ETHI Réunion de comité

    À l'ordre, s'il vous plaît. Comme il est 15 h 30, nous allons commencer la séance.

    Comme prévu à l'ordre du jour, nous continuons notre étude sur les médias sociaux et la vie privée. Nous recevons aujourd'hui un témoin qui représente Google, soit M. Colin McKay.

    Nous allons procéder comme d'habitude, c'est-à-dire en commençant par une présentation d'environ 10 ou 15 minutes. Comme vous êtes le seul témoin, vous pourrez prendre un peu plus de temps. Ce n'est pas un problème.

    Il va y avoir ensuite une période de questions et de réponses d'une durée d'une heure ou d'une heure et quart, en fonction des questions. S'il y a toujours des questions, nous pourrons poursuivre la séance. Je suis au service du comité. Nous verrons comment les choses vont se dérouler.

    Sans plus tarder, je cède la parole à M. McKay.

    Merci, monsieur le président, et merci aux membres du comité.

    Je m'appelle Colin McKay, et je suis gestionnaire responsable des politiques chez Google Canada. Merci de m'avoir invité et de me donner l'occasion de dire un mot de Google, et notamment de sa politique sur la protection des renseignements personnels et le contrôle de ces renseignements par l'utilisateur.

    Le Canada est important pour Google, qui a des bureaux à Kitchener-Waterloo, à Toronto, à Montréal et à Ottawa. Ses bureaux de génie situés à Montréal et à Kitchener-Waterloo affichent une croissance particulièrement rapide. Ces bureaux créent des produits dont des centaines de millions de personnes se servent tous les jours sur toute la planète. Notre bureau de Montréal s'occupe d'un élément particulièrement pertinent pour la séance d'aujourd'hui, car il travaille à des produits qui ont pour but de rendre l'expérience en ligne aussi sûre que possible pour les utilisateurs du monde entier.

    Google Canada cherche aussi à aider les propriétaires de petite entreprise de tout le Canada à utiliser Internet efficacement pour croître et prospérer. Pour souligner leur réussite, nous avons créé les trophées Google eVille, conçus pour mettre à l'honneur les villes qui sont à l'avant-garde dans l'utilisation d'outils et de services en ligne.

    Nous avons examiné d'innombrables villes et localités au Canada et trouvé des municipalités qui ressortent du lot: Moncton, au Nouveau-Brunswick; Dorval, au Québec; Parry Sound, en Ontario; Canmore, en Alberta; Duncan, en Colombie-Britannique. Elles manifestent un solide engagement et un bon potentiel de croissance dans l'économie numérique.

    Chez Google, nous sommes fiers d'aider les Canadiens non seulement à faire le meilleur usage d'Internet, mais aussi de les aider à le faire en toute sécurité.

    Le respect de la vie privée et la sécurité nous importent et nous savons que les utilisateurs y attachent la plus haute importance. Telles sont leurs attentes, et les nôtres.

    Voilà pourquoi Google est attaché aux normes les plus élevées à cet égard, et son engagement est appuyé par des ressources en argent et en personnel. Chaque année, il consacre à la sécurité des centaines de millions de dollars, et il a à son service des spécialistes de renommée mondiale en sécurité des données, qui s'efforcent sans relâche de garantir la sécurité de vos renseignements et des miens. Chez Google, nous offrons tout un arsenal d'outils pour protéger la sécurité et la vie privée, de façon que les Canadiens puissent prendre le contrôle de la gestion de leurs données d'une manière simple et directe. Quelques clics de la souris et les utilisateurs peuvent retirer des dossiers de Google tout leur historique sur le Web et en même temps, s'ils le souhaitent, ils peuvent empêcher Google d'enregistrer à l'avenir leur historique sur le Web.

    Nous fournissons aussi aux Canadiens des outils pour sécuriser leur information au moyen du Web. Une vérification en deux étapes des comptes Google donne à chaque utilisateur une protection accrue contre un accès non autorisé à leurs renseignements. Notre navigateur Chrome, qui est de plus en plus populaire auprès des utilisateurs du monde entier, comprend un mode « navigation privée », qui permet à l'utilisateur de naviguer sur Internet en un mode invisible. Les pages ouvertes ou les fichiers téléchargés ne sont pas inscrits dans l'historique de navigation ou de téléchargement de Chrome. Voilà qui est particulièrement utile à ceux qui ont régulièrement accès au Web sur des ordinateurs publics dans des bibliothèques ou des cafés, qui sont connus comme ayant de lourdes lacunes en matière de sécurité. C'est également utile si on prépare une soirée surprise et si on ne veut pas que des membres de la famille tombent par hasard sur quelque chose qu'on préférerait garder secret pendant un certain temps.

    Chez Google, nous croyons ardemment dans l'innovation alimentée par les données. C'est le genre d'innovation qui mène à des cartes de crise, par exemple, élaborées à l'improviste, qui aident à prévoir l'impact d'ouragans comme Sandy ou à des services plus terre-à-terre, mais extrêmement utiles qui aident à préparer des vacances plus rapidement et à meilleur marché. Nous améliorons constamment nos produits et nous en créons de nouveaux en faisant appel à des sources de données diverses. Une partie des données vient d'autres sources, mais certaines proviennent des utilisateurs.

    L'innovation fondée sur les données chez Google, cela veut dire également élaborer et améliorer des mécanismes et processus de sécurité. Autrement dit, nous nous servons des données pour protéger nos utilisateurs et le Web dans son ensemble.

    À bien y penser, nous pouvons tous reconnaître que, s'il est important d'assurer le contrôle par l'utilisateur, mais sans une sécurité solide pour protéger les données, cela ne sert à rien. Avant d'expliquer comment nous permettons aux utilisateurs de contrôler leurs données, je voudrais donner quelques exemples qui montrent comment nous gardons les données en sécurité.

    Les 425 millions d'utilisateurs actifs de Gmail et ceux qui communiquent avec eux ont droit à une protection importante et constante contre le pourriel, l'hameçonnage et les logiciels malveillants.

    Il y a sans doute quelques utilisateurs de Gmail dans la salle en ce moment. Je les invite à réfléchir à la dernière fois où ils ont eu du pourriel dans leur boîte de réception Gmail, et à comparer avec les autres services qu'ils décident d'utiliser ou qu'on leur impose.

    Nous avons un cryptage intégré pour protéger les messages contre les indiscrétions d'autrui, comme lorsqu'on se sert d'un portable dans un café. Le réglage par défaut est le cryptage Secure Socket Layer pour toute la session lorsqu'on entre dans Gmail, mais aussi dans Recherche, dans Documents et dans beaucoup d'autres de nos services. Nous assurons la sécurité intégrale des communications dans nos services en ligne.

    Notre capacité d'analyser les registres de fouille, qui sont des séries regroupées de données, nous aide à identifier une quantité considérable de pourriels sur le Web et à en réduire le nombre. Ces données ont également aidé à créer des outils de recherche maintenant jugés indispensables comme le complètement automatique, la recherche instantanée et la correction de l'orthographe.

    Essayez de vous souvenir un instant de l'expérience de recherche en 2006, en 2004 ou, pis encore, en 1999. Il était bien plus difficile de revoir les erreurs d'orthographe pour finir par avoir une réponse exacte. Aujourd'hui, Recherche de Google donne une réponse instantanée en s'appuyant sur une analyse des registres et des comportements passés.

    L'analyse des regroupements de données nous a également aidés à créer la technologie SafeBrowsing de Google. Tous les jours, des ingénieurs examinent des milliards d'URL, à la recherche de sites dangereux pour quiconque utilise Internet, ce qui peut comprendre les sites de logiciels malveillants qui installent de force des enregistreurs de frappe sur votre ordinateur et d'autres logiciels de cybercriminalité, des sites d'hameçonnage qui ont l'aspect de sites légitimes et par lesquels on essaie d'amener des utilisateurs à taper leur nom d'utilisateur et leur mot de passe comme, pour prendre un exemple qui doit nous être tous familier, un site qui prétend être celui de notre banque.

    Parce que nous voulons aider à protéger tous les utilisateurs d'Internet, nous mettons ces données de sécurité à la disposition de tous. Apple s'en sert pour protéger les utilisateurs de son navigateur Safari, et Firefox s'en sert aussi pour ses utilisateurs.

    Nous savons que la technologie peut être compliquée. Non contents de garantir la sécurité de l'information de l'utilisateur, nous nous efforçons de créer des contrôles et expériences axés sur l'utilisateur qui facilitent des choix éclairés sur l'information à communiquer à nous et à d'autres et sur la façon de le faire.

    Google Dashboard est un outil qui aide à savoir ce que Google sait de moi. Il montre à chaque utilisateur son information conservée dans son compte Google. À partir d'un lieu central, il est facile de modifier les paramètres de tout service Google qu'on utilise comme Blogger, Calendrier, Documents, Gmail, Google+, etc.

    Google+ est un autre excellent exemple de contrôles axés sur l'utilisateur. Ce réseau social donne un contrôle total sur l'accès à divers aspects de votre présence en ligne par d'autres personnes.

    Nous savons tous que la différence entre les membres de la famille, les amis, les connaissances et les étrangers est cruciale, surtout sur un réseau social. Les cercles de Google+ imitent l'idée que nous nous faisons de la communication d'information hors ligne pour aider à gérer les amis et les contacts en ligne. Je pourrais mettre les amis dans un cercle, les membres de la famille dans un autre et un patron ou un voisin curieux seuls dans un cercle à part. Je peux alors communiquer le contenu pertinent, comme les messages de Google+, les vidéos YouTube ou des listes locales avec les cercles de mon choix.

    Nous avons même mis en place des protections supplémentaires pour les jeunes afin de favoriser un comportement sûr en ligne. Spécialement pour les jeunes, c'est une grande affaire que de mettre un message que tous pourront voir sur un réseau social. Donc, lorsqu'ils essaient de communiquer en dehors de leurs cercles, nous ajoutons une étape de confirmation de plus pour les inciter à réfléchir avant de diffuser un message. Nous avons aussi prévu des protections par défaut qui empêchent les étrangers d'établir un contact direct et même de dire bonjour à des adolescents sans leur permission expresse.

    Un autre bel exemple de contrôle par l'utilisateur est un service Google auquel, j'en suis sûr, la plupart des membres du comité auront eu recours. La plupart des Canadiens l'ont fait. Il s'agit de Google Maps. La fonction de base de notre service de cartes permet de voir la carte du voisinage, de la ville, de la région, de n'importe quelle région de la terre, mais Google peut aussi donner les indications étape par étape en mode de navigation GPS. Il peut aider les utilisateurs à trouver des lieux qui les intéressent comme des restaurants, des postes d'essence et des guichets automatiques.

    On peut dire à l'utilisateur combien de temps il mettra à se rendre à une destination donnée, ce qui est particulièrement utile pour quiconque doit faire la navette tous les jours pour se rendre au travail dans des conditions difficiles. Google peut même aider les utilisateurs à éviter les embarras de circulation en examinant des données regroupées et anonymes, historiques et présentes, pour trouver le chemin le plus rapide pour rentrer chez soi. Il peut même donner des indications spéciales pour les vélos à partir de données sur les pistes cyclables, les sentiers, les rues et les dénivellations.

    Je dois admettre que, malgré tous nos efforts, il arrive que des utilisateurs décident d'arrêter d'utiliser Google et tiennent à emporter leurs données avec eux. À cette fin expresse, nous avons conçu Google Takeout, application qui rend extrêmement facile l'exportation de données d'un grand nombre de nos services les plus populaires — et nous en ajoutons de nouveaux tous les jours.

    Nous facilitons la tâche aux utilisateurs qui veulent nous quitter et optent pour un autre service, ce qui nous incite à rester honnêtes. Nos utilisateurs sont en sécurité avec nous, mais ils n'ont pas à se sentir prisonniers.

    Je conclus. J'ai essayé de donner au comité un aperçu des politiques de Google sur la protection des renseignements personnels et la sécurité et de leur incarnation dans nos produits.

    Dans le cadre de mon travail, je rencontre régulièrement les commissaires à la protection de la vie privée pour connaître leurs préoccupations et travailler avec eux à la conception de solutions à tout problème abordé dans nos échanges.

    Google a travaillé d'arrache-pied afin de bâtir une relation constructive et productive avec les commissaires à la protection de la vie privée au Canada, aux niveaux fédéral et provincial. Cette collaboration a été fructueuse en servant de tribune pour entendre les préoccupations de ce milieu et nous aider à expliquer comment notre entreprise aide les Canadiens au quotidien.

    Merci du temps que vous m'accordez cet après-midi. Ce sera un plaisir de répondre à vos questions.

    Merci beaucoup.

     Sans plus tarder, nous allons passer à la période des questions et réponses.

    Monsieur Angus, vous disposez de sept minutes.

    Merci, monsieur le président.

    Merci, monsieur McKay d'avoir accepté de comparaître. Je suis très heureux que Google participe à cette étude. Ce qui fixe le cadre général de notre débat, c'est le potentiel incroyable que nous percevons pour les nouveaux médias: innovation, transformation, démocratie, arts d'innovation, etc. Cela dit, les risques sont énormes s'il est porté atteinte aux données. C'est un domaine tout à fait différent, et vous êtes le plus gros joueur sur le terrain. Ce que fait Google a un retentissement énorme.

    Disons pour commencer que j'ai été intéressé par ce que vous avez dit de Gmail. Je n'ai jamais eu de pourriels sur Gmail. J'ai quitté d'autres services. Même les excellents logiciels de la Chambre des communes contre le pourriel n'ont pas empêché des messages de passer sur nos serveurs privés, ce que je n'ai jamais vu sur Gmail. Je suis impressionné.

    Je tiens à vous féliciter aussi de Google+. L'idée de cercles distincts est extraordinaire. Je connais beaucoup de jeunes de ma circonscription qui sont mes amis parce que je suis leur député et je vais parfois voir de qui il s'agit. Et je vois toutes sortes de conversations d'école secondaire que je ne devrais pas voir, il me semble, mais elles sont là. Peut-être que s'ils avaient Google+...

    Dans le monde des nouveaux médias, c'est peut-être une reprise de l'affrontement entre Beta et VHS. Je vous encourage donc, mais vous n'avez pas la plus grosse part du marché.

    Je voudrais d'abord vous poser des questions sur des violations dont nous avons entendu parler. Quand il y en a, elles sont énormes. La FTC a imposé une amende de 22,5 millions de dollars pour des violations sur Safari. On a contourné les témoins de connexion d'Apple.

    De quoi s'agissait-il? Qu'avez-vous fait pour régler le problème?

    D'abord, merci de ce que vous avez dit de Google+ et de Gmail et merci d'avoir reconnu le lien qui existe entre vie privée et sécurité. J'y reviens à répétition dans mes observations, mais cela me semble important.

    À propos de Safari, il y a deux problèmes distincts. D'une part, le jugement de la FTC sur Safari et d'autre part, le problème technique des témoins de connexion. Nous avons commis une erreur, nous l'avons corrigée et nous sommes repartis de là. Nous avons commis l'erreur en essayant de procurer des services à des utilisateurs qui avaient exprimé la volonté de les obtenir.

    Il y a une explication technique au problème des témoins de connexion, et je serais heureux de l'expliquer plus en détail, mais je ne crois pas que l'endroit soit indiqué.

    Je ne comprendrais pas de toute façon.

    Des voix: Oh, oh!

    M. Charlie Angus: M. Calkins comprendra peut-être et y reviendra dans ses questions.

    Je souligne que, dans ce cas, il s'agissait d'une erreur, et elle a été commise avec les meilleures intentions qui soient. Nous avons avoué qu'il pouvait y avoir erreur d'interprétation. Nous avons corrigé ces erreurs.

    La question des erreurs se pose. Le 27 juillet, au Royaume-Uni, il y a eu le problème des 600 gigaoctets de données recueillies par les véhicules de Street View qui ont capté des communications sans fil. Les véhicules de Street View sont passés, et l'information des réseaux sans fil...

    Pour un profane, cela montre la facilité incroyable avec laquelle une organisation aussi puissante que Google peut prélever toute l'information qu'elle veut. Nous devons faire confiance à votre principe de refus de causer des préjudices, mais des erreurs comme celle-là peuvent avoir un énorme retentissement. Ce sont des données bancaires, des renseignements personnels... Constater qu'on peut les saisir aussi facilement et ensuite qu'on ne les a pas effacés...

    Quelles mesures avez-vous mises en place pour donner au public l'assurance que vous n'êtes pas le dictateur d'Orwell?

    Nous ne sommes certainement pas ce dictateur. Nous ne perdons pas de vue les intérêts des utilisateurs. Nous leur fournissons des contrôles de sécurité pour qu'ils aient la maîtrise de leur information. Il faudrait inverser la comparaison, car nous leur fournissons des services qui, idéalement, leur apportent des produits de communication très sûrs.

    À propos du WiFi, je suis dans une situation difficile. Lorsque j'ai quitté mon employeur précédent, le Commissariat à la protection de la vie privée, on m'a demandé de ne pas m'occuper de dossiers en cours, et le WiFi était du nombre. Je vais devoir vous reparler plus tard des détails du WiFi. Je ne veux pas me défiler, mais c'est un dossier délicat.

    Ce que je peux vous dire, néanmoins, il n'est pas dans notre intérêt supérieur de chercher de l'information à l'aveuglette. Nous cherchons à améliorer les services et à fournir des produits aux utilisateurs. C'est notre principal objectif. Il s'agit de réagir aux deux exemples que vous avez donnés. Voilà pourquoi nous avons consenti des investissements incroyables dans les équipes de la protection des renseignements et de la sécurité. Notre organisation veut s'assurer des mécanismes internes en place pour éviter ce genre de problème à l'avenir.

    Excellent. Je ne veux pas vous mettre mal à l'aise. Peut-être un représentant de Google pourrait-il...

    M. Colin McKay: Oui.

    M. Charlie Angus: À propos des 600 gigaoctets de données, il y a là un gros point d'interrogation. Nous avons réfléchi à la question. Il serait utile que nous obtenions une explication.

    Je m'intéresse à ceci également. Pour en revenir à l'Union européenne, celle-ci prétend que vous ne vous conformez pas à sa loi sur la protection des renseignements personnels. Je voudrais examiner la question, et non pas tant les détails de la situation dans l'Union européenne, mais sous l'angle plus général des principes qui nous a intéressés. Nous voulons encourager l'innovation. Nous savons qu'Internet est un outil international. Nous savons que, pour avoir un modèle d'affaires qui fonctionne, vous devez avoir une plateforme dans le monde entier.

    En ce qui concerne le respect des lois sur la protection des renseignements personnels, nous avons les nôtres, au Canada, dont nous sommes très fiers. Les États-Unis ont des normes différentes, et l'Union européenne aussi. Comment Google trouve-t-il le moyen d'offrir un service qui non seulement fonctionne dans le monde entier, mais qui respecte aussi les diverses lois? Êtes-vous à ce point éloignés de la norme de l'UE? Devez-vous repenser votre modèle d'affaires?

    Nous croyons respecter la loi européenne. Nous avons aussi fait des investissements dans les ressources humaines un peu partout dans le monde — des gens comme moi — pour bien savoir dans quel sens évoluent la protection des données et la loi sur la protection des renseignements personnels dans chaque pays, de façon à respecter toutes les lois. C'est un effort que nous faisons pour répondre aux attentes de nos fournisseurs dans tous les pays.

    À propos de la législation canadienne, je dirais que, à notre sens, le Canada a un cadre particulièrement intéressant et utile de protection des renseignements personnels. Il nous permet d'avoir des échanges avec la commissaire à la protection de la vie privée au sujet des produits et services à venir, de façon à avoir un dialogue ouvert et à prendre note de ses impressions sur ce que nous prévoyons faire, ce que nous prévoyons lancer sur le marché. Ainsi, nous pouvons en tenir compte dans ce que nous finirons par offrir aux Canadiens.

    Rapidement, une question sur Google Takeout. Nous avons beaucoup parlé du droit de se faire oublier, du droit de ne pas laisser de trace. Si quelqu'un veut se retirer, il devrait pouvoir le faire. Nous n'avons pas vu de vrais mécanismes qui permettent de répondre à cette volonté.

    Vous dites que vous avez un système en place. Pourriez-vous nous l'expliquer?

    C'est simplement cela, un système. Si un utilisateur de Google décide qu'il veut se retirer de nos services et emporter toute l'information qu'il a communiquée, nous sommes en train de mettre en place un mécanisme pour qu'il puisse, produit par produit, avec un simple bouton, non seulement retirer l'information de nos systèmes, mais aussi nous lancer le signal qu'il veut qu'elle soit supprimée. Nous lui fournirons les renseignements sous une forme importable dans un autre système. Cela ne veut pas nécessairement dire qu'il y a transfert de notre service à un autre, mais que nous n'allons pas non plus procurer à l'utilisateur un fichier électronique inintelligible qu'il ne peut analyser.

    L'objectif, au fond, est de rester honnête et de donner aux utilisateurs un outil qui leur permet de prendre une décision claire: est-ce que nous leur apportons une valeur, une utilité au quotidien?

    Merci.

    Monsieur Angus, le temps qui vous était alloué est écoulé.

     Je vais donc céder la parole à M. Calkins.

    Merci, monsieur McKay, de votre présence parmi nous.

    J'en connais peut-être un peu plus sur le plan technique, mais je ne crois pas que nous ayons besoin d'échanger là-dessus ici.

    J'ai des questions à vous poser directement. Vous avez parlé de Google Chrome et expliqué qu'il avait un mode de navigation privée. Et vous êtes immédiatement passé à la question de l'analyse des registres de recherche.

    À propos de Google Chrome, je vais lancer une hypothèse assez générale. Ce qui fait la valeur de Google, ce sont ses données. C'est son actif le plus stratégique. Il s'agit surtout de données sur les utilisateurs, sur les tendances des utilisateurs. C'est ce qui fait votre valeur négociable.

    Vous me faites aujourd'hui l'article, au comité, et je vous crois. Je crois que, stratégiquement, il est dans l'intérêt supérieur de Google de fournir le meilleur service possible à ses clients. Je ne suis pas votre seul client. J'utilise le produit de Google. Vos clients peuvent être n'importe quelle agence de marketing qui voudrait connaître mes préférences et tendances, les achats qui m'intéressent. Ma navigation sur le Web, mon historique de navigation le révèlent.

    Lorsque vous dites que Google Chrome ne garde aucune trace ou empêche le chargement de l'historique, il s'agit simplement de la machine qui se trouve sur place. Vous saurez tout de même sur quels sites je suis allé, étant donné que cela sera noté ailleurs, n'est-ce pas?

    Je dirai d'abord, pour répondre à une partie de votre question, que nous ne vendons pas de données. Nous ne les vendons pas à des tiers.

    D'accord. Ça me va.

    Il n'y a pas de vente de données, mais vous vendez de l'information. Vous donnez des indications générales pour le marketing, n'est-ce pas?

    Nous offrons des services de publicité en nous appuyant sur certaines données, mais permettez-moi de faire une distinction...

    Mais c'est de la publicité ciblée sur l'utilisateur, n'est-ce pas?

    C'est de la publicité évoluée, et je sais qu'elle l'est, puisque je reçois sur mon navigateur des publicités qui me sont spécialement destinées...

    Je suis chasseur et je vais sur des sites de chasse et de pêche. Je reçois donc des publicités de Bass Pro. Je reçois sans arrêt toutes sortes de choses. Ce n'est pas étonnant. Je sais comment cela fonctionne. C'est bon, je comprends. Ce n'est pas une critique, et je ne suis pas en mode attaque.

    Je me préoccupe simplement du respect de la vie privée. J'ai été administrateur de base de données. Je me suis occupé d'opérations financières représentant des millions de dollars. Mais je ne l'ai jamais fait dans le contexte des médias sociaux. Je me suis occupé seulement d'opérations financières privées dans le cadre d'une société. Je comprends ce que vous faites.

    Mon problème est le suivant: j'ai des électeurs qui utilisent vos services et qui ont des inquiétudes légitimes au sujet de la protection de leur vie privée. Si vous voulez parler des aspects techniques des témoins de connexion et de la façon dont ces choses-là sont suivies... Je sais ce qu'est un témoin; je connais le Secure Socket Layer et la technologie SSL. Je connais ces choses-là.

    Il y a le niveau local par opposition à la centralisation. Vous devez recueillir des données sur l'utilisateur que je suis. Si vous ne contrôlez pas un témoin sur ma machine, si vous ne laissez pas de témoin de connexion ou un historique de connexion, vous devez tout de même savoir si je suis allé sur mes comptes Google. Si j'ai une séance sur Gmail ou une autre application, vous pouvez enregistrer cet historique de navigation, mais peut-être pas jusqu'au niveau infinitésimal où ces données sont emmagasinées avec mon nom accolé à elles dans votre base de données. C'est ce qui donne de la valeur à votre collecte de données, n'est-ce pas?

    Permettez-moi de faire trois distinctions bien à part les unes des autres.

    Pour répondre à votre dernière question, je dirai que si vous naviguez en mode invisible, vous êtes complètement anonyme pour nous. Pour employer des termes populaires, vous utilisez le service sous sa forme la plus idiote possible. Aucun suivi, aucune personnalisation. Vous obtenez un historique de navigation très clair qui n'est pas enregistré.

    Au niveau local.

    Non. Pas enregistré du tout.

    M. Blaine Calkins: Du tout.

    M. Colin McKay: Du tout. Le mode invisible est une façon d'accéder à Internet de façon anonyme.

    J'ai deux autres distinctions à faire. J'ai pris soin dans mon intervention de parler de l'anonymat des données et de leur regroupement. Vous parlez des données qui peuvent avoir ou pas une valeur pour Google. J'ai bien souligné qu'il y avait des données abondantes qu'on pourrait considérer comme des données « transactionnelles », des données de réseau. Il s'agit de la façon dont le trafic est acheminé sur le réseau et dont nous voyons des attaques contre les comptes des clients. Ce ne sont pas nécessairement des données de l'utilisateur, mais elles le concernent. Ces données sont très précieuses. Elles permettent d'offrir des services de sécurité non seulement au particulier, mais aussi à l'ensemble de l'entreprise et à tout le réseau Internet.

    Il y a une énorme quantité d'information qui ne se compose pas de données de l'utilisateur. Elle est néanmoins extrêmement précieuse pour Google, qui s'en sert pour réagir et offrir à chacun des services qui permettent de naviguer avec plus de sécurité et d'avoir un meilleur accès à ses propres renseignements personnels en ligne.

    Si des gens se branchaient pour la première fois, téléchargeaient Google Chrome et commençaient à l'utiliser, ils ne recevraient jamais de publicité ciblée particulière en fonction de leur historique de navigation parce que, pour peu qu'ils conservent le mode invisible, vous n'auriez pas la moindre idée de leur identité? J'ai bien compris?

    Tout à fait.

    Très belle réponse.

    Je voudrais aborder brièvement la fonction de suppression par opposition... J'ai un compte Gmail, etc. Même si je suis exaspéré lorsque je télécharge un logiciel d'un tiers qui me demande si je veux installer dans mon fureteur la barre d'outils Google, ce que je refuse parce que je ne veux pas qu'on me suive et que je ne veux pas qu'elle s'affiche, au moins, j'ai la possibilité de refuser, même si le choix par défaut est de l'installer.

    Beaucoup de témoins nous ont dit que le diable se trouvait dans les choix par défaut, lorsqu'on se retrouve devant de grands énoncés de politique généraux sur les renseignements personnels, dans lesquelles il faut tout accepter. Je ne paie aucun service de Google. Tout est gratuit, mais il y a un prix à payer, car je dois vous donner quelque chose dont vous tirez un usage lucratif. C'est ainsi que l'entreprise fonctionne. Ce n'est pas une critique.

    Si je veux supprimer mon compte Gmail, et je crois que M. Angus en a dit un mot, comment puis-je être rassuré? Vous avez dit que vous me rendiez mes renseignements et que je peux les importer ailleurs si je quitte la plateforme Google pour une autre, qu'il s'agisse d'un moteur de recherche ou, quel que soit le cas, de mon courrier électronique.

    Comment puis-je avoir l'assurance que les renseignements sont vraiment supprimés dans votre système? Il peut y avoir des copies de sauvegarde, des points de rétablissement, que sais-je? À un moment donné, je peux presser le bouton magique de suppression, mais je resterai dans l'historique de votre système. Si vous avez une panne de système et le rétablissez à un certain point dans le temps, je pourrais m'y retrouver de nouveau.

    Comment gérez-vous des situations comme celle-là?

    De façon très générale, lorsque vous allez dans Takeout et indiquez que vous voulez exporter les données, dans ce cas vos données de Gmail, et pressez le bouton, nous vous les rendons sous une forme qui les rend accessibles pour d'autres produits. Nous envoyons aussi un signal qui ferme l'interrupteur, pour ainsi dire, pour que l'information ne soit plus accessible.

    Cela veut dire désactiver et non supprimer.

    Non, mais pour nous, cela veut dire désactiver, et les données ne sont plus accessibles. C'est le signe que l'espace est disponible et qu'on peut y inscrire autre chose.

    Lorsque cela se produit, d'autres données sont substituées aux anciennes. Nous ne conservons aucun dossier, aucune copie.

    Les données ne subsisteraient qu'un certain temps, jusqu'à...

    C'est la limite technique de ce que nous pouvons faire.

    Malheureusement, monsieur Calkins, votre temps de parole est écoulé.

    Vraiment? J'avais beaucoup de plaisir.

    Merci, monsieur McKay.

    Nous pourrons peut-être revenir à vous plus tard.

    Monsieur Andrews, vous avez maintenant la parole pour sept minutes.

    Je vais essayer de poursuivre dans le même ordre d'idées.

    Au début, vous avez parlé de l'utilisateur qui retire son historique. Pour que nous nous fassions une idée, combien d'éléments de données avez-vous sur une personne? Cela nous dirait combien de renseignements Google possède sur un utilisateur. Jusqu'où remonte cet historique?

    Je crains de ne pouvoir répondre directement à propos du nombre d'éléments de données, en partie parce que l'information que nous recueillons grâce à la navigation sur le Web ne sert pas à identifier des éléments de données précis sur l'utilisateur. L'information sert à créer des profils génériques sur les utilisateurs, et les profils peuvent ensuite servir à fournir des services ou à faire de la publicité. Il peut donc y avoir un certain nombre d'éléments qui permettront simplement de conclure que vous aimez les voitures américaines. Il n'y a rien de spécifique.

    Combien de temps conservons-nous ce type d'information? S'il s'agit de l'historique des recherches sur le Web, il existe un outil appelé Préférences pour les annonces qui permet d'aller voir les centres d'intérêt que nous avons identifiés comme les vôtres, de les corriger ou de les supprimer. On a donné tout à l'heure l'exemple d'un chasseur. Vous pouvez dire que vous êtes un type très particulier de chasseur ou que vous ne chassez pas du tout.

    Par exemple, à partir de certaines de mes habitudes de recherche, Google croit parfois que je suis une femme de 35 ans. J'ignore comment il arrive à cette conclusion, mais je peux aller corriger cette indication. On clique sur un X et cet élément est effacé. Et le profil est reconstruit correctement, peut-on espérer.

    Pour revenir sur ce refus de suivi... Comme M. Calkins vient de le dire, le diable se cache dans les détails. Le commissaire... Quels sont les choix par défaut? À ce propos, seriez-vous contre un règlement qui imposerait ces choix par défaut?

    Question intéressante. Vous commencez par dire que c'est un processus de transition et qu'il est difficile de déterminer les choix par défaut qui conviennent. Et vous concluez en demandant s'il faudrait les réglementer.

    C'est ce qui constitue ma réponse: nous sommes toujours dans un processus d'évolution. Nous essayons de définir la présentation, le moment et le contenu qui conviennent pour aider les utilisateurs à prendre des décisions sur leurs données. Nous estimons que nous avons franchi une étape considérable cette année en apportant des modifications à notre politique sur la protection des renseignements personnels, car nous avons pris un document très long et complexe et l'avons décomposé en plusieurs éléments très simples pour que les utilisateurs comprennent vraiment comment nous demandons de l'information et à quelle fin nous l'utilisons. Nous avons essayé de prendre un long avis et d'en faire une série d'avis en plusieurs étapes.

    Il est difficile de définir par règlement ce qui doit figurer dans ces avis, dans ce genre d'échange avec l'utilisateur sans avoir une période d'expérimentation. Il arrive souvent que la réglementation fixe le statu quo de façon irrévocable. Or, dans cet espace, il y a des innovations toutes les semaines sur la façon de faire évoluer la relation avec les utilisateurs, de faire en sorte qu'ils soient informés et possèdent un certain contrôle personnel.

    De plus, vous n'êtes pas le seul protagoniste. Comment pourriez-vous arrêter ces grandes lignes pour les nombreux navigateurs, les nombreuses sociétés et définir les choix par défaut précis qu'il faut utiliser?

    Y a-t-il une collaboration dans l'industrie, entre vous et d'autres protagonistes, afin de vous entendre sur les lignes directrices en matière de protection des renseignements personnels? Le travail en vaudrait-il la peine? En ce moment, les entreprises collaborent-elles?

    Oui. Les principaux protagonistes des services en ligne et d'autres joueurs d'autres secteurs discutent régulièrement de protection des renseignements personnels et des données. Plus précisément, nous participons à des travaux à Washington et à Bruxelles pour essayer de cerner les défis à venir dans cet espace et de définir l'échelon où il faut réagir: celui de l'entreprise, celui de l'ensemble de l'industrie, à moins qu'on ne recoure à des lignes directrices à faire respecter nous-mêmes.

    Chez Google plus particulièrement, étant donné que nous insistons tellement sur la sécurité, nous nous intéressons au plus haut point à l'élément technique de tous les aspects de la sécurité en ligne, où il y a souvent des heurts sinon des chevauchements avec les préoccupations en matière de protection des renseignements personnels. Je dirais donc qu'il y a une excellente collaboration entre les entreprises.

    Vous avez parlé du Google Dashboard. Y a-t-il un guichet unique chez Google pour adhérer aux services ou s'en retirer? Est-ce que tout est clair et concis, chez Google, ou faut-il suivre une démarche distincte pour tous les produits individuels?

    C'est justement le rôle du Dashboard. C'est la liste des services auquel l'utilisateur adhère, avec les options disponibles, qu'il veuille s'en prévaloir ou non ou qu'il veuille se retirer ou non de certains services.

    Merci.

    Merci.

    Je cède maintenant la parole à M. Carmichael.

    Merci, monsieur le président.

    Merci, monsieur McKay, de votre témoignage d'aujourd'hui.

    J'ai des questions à poser à propos de l'exécution. Je comprends votre position par rapport à la commissaire à la protection de la vie privée. Vous lui faites connaître les nouvelles plateformes, les nouvelles notions ou idées lorsque vous les mettez sur le marché. C'est bien cela?

    Exact.

    Vous lui présentez la chose et attendez de voir sur quels points elle peut avoir des réticences, etc.

    Croyez-vous que, au Canada, on a besoin de pouvoirs d'exécution accrus pour amener les entreprises à respecter les lois sur la protection des renseignements personnels? Comme vous avez des antécédents dans le domaine de la protection de ces renseignements, vous êtes probablement très bien placé pour nous donner une opinion honnête à ce sujet.

    Merci de votre question.

    D'après mon expérience, les entreprises réagissent rapidement et vigoureusement aux décisions de la commissaire à la protection de la vie privée. Pour ma part, j'ai eu des échanges très constructifs avec elle et avec les commissaires des provinces au sujet des produits et services que nous nous apprêtions à offrir ou avions commencé à offrir. Il y a là un dialogue très efficace qui nous encourage à innover dans les produits et services que nous proposons aux Canadiens tout en confirmant qu'il existe une loi à respecter. Pour nous, ce type de dialogue est une manière très productive de continuer à offrir des produits passionnants et innovateurs aux Canadiens.

    Le passage à un système plus coercitif inciterait les entreprises à plus de prudence. Dans un régime plus axé sur l'exécution de la loi, nous devrions considérer les répercussions possibles d'une discussion ouverte sur le déploiement de nos produits et l'interprétation que la commissaire à la protection de la vie privée donne de ce que nous faisons.

    Merci.

    En ce qui concerne Google Takeout, je crois comprendre que, si je décide de partir, j'utilise ce programme et emporte tout avec moi.

    Effectivement.

    Tous mes renseignements et tout ce que j'ai pu confier dans le cadre général de Google. Je me retire complètement et emporte tout.

    Oui.

    D'accord.

    Ma question porte davantage sur les Canadiens qui utilisent Google. Y a-t-il des risques pour leur vie privée? Y a-t-il quelque risque d'atteinte à la vie privée d'un Canadien qui utilise Google?

    Je répondrai que nous fournissons les systèmes et services les plus sûrs qui soient offerts aux Canadiens. Nous consacrons toutes nos journées à repérer et à éviter les pièges qui risquent de provoquer une communication inacceptable ou illégale de renseignements personnels ou autres.

    Je vous comprends bien. Il y a là quelque chose d'évident et d'inattaquable, et je vous en sais gré.

    Au moment d'entamer cette étude, l'une de nos préoccupations était la protection de la vie privée du Canadien moyen. Dans certains contextes, toutes sortes de renseignements personnels circulent. Mon collègue d'en face a parlé d'une discussion dont il n'aurait pas dû être au courant, d'après lui, à cause de la façon dont les conversations sont ouvertes dans une certaine architecture des communications.

    Ce que nous pensions, au sujet de la vie privée, c'est que nous devions être absolument sûrs de faire notre travail pour que les Canadiens aient l'esprit tranquille. Bien sûr, des gens livrent librement leurs renseignements. Il faut une meilleure sensibilisation. Au bout du compte, je m'inquiète vivement de ce problème de protection de la vie privée.

    Combien de temps me reste-t-il, monsieur le président? Beaucoup?

    Il vous reste trois minutes.

    Merci.

    Que conseilleriez-vous aux Canadiens s'ils veulent se protéger de façon plus rigoureuse lorsqu'ils naviguent sur Internet? Je songe à la multitude des plateformes et à vos antécédents dans les milieux de la protection de la vie privée? Quels conseils donner? Que devrions-nous dire aux Canadiens dans notre rapport final? Comment nous y prendre pour nous protéger? Comment les protéger? Que doivent faire les utilisateurs d'Internet pour protéger leur vie privée?

    Merci de votre question. Vous faites valoir un point important en parlant de la conversation en ligne dont l'autre député a été témoin, car c'est un ensemble de mesures qu'il faut prendre pour assurer une protection constante de la vie privée en ligne.

    Il faut non seulement utiliser des services sûrs et prendre les bonnes décisions lorsqu'on utilise les divers outils, mais aussi nous assurer, comme société qui communique en ligne, que les jeunes, et aussi les autres générations, ont accès à des outils d'information qui leur permettent de s'y retrouver, de savoir comment communiquer des renseignements sur les médias sociaux, d'utiliser les services en ligne et de connaître le contexte dans lequel ils veulent communiquer des renseignements ou les rendre publics ou en restreindre la diffusion.

    Chez Google, nous avons lancé par exemple une campagne de publicité, C'est bon à savoir, qui explique, pas à pas, les divers exemples qui illustrent la conservation et la communication de leurs renseignements en ligne. Nous nous associons également à des organisations vouées à la sécurité des enfants et à la sensibilisation du public, comme HabiloMédias et le Centre canadien de protection de l'enfance, à Winnipeg, pour travailler à des campagnes d'information qui envoient des gens dans les salles de classe et donnent aux élèves des conseils personnalisés sur la façon d'opérer la transition, comme jeune adulte, vers le monde des communications en ligne. Puis, plus explicitement, nous créons des éléments comme un programme d'enseignement pour les enseignants ainsi qu'un programme destiné à l'ensemble des citoyens au sujet de la place de YouTube et qui aide les adultes et les étudiants dans le contexte d'une vie active et dynamique comme citoyens.

    À mon sens, il faut une démarche en plusieurs stades, un processus en plusieurs étapes. Vous avez raison. Il faut beaucoup informer le public, mais il est aussi très important de fournir les outils voulus aux utilisateurs pour qu'ils aient le choix d'exercer un contrôle.

    Pour conclure, puisque j'en suis probablement à la fin de mon temps de parole, si je résume, et corrigez-moi si j'ai tort, la vie privée est absolument protégée sur Google.

    Oui.

    Il ne peut pas y avoir d'intrusion.

    Oui, on peut dire qu'il ne peut pas y avoir d'intrusion.

    Donc, une violation de la vie privée n'est pas un problème chez Google.

    Deuxièmement, grâce à Takeout, je peux à tout moment ramasser mes affaires et partir avec tout.

    Oui.

    Magnifique.

    Merci.

    Merci, monsieur Carmichael.

    Je cède maintenant la parole à Mme Borg pour cinq minutes.

    Merci, monsieur le président.

    J'aimerais vous remercier, monsieur McKay, de vous être déplacé aujourd'hui pour venir nous rencontrer.

    Comme vous êtes un leader dans l'industrie numérique, votre témoignage est particulièrement intéressant. Je pense que tout le monde dans cette salle reconnaît à quel point vous avez innové et créé de nouvelles possibilités sur le plan technologique.

    Le but de cette étude est de voir à ce que les utilisateurs puissent utiliser ces outils avec l'assurance que leurs renseignements personnels sont bien protégés. Étant donné que vous êtes une compagnie internationale, on s'est souvent demandé sur quelle politique vous alliez vous fonder. Évidemment, il y a des règlements et des lois canadiennes, mais il y a aussi des règlements et des lois à l'étranger.

    J'aimerais savoir si, lorsque vous rédigez des politiques, celles-ci sont spécifiques à chaque pays ou si vous suivez un modèle, par exemple un modèle européen.

    Nous avons un modèle propre à notre entreprise. Permettez-moi de vous demander: vous intéressez-vous à des demandes précises de renseignements personnels ou plutôt à la loi sur la protection des renseignements personnels?

    Je parle de politiques sur les renseignements personnels.

    Nous avons une politique à l'échelle de l'entreprise qui vise à répondre aux obligations dans tous les pays.

    D'accord, merci.

    Il existe plusieurs définitions du terme « renseignements personnels » et j'aimerais savoir sur laquelle se fonde Google.

    Nous utilisons la définition de notre principale autorité réglementaire, la FTC.

    D'accord. Merci beaucoup.

    On peut donc maintenant modifier des renseignements — et je pense que c'est un excellent outil — si, par exemple, quelqu'un veut faire une correction quant à son âge, comme vous l'avez mentionné.

    Par contre, si une personne qui utilise Google ne change pas les paramètres par défaut, ses données vont-elles éventuellement être détruites ou vont-elles être conservées indéfiniment? Je parle entre autres des données relatives au référencement ou aux sites visités auparavant.

    Les données pourraient être détruites pour de bon. Si, dans le cas des sites Web, vous nous avez permis d'enregistrer votre historique de recherche sur le Web et décidez de revenir sur cette décision, l'historique disparaît.

    Mais supposons que j'utilise Google pour la première fois et que je ne change pas les paramètres par défaut, est-ce que ces données vont être détruites à un moment donné si je ne prends pas l'initiative de les modifier ou de les détruire moi-même?

    Difficile de répondre, puisque c'est un processus en évolution. Lorsque vous utilisez la fonction de recherche sur le Web, nous n'essayons pas de vous servir les résultats qui répondent à vos besoins du passé, mais ceux que vous cherchez dans le présent. Nous pouvons toutefois avoir un aperçu de ce qui vous intéresse, de ce que vous cherchez, des résultats qui ne vous semblent pas utiles.

    Il y a des éléments dans toutes ces données qui ne vous concernent pas forcément comme personne, mais que nous trouvons utiles pour préparer de nouveaux produits, de nouveaux outils. Vous avez au départ une distinction qui nous est utile entre les renseignements personnels et les autres, qui peuvent être liés à vos activités, mais non à vous.

    Je dirais que vient un moment où, parce qu'elles ne nous sont pas utiles, nous ne conservons pas toutes les données recueillies. Lorsqu'elles ne sont plus utiles, nous les détruisons. Nous ne sommes pas là pour réunir une quantité énorme d'information sur vous, mais pour vous fournir, comme client, des produits et services très utiles.

     Il est certain qu'après 10 ans, les données sont moins pertinentes. Y a-t-il un mécanisme par lequel ces données sont détruites? Est-ce que c'est fait systématiquement?

    Oui, ce mécanisme existe. C'est seulement... Il n'y a pas une seule réponse simple. Si je m'interromps, c'est simplement parce que cela dépend du caractère précieux ou non de l'information sur les connexions. S'il s'agit de combattre les logiciels malveillants, par exemple, nous pouvons conserver les données un certain temps. La durée peut être différente pour l'historique de recherche sur le Web. En tout cas, elles ne sont pas gardées 10 ans ni même plusieurs années.

    Merci.

    Ma prochaine question porte sur un autre sujet.

    Les entreprises et les médias sociaux changent souvent rapidement les conditions d'utilisation et les politiques en matière de protection de la vie privée pour s'ajuster à la réalité de la technologie, qui change également très rapidement.

    Dans ces conditions, comment pouvons-nous nous assurer que les utilisateurs donnent un consentement continu et éclairé?

    Merci de cette question.

    Vous avez raison, l'évolution est constante. Cela se remarque au jour le jour sur le marché, non seulement dans notre produit, mais aussi dans ceux de n'importe quelle entreprise. Les écrans et les avis qui s'affichent lorsqu'on s'inscrit pour utiliser de nouveaux produits, télécharger des applications et utiliser les nouveaux dispositifs portables changent constamment parce que les entreprises réagissent aux besoins du consommateur. Elles réagissent aux avis des conseillers en technologie et en protection des renseignements personnels.

    Nous en arrivons à un point où les avis se font plus complexes... Désolé, pas plus complexes, mais ils fournissent plus d'information sur les décisions que l'utilisateur doit prendre et lui donnent la possibilité de décider immédiatement si tel service lui convient. Il arrive, pour l'un de nos produits sur le téléphone Android, que les gens décident de ne pas le télécharger en s'appuyant sur l'information fournie pendant le processus d'acceptation. Ce processus en est à un point où la situation est assez claire. Avec l'information fournie, le consommateur peut dire que l'application ne lui est pas assez utile pour qu'il accepte un compromis.

    Malheureusement, madame Borg, votre temps de parole est écoulé.

    Je vais maintenant céder la parole à M. Butt pour cinq minutes.

    Merci, monsieur le président.

    Merci beaucoup, monsieur McKay de votre présence parmi nous. Au nom des membres du comité qui se sont rendus à Washington, merci encore de nous avoir permis de visiter vos installations dans cette ville et de mieux nous renseigner sur ce que fait votre entreprise.

    De notre visite et de ce que nous avons appris des difficultés à surmonter en matière de protection de la vie privée aux États-Unis, nous avons retenu que le régime américain actuel n'est pas aussi solide que celui du Canada, même si le travail du comité consiste en partie à revoir notre régime de protection des renseignements personnels, évidemment, et à nous assurer que nous sommes à jour, compte tenu de la rapidité de l'évolution du monde Internet et des médias sociaux.

    Chez Google Canada, notamment, vous avez eu, sauf erreur, des relations de travail plutôt bonnes avec la commissaire à la protection de la vie privée. Nous nous sommes beaucoup interrogés sur son rôle et celui du commissariat quant à la surveillance des dossiers qui nous occupent ici et à l'étude des plaintes qui passent par le commissariat, et aussi sur les rôles et responsabilités que nous devrions songer à lui confier, en plus de ceux qu'elle a déjà.

    Il est utile d'obtenir l'avis des organisations qui ont des contacts avec le commissariat. Bien entendu, la possibilité de sanctions pécuniaires a été évoquée et aussi un rôle d'arbitrage plus important. À ce sujet, il y a différentes écoles de pensée: est-ce mieux, pire, plus juste? Certains ont dit que cela ferait du titulaire de ce poste à la fois le juge, le jury et celui qui détermine la peine. D'autres sont d'avis qu'il n'a pas besoin de ces rôles supplémentaires.

    Avez-vous examiné plus sérieusement la question? Avez-vous comparé la réglementation de la Federal Trade Commission aux États-Unis, dont vous relevez jusqu'à un certain point, au dispositif de notre commissaire à la protection de la vie privée? Cette comparaison vous a-t-elle appris quelque chose d'utile que le comité pourrait prendre en considération dans ses recommandations?

    Je vais vous livrer mes observations sur la situation qui existe au Canada. Comme vous le savez, j'ai beaucoup de collègues américains qui s'occupent au quotidien de la FTC et des autres organismes.

    Au Canada, nous avons l'avantage d'avoir une loi nationale sur la protection des renseignements personnels dans le secteur privé, et cette loi est même comparable à des lois qui existent dans certaines provinces et leur est complémentaire. Ce que cela veut dire, pour notre entreprise, c'est que nous avons une série de normes uniformes dans tout le pays et pour tous nos produits. Nous savons que nous devons les respecter, et nous le faisons tous les jours.

    De plus, nous avons des relations de travail avec les commissaires à la protection de la vie privée aux niveaux fédéral et provincial. Nous pouvons nous adresser à eux si nous avons des questions à poser sur l'application de la loi et si nous préparons des nouveautés sur le plan technologique, même longtemps avant d'en arriver à un produit concret. Ainsi, nous pouvons parvenir aux compromis nécessaires et voir quels outils il faut mettre à la disposition des utilisateurs pour tenir compte des lois canadiennes sur la protection des renseignements personnels, quelles mesures il faut prendre pour protéger les données des utilisateurs et leur sécurité. Nous avons vu que cela fonctionne.

    Vous avez parlé de sanctions pécuniaires. D'après mon expérience, des entreprises, notamment dans l'espace en ligne, ont fait l'objet d'enquêtes et de rapports du commissariat à la protection de la vie privée, et ces entreprises ont réagi énergiquement et rapidement pour corriger les problèmes relevés.

    Il y a beaucoup d'autres cas où les plaintes et les problèmes de cet ordre sont réglés par le dialogue avec le commissariat. La difficulté, si nous devions évoluer vers un régime comme celui qui existe dans certains pays d'Europe, c'est que les relations seraient plus prudentes. Si on traite avec une administration chargée de la protection des données qui a le pouvoir d'imposer des sanctions pécuniaires, on est sur ses gardes dans les échanges parce qu'il faut s'assurer d'établir clairement ses limites et qu'on est conscient des conséquences de cet engagement.

    Je dirais que nous avons vraiment un avantage au Canada par rapport aux États-Unis parce que les lois sont cohérentes dans tout le pays. Depuis 10 ans, elles s'appliquent plutôt bien, et il est arrivé très rarement que des entreprises ne répondent pas aux rapports du commissaire.

    Ma fille aura 13 ans jeudi, et elle comprend très bien les médias sociaux. Cela ne lui vient pas de moi. Sans doute de sa mère. Je m'inquiète toujours de l'utilisation des médias sociaux par les enfants.

    Je ne veux pas les empêcher de participer, d'être créatifs et d'interagir avec leurs amis, etc., parce que c'est bon pour eux. Cela n'existait pas quand j'avais 13 ans, n'est-ce pas? C'est merveilleux que les enfants aient cette possibilité. Ils peuvent partager des choses, accéder à de l'information dans le monde entier instantanément. C'est extra. Mais comme parent, je me demande quand même comment protéger la vie privée de ma fille, comment éviter les intrusions.

    Comme organisation, voyez-vous...? En répondant à des questions de M. Carmichael, vous avez donné d'excellentes preuves de la solidité de votre politique sur la protection des renseignements personnels et vous avez expliqué que l'utilisateur peut se retirer en emportant ses informations s'il estime qu'il y a un problème; il peut partir et ses renseignements personnels sont protégés.

    Estimez-vous qu'il y a un rôle différent à jouer dans l'intérêt des jeunes utilisateurs par opposition aux adultes? Votre organisation a-t-elle mis quelque chose au point pour surveiller ce type d'utilisation, pour que les Sarah Butts de ce monde soient protégées, par opposition aux Brad Butts, qui devraient probablement être plus avisés?

    Je vais vous demander de terminer votre intervention dans 30 secondes.

    Et j'ai dit « probablement », pas « assurément ».

    Soyons brefs, comme le président le demande. J'ai trois enfants de plus de 12 ans. À bien des égards, c'est le même débat qui préoccupe les parents depuis une éternité: comment apprendre à exercer un contrôle, en ligne ou ailleurs, sur des enfants qui deviennent de jeunes adultes?

    Il reste que vous avez raison. Le besoin est évident. Il faut prévoir des outils pour les jeunes et leurs parents. Il faut comprendre les outils qui sont utilisés, le contexte dans lequel ils le sont, les avantages et les coûts de leur utilisation.

    J'ai signalé dans mes notes que Google+ a été bâti exactement en fonction de cette problématique. Nous avons essayé de créer un outil pour les jeunes adultes, qui leur permet de communiquer, mais dans un environnement qui tient compte du fait qu'ils ne comprennent pas nécessairement tout à fait les conséquences de ce qu'ils s'apprêtent à faire, en essayant de les isoler un peu des impacts sociaux plus considérables de leur participation aux échanges en ligne.

    Merci beaucoup, monsieur le président.

    Nous passons maintenant à M. Boulerice.

    Merci, monsieur le président.

    Merci beaucoup, monsieur McKay, d'être parmi nous aujourd'hui. C'est très apprécié. Dans le cadre de notre étude, vous étiez évidemment un acteur incontournable.

    D'après ce que j'ai compris, lorsque nous naviguons sur Google, vous gardez des données sur les traces que nous laissons un peu partout, soit nos champs d'intérêt, les sites que nous visitons, etc. Ensuite, ces informations vous permettent d'aller voir des clients qui achètent de la publicité et qui cherchent certains profils. C'est le mot que vous avez utilisé plus tôt. Vous créez des profils. C'est exact?

    Oui. Je ne parlerais pas de « profils », parce que cela suppose un niveau d'engagement personnel qui n'existe pas. Il s'agit plutôt de collections de données sur les groupes démographiques et les intérêts particuliers et non de profils proprement dits.

    Un peu plus tôt avec Charmaine, nous parlions de ski. Or si je lis des magazines sur le ski, que je visite des sites portant sur le sport ou l'achat d'équipements sportifs, il est fort probable, si vous avez un client qui veut vendre des skis, que ça apparaisse. Vous avez aussi dit qu'il y avait maintenant une option « incognito ».

    Oui.

    Tous nos intérêts et notre navigation deviennent alors invisibles ou inexistants à vos yeux.

    Oui.

    Quel pourcentage des utilisateurs de Google ont recours à l'option « incognito »?

    Je n'ai pas ce pourcentage sous les yeux. Il est appréciable. Mais les gens se servent de ce mode de façon sélective. Il se peut qu'ils ne veuillent pas que certaines recherches particulières laissent des traces ou bien il peut arriver simplement qu'ils se servent d'un appareil dont ils n'ont pas habituellement le contrôle. Ils utilisent ce mode de navigation pour ne pas laisser de trace de leur utilisation de l'appareil.

    Si tout le monde choisissait l'option complète « incognito », vous perdriez énormément d'argent.

    Non. Vous savez quelle formule j'utiliserais? Je prendrais la situation par l'autre bout. Je dirais que, si tout le monde utilisait ce mode, et si la publicité ciblait moins vos intérêts particuliers comme skieur, chasseur ou parent, il faudrait avoir plus de publicité générique, qui serait moins efficace.

    Cela veut dire que les entreprises devraient dépenser plus, faire une publicité avec des moyens très larges et gauches pour attirer les clients. En fait, nous trouverions tous cela plus coûteux.

    C'est une réponse intéressante.

    Je veux revenir à ce qu'a soulevé ma collègue Mme Borg, à savoir que les conditions d'utilisation nous permettaient de cliquer à un endroit afin de déroger aux lois canadiennes au profit de lois étrangères. Cette option existe présentement. Ne trouvez-vous pas que, pour Google Canada, les lois canadiennes devraient être plus importantes que des lois étrangères sur notre territoire?

    Vous voulez parler précisément sur les lois de protection des renseignements personnels?

    Oui.

    En fait, comme la législation canadienne en la matière a une vaste portée nationale, elle est un peu plus forte que celle des États-Unis. Nous estimons que nous respectons les lois canadiennes sur la question, tout comme nous respectons les lois européennes. En respectant les lois canadiennes et européennes, nous atteignons un niveau supérieur de protection, nous respectons une norme plus exigeante.

    Chaque compagnie et chaque État a ses propres lois et ses propres règles. En outre, les utilisateurs doivent composer avec les nombreuses façons de définir ce qu'est un renseignement personnel, qu'il s'agisse des multiples outils ou des médias sociaux existants. À un moment donné, les utilisateurs ne savent plus très bien quelle est la définition de Facebook ou celle de Google et quelles lois s'appliquent sur leur territoire.

     Ne croyez-vous pas que cela risque de créer une sorte de confusion massive?

    Nous sommes très précis au sujet des renseignements que nous recueillons auprès des utilisateurs et des raisons pour lesquelles nous le faisons. Nous sommes tout aussi précis au sujet de ceux que nous n'utilisons pas pour créer ces collections de données et offrir des services aux publicitaires. Nous ne tenons aucun compte des données que vous jugeriez les plus délicates, par exemple sur les opinions politiques ou les problèmes de santé. Dans d'autres cas, lorsque vous utilisez nos produits, comme Google+, il vous est dit très explicitement pourquoi vous fournissez des renseignements et quelle utilisation nous en faisons.

    Nous n'allons pas plus loin. Nous pouvons être honnêtes avec les utilisateurs en disant pourquoi il nous faut telle information et comment nous allons offrir un service qui nécessite cette information.

    Merci. Je pense que mon temps de parole est écoulé.

    Vous avez tout à fait raison, monsieur Boulerice.

    Il n'y a plus de noms sur la liste et je vais en profiter pour vous poser une question. Il est plutôt rare que je le fasse.

    Je l'avoue, je ne connaissais pas l'option « incognito ». J'aimerais savoir si, dans l'éventualité où ce mode serait utilisé de façon malicieuse ou illégale, par exemple à des fins de pornographie juvénile, il serait tout de même possible de retrouver certaines informations ou si ce serait totalement impossible, même dans des cas précis où cela pourrait être utile à certaines personnes.

    Dans la situation que vous décrivez, il y a un certain degré de complexité. Lorsque vous utilisez la navigation en mode invisible, nous ne recueillons aucune information sur vos recherches ni sur votre comportement d'utilisation du navigateur.

    Si, en fait, vous voulez parler d'un comportement qui peut être préjudiciable, illégal ou séditieux, vous vous livrez probablement à d'autres activités qui lancent un signal, qui pourront être remarquées dans d'autres formes de communication et de transmission en ligne. Il s'agirait d'analyses plus classiques des registres, du matériel que nous utilisons, comme toutes les entreprises et tous les gouvernements, pour déceler les comportements illégaux. Mais vous avez raison de dire que le mode de navigation invisible est un outil très sûr qui permet à l'utilisateur d'avoir confiance.

    Merci.

    Je vous remercie d'avoir comparu devant nous aujourd'hui. C'était vraiment un plaisir.

    Je voudrais préciser aux membres du comité que nous allons devoir poursuivre nos travaux à huis clos, étant donné que nous allons discuter des témoins qui vont comparaître et que la liste n'est pas publique.

     Je remercie encore une fois, M. McKay, de Google, d'être venu témoigner devant le comité aujourd'hui.

    [La séance se poursuit à huis clos.]