ETHI Réunion de comité

    À l'ordre. Nous allons commencer. Comme vous le savez, nous avons aujourd'hui à l'ordre du jour la continuation de l'étude sur la vie privée et les médias sociaux.

     Aujourd'hui, nous avons un témoin qui nous vient de l'entreprise Nexopia, représentée par M. Bartus. Il est accompagné par M. Mark Hayes qui travaille pour le bureau d'avocats Heydary Hayes. Il pourra répondre à des questions plus particulières, si le comité le désire.

    Sans plus tarder, je vais laisser M. Bartus commencer sa présentation de 10 minutes. Ensuite, comme d'habitude, nous disposerons d'une période pour lui poser des questions.

    Monsieur Bartus.

    Merci, monsieur le président.

    Je m'appelle Kevin  Bartus. Je suis propriétaire et chef de la direction de Nexopia Inc., l'exploitant de Nexopia.com. Et voici Mark Hayes, directeur général de Heydary Hayes PC. Mark est un avocat canadien réputé dans le domaine de la protection de la vie privée, qui agit à titre de conseiller chez Nexopia dans ce domaine. J'aimerais demander au comité la permission de demander à Marc de se joindre à moi afin de m'aider, dans l'éventualité où vous auriez des questions techniques en matière de protection de la vie privée.

    Merci de nous avoir invités à comparaître. Je vous prie de m'excuser pour les difficultés que je pourrais éprouver à répondre aux questions. Comme vous le savez, nous n'avons appris que la semaine dernière que nous étions invités à comparaître, et nous ne sommes propriétaires de Nexopia que depuis un mois. Cela dit, j'ai personnellement accumulé passablement d'expérience dans le domaine des médias numériques. Je suis propriétaire-exploitant d'Ideon Media, un réseau publicitaire numérique canadien, et de Maple Media, un éditeur numérique canadien. J'ai été le premier à occuper le poste de vice-président, Médias numériques, chez Rogers Media, et j'ai mis sur pied l'un des premiers développeurs d'entreprises point com, appelé Blue Spark.

     Comme beaucoup d'entre vous le savent, Nexopia a été fondé en 2004 par un adolescent d'Edmonton pour offrir une communauté ouverte aux jeunes Canadiens, une sorte de MySpace pour Canadiens. Le site a connu une croissance rapide et a commencé à attirer des investisseurs professionnels quelques années après. Face à l'essor météorique de Facebook, toutefois, des sites comme Nexopia et MySpace ont cédé du terrain et sont revenus à un noyau d'utilisateurs. Il y a seulement quelques années, Nexopia comptait plus de 2 millions de membres, mais aujourd'hui, il se concentre sur un noyau d'environ 200 000 membres actifs.

    Selon Comscore Canada, il y aurait actuellement au Canada 70 sites de réseautage social plus importants que Nexopia, dont les grands sites américains comme Facebook, qui a enregistré environ 22,4 millions de visiteurs uniques pour le seul mois de septembre 2012, selon Comscore Canada. LinkedIn compte environ 5,3 millions d'utilisateurs, Pinterest, 2,8 millions, et MySpace, 1,4 million. Il y a aussi d'autres sites dont la taille se rapproche davantage de celle de Nexopia, comme Tagged, avec 219 000 utilisateurs, Multiply, avec 181 000 utilisateurs, et Hi5, avec 152 000 utilisateurs.

    Ces dernières années, les principaux journaux, magazines et sites Web de médias ont lancé des capacités de réseautage social complètes, permettant aux usagers d'afficher leur profil personnel en plus de participer à des forums en ligne. Dans l'intervalle, des réseaux sociaux comme MySpace ont commencé à intégrer du contenu original pertinent pour leur public fidèle. Dans le cas de MySpace, c'est généralement de la musique et du divertissement. La distinction entre réseaux sociaux et sites de médias est devenue passablement floue.

    Les petits sites comme celui de Nexopia se concentrent généralement sur un créneau, et Nexopia vise les jeunes adultes canadiens âgés de 16 à 24 ans. La décision de concentrer nos activités sur ce créneau a porté fruit: les membres de Nexopia se révèlent davantage engagés que ceux de la majorité des autres réseaux sociaux, puisqu'ils enregistrent près de six minutes et 14 pages par visite, comparativement à une moyenne de cinq minutes et de 10 pages dans la catégorie globale de Comscore.

    Nexopia répond aux besoins essentiels du créneau formé par les jeunes Canadiens. En plus d'être le seul grand réseau social établi au Canada, Nexopia permet aux jeunes Canadiens de faire la connaissance d'autres personnes qui ne font peut-être pas encore partie de leur réseau social non connecté, contrairement à Facebook et LinkedIn, qui se concentrent sur les identités dans le monde réel. Cette fonction de découverte sociale, autrement dit faire la connaissance de personnes jusque-là inconnues des usagers, est particulièrement importante au Canada, où certains membres vivent parfois dans de petites collectivités et éprouvent de la difficulté à trouver des interlocuteurs de même sensibilité. Elle est aussi essentielle pour les jeunes Canadiens qui n'ont peut-être pas encore trouvé de personnes de même sensibilité pour partager leurs expériences.

    Nexopia ambitionne de devenir un lieu d'échanges sociaux propre et bien éclairé, et c'est pourquoi la communauté de Nexopia fait l'objet d'une modération rigoureuse. En effet, nous comptons un effectif de 20 modérateurs qui examinent avant de les mettre en ligne chaque photo, chaque message du forum et chacune des plaintes relatives à des abus.

    Nexopia ne se sert pas des renseignements du profil ou d'autres renseignements personnels en vue de cibler la publicité. Il s'agit là d'un engagement envers la collectivité, mais c'est aussi parce que le ciblage ne fonctionne réellement que sur une très grande échelle. Les publicitaires qui s'intéressent aux caractéristiques démographiques de Nexopia perdent de l'intérêt lorsqu'ils constatent que les membres sont subdivisés en segments de plus en plus petits, et ce, tout simplement parce qu'il n'y a alors pas assez de membres pour une campagne publicitaire significative.

    C'est en partie en raison du succès remporté par Nexopia auprès des jeunes Canadiens et de sa nature ouverte que l'entreprise a attiré l'attention de la commissaire à la protection de la vie privée en 2010. En mars 2012, la commissaire a publié ses conclusions.

    Le rapport de la commissaire comprenait 24 recommandations. Si vous ne l'avez pas lu, sachez qu'elles sont réparties principalement dans trois domaines. Le premier concerne l'exhaustivité de la politique en matière de confidentialité du site, et la facilité avec laquelle l'utilisateur peut donner un consentement éclairé. Le deuxième concerne la transparence quant à l'utilisation des profils, plus particulièrement entre non-utilisateurs et utilisateurs qui ne sont pas amis. Le troisième concerne l'assurance donnée aux membres que, lorsqu'ils quittent la communauté, leurs renseignements sont détruits de manière permanente.

    Pour diverses raisons, les anciens propriétaires ont choisi de vendre leur entreprise à la suite de la publication des recommandations du Commissariat à la protection de la vie privée. J'ai racheté Nexopia Inc. aux anciens propriétaires le 30 septembre 2012, soit il y a un mois. Depuis, nous avons collaboré activement avec le Commissariat à la protection de la vie privée afin que toutes les questions relatives à la confidentialité soient prises en compte.

    Dans certains cas, les changements que l'on nous a demandé d'apporter au site prendront beaucoup de temps et nécessiteront des activités de développement. Nous avons établi un échéancier avec le commissariat en vue de nous attaquer à toutes ses préoccupations, et nous espérons avoir achevé de nous conformer à toutes ses recommandations d'ici le 30 avril 2013.

     Je suis heureux de vous signaler que nous avons déjà achevé la mise en oeuvre de certaines recommandations.

    Nous pensons que les jeunes adultes canadiens méritent d'avoir accès à une communauté en ligne. À notre avis, cette communauté doit être propre et bien éclairée, et doit faire l'objet d'une modération solide qui intègre aussi du contenu pertinent dans des domaines comme la musique et le divertissement. Les membres de Nexopia se sont montrés incroyablement fidèles au cours des dernières années, et nous sommes résolus à les récompenser de leur loyauté par de nouveaux investissements dans la fonctionnalité et le contenu.

    La majorité des Canadiens considèrent l'Internet comme un phénomène principalement américain, ne comptant que quelques sites locaux exploités par des journaux et des diffuseurs canadiens. Nous sommes fermement convaincus que l'expérience canadienne s'enrichit des sites Web appartenant à des intérêts canadiens et exploités par ces derniers. Toutefois, les économies d'échelle que l'on peut réaliser lorsque l'on exploite une entreprise en ligne signifient que les mêmes coûts rattachés au contenu et à la technologie sont tout simplement répartis sur une base d'utilisateurs et un marché publicitaire qui représentent le dixième de ceux des États-Unis. Cette situation crée des obstacles financiers et technologiques qui peuvent se révéler difficiles à surmonter.

    L'année dernière, nous avons vu beaucoup de grandes entreprises médiatiques canadiennes se retirer des initiatives axées sur la publicité en ligne seulement. En effet, en 2012, Rogers Media a fermé pratiquement toutes les acquisitions diffusant en ligne seulement qu'elle avait faites depuis quelques années, y compris Branchez-Vous.com, SweetSpot.ca, et CanadianParents.com. En 2012 aussi, Transcontinental a fermé Woman.ca, et Torstar a mis fin aux activités de ParentCentral.ca. Le mois dernier, autant Torstar que le Globe and Mail ont annoncé leur intention de facturer l'accès à leur journal, ce qui pourrait se révéler une décision plus ou moins payante à long terme, mais la baisse de tirage qui en a résulté va certainement amoindrir leur capacité d'attirer de la publicité numérique. Les initiatives diffusées uniquement sur Internet et s'adressant aux consommateurs et aux publicitaires canadiens sont très peu nombreuses à avoir du succès, et nous sommes fiers que Nexopia en fasse partie.

     La réglementation canadienne en matière de protection des renseignements personnels joue un rôle important dans la protection des Canadiens et pour garantir des règles du jeu équitables entre les entreprises numériques. Toutefois, la mise en ligne d'une grande initiative tablant sur les revenus publicitaires nécessite d'entrée de jeu d'importantes ressources en capital et plusieurs années de travail. Je vous demande d'y aller doucement afin d'éviter de rendre les choses encore plus difficiles qu'elles ne le sont déjà.

    M. Hayes et moi-même sommes à votre disposition pour répondre à vos questions.

    Merci beaucoup de votre présentation.

    Sans plus tarder, passons à une période de questions et réponses.

     Monsieur Angus, vous disposez de sept minutes.

    Merci, monsieur le président.

    Je vous remercie, monsieur Bartus et monsieur Hayes, de comparaître devant notre comité, surtout avec un préavis relativement court. Comme vous le savez, nous étudions les mesures que nous pourrions éventuellement prendre, en tant que législateurs, pour encourager le développement du potentiel incroyable qu'offre Internet pour l'innovation et la communication, tout en garantissant la protection des renseignements personnels des Canadiens.

    Nous entendons dire de toutes parts que notre commissaire à la protection de la vie privée s'est taillé une excellente réputation au niveau mondial quant à sa capacité d'arbitrer des dossiers de ce genre, capacité qui est certainement plus grande que la nôtre, nous autres simples parlementaires. Pour ce qui est du Parti néo-démocrate tout au moins, nous préférons nous en tenir le plus possible au jugement de la commissaire à la protection de la vie privée.

    Je sais que le rapport d'enquête sur Nexopia contient 24 recommandations. Vous êtes le nouveau propriétaire de l'entreprise, et c'est à vous qu'il revient maintenant de régler ces problèmes, même s'ils sont antérieurs.

     Nous avons cru comprendre, après la lecture du rapport de la commissaire à la protection de la vie privée, que les anciens propriétaires de Nexopia avaient refusé de mettre en oeuvre quatre recommandations du rapport. Avez-vous l'intention de vous conformer aux 24 recommandations? Est-ce là votre plan?

    Oui.

    Vous nous dites que vous avez besoin de temps pour les mettre en oeuvre à cause de problèmes techniques, c'est bien ça?

    Oui. En fait, nous avons rencontré la commissaire à la protection de la vie privée juste avant la signature du contrat d'acquisition, car je voulais savoir, entre autres, s'il était possible de modifier l'échéancier qui avait été donné aux propriétaires précédents. Mark et moi avons discuté avec elle et ses collaborateurs pendant assez longtemps, et nous avons pu nous entendre sur un nouvel échéancier.

    Parfait.

    Comme je le disais tout à l'heure, chaque fois que nous rencontrons des spécialistes du domaine… nous n'entendons que de très bonnes choses au sujet de la commissaire à la protection de la vie privée.

    Avez-vous trouvé que les membres du Commissariat à la protection de la vie privée se montraient raisonnables en matière de…? Bien sûr, ils veulent que la loi soit respectée, mais se sont-ils montrés compréhensifs, vu que vous êtes les nouveaux propriétaires et que vous essayez de bien faire?

    Oui, je le pense.

     Très franchement, je n’ai pas travaillé avec beaucoup d’autres commissaires à la protection de la vie privée, mais celle-ci m’a paru tout à fait raisonnable.

    Parfait.

    La recommandation 19, qui est l'une de celles que les anciens propriétaires n'ont pas mises en oeuvre, préconise de rédiger de l'information appropriée pour expliquer les politiques et procédures à l'intention des utilisateurs et des non-utilisateurs. Les anciens propriétaires ne l'ont pas mise en oeuvre.

    J'ai constaté aujourd'hui que la politique de Nexopia en matière de confidentialité n'avait pas été mise à jour depuis le 2 novembre 2009. Ça me paraît bien loin. Pensez-vous pouvoir le faire très bientôt?

    Oui. Nous avons divisé l'échéancier en plusieurs grandes phases. La mise à jour de la politique de confidentialité est une tâche évidemment plus simple que d'autres, et ça ne devrait pas nous prendre trop de temps.

    La clôture de la transaction comportait un certain nombre d'éléments, et il y a eu des retards, notamment en ce qui concerne l'accès à la technologie et aux dossiers financiers. Cela nous a empêchés d'avancer aussi vite que nous l'aurions voulu, mais nous devrions pouvoir tout faire dans le cadre de l'échéancier établi.

    Mark, voulez-vous ajouter quelque chose?

    Je pense que la politique de confidentialité devrait être mise à jour, et nous avons prévu de le faire fin novembre, début décembre. Ça ne devrait pas nous prendre beaucoup de temps.

    Parfait.

    Il semble que la plupart des sujets en litige portaient sur la suppression des renseignements personnels et des comptes. La commissaire à la protection de la vie privée dit dans son rapport:

    Autrement dit, Nexopia conserve des renseignements personnels à l'insu des utilisateurs et sans leur consentement. À notre avis, c'est un problème très grave, dont nous avons entendu parler à maintes reprises, pas à propos de votre modèle d'entreprise en particulier, mais au sujet de la participation des jeunes qui, lorsqu'ils veulent se désabonner, devraient pouvoir le faire.

    Est-ce un problème technique qui va vous empêcher de mettre en oeuvre cette recommandation? Pensez-vous que ça va être plus long à régler? Bref, s'agit-il d'un problème technique ou est-ce lié au modèle d'entreprise qui avait été retenu?

    Les deux. Ça sera réglé dans la dernière phase, et c'est pour ça que c'est prévu pour avril et non pour décembre.

    Il y a plusieurs choses à prendre en compte. Il faut d'abord établir une définition précise de ce qui doit être supprimé — prenez l'exemple d'un utilisateur qui enregistre un message dans un forum démarré par une autre personne, ou qui contribue à un fil lancé par une autre personne, et supposons que cet utilisateur décide de quitter le réseau social. Sur le plan technique, c'est très difficile, et en fait ça ne s'est jamais fait, de faire disparaître la totalité du fil. Donc, les commentaires de l'utilisateur...

    Par exemple, si vous allez sur le site d'un journal pour y enregistrer un commentaire sur un article, et que plus tard, vous décidez de ne plus être membre de ce site, je ne connais aucun journal qui supprime tous les commentaires que vous avez enregistrés.

    À mon avis, donc, les parties ne s'étaient pas entendues sur la nature précise des informations qui devaient être supprimées.

    La deuxième difficulté est la suivante. Nexopia a toujours collaboré avec les responsables de l'application de la loi lors de diverses enquêtes, et elle ne voulait pas compromettre cette relation. Il m'est difficile de vous répondre à la place des anciens propriétaires, mais il y avait un certain nombre de raisons — certaines exprimées dans ces recommandations, d'autres, oralement — qui les ont amenés à ne pas obtempérer.

    D'un point de vue technique, supprimer d'anciennes données est moins problématique que de savoir exactement quoi supprimer.

    Bien. C'est vrai, je constate que même la commissaire à la protection de la vie privée reconnaît que vous êtes bien disposés à l'égard des responsables de l'application de la loi. Elle ajoute toutefois, et je cite:

    C'est quelque chose qui avait été précisé.

    Votre entreprise me paraît vraiment intéressante, et je suis heureux que vous ayez l'occasion de donner votre version des faits. Valerie Steeves, qui est très respectée, a parlé de vous, et aussi John Lawford, qui a comparu devant notre comité et que vous connaissez sans doute très bien. Ils ont tous les deux parlé du problème de... Elle a dit que Nexopia semblait s'intéresser davantage aux profits à tirer des données ainsi conservées qu'à la protection des renseignements personnels.

    Vous avez un forum en ligne et vous avez tout le volet publicitaire. Face à ces deux activités parfois contradictoires, comment faites-vous pour garantir la protection des renseignements personnels?

    Je ne savais pas qu'on pouvait faire des profits en conservant des données plus longtemps que prévu. J'ai écouté son témoignage, je lui ai même parlé et je ne comprends pas d'où elle tient ça.

    S'agissant des données appartenant à d'anciens utilisateurs, si elles sont encore là, c'est parce que nous n'avons pas encore trouvé le moyen technique de nous en débarrasser, et aussi parce que nous ne savons pas précisément ce dont nous devons nous débarrasser. Nous sommes tout à fait d'accord pour que les renseignements personnels et les messages enregistrés par un utilisateur — un blogue par exemple — soient supprimés si ce dernier quitte le réseau. Mais ce serait bien de pouvoir les garder ne serait-ce que quelques mois, au cas où il déciderait de revenir. Nous aimerions disposer de ce délai pour pouvoir essayer de le convaincre de revenir en lui montrant ce que ses amis ont fait entre-temps, par exemple. Mais je ne vois vraiment pas quel avantage financier il y a à conserver ces données pendant plus de deux ans.

    Merci beaucoup.

    Merci.

    Je cède la parole à Mme Davidson, qui dispose de sept minutes.

    Merci, monsieur le président.

    Merci, messieurs, de comparaître devant notre comité.

    C'est assurément un sujet très intéressant, et j'étais curieuse de savoir ce que vous alliez dire à propos de votre entreprise, dont vous n'êtes propriétaire que depuis un mois.

    En effet.

    J'aimerais en revenir à la commissaire à la protection de la vie privée. À vous entendre, vous avez réussi à établir une bonne relation de travail avec elle, et je m'en réjouis. Comme l'a dit mon collègue de l'autre parti, nous avons entendu le même commentaire de biens d'autres personnes qui ont eu l'occasion de travailler avec elle, et je me réjouis que vous ayez eu la même expérience.

    Le rapport présenté aux anciens propriétaires contenait 24 recommandations, mais ils n'ont accepté d'en mettre en oeuvre que 20. Comme l'a dit mon collègue, il y en a quatre qui sont restées en plan. Les anciens propriétaires ont-ils commencé à les mettre en oeuvre, ou bien les ont-ils vraiment laissées en plan? Des dates avaient été fixées, juin, septembre.

    Oui. Ce n'est pas à moi de faire des commentaires sur ce qu'ont fait les anciens propriétaires. À l'heure actuelle, quatre recommandations ont été mises en oeuvre, qui concernent principalement la fonction Earn Plus (Obtenez Plus), car on craignait que les données personnelles puissent être communiquées à des organisations externes. À ce niveau-là, c'est réglé.

    Comme l'a dit celui qui vous a précédé, la politique de confidentialité est le prochain problème à régler. Ce devrait être relativement simple. En revanche, la suppression des données, ce dont vous avez parlé, et l'ajustement des paramètres du profil pour que certains renseignements restent privés, d'autres publics, et d'autres encore limités aux autres utilisateurs, sont deux problèmes beaucoup plus difficiles à régler. Il s'agit là de modifier des fonctions, et ça va nécessiter plus de travail et de réflexion.

    Mais vous n'en avez pas moins l'intention de mettre en oeuvre toutes les autres recommandations...

    Oh oui.

     ... d'ici avril 2013, avez-vous dit. Vous parliez des autres recommandations non mises en oeuvre?

    Pour la totalité d'entre elles, c'est exact.

    Mark, avez-vous quelque chose à ajouter au sujet de nos rencontres avec la commissaire à la protection de la vie privée?

    Oui. Nous avons rencontré la commissaire avant que M. Bartus ne devienne propriétaire de l'entreprise. Nous nous sommes entendus sur un échéancier. Comme vous l'avez constaté, les recommandations doivent être mises en oeuvre en deux temps. Celles de la première phase, d'ici au 31 janvier je crois, et les autres, d'ici au 30 avril. Nous avons dit à la commissaire que la plupart des recommandations seraient certainement mises en oeuvre avant cette date, et nous nous sommes engagés à lui fournir des rapports d'étape périodiques. En fait, nous devions lui remettre un rapport aujourd'hui ou demain, je crois, mais notre comparution ici nous a obligés à reporter cette date de quelques jours.

    Nous avons une excellente relation de travail avec le bureau de la commissaire. Je ne sais pas si c'est réciproque, mais je peux vous dire que, de notre côté, ça marche très bien. Tout le monde se montre très positif, et, comme l'a dit M. Bartus, cela nous a beaucoup facilité les choses quand il nous a fallu modifier certaines pratiques et nous organiser.

    Merci.

    Certains témoins nous ont recommandé d'accroître les pouvoirs de la commissaire à la protection de la vie privée, afin qu'elle puisse obliger les entreprises à respecter la législation sur la protection des renseignements personnels. Pensez-vous que ce soit nécessaire, ou au contraire, qu'elle a déjà assez de pouvoirs?

    Je vais essayer de vous répondre du mieux que je peux, mais Mark aura sans doute une réponse plus précise à vous donner.

    Le processus dans lequel nous nous sommes engagés fonctionne bien. Je n'aurais pas acheté l'entreprise si je n'avais pas pu rencontrer la commissaire au préalable, car je n'aurais pas su ce qui m'attendait.

    Quant à lui donner davantage de pouvoirs, je n'ai pas l'impression qu'il lui en manque. Le processus fonctionne bien. Il a été question d'imposer des amendes, mais cela peut avoir toutes sortes de conséquences inattendues. J'ai dit tout à l'heure que je n'avais jamais eu à travailler avec un autre commissaire, et j'ignore s'il y a des systèmes qui marchent mieux ou moins bien dans d'autres pays. Celui-ci marche bien. Ils m'ont présenté leurs recommandations, nous leur avons soumis un plan d'action pour les mettre en oeuvre, et je ne vois pas ce qu'on pourrait faire de mieux.

    Je voudrais simplement ajouter que l'actuelle commissaire à la protection de la vie privée joue un rôle très intéressant, celui du médiateur et du protecteur de la vie privée, sans pour autant jouer le rôle du juge. Elle ne rend pas de décisions arbitrales. Si vous décidez d'élargir ses pouvoirs pour lui permettre d'imposer des amendes, qui sont des décisions arbitrales, ça risque de nuire à son rôle de médiateur. Autrement dit, si vous donnez à la commissaire à la protection de la vie privée ce genre de pouvoirs, vous risquez à mon avis d'entraver son rôle de protecteur, sa capacité de collaborer avec ses homologues du monde entier, ce qu'elle fait extrêmement bien. Ce faisant, vous modifiez l'équilibre établi.

    La loi existe depuis plus de dix ans, et ça marche plutôt bien. Elle donne au titulaire du poste une certaine latitude, la capacité de faire des recommandations sans que ce soit un coup de massue, et la possibilité de s'adresser à la Cour fédérale en cas de problème non résolu. Je pense que, dans l'industrie, la plupart des gens vous diront que ça marche plutôt bien.

    Il faut être très prudent quand on veut modifier un équilibre existant, dans le but de conférer des pouvoirs dont on ne connaît pas vraiment les conséquences.

    On nous a dit maintes et maintes fois que les politiques de confidentialité ne sont pas faites pour être comprises des simples utilisateurs, qu'il fallait être avocat pour savoir lire entre les lignes.

    Que pourrait-on faire pour que les utilisateurs puissent mieux comprendre le contenu de ces politiques? Est-il possible de simplifier leur formulation et de les raccourcir?

    La LPRPDE et autres lois connexes sont assez compliquées. Pour que leur portée soit maximale, il faut qu'elles soient libellées par un avocat. Certaines entreprises ont essayé de formuler leur politique en termes simples. Quand on la fait rédiger par un avocat, ça coûte cher, mais s'il faut ensuite en simplifier les termes, ça coûte cher aussi. Certains prétendent même qu'il faudrait qu'un enfant soit capable de les comprendre, mais ça, ça me semble tout à fait impossible.

    Ce qui importe le plus, c'est que les sites respectent leurs propres politiques — qu'ils ne conservent pas les renseignements personnels au-delà de la période prescrite et qu'ils permettent un consentement éclairé. Que la politique en tant que telle soit facilement lisible ou pas, c'est moins important, car la plupart du temps, les gens cliquent et l'acceptent sans même l'avoir lue. Même mon enfant de 11 ans sait que c'est comme ça qu'on navigue sur Internet.

    Il est important que les politiques soient détaillées et qu'elles précisent ce que le site fait des renseignements personnels. Très franchement, je ne vois pas du tout comment on pourrait les rendre plus facilement compréhensibles. J'ai essayé, mais il faut vraiment du talent.

    Il ne faut pas oublier non plus que les choses changent, et si une technologie ou un règlement change, il faut alors modifier la politique en conséquence. Une grande entreprise peut avoir les ressources nécessaires pour faire rédiger une politique puis la faire réécrire dans des termes plus simples, mais c'est tout un défi, et je ne sais vraiment pas comment le surmonter.

    Merci.

    Malheureusement, le temps est écoulé. Néanmoins, monsieur Hayes, si vous avez quelque chose à ajouter, vous disposez de quelques secondes.

    J'ai aidé des centaines d'entreprises à rédiger une politique de confidentialité, et on est toujours coincés entre l'arbre et l'écorce. Si elle est trop détaillée, les gens se plaignent qu'elle est trop difficile à comprendre. Si elle n'est pas assez détaillée — et c'est le problème qui s'est posé avec certaines des premières décisions rendues dans le cadre de la LPRPDE —, elle ne contient pas suffisamment d'informations et ne permet pas un consentement éclairé. On est coincés entre les deux.

    Il ne faut pas que ce soit trop long et trop compliqué, mais parfois c'est indispensable. En revanche, il ne faut pas que ce soit trop simple et trop succinct, car à ce moment-là, on tait certaines choses et on ne permet pas aux utilisateurs de donner un consentement éclairé. L'équilibre est très difficile à trouver. C'est vrai que si on n'aime pas le risque, on va avoir tendance à en dire plus que pas assez, ce qui rend le texte encore plus compliqué. Il n'y a pas de réponse facile. Certaines personnes ont fait des efforts, qui ont parfois abouti à des textes assez amusants mais pas très instructifs.

    Merci.

     Je vais donc céder la parole à M. Andrews, qui dispose de sept minutes.

    Qu'ont-elles essayé de faire pour simplifier le texte? On a déjà eu ce genre de discussion, et je comprends bien ce que vous venez de dire. Vous voulez que ce ne soit ni trop compliqué ni incomplet. Mais qu'ont-elles essayé de faire?

    Je ne suis pas en mesure de vous donner tous les détails, mais je sais qu'il y a certains sites aux États-Unis dont les politiques de confidentialité tiennent en trois lignes: « Nous n'utiliserons pas vos renseignements personnels à d'autres fins. Nous vous le promettons. » C’est un exemple de politique qui n'apprend pas grand-chose, et qui, contrairement à ce que notre loi exige, n'indique pas le nom de la personne ressource, comment l'utilisateur peut supprimer ces renseignements personnels, comment il peut retirer son consentement, etc. Notre loi impose de nombreuses exigences auxquelles les entreprises américaines ne sont pas assujetties, parce que leurs lois ne sont pas aussi rigoureuses que la nôtre.

    Certaines de ces politiques sont tout à fait amusantes, mais elles ne présentent guère d'utilité pour les consommateurs. S'il existait une solution facile, je pense que les gens l'appliqueraient. Nous avons des politiques de confidentialité depuis 13 ou 14 ans, et s'il existait une solution facile pour les rendre à la fois simples et conformes à toutes les exigences techniques, je crois que ça se saurait. À mon avis, la plupart des entreprises s'efforcent d'avoir des politiques à la fois complètes et pas trop compliquées à comprendre.

    Avez-vous d'autres recommandations à faire au commissariat à la protection de la vie privée? Je suis impressionné par la qualité des relations de travail que vous avez établies avec eux, mais j'aimerais savoir si vous avez des recommandations à faire sur la façon de simplifier un peu tout le processus par lequel vous êtes passés, à moins que vous ayez trouvé ça raisonnable.

    J'ai beaucoup apprécié le fait qu'ils acceptent, avant la signature de la transaction, de discuter avec nous de ce qu'ils feraient si nous devenions propriétaires. J'ai vraiment trouvé ça très bien.

    Le commissariat est une organisation très raisonnable, qui fonctionne comme une entreprise privée. Le problème qu'avaient les anciens propriétaires du site venait du fait qu'ils n'avaient pas de contacts réguliers avec le commissariat, et si je peux donner un conseil à n'importe quelle entreprise canadienne qui a un problème lié à la protection des renseignements personnels, c'est bien celui d'établir une relation de travail avec le commissariat. Même si vous n'aimez pas tous les conseils qu'il vous donne, vous allez réussir, ensemble, à vous entendre sur quelque chose.

    Quand nous étions à Washington, les Américains nous ont dit, entre autres, qu'ils ne voulaient pas étouffer les entreprises de ce secteur et les empêcher de se développer.

     Votre perspective est intéressante, monsieur. Vous avez dû suivre tout ce processus au moment où vous faisiez l'acquisition d'une entreprise. Est-ce que vous étiez conscient de tous ces problèmes de protection des renseignements personnels lorsque vous avez décidé d'acheter l'entreprise? Cela a-t-il été un défi? Est-ce que vous avez déchanté, à un moment donné, en vous demandant dans quoi vous mettiez les pieds?

    C'est une vraie question?

     Si vous faites une recherche sur Nexopia dans Google, c'est l'une des premières choses qui apparaissent à l'écran. Il aurait donc fallu être vraiment incompétent pour ne pas savoir que c'était déjà un problème, d'autant plus que les anciens propriétaires nous en ont parlé. C'était donc assez évident.

    Très franchement, je n'aurais pas acheté cette entreprise si je n'avais pas trouvé un avocat spécialisé dans ce domaine, qui savait ce qu'il fallait faire et qui il fallait contacter, car je n'aurais jamais su qui appeler ni quelles questions poser. Mais heureusement, nous avons réussi à établir une bonne relation avec le commissariat, qui nous a donné des conseils et des orientations, et qui a tenu parole, c'est-à-dire qu'il a fait ce qu'il nous avait dit qu'il ferait. Il n'était pas obligé de faire tout ce qu'il a fait, mais il l’a fait, et c'est ce que nous espérions.

    Nous n'avons pas fini de mettre en oeuvre toutes les recommandations, mais comme pour bien d'autres choses, c'est le début qui est le plus dur, notamment pour ce qui est de supprimer les informations dont on parlait tout à l'heure. Une fois qu'on a établi de bonnes relations de travail, on peut leur demander si on peut faire ci ou ça, ce qui facilite les choses.

     Je ne voudrais pas trop m'avancer au sujet des anciens propriétaires, mais j'ai l'impression qu'ils ont pris peur devant l'énormité de la tâche à accomplir, et ils ont préféré renoncer.

    Je voudrais vous poser une question au sujet de la publicité. Vous avez dit tout à l'heure qu'il n'y avait pas de publicité ciblée. Nous savons, car nous avons eu l'occasion d'en discuter, que la publicité ciblée peut être très sophistiquée. Vous avez dit que vos membres étaient subdivisés en segments beaucoup trop petits pour que cela intéresse les annonceurs.

    Pouvez-vous nous dire ce que vous pensez de la publicité ciblée? Est-ce une question qui devrait nous préoccuper?

    Il existe, comme vous le savez, des organisations professionnelles comme l’ACM, que vous avez entendue, et IAB Canada, qui connaît bien le domaine, et ces deux associations sont certainement mieux placées que moi pour vous dire ce qu'il faut craindre ou ne pas craindre de la publicité ciblée.

     Ce que je voulais dire quand je parlais de segments trop petits, c'est que la publicité ciblée ne marche qu'avec des segments importants. Si vous essayez de cibler les mères de deux enfants qui habitent à Ottawa, vous n'allez pas trouver de site dédié. Il se peut qu'il y ait un site d'Ottawa pour les parents, et il y en a certainement un, mais nous avons affaire en général à de gros annonceurs, qui ont toutes sortes de choses à présenter à un maximum de gens. La seule façon pour eux d’y parvenir est de cibler leur publicité à partir d’une base de données, et celle de Nexopia est tout simplement trop limitée pour pouvoir y contribuer. Beaucoup de fournisseurs de données le font, et certains des témoins que vous avez entendus sont très forts en matière de ciblage.

    Vous voulez savoir si vous devez craindre ou réglementer cette activité — excusez-moi, je ne me souviens plus si c'est vous, mais quelqu'un a mentionné tout à l'heure que, lorsque vous étiez à Washington, les Américains vous ont dit qu'ils ne voulaient pas étouffer leurs entreprises. Il y a beaucoup d'innovation en technologie publicitaire. Mais ce n'est pas mon domaine, ce n'est pas quelque chose que nous utilisons beaucoup. Ça ne marche pas aussi bien au Canada tout simplement parce que nous n'avons pas une assiette suffisante. Quand on a un bassin de 300 millions d'utilisateurs Internet, comme c'est le cas aux États-Unis ou à peu près, c'est sûr que ça marche mieux. Là-bas, il y a beaucoup plus de fournisseurs de données, et la technologie y est beaucoup plus sophistiquée. Au Canada, c'est la galère.

    Ça vient, mais à mon avis, le secteur de la publicité ciblée n'est pas aussi développé au Canada.

    Puis-je apporter une petite précision? Il est important de faire une distinction avec la publicité ciblée anonyme, dont l'objectif est d'envoyer aux gens les publicités les plus proches de leurs intérêts. Par exemple, si vous consultez régulièrement des sites sur les voitures, ils vont vous envoyer des publicités sur les voitures. Si vous consultez des sites sur le ski, ils vont vous envoyer des publicités sur le ski. Ça se fait de façon complètement anonyme, uniquement en fonction des catégories de sites consultés régulièrement par les utilisateurs. C'est donc assez inoffensif. La seule critique que j'ai entendue, et vous aussi sans doute, c'est que ça donne un peu la chair de poule à certaines personnes, mais ce ne sont pas des termes qu'on va retrouver dans la LPRPDC ou dans une autre loi.

    Là où vous auriez raison de vous inquiéter, c'est lorsqu'on fait coïncider des profils particuliers et des données obtenues hors ligne pour finalement déterminer l'identité des gens. Ça peut être un problème et ça justifierait un examen plus approfondi, mais il faut bien faire la distinction et ne pas confondre les deux choses.

    Merci.

    Malheureusement, votre temps de parole est écoulé, monsieur Andrews.

    Je cède maintenant la parole à M. Dreeshen.

    Merci beaucoup, monsieur le président.

    Merci, messieurs, de comparaître devant notre comité aujourd'hui.

    Vous avez mentionné plusieurs choses en réponse à des questions de mes collègues, notamment au sujet des entreprises canadiennes... Vous avez dit qu'un grand nombre s'étaient retirées des initiatives axées sur la publicité en ligne, ce genre de choses. Lors de notre voyage aux États-Unis, les entreprises de là-bas nous ont dit notamment que ça finissait par étouffer l'innovation. Est-ce que vous pensez que le problème vient en partie du fait qu'au Canada, les entreprises estiment que ça n'en vaut pas la peine, qu'on risque de ne pas réussir à attirer d'autres types de produits d'ailleurs, ou qu'ils nous ignorent complètement? Voilà pour la première partie de ma question.

    Dans le même ordre d'idée, pourriez-vous nous parler un peu du type de modèle d'entreprise que cela suppose, afin qu'on sache un peu mieux — quand on parle de médias sociaux et de fournisseurs de données — ce qu'ils cherchent à obtenir de nous. Ce n'est pas un service gratuit, il faut bien qu'il soit payé par quelqu'un. Mais je crois que beaucoup de gens ne s'en rendent pas compte.

    Pourriez-vous donc nous expliquer un peu ça, et nous parler des éléments fondamentaux de votre propre modèle d'entreprise?

    Volontiers. Vous avez posé toute une série de questions; faites-moi signe si j'en oublie une.

    D'accord.

    S'agissant de publicité, ce que les consommateurs préfèrent, c'est qu'il n'y en ait pas. Mais si c'est inévitable, alors la publicité ciblée est sans doute ce qu'il y a de plus acceptable. En effet, comme l'a dit Mark, si vous faites du ski et qu'on vous envoie des publicités sur le ski, c'est certainement plus plaisant que de recevoir des publicités sur les couches jetables si vous n'en avez pas besoin.

    Je vais maintenant mettre ma casquette d'utilisateur en ligne. Quand je regarde la télévision, je vois principalement des publicités qui ne m'intéressent pas, et je finis par me demander pourquoi je me fais cibler avec ce genre de publicités. En ligne, c'est un média très mesurable. Donc, ce que font les annonceurs, c'est en fait payer plus pour une publicité qui cible la bonne personne. Ça se fait grâce à l'échange de données. Je pourrais vous énumérer des noms, mais ça fonctionne pratiquement comme la Bourse de New York. Une impression monte en prix et tout le monde se jette dessus en quelques micro-secondes. Si quelqu'un dit: « Ce type fait du ski et je veux vendre des équipements de ski », il est prêt à payer plus, voire jusqu'à 2,50 $ le CPM — qui est le coût pour mille impressions publicitaires —, au lieu de 25 ¢ le CPM. Comme certains témoins vous l'ont dit, c'est un marché plus efficient. Celui qui fait de la publicité pour des équipements de ski veut cibler la personne qui fait du ski, et il est prêt à payer plus pour les données qui vont lui permettre de le faire.

    Quant à savoir comment ils obtiennent ces données, c'est une question intéressante. Aux États-Unis, beaucoup d'éditeurs numériques vendent ces données, et ils l'indiquent dans leur politique de confidentialité. Je ne suis pas sûr des noms des sites, donc je me garderai de les identifier, mais aux États-Unis, il y a beaucoup de sites automobiles — qu'on consulte pour acheter une voiture ou déterminer le prix d'un véhicule. Ces sites vendent leurs données aux grands courtiers en données — Blue Kai Inc. et eXelate étant les principaux. De leur côté, les courtiers vendent ces données aux bourses de données, et quand vous achetez une impression sur un site important — comme Yahoo!, Microsoft ou un autre —, vous payez un CPM très faible si elle n'est pas ciblée et un peu plus si elle est étayée par des données.

    C'est un marché très efficient. J'ai dit qu'il était moins développé au Canada parce que l'assiette est trop petite. Pour nous, ça représente beaucoup de personnes, mais par rapport à des pays plus vastes... Notre assiette est plus petite.

    L'autre facteur est que les éditeurs numériques ne vendent généralement pas leurs données aussi facilement. Je ne pense pas que ce soit à cause de notre législation en matière de protection des renseignements personnels. Peut-être que c'est une question de temps, mais quoi qu'il en soit, ils ne vendent pas leurs données aussi facilement.

    Si vous voulez cibler les prospects de voitures — c'est-à-dire les acheteurs potentiels de voitures, en jargon publicitaire —, c'est beaucoup plus facile de le faire aux États-Unis qu'au Canada. Ici, il n'y a pas beaucoup de sites qui sont prêts à vendre leurs données là-dessus.

    Est-ce inquiétant? Est-ce efficace? Tout ce que je peux dire, c’est que la publicité est beaucoup plus efficace si elle est ciblée.

    Pour ce qui est de Nexopia en particulier, elle n'a pas la voilure, si on peut dire, qui permettrait d'envisager une telle proposition. Nous avons 200 000 membres, disons une moitié d'hommes et une moitié de femmes. Si vous voulez cibler une jeune Canadienne qui habite sur la côte Ouest — l'Alberta et la Colombie-Britannique constituant notre principal auditoire —, Nexopia est bien placée pour ça. Mais une fois que vous faites le décompte des jeunes femmes qui habitent à Edmonton et qui appartiennent à un groupe d'âge donné, vous allez peut-être en dénombrer 10 000, et ce n'est pas un bassin suffisant pour attirer beaucoup d'annonceurs.

    Donc, c'est une activité qui est beaucoup plus rentable pour les grandes entreprises. Vous savez tous qui elles sont.

    Ai-je répondu à toutes vos questions?

    Je crois que oui. Quoique... vous ne nous avez pas dit si d'autres entreprises allaient venir au Canada. Pensez-vous qu'elles vont nous ignorer parce que nous n'avons pas un bassin suffisant? Vous avez plus ou moins abordé la question.

    Nous avons parlé des politiques de confidentialité. Vous êtes accompagné d'un avocat qui sait comment on les rédige. Vous avez vaguement abordé la question, mais vous en êtes à l'étape où vous allez élaborer une nouvelle politique qui sera sans doute à l'avant-garde, vu le genre de modèle que vous avez. Je me demande si vous avez envisagé une façon différente de la formuler ou même prévu des notes explicatives sous forme d'addenda toutes les cinq pages, l'objectif étant de trouver un juste équilibre et de montrer au lecteur que vous avez fait des efforts pour faciliter sa compréhension du texte.

    Voulez-vous répondre, Mark?

    Nous n'en sommes pas encore là. Comme l'a dit M. Bartus, il vient de signer la transaction, et les nombreuses formalités à accomplir ont pris l'essentiel de notre temps. Nous allons nous atteler à la politique de confidentialité au cours des prochaines semaines. Bien sûr que nous allons faire de notre mieux pour expliquer clairement aux utilisateurs de Nexopia ce que nous faisons de leurs données et quelles sont leurs options. Nous sommes convaincus que notre politique sera conforme aux recommandations de la commissaire à la protection de la vie privée et que notre site sera une excellente tribune pour les jeunes Canadiens.

    Certaines personnes se posent des questions au sujet du processus de suppression des renseignements personnels. Pourriez-vous nous expliquer comment ça se passe? Comment vous assurez-vous que vous n'avez plus ces renseignements dans vos dossiers? Quel est le processus suivi pour les supprimer?

    Nous en avons déjà parlé. Nous estimons que, pendant une période de six mois — ce qui nous semble raisonnable —, nous devrions pouvoir contacter un ancien utilisateur pour lui demander s'il est sûr de ne pas vouloir revenir. C'est une pratique courante, et d'un point de vue commercial, ça me paraît sensé.

    Après deux ans, c'est fini, les anciens utilisateurs ne reviennent plus. À ce moment-là, je crois qu'il est raisonnable de supprimer complètement les données. D'un point de vue commercial... On le vérifie et on s'assure que les données relatives à cette personne ont bien été supprimées.

    Voilà comment nous procédons, pour l'essentiel. Une première période de six mois, puis un délai de deux ans pour la suppression définitive.

    N'oubliez pas qu'avec l'ancien système, si vous supprimiez votre profil, il disparaissait pendant un jour, mais si vous reveniez sur le site deux jours plus tard, les données étaient toujours là. Elles n'avaient donc pas été vraiment supprimées. Ce n'était pas une fausse suppression, c'était une non-suppression. Ça va être corrigé, nous nous sommes engagés à le faire.

    J'aimerais préciser...

    Très rapidement, s'il vous plaît. Very fast.

    J'aimerais préciser que, et vous l'avez certainement déjà entendu, les moteurs de recherche comme Google et Yahoo! ont des caches. Ils entreposent les données localement de façon à pouvoir les récupérer plus rapidement. Je ne sais pas quelle est leur politique en matière de caches, mais vous pouvez supprimer quelque chose et avoir la capacité de le récupérer pendant plusieurs jours ou plusieurs semaines. C'est eux qui contrôlent ça, par conséquent nous ne pouvons pas le définir dans notre politique. À partir du moment où un moteur de recherche a des caches, nous ne pouvons rien faire.

    Merci.

    Je cède maintenant la parole à M. Boulerice pour cinq minutes.

    Merci beaucoup, monsieur le président.

    Je remercie nos invités d'être présents.

     Votre présence est très appréciée. Je suis également heureux de vous entendre dire que vous travaillez en collaboration avec la commissaire à la protection de la vie privée, que vous entendez avoir un plan de match pour mettre en oeuvre les quatre recommandations qui n'avaient pas encore été appliquées.

    Cependant, une question me titille. Il me semble qu'on pourrait faire certaines choses plus rapidement. Je comprends qu'on peut normalement effacer les informations personnelles en cliquant sur le bouton « supprimer mon compte », mais je ne comprends pas pourquoi il faudrait attendre jusqu'au 31 avril 2013 pour que ce bouton supprime vraiment mon compte, soit mes informations personnelles, mon profil.

    Je me garderai bien de répondre à la place des anciens propriétaires, mais quand cette première communication a eu lieu en 2010, il y avait toute une série de problèmes qui devaient être corrigés. Dans ce genre de situation, le propriétaire de l'entreprise doit se demander s'il veut continuer d'investir ou non, ou en tout cas ce qu'il va faire. Pour l'essentiel, l'entreprise a complètement cessé de faire du développement à ce moment-là.

    Le code — si ça vous intéresse — est écrit en Ruby, mais il ne suit pas l'architecture Rails. C'est en fait un code sur mesure, de sorte qu'il n'est pas facile de trouver quelqu'un pour aller bidouiller là-dedans. En ce moment, j'ai deux des types qui ont programmé le code qui m'aident à faire la transition, au fur et à mesure que je recrute des employés, mais il est très difficile de trouver des gens qui comprennent ce code. Comme toujours en affaires, et je m'occupe d'entreprises technologiques depuis un certain temps, il faut sérier les problèmes, et nous avons choisi de commencer par les changements à apporter à la politique de confidentialité. Ça semble plus facile.

    Pour ce qui est de la suppression... si c'était facile à faire, les anciens propriétaires l'auraient fait. Ils n'auraient pas vendu l'entreprise. C'est un défi de taille, croyez-moi.

    Ce n'est pas seulement parce que c'est pratique d'avoir ces informations. Elles ont de la valeur, même du point de vue business. On voulait donc les garder le plus longtemps possible. Quand la commissaire a dit que vous contreveniez à la loi, c'est qu'il y avait, entre autres, l'absence de consentement valable sur la communication de renseignements personnels à des annonceurs. Cela vaut quelque chose. On a donc intérêt à garder les informations le plus longtemps possible. D'ailleurs, j'espère que vous avez réglé ce problème.

    Je ne vois pas du tout quel intérêt commercial il y a à conserver ces données pendant une longue période.

    Tout à l'heure, vous avez dit que votre site ciblait les jeunes de 16 à 21 ans. Toutefois, selon nos informations, 34 % de vos utilisateurs ont entre 13 et 18 ans. Ce sont donc des jeunes et des mineurs qui sont exposés à énormément de publicités.

     Je suis allé sur votre site, aujourd'hui. Je me suis rendu compte qu'il y avait énormément de publicités et ça m'a fait penser qu'au Québec, l'Office de la protection du consommateur a travaillé avec Club Penguin pour réduire l'exposition de nos jeunes à une foule de publicités.

     Vous sentez-vous à l'aise d'exposer une foule de mineurs à énormément de publicités, sur votre site?

    Ils ne sont pas exposés à moins ou plus de publicités que les autres. Comme quelqu'un l'a fait remarquer tout à l'heure, l'exploitation du site coûte de l'argent et il faut bien trouver cet argent quelque part.

    Vous avez mentionné le Club Penguin. Je ne sais pas si nous parlons du même, mais le Penguin est un site payant. Nous, nous ne sommes pas un site payant, nous sommes un site gratuit, et il faut bien qu'un service gratuit soit financé d'une façon ou d'une autre.

    Pour ce qui est de l'âge, nous avons les mêmes paramètres que Facebook et beaucoup d'autres médias sociaux, soit un âge minimum de 13 ans. Ce sont les utilisateurs qui indiquent eux-mêmes leur âge, par conséquent il est impossible de le vérifier. Certes, on pourrait diminuer le nombre de publicités selon l'âge, mais je ne suis pas sûr que ce soit vraiment une chose à envisager.

    Avez-vous quelque chose à ajouter?

    Non.

    C'est correct. Merci beaucoup.

    Monsieur Carmichael, vous avez la parole et disposez de cinq minutes.

    Ce n'est pas beaucoup, monsieur le président, mais je vous remercie de me donner la parole.

    Messieurs, j'ai lu le profil de votre entreprise et écouté votre témoignage aujourd'hui, et je suis curieux de savoir combien de temps ont duré vos négociations avant la date de signature du 30 septembre?

    Les conclusions détaillées sont sorties le 30 mars, donc c'est à peu depuis cette date.

    Depuis le 30 mars.

    Je dirais depuis avril.

    Avant cette date, les anciens propriétaires avaient reçu toute la série de recommandations, dont 13 devaient être mises en oeuvre pour le 30 juin suivant.

    Vous avez dit, monsieur Bartus, qu'ils ont pris peur devant l'ampleur de la tâche à accomplir, c'est bien ça?

    Il m'est très difficile de répondre à la place des anciens propriétaires. Je n'ai rencontré que l'un d'entre eux.

    Revenons un peu en arrière. Connaissiez-vous les propriétaires avant de racheter leur entreprise?

    Non.

    Donc, tout a commencé le 30 mars.

    Et vous, monsieur Hayes?

    Non, je ne les connaissais pas, et à ce jour, je n'en ai rencontré aucun.

    Bien.

    Ce qui me préoccupe, entre autres, surtout quand il s'agit de bases de données et de médias sociaux qui ciblent les enfants, c'est la sécurité des données conservées et gérées par des entreprises comme la vôtre.

    Quand je regarde l'âge de vos utilisateurs, je sais que c'est eux qui le déclarent, mais 23 p. 100 d'entre eux ont entre 13 et 18 ans. Et les autres?

     Quelle est la ventilation exacte de vos abonnés, par groupe d'âge?

    Je n'ai pas ces chiffres ici.

    Quand on se rend sur le site, ce qui est possible même sans mot de passe, on voit que ça va jusqu'à 55 ou 57 ans. Vous avez donc des abonnés de tous âges. Mais ce qui me préoccupe surtout, c'est ce qu'il advient des données.

    On nous a dit, tout au début de notre étude, que les renseignements fournis par ceux qui entrent sur un site de média social, quel qu'il soit, peuvent être de toutes sortes, que c'est très libre. Manifestement, les gens donnent toutes sortes de renseignements, ce qui conduit parfois à des situations tragiques comme en Colombie-Britannique, où la jeune femme regrettait probablement d'avoir fourni les renseignements qui se trouvaient sur le site, mais elle n'avait aucun recours, elle ne pouvait pas les retirer.

    Ce que je voudrais savoir, notamment, c'est dans quelle mesure ces données sont protégées. Y a-t-il déjà eu des piratages de bases de données? S'est-on posé des questions au sujet de la sécurité des bases de données?

    Et pour revenir au sujet de la suppression complète des données — vous avez parlé d'une période de six mois à deux ans —, il me semble que si je vous ai fourni des renseignements et que je veux qu'ils soient supprimés, c'est le jour où j'en fais la demande qu'ils devraient être supprimés, quel que soit le modèle d'entreprise en place. Je viens du secteur privé et je comprends les complications que ça peut occasionner, mais cet aspect-là du problème me préoccupe beaucoup.

    Pour ce qui est de votre engagement de supprimer complètement ces renseignements, c'est bien l'objectif que vous vous êtes fixé?

    Oui, notre objectif, comme nous l'avons dit, est un délai de six mois à deux ans.

    Pour ce qui est du cas tragique dont vous avez parlé, j'ai deux enfants, de 11 et 14 ans, et j'en ai profité pour leur faire longuement la leçon. C'est vraiment tragique.

    Nexopia vérifie toutes les photos avant qu'elles n'apparaissent sur le site, malgré les protestations des membres qui, souvent, voudraient qu'elles s'affichent instantanément. Mais nous voulons prendre toutes les précautions pour éviter ce genre de tragédie.

    Pour ce qui est de la sécurité des données, il n'y a eu, que je sache, aucun cas de piratage. J'ai dit, et je le répète, que les anciens propriétaires voulaient avant tout faciliter l'application de la loi. Dans toutes mes conversations avec eux, c'est ce qu'ils me disaient, et il est en fait arrivé que les données servent à ça. Nous proposons un compromis entre les deux. On ne peut pas conserver ces données éternellement, même si les responsables de l'application de la loi en ont besoin, et par conséquent, nous allons les supprimer après deux ans. Au-delà de cette période, si des responsables de l'application de la loi nous font des demandes, nous n'aurons plus rien à leur fournir.

    Vous êtes à la tête de cette entreprise depuis peu, mais j'ai constaté, au cours de nos audiences, que dans le secteur des médias sociaux, certaines entreprises et certains de vos concurrents se sont fait prendre à ce genre de choses. Ils ont tendance à repousser les limites, et quand ils se font prendre, ils présentent des excuses.

    Voici ma question. Que pensez-vous de ces pratiques? Quand on voit des grandes entreprises se faire prendre à ce genre de choses, à repousser sans cesse les limites de la technologie, quelles recommandations pensez-vous que nous devrions faire dans notre rapport?

    C'est une question très vaste. Ce n'est pas en comparaissant ici que je gagne de l'argent. Personnellement, je préfère me tenir à distance de tout ça.

    Les grandes entreprises, parfois parce qu'elles sont innovantes, repoussent un peu trop les limites, et elles se font prendre. C'est un vaste monde qui s'offre à nous, et les gens ont toutes sortes de motivations. Il y a des entreprises qui, comme vous dites, se font une spécialité de repousser les limites, mais ce n'est pas mon style et je ne l'ai jamais fait. À mon avis, elles passent trop de temps à essayer de repousser les limites, au lieu de faire de l'argent en restant sagement à l'intérieur. On peut faire beaucoup d'argent en restant à l'intérieur des limites, sans qu'on ait besoin de les repousser et d'enfreindre la loi.

    Quant à savoir par quel type de règlement vous pouvez encourager ce genre de comportement, je n'en ai aucune idée. On m'a demandé tout à l'heure si j'estimais nécessaire de donner à la commissaire à la protection de la vie privée le pouvoir d'imposer des sanctions, ou s'il fallait maintenir le statu quo. À mon avis, le statu quo marche bien.

    Il faut...

    Monsieur Carmichael, votre temps est malheureusement écoulé.

    Merci, monsieur le président.

    Comme il reste un peu de temps, je pourrais vous laisser continuer, si on a l'accord des membres du comité. Car il n'y a personne sur la liste en ce moment.

    On vous laisse continuer, monsieur Carmichael.

    Monsieur Mayes.

    Merci, monsieur le président.

    Puis-je poser une seule question à M. Hayes?

    Monsieur le président, j'invoque le Règlement.

    Monsieur Andrews.

    J'aimerais poser une autre question. Je ne sais pas s'il y aura une deuxième ronde, mais j'aimerais avoir la possibilité de poser une autre question.

    Cela ne me pose aucun problème, si vous avez d'autres questions, car il reste du temps. Donc, si des membres du comité veulent poser d'autres questions.

    Monsieur Andrews, avez-vous une question en particulier?

    Monsieur Calkins.

    Monsieur le président, j'invoque le Règlement. Pourriez-vous nous dire, pour notre gouverne à tous, si nous en sommes déjà à la deuxième ronde et quand les membres du comité auront la possibilité de poser une deuxième série de questions? Si M. Andrews veut poser une question, cela ne me pose pas de problème, mais dans ce cas-là, pourquoi ne pas autoriser les autres membres du comité à en faire autant, si nous avons assez de temps? Pour pouvoir respecter les règles, il faut les connaître.

    Si nous n'avons pas entamé la deuxième ronde, il n'est pas acceptable que des députés puissent poser des questions spontanément, à moins que le comité n'y consente.

    On en était rendus à une question du Nouveau Parti démocratique, et comme il n'y avait pas d'autres questions, j'ai offert la possibilité aux membres de poser une question supplémentaire puisqu'il restait encore cinq minutes.

    Monsieur Angus.

    Monsieur le président, nous pouvons avoir une troisième ronde si un député a une question supplémentaire. Je pense que ce serait équitable. Mais s'il y a d'autres rondes, nous utiliserons le temps qui nous est imparti.

    Ma question supplémentaire porte sur la date fixée pour la mise en conformité. Était-ce le 30 avril 2013?

    Oui.

    Très bien, c'est tout pour nous.

    Il n'y a plus personne sur la liste des orateurs, à moins que quelqu'un n'ait une question précise à poser. Comme je l'ai dit, il restait cinq minutes et j'ai posé cette question à tout le monde. Si quelqu'un voulait poser une question...

     Il n'y a pas personne sur la liste. C'est la fin.

    La liste alterne entre les partis.

    Vous avez une petite question, monsieur Andrews? Une minute, maximum.

    En réponse à une des questions, vous avez parlé de l'appariement des données hors ligne. On nous a déjà un peu expliqué comment ça fonctionne, mais j'aimerais savoir si, à votre avis, notre comité devrait s'intéresser à la question.

    Votre mandat est plus vaste que le mien, car il englobe la protection des renseignements personnels en ligne et hors ligne. Moi, je ne m'occupe que des données en ligne. Est-ce que vous devriez vous y intéresser? Certainement, c'est une activité très lucrative aux États-Unis. Elle se pratique surtout au niveau des magasins de détail, quand un gros détaillant peut apparier une carte de fidélité et un comportement en ligne, et ainsi cibler les véritables intérêts du consommateur. Aux États-Unis, c'est un secteur très lucratif et en plein essor.

    Je crois qu'au Canada, il y a quelques entreprises qui sont assez importantes pour en profiter. Ce n'est pas notre cas. Nous n'avons pas d'activités hors ligne, que ce soit au niveau des détaillants ou autrement.

    Merci.

    Je remercie infiniment les témoins qui se sont déplacés aujourd'hui. Il n'y a rien d'autre à l'ordre du jour, à moins que quelqu'un n'ait quelque chose à ajouter. Sinon, cela met fin à la réunion, et on se revoit le mardi 20 novembre 2012, donc après la semaine de congé parlementaire. La séance est levée.