce que cela améliorerait la prévisibilité? Est-ce que notre édifice législatif serait amélioré, au lieu que nous ayons à compter soit sur les recours collectifs ou sur le respect volontaire?

    Le temps qui vous était imparti est écoulé, mais je vais laisser à M. Péladeau l'occasion de répondre.

    Il s'agit effectivement d'établir les règles du jeu pour tout le monde, d'autant plus qu'il y a constamment de nouveaux joueurs, entre autres de jeunes loups. La prédictibilité est importante parce que, à l'heure actuelle, beaucoup d'entreprises en démarrage entrent dans le marché mais n'ont pas encore de modèle d'affaires. Ces gens ne savent pas comment ils vont monétiser les relations qu'ils vont établir avec la clientèle, etc.

    Si on avait des règles du jeu, ils pourraient savoir quelles voies sont fermées, lesquelles sont ouvertes et quelles sont les attentes sociales à cet égard. L'innovation n'est pas un phénomène naturel: elle est déterminée par des règles du marché et par des règles sociales. En ce sens, le fait de déterminer que l'innovation va se développer davantage dans cette direction, qui est conviviale ou orientée vers le client plutôt que dans d'autres directions, est, selon moi, un apport important au développement de l'innovation.

    Merci.

     Je vais maintenant céder la parole à M. Dreeshen pour cinq minutes.

    Merci beaucoup, monsieur le président.

    Merci à tous nos invités.

    J'étais, moi aussi, à Washington. Nous avons beaucoup parlé des facteurs dissuasifs pour l'innovation avec des chefs de file de l'industrie et des responsables de la réglementation. Quelques-uns de mes collègues en ont décrit. Je pense que c'est un enjeu important.

    Monsieur Elder, j'ignore si vous avez eu l'occasion de vous informer sur les sentiments des membres que vous représentez au sujet de ce domaine particulier. Pour reprendre certaines observations que nous avons entendues, la possibilité de recevoir des publicités personnalisées équivaut à se rendre chez le concessionnaire automobile où tous les vendeurs sont payés à la commission. On a affaire à une meute. Je ne vois donc vraiment pas la différence. Si on a dit s'intéresser aux véhicules, on risque de recevoir de l'information. C'est la publicité qui nous permet de profiter d'Internet au prix actuel.

    Vous pourriez peut-être nous donner le point de vue de l'industrie à ce sujet, en ce qui concerne l'importance de pouvoir communiquer l'information à l'utilisateur et l'importance que cela représente pour le concept général d'Internet et pour la capacité de chacun de l'utiliser.

    En parlez-vous dans le contexte de la publicité ciblée?

    Oui.

    Oui, je crois que la publicité sur Internet a de grands avantages, comme vous le laissez entendre. La commissaire à la protection de la vie privée l'a certainement reconnu explicitement.

    Une grande partie d'Internet est gratuite, en particulier les applications de médias sociaux. Il y a des options « freemium » sur certains des sites, où vous pouvez payer un supplément pour des caractéristiques supplémentaires, mais la plupart des principaux que les gens utilisent pendant des heures chaque jour ne leur coûtent rien. Ils sont financés par les annonceurs.

    La publicité que vous envoyez à quelqu'un dans l'espoir vain que cette personne se connecte et que la publicité aura une incidence sur elle vaut moins qu'une publicité que vous pouvez tenter de cibler plus précisément vers une personne que ce produit ou service pourrait vraiment intéresser. La disponibilité de ces types de publicités est très efficace pour rehausser les applications dont l'on dépend.

    Pour les utilisateurs, je peux vous dire que nous allons voir des publicités dans ces médias, que ça nous plaise ou non. Ils sont financés par des annonceurs. C'est un peu comme la télévision. Nous pouvons penser dans notre for intérieur que si quelqu'un nous donnait le choix, nous préférerions ne pas voir de publicités lorsque nous regardons une émission de télévision. Eh bien, si vous ne voyez pas les pub, vous ne verrez pas l'émission, car c'est ce qui la finance. S'ils doivent voir des pub, je crois que bien des utilisateurs aimeraient plutôt en voir qui correspondent à leurs désirs, leurs besoins et leurs valeurs.

    Monsieur Zushman, avez-vous un commentaire à formuler à cet égard?

    Personnellement, je crois que je ne suis pas d'accord pour dire que ces services sont gratuits. Je crois que l'archivage et le suivi des informations qui sont fournies par les utilisateurs est ce qui donne un avantage financier aux entreprises. Je frémis à la pensée de ce que doit valoir la base de données recueillies par bon nombre de ces entreprises de médias sociaux, car c'est là que réside la valeur réelle.

    Je pense aussi que c'est un peu différent si le consentement a été donné et qu'un consommateur demande explicitement, disons, de la publicité pour une nouvelle camionnette Ford. C'est une toute autre histoire, je pense, lorsqu'un utilisateur tape quelque chose sur son mur concernant les bons souvenirs d'enfance qu'il garde de s'être promené en camionnette Ford, et qu'une publicité de camionnette Ford soit automatiquement conçue en fonction de son commentaire. Je crois qu'il faut faire une distinction dans ce cas.

    Le suivi est ce qui fournit l'avantage financier, alors je ne suis pas nécessairement d'accord pour dire qu'il s'agit d'un service gratuit, mais je peux voir la position qui est avancée.

    Monsieur Péladeau.

    Il y a des modèles de rechange, et c'est ce qui fait que le marketing axé sur les intérêts est intéressant, mais cela dépend de la personne qui contrôle le processus.

    Dernièrement, j'ai eu à acheter une table de salle à manger et j'ai dû faire 32 magasins avant de trouver la bonne. J'aurais aimé faire une soumission. On élabore des modèles qui permettent d'en faire. Je veux une table assez grande pour accueillir un certain nombre de convives, etc. Je la place sur un site sans fournir le moindre renseignement à mon sujet. Je suis acheteur. Lorsque le bon vendeur se présente, je prends contact avec lui. Ne m'appelez pas; c'est moi qui vous appellerai.

    Ces modèles sont possibles, voilà pourquoi nous ne devons pas entraver ces types d'innovations. Nous devons regarder dans cette direction. Nous pourrions concevoir des modèles économiquement sains en fonction de cela. Il y a des modèles de rechange.

     Merci. Malheureusement, votre temps de parole est déjà écoulé.

    Je vais maintenant céder la parole à Mme Borg pour cinq minutes.

    M. Angus va commencer et je vais ensuite prendre la relève.

    D'accord, vous allez donc disposer de deux minutes et demie chacun.

    Merci.

    J'aimerais que M. Zushman parle de cette clause attributive de compétence, car je m'interroge sur la question du manque de consentement délibéré. Je reçois ce formulaire. Je veux utiliser mon site Facebook — et je ne m'en prends pas à Facebook — mais si je veux utiliser quelque chose, je dois cliquer dessus et quelque part parmi les 45 000 mots, on dit que je suis régi par les lois d'une autre administration même s'il s'agit de mes données dans mon pays. J'imagine que la plupart des spécialistes du marketing veulent mes données dans mon pays.

    Comment traitons-nous la question? Je serais inquiet d'aller sur un site et de voir, quelque part à la fin d'un texte de 45 000 mots, que toutes mes transactions financières sont régies par les lois de la Somalie. Vous pouvez certainement le faire comme cela, si vous n'êtes pas régi par les lois du pays dans lequel vous vous trouvez. Vous pourriez permettre toutes sortes de choses.

    Pouvons-nous traiter cette question? Est-ce que c'est une chose sur laquelle nous pourrions nous concentrer et dire qu'elle doit être réglée? Ce sont mes données. Si c'est dans mon administration, je devrais être protégé par les lois de mon pays, point final.

    Oui, monsieur Angus. Merci d'avoir reconnu ce point.

    J'ai essayé d'axer la dernière partie de mon exposé sur ce point. La raison pour laquelle je l'ai fait est la suivante: si nous rédigeons des lois ou demandons à la commissaire à la protection de la vie privée d'imposer des sanctions réelles, si l'utilisateur a accepté et délaissé les lois du forum local en faveur, comme vous diriez, de la Somalie, que faites-vous quand l'affaire est portée devant les tribunaux? Ou qu'arrive-t-il lorsque la commissaire à la protection de la vie privée applique vraiment ce jugement dans une administration qui n'a pas de mesures d'application réciproques s'agissant de l'infraction commise par le média social qu'elle tente de dénoncer?

    J'y ai songé brièvement. J'ai pensé que cela pourrait éventuellement être établi par le truchement d'une loi qui définirait ce qu'est une entreprise de média social. En outre, les entreprises de médias sociaux qui font des affaires au sein de l'administration sont clairement soumises aux lois du Canada. Vous pourriez utiliser une méthode volontaire par laquelle les principaux joueurs accepteraient d'être régis par la loi si quelque chose du genre se présente.

    Je ne suis pas certain qu'on en ait envie, mais je suppose qu'il y a différentes façons d'analyser cette question.

    Si les joueurs importants adoptaient l'une de nos recommandations concernant l'administration et ses lois, cela fixerait une norme qui serait beaucoup plus facile à suivre, mais sans que le comité soulève la question, et voili-voilà, les choses peuvent avancer.

    Je cède la parole à Mme Borg.

    Merci.

    Il y a une autre chose qui est ressortie de notre voyage. La FTC suggère la création d'une liste de personnes qui font l'échange des données. Il s'agit de compagnies, pas nécessairement Facebook, qui vont utiliser les données pour vendre des produits à certaines personnes et autrement.

     Monsieur Elder, vous avez dit que vous représentez environ 800 associations, mais on ne connaît pas l'ampleur de ces associations. On ne connaît pas toutes les compagnies. Nous avons de la difficulté à trouver exactement qui sont ces personnes.

    Ma question s'adresse aux trois témoins. Pourrions-nous considérer cela, compte tenu de la nécessité d'accroître la transparence, pour que les gens comprennent qui sont ces compagnies et ce qu'elles font avec nos données et nos renseignements personnels et pour que cela soit plus accessible et transparent?

    J'espère avoir saisi votre question. Il y a un droit d'accès au titre de la loi sur la protection de la vie privée qui dit qu'un utilisateur peut avoir accès aux renseignements qu'un organisme détient à son sujet, et il a le droit de savoir comment ils sont utilisés et communiqués. Vous dites qu'il devrait y avoir une liste contenant les noms des organismes à qui ces renseignements...

    ... et, par-dessus tout, qui ces entreprises sont, car c'est une chose dont bien peu de gens sont conscients.

    La difficulté serait qu'il s'agit généralement de relations qui évoluent. Par exemple, si vous achetez un mobilier de salle à manger, pour utiliser l'exemple de M. Péladeau, vous pourriez accepter à ce stade de communiquer des renseignements à certaines sociétés, mais il peut être très difficile de faire le suivi exact des personnes à qui vos données ont été fournies.

    Désolée, je vais simplement réexpliquer le modèle. Ce que la FTC suggère est un site Web dans lequel il y aurait, disons, les courtiers en données X, Y et Z désignés comme sociétés qui utilisent ces listes et les vendent ou en font ce qu'elles veulent. Elles font dans le courtage de données.

    Oh, je vois.

    La liste serait publiée et le public pourrait la consulter pour savoir que ces entreprises existent et connaître leurs activités.

    Je n'ai vraiment pas beaucoup pensé à la question et je n'en ai pas discuté avec l'ACM, alors je n'en parlerai pas comme de la position de l'ACM, mais je dirais en général que les entreprises sont favorables au concept de la transparence et dans la mesure où une société recueille, utilise et vend des données à d'autres, ce type de renseignement devrait être disponible.

    Cela ressemble un peu au modèle du Royaume-Uni où ils ont un type de registraire et c'est très bureaucratique. Je ne suis pas certain que ce soit la bonne solution. Mais s'il y a des normes de transparence et d'ouverture qui font en sorte que lorsque vous êtes sur le marché, vous devez fournir telle ou telle information et la rendre disponible, cela serait plus sensé. Si la question est de créer un registraire, c'est coûteux et il est possible que vous ne couvriez pas tout. Mais si vous avez l'obligation manifeste d'être ouvert et transparent, pour le travail que nous avons fait dans le cadre du rapport intitulé « L'identité piratée » en 1986, c'était notre modèle de prédilection.

    Monsieur Zushman, brièvement, vouliez-vous ajouter quelque chose?

    C'est le point que j'essayais de souligner tout à l'heure. S'il y a une entité principale par laquelle les renseignements sont saisis ou partagés et une gamme de sous-organismes qui s'occupent de ces données — je crois que vous aviez fait allusion à un entrepôt de données ou à un courtier — comment pouvez-vous passer un marché avec l'entité principale qui fasse en sorte que les renseignements soient affectés à la sous-entité et échangés avec elle? Comment obligez-vous une sous-entité à produire lorsque celle-ci ne fait peut-être même pas d'affaires dans la même administration, ou elle n'a pas nécessairement les mêmes obligations morales concernant l'utilisation des données? Il faut que ça se passe aux plus hauts échelons, près de l'endroit où les données sont échangées au départ. Si les consommateurs choisissent de communiquer des renseignements aux sites de tiers, les moyens d'obliger la destruction de toute donnée qu'ils communiquent devraient être disponibles dans le média par lequel ils communiquent avec le tiers. C'est difficile quand il y a des ramifications comme celles-là d'imposer la production et la destruction de données d'utilisateurs.

    Merci.

     La dernière personne qui pourra poser des questions est Mme Davidson. La parole est à vous. Vous disposez de cinq minutes.

    Merci beaucoup, monsieur le président.

    Merci à chacun de vous d'être ici cet après-midi. Ce fut une discussion fascinante.

    Je pense que vous sommes confrontés à un défi de taille, et pour bien des raisons. La vitesse à laquelle la technologie change présente certainement un défi, tout comme le fait que nous avons des enfants très jeunes et des gens plus âgés comme moi qui sont excités, car ils croient pouvoir utiliser Facebook, sans comprendre tout ce que cela comporte. Ce sont seulement deux des grands défis, je pense.

    Je vais lancer deux questions et je vous demanderai ensuite à chacun d'y répondre.

    Nous avons parlé de ne pas étouffer l'innovation et de la façon dont nous voulons voir les choses progresser. Je crois que nous sommes tous d'accord là-dessus. Cela nous porte à nous demander comment mettre en balance les initiatives préventives et les dispositions législatives pour protéger les utilisateurs, conscients du fait que la législation est un processus de longue haleine dans la plupart des cas.

    Mon autre préoccupation est de savoir comment protéger nos jeunes. Monsieur Elder, vous avez parlé de l'Association canadienne du marketing et des personnes qui peuvent être ou non ciblées. Comment cela peut-il être réglementé?

    Monsieur Péladeau, voulez-vous commencer?

    Pour ce qui est des jeunes, je n'ai pas d'expertise précise sur le sujet, alors je ne peux pas répondre.

    Pour ce qui est de l'innovation, elle peut être orientée. Néanmoins, le modèle de protection des données en vigueur, qui date des années 1970, est toujours valide. Il est toujours solide. Nous n'avons qu'à l'améliorer.

    Voilà pourquoi j'ai insisté dans mon exposé pour que nous ne ciblions pas spécifiquement une entreprise de médias sociaux. Il se trouve que des choses que nous pouvons traiter émergent de ce nouveau milieu. Je crois que la façon la plus efficace de les traiter est de privilégier une approche universelle aux plus hauts échelons et d'appliquer des principes au lieu de procédures précises. Ce faisant, nous pouvons orienter l'innovation au lieu de l'étouffer.

    C'est ma réponse de base. Pour plus de détails, il nous faudrait analyser des questions précises.

    Encore une fois, je dirais qu'un équilibre est possible, et je pense que nous sommes sur le point d'y arriver, comme je l'ai dit précédemment. Notre approche est axée sur des principes. Notre commissaire à la protection de la vie privée s'assure d'être au fait des technologies, des nouvelles utilisations et des préoccupations des consommateurs au fil du temps. Elle émet des directives. Dans bien des cas, d'après moi, les attentes sont claires pour les compagnies. Elles savent à quoi s'attendre. Je pense que c'est le meilleur modèle, et le modèle le plus flexible que nous puissions avoir.

    En ce qui concerne la commercialisation auprès des enfants, honnêtement, je ne connais pas vraiment de solution claire et absolue. L'ACM a bien un code qui dit que, si vous devez recueillir de l'information auprès des moins de 13 ans, il faut le consentement d'un parent. Je pense que ce qui est difficile, c'est d'adopter des mesures législatives à ce sujet  — et je ne sais pas si cela a été abordé au cours des discussions à Washington, mais les États-Unis l'ont fait. Ils ont adopté une loi sur la protection de la vie privée des enfants en ligne, et elle a eu des bien des conséquences vraiment très bizarres et non voulues.

    Entre autres, bien des sites ont indiqué que, puisque les règles sont si difficiles à respecter, ils interdisent tout simplement l'accès aux moins de 13 ans. Plutôt que d'adopter une démarche qui aurait comporté des mesures de protection de la vie privée convenant à ce groupe d'âge, de sorte que les enfants puissent profiter de certains de ces réseaux sociaux, ils ont exclu les enfants complètement, ce qui fait que les enfants doivent mentir, ou obtenir que leurs parents mentent pour eux. Il y a eu divers problèmes. Notamment, quand ils obtenaient le consentement parental, ils exigeaient une forme d'identification, la plupart du temps un numéro de carte de crédit, ce qui fait qu'ils recueillaient de l'information personnelle encore plus sensible simplement pour vérifier le consentement.

    Je pense que c'est là l'approche. Le principe est déjà là, dans la législation relative à la protection de la vie privée: il faut la connaissance et le consentement. Je crois qu'elle est déjà assez flexible et qu'elle reconnaît qu'il faut appliquer une norme différente quand on s'adresse à des enfants.

    Merci.

    En ce qui concerne votre première question, madame Davidson, je ne vois pas pourquoi la protection de la vie privée et l'innovation ne pourraient pas cohabiter. Je pense qu'il pourrait même y avoir des innovations liées à la protection de la vie privée et des renseignements. La technologie était en plein essor avant l'arrivée des médias sociaux. Si la législation est convenablement établie, peut-être que la technologie ne sera pas étouffée de la même façon ou qu'on ne craindra pas une telle possibilité.

    Pour ce qui est de la protection des jeunes, je pense que ce que M. Elder mentionne — les codes qui assurent la protection des enfants et des utilisateurs mineurs — est très utile. Peut-être qu'il serait bon d'offrir des programmes d'éducation et de sensibilisation du public qui disent aux enfants qu'Internet n'est pas nécessairement sûr et qui utilisent divers moyens pour les aider à constater qu'on ne peut pas nécessairement récupérer une chose qu'on y met et que les conséquences peuvent être de longue durée.

    Merci.

    Merci.

    Le temps est écoulé. Cela met fin aux témoignages d'aujourd'hui.

     Avant de quitter, je voulais vous avertir qu'on avait déjà discuté des prochains témoins que nous entendrons. On se donnait donc jusqu'à lundi prochain, à midi, pour établir la liste des témoins pour les prochaines réunions. On a déjà planifié les réunions de cette semaine, mais pas pour la suite.

    De plus, on pourra avoir une directive plus précise sur l'étude et la liste des témoins que chaque parti voudrait recevoir pour la suite de l'étude. On a jusqu'à lundi prochain, à midi. Je vous demande de la faire parvenir au greffier, comme d'habitude.

    Merci à tous et merci aux témoins, et peut-être à une prochaine fois.

    Monsieur Warkentin voulait dire quelque chose avant de quitter.

    Merci, monsieur le président.

    J'aimerais simplement des éclaircissements. Le Parlement a déterminé que le 8 novembre, nous suivrons l'horaire du vendredi, de sorte que les gens puissent retourner à leur circonscription à temps pour les cérémonies liées au jour du Souvenir qui se dérouleront au cours de la fin de semaine. Je crois comprendre que la plupart des séances de comités de l'après-midi sont annulées. Je me demande ce que le comité souhaite ou, monsieur le président, si vous y avez pensé.

    Je suis au service du comité. Si le comité souhaite siéger quand même, je serai présent, bien sûr. Je ne sais pas si quelqu'un veut ajouter quelque chose, il est certain que c'est possible.

     Monsieur Angus, la parole est à vous.

    Je pense qu'il y a déjà un précédent selon lequel le comité ne siège pas si la Chambre estime que c'est une journée où le comité ne siège pas. C'est ce que nous avons fait dans le passé.

    C'est ce que je comprenais également. On a donc le consentement de ne pas avoir de réunion du comité le 8 novembre prochain. Ce sera l'horaire du vendredi ce jour-là.

     Je remercie encore une fois nos témoins. Cela met fin à la réunion d'aujourd'hui. À jeudi prochain.

    La séance est levée.