INDY Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
STANDING COMMITTEE ON INDUSTRY
COMITÉ PERMANENT DE L'INDUSTRIE
TÉMOIGNAGES
[Enregistrement électronique]
Le mercredi 10 février 1999
La présidente (Mme Susan Whelan (Essex, Lib.)): La séance est ouverte. Conformément à un ordre de renvoi de la Chambre en date du mardi 3 novembre 1998, nous faisons l'examen du projet de loi C-54, Loi visant à faciliter et à promouvoir le commerce électronique en protégeant les renseignements personnels recueillis, utilisés ou communiqués dans certaines circonstances, en prévoyant l'utilisation de moyens électroniques pour communiquer ou enregistrer de l'information et des transactions et en modifiant la Loi sur la preuve au Canada, la Loi sur les textes réglementaires et la Loi sur la révision des lois.
Nous avons aujourd'hui le plaisir d'accueillir les représentants de l'Association canadienne de normalisation. Toutefois, j'aimerais que nous passions d'abord au point 4 de l'ordre du jour, c'est-à-dire la motion voulant que le Comité permanent de l'industrie se rende à Montréal le lundi 22 mars 1999 dans le but de visiter l'Agence spatiale canadienne.
Les membres du comité se rappellent sans doute que nous avons déjà approuvé le budget; il ne nous reste plus qu'à approuver la date. À l'origine, nous pensions faire cette visite un vendredi, mais nous avons changé cela pour un lundi, de façon à ce que davantage de députés puissent y participer.
Monsieur Lastewka, présentez-vous la motion?
M. Walt Lastewka (St. Catharines, Lib.): Je la propose, madame.
- (Motion est adoptée)
La présidente: Voilà qui a été facile. Revenons maintenant à nos témoins.
Nous entendrons aujourd'hui quatre représentants de l'Association canadienne de normalisation: Ellen Pekilis, gestionnaire de projet; Jim Savary, Département d'économique, Collège Glendon, Université York; Gérald Lavallée, directeur exécutif de la Fondation des normes de télévision par câble, et Suzanne Morin, représentante canadienne du Groupe spécial de protection des renseignements personnels de l'Organisation internationale de normalisation. C'est avec plaisir que je vous souhaite la bienvenue à tous les quatre.
Je ne sais pas qui va faire la déclaration d'ouverture. Monsieur Savary, je vous laisse la parole.
M. Jim Savary (président, Comité technique sur la protection de la vie privée, Association canadienne de normalisation): Merci, madame la présidente. Merci de nous avoir invités à vous rencontrer aujourd'hui.
Le principal sujet de notre exposé et de notre mémoire est la description de l'élaboration du code type de l'ACN sur la protection des renseignements personnels, que nous appellerons tout simplement le code. Nous voulons vous expliquer pourquoi ce code constitue une excellente base aux fins du traitement des renseignements personnels par le secteur privé.
Au sujet du processus d'élaboration des normes de l'ACN, je dirai que l'Association canadienne de normalisation est un chef de file mondial dans l'élaboration des normes et vise à aider les gens d'affaires à comprendre, interpréter et mettre en application les normes. L'ACN Internationale est un organisme indépendant du secteur privé, sans but lucratif qui est appuyé par plus de 8 000 membres et un réseau de bureaux à travers le Canada, les États-Unis et autour du monde. L'ACN Internationale n'est pas un organisme public et ses normes sont volontaires à moins qu'un organisme public ne choisisse de les incorporer par renvoi. Plusieurs normes de l'ACN sont ainsi incorporées par renvoi dans des lois adoptées par divers gouvernements partout au pays.
L'ACN offre une tribune neutre où les représentants du monde des affaires, de l'industrie, des syndicats, du gouvernement, des associations professionnelles et du public s'unissent pour élaborer des normes. Chaque comité d'élaboration de normes possède une représentation équilibrée afin d'aider à garantir qu'aucun groupe en particulier ne domine. L'objectif est de toujours viser un équilibre entre les différents points de vue concernant ce qui devrait faire partie d'une norme.
Même si la présidente nous a tous présentés en notre qualité de membres de diverses organisations, nous sommes tous ici pour représenter l'Association canadienne de normalisation et aucun autre organisme auquel nous pouvons être affiliés. J'insiste sur le fait que cela est conforme à l'objectif et à la méthode qu'utilise l'ACN dans l'élaboration des normes. Ces normes représentent le consensus auquel sont arrivés les participants volontaires au processus.
Par conséquent, en acceptant de se charger de l'enjeu important qu'est la protection de la vie privée, le Comité technique de l'ACN visait à faire converger deux forces: les droits de la personne à la protection de la vie privée et les besoins légitimes du monde des affaires et des gouvernements fonctionnant à l'ère de l'information. Cette idée est formulée dans le code. Cela marque pour la toute première fois que dans n'importe quel pays, des organismes du secteur ont collaboré avec les défenseurs des consommateurs et des représentants du gouvernement afin de créer une norme nationale sur la protection de l'information.
• 1535
Permettez-moi de vous dresser un bref historique de
l'élaboration du code.
En 1991, l'ACN s'est lancée dans un processus d'élaboration d'un code volontaire qui pourrait être adopté par tout organisme à la recherche d'une norme uniforme et reconnue pour la protection des renseignements personnels. La mise au point de ce code a pris quatre ans. À la fin de 1994, une première ébauche était terminée. En décembre 1995, le comité technique a approuvé le code à l'unanimité. Celui-ci a été publié par l'ACN en mars 1996. Par la suite, le Conseil canadien des normes a adopté le code comme norme nationale du Canada. Depuis lors, les organismes les plus importants, dont les Banques à charte fédérale, le Bureau d'assurance du Canada, l'Association de télévision par câble et bien d'autres, ont soit adopté le code, soit signifié leur intention de le faire.
Dans le reste de nos remarques nous essayerons d'expliquer pourquoi le Comité technique sur la protection de la vie privée estime que le code protège efficacement les renseignements personnels. Je parlerai donc du processus transparent et axé sur le consensus qui est permis de produire le code ainsi que de l'équilibre équitable des intérêts qu'on y trouve.
Premièrement, comme pour toutes les normes élaborées par l'ACN, un Comité technique sur la protection de la vie privée a été créé et chargé de superviser l'élaboration du code. Conformément à la politique de l'ACN, le Comité technique sur la protection de la vie privée comprend un éventail diversifié de parties intéressées dans un équilibre qui ne permet à un aucun groupe de parties intéressées de dominer le vote. Les membres du Comité technique sont chargés d'élaborer le contenu des normes. Ce comité comprenait 44 membres représentant les intérêts des groupes du monde des affaires représentatifs de larges secteurs de l'économie, de groupes de consommateurs, d'organismes syndicaux, des commissaires à la protection des renseignements personnels et d'agences gouvernementales diversifiées, tant provinciales que fédérales.
Le processus d'élaboration des normes met en jeu un processus de prise de décision basé sur le principe du consensus plutôt que sur l'adoption par une majorité. Toutes les normes de l'ACN sont élaborées au moyen d'un processus à la fois transparent et très formel énoncé dans les lignes directrices CSA/ACN concernant la normalisation—code de bonne pratique pour la normalisation. On peut se procurer ce document auprès de l'ACN. Dans sa politique, voici comment l'ACN définit le consensus:
-
une entente substantielle intervenue entre les parties intéressées.
Le consensus [...] sous-entend beaucoup plus que le concept d'une
simple majorité, mais sans nécessairement aboutir à l'unanimité.
Le processus fonctionne bien. En plus de ses propres membres, le comité a demandé à des experts de la protection des renseignements personnels de l'extérieur afin de préparer des rapports détaillés sur certaines considérations, dont la mise en oeuvre de modèles d'application du code. Nous pouvons attester de l'importance qu'on n'a cessé d'accorder aux décisions par consensus. C'est ce qui explique, dans une grande mesure, que le processus ait pris cinq ans.
Je vais maintenant demander au vice-président du comité technique, Gérald Lavallée, de prendre le relais.
[Français]
M. Gérald Lavallée (directeur exécutif, Fondation des normes de télévision par câble, Association canadienne de normalisation): En élaborant ce code, tous les membres du Comité technique sur la protection de la vie privée ont reconnu le besoin d'atteindre un juste équilibre qui préserverait le droit des consommateurs de contrôler leurs renseignements personnels tout en reconnaissant le besoin légitime du monde des affaires d'utiliser l'information pour satisfaire aux besoins des consommateurs, aux exigences juridiques et aux autres besoins raisonnables du monde des affaires.
Le fait que le code est aussi équilibré se reflète dans les commentaires émis par le commissaire fédéral à la protection des renseignements personnels, M. Bruce Phillips, dans son rapport annuel de 1994-1995. M. Phillips considère que le code est approfondi et complet. Il poursuit en disant:
-
Les principes fondamentaux énoncés dans le Code sont au moins aussi bons,
voire meilleurs que ceux qui figurent dans la Loi sur la protection des
renseignements personnels.
Pour atteindre ce succès, le comité technique a d'abord commencé son travail en se penchant sur les lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données à caractère personnel largement reconnues et acceptées par l'OCDE en tant que base.
• 1540
Cependant, le comité technique a déterminé plusieurs
aspects des lignes directrices de l'OCDE qui,
selon lui, pouvaient être améliorés. Les lignes
directrices de l'OCDE ont été créées tard dans les
années 1970 et ont été formellement approuvées en 1981.
Elles ont plutôt vieilli, et certains aspects de la
langue sont difficiles à comprendre. Qui plus est, les lignes
directrices visaient en grande partie les
gouvernements nationaux et les grands utilisateurs de
données.
Bien qu'elles reprennent les droits de l'homme, une de leurs finalités inhérentes est le retrait des obstacles qui limiteraient le flux transfrontalier des données entre les pays membres de l'OCDE.
Finalement, la structure des lignes directrices, comprenant les principes de base et la note de service explicative, fait qu'elles ne se prêtent pas à une interprétation et à une utilisation facile.
Le code type de l'ACN est plus spécifique que les lignes directrices de l'OCDE et offre un plus haut niveau de certitude dans le processus de prise de décision.
[Traduction]
M. Jim Savary: Ce qui fait la force du code, entre autres, c'est la souplesse de son libellé. Il est possible d'identifier et de régler tous les problèmes possibles auxquels le code peut être appliqué. Il faut toutefois laisser aux utilisateurs suffisamment de discrétion pour interpréter le code dans les cas particuliers, en fonction de principes directeurs clairs et précis. Lesdits principes du code de l'ACN sont clairs et précis. Ils énoncent un ensemble d'obligations interreliées qui, ensemble, permettent aux particuliers d'exercer un grand contrôle sur l'utilisation des renseignements personnels. En fait, aucun renseignement personnel ne peut être recueilli, utilisé ou divulgué à l'insu de la personne sur qui il porte et sans son consentement préalable, sauf dans des cas extrêmement limités et clairement définis.
L'emploi du conditionnel et d'autres énoncés de ce genre suggèrent des recommandations quant aux meilleures pratiques. Il s'agit d'un commentaire dont le but est de guider et de conseiller dans des cas bien précis. Je vais vous donner deux exemples qui ont été discutés.
À l'article 4.2.3 de l'annexe 1, on peut lire:
-
Il faudrait préciser à la personne auprès de laquelle on recueille
des renseignements, avant la collecte ou au moment de celle-ci, les
fins auxquelles ils sont destinés.
On dit à l'article 4.2.5
-
Les personnes qui recueillent des renseignements personnels
devraient être en mesure d'expliquer à la personne concernée à
quelles fins sont destinés ces renseignements.
Ces deux articles traduisent la réalité pratique de la collecte de données. Dans certains cas bien précis, il n'est pas possible de révéler tous les détails sur les utilisations prévues des renseignements au moment de leur collecte. De la même façon, il y a des cas où les personnes qui recueillent ces renseignements, par exemple des vendeurs travaillant à commission, le personnel qui prend les commandes en télémarketing, etc., ne peuvent peut-être pas répondre immédiatement à toutes les questions que peut poser un particulier sur l'utilisation des données. Toutefois, avant que ces données ne soient utilisées, le code exige que tous les détails relatifs aux objectifs de l'information soient fournis comme une demande de consentement. Le code laisse donc aux entreprises une marge de manoeuvre raisonnable pour ce qui est de décider quand et comment fournir les renseignements sur l'utilisation des renseignements, mais on y précise que les fins doivent être divulguées avant l'utilisation des renseignements. Cela permet aux particuliers de conserver le contrôle des renseignements personnels à leur sujet.
Permettez-moi de mentionner un autre article, l'article 4.3.2 de l'annexe 1. On peut y lire:
-
Les organisations doivent faire un effort raisonnable pour
s'assurer que la personne est informée des fins auxquelles les
renseignements seront utilisés. Pour que le consentement soit
valable, les fins doivent être énoncées de façon que la personne
puisse raisonnablement comprendre de quelle manière les
renseignements seront utilisés ou communiqués.
Il échoit donc au monde des affaires d'expliquer clairement que les utilisations de l'information seront faites en accord avec la demande pour la connaissance et le consentement ainsi que l'obligation de recueillir l'information par des moyens équitables et valides. En même temps, la disposition d'effort raisonnable reconnaît que les organismes ne devraient pas être tenus responsables de la capacité ou de l'incapacité de chaque individu de comprendre tous les objectifs ou leurs implications, en autant que les finalités ont été raisonnablement expliquées. Outre l'application du critère d'effort raisonnable, il serait injuste de demander aux entreprises de s'acquitter d'une obligation plus onéreuse ou peut-être même impossible.
• 1545
Les autres articles exprimés au conditionnel ou dans un
libellé non exécutoire visent à atteindre un juste milieu
semblable. On y propose de meilleures pratiques sans priver les
entreprises de la souplesse dont elles ont besoin. Dans tous les
cas, les pratiques recommandées font partie d'un ensemble
d'obligations exécutoires qui confère au code rigueur et
applicabilité.
Le Comité technique sur la protection des renseignements personnels de l'ACN estime que ce code est efficace et crédible. Il permet de guider suffisamment les entreprises, exige une transparence et une ouverture totales et fournit aux Canadiens le contrôle élevé dont ils ont besoin sur l'utilisation des renseignements personnels les concernant. Bref, on trouve dans ce code un juste équilibre des intérêts qui se fonde sur des pratiques équitables de traitement de l'information, lesquelles traduisent les préoccupations et les besoins légitimes des diverses parties, y compris celles des entreprises et des consommateurs.
En résumé, le code est le résultat d'un consensus éclairé auquel en sont arrivés de nombreux intérêts, y compris des entreprises, des consommateurs, des universitaires et le gouvernement. Le code fournit une méthode efficace et crédible de traiter les renseignements personnels tout en équilibrant l'utilisation commerciale de ces renseignements et le besoin de protéger la vie privée. Nous préconisons l'utilisation et l'application des principes qu'il renferme.
Vous trouverez davantage de détails dans nos mémoires écrits, dont des exemplaires ont été distribués, madame la présidente. Nous sommes prêts à répondre à toutes vos questions sur le code de l'ACN, sur son élaboration et sur le processus d'examen. Mais auparavant, permettez-moi de demander à ma collègue, Suzanne Morin, de nous parler brièvement des effets que pourraient avoir le code de l'ACN sur la possibilité d'établir une norme internationale de protection de renseignements personnels.
Mme Suzanne Morin (représentante canadienne, Groupe consultatif spécial, Organisation internationale de normalisation): Merci, mesdames et messieurs du comité.
Permettez-moi de vous expliquer brièvement ce qu'est l'Organisation internationale de normalisation. En janvier l997, l'assemblée générale de l'ISO a accepté de créer un groupe spécial sur la protection des renseignements personnels. Ce groupe a été chargé d'étudier l'opportunité pour l'ISO d'élaborer une norme internationale en matière de protection des renseignements personnels. Cette initiative remonte à une mesure lancée par le Canada juste avant que la norme de l'ACN ne soit achevée à l'ISO. Nous avons informé l'ISO, d'une certaine façon, que nous étions en train d'élaborer cette norme et de ce que nous souhaitions qu'elle envisage d'en faire autant à l'échelle internationale. Le comité qui a été créé comptait deux représentants de 12 pays différents. J'ai eu la chance d'être l'un d'eux.
Le comité s'est réuni à quelques reprises. Nous n'avons pas réussi à nous entendre. Généralement, les membres reconnaissent qu'il est nécessaire de protéger les renseignements personnels et qu'il faut trouver des moyens pour cela. Malheureusement, il existe des désaccords, et bien d'autres choses se produisent actuellement. L'OCDE a tenu une réunion. La directive de l'Union européenne sur la protection des renseignements personnels est entrée en vigueur en octobre. Il y a également le projet de loi C-54 du Canada, et l'Australie envisage également d'élaborer une loi dans ce domaine. À l'heure actuelle, donc, certains membres du comité préfèrent attendre de voir ce qui sera fait, alors que d'autres, y compris les représentants du Canada, estime qu'il serait fort utile aux entreprises canadiennes travaillant à l'étranger d'élaborer une norme internationale à partir du code de l'ACN. Les représentants canadiens estiment que cela permettrait également de combler l'écart entre les pays qui ont une loi dans ce domaine et ceux qui n'en ont pas.
Merci.
La présidente: Merci beaucoup.
Avez-vous des questions à poser, monsieur Pankiw? Non?
[Français]
Monsieur Dubé, êtes-vous prêt?
M. Antoine Dubé (Lévis-et-Chutes-de-la-Chaudière, BQ): Oui. Avant de poser mes questions, j'aimerais savoir combien de personnes faisaient partie du comité. Je veux parler du processus, du consensus et de la large majorité. De combien de personnes s'agit-il? Pour considérer qu'il y avait consensus, combien fallait-il qu'il y ait de personnes présentes?
[Traduction]
M. Jim Savary: Le Comité technique compte 44 membres. La rédaction du code a été confiée à un comité de rédaction et de coordination qui s'est réuni régulièrement avec le comité plénier durant la rédaction du code. Lorsque la version définitive du code a été achevée, tous les membres du comité se sont réunis. Un scrutin par la poste a eu lieu et tout le comité a voté et a accepté le code à l'unanimité.
M. Antoine Dubé: Je pense que vous avez fait ce travail dans l'optique d'un code. Lorsque le comité a élaboré et même décidé d'adopter ce code, c'était dans le contexte d'une acceptation volontaire. Ce n'était pas dans un cadre législatif. Ce que veut faire le gouvernement, c'est intégrer ce code en annexe à une loi.
Je pose la question simplement. Si vous aviez su que vous le faisiez en vue de son intégration dans le cadre d'une loi, pensez-vous que cela aurait pu changer les choses?
[Traduction]
M. Jim Savary: C'est une question hypothétique à laquelle j'aurais bien de la difficulté à répondre. Ce que l'on visait, à cette époque, c'était comme vous le dites d'élaborer un code d'application volontaire. C'est dans cette optique que les intervenants ont travaillé à son élaboration. Comme pour bien d'autres normes de l'ACN, le gouvernement a choisi d'incorporer ce code à une loi par renvoi. C'est une solution qui nous semble acceptable, puisque le code comprend de bons principes de protection de la vie privée. Nous n'avons pas d'opinion cependant sur les autres façons dont on aurait pu procéder. Aucun d'entre nous n'est législateur. En fait, il y a assez peu d'avocats parmi nous ce qui explique, à mon avis, que le code soit aussi facile à lire.
[Français]
M. Antoine Dubé: Préféreriez-vous que votre code, quitte à être écrit autrement, soit une partie intégrante de la loi plutôt que d'y être annexé?
[Traduction]
Mme Sue Barnes (London-Ouest, Lib.): J'invoque le Règlement. Je n'arrive pas à comprendre. Il semble y avoir un problème de traduction.
[Français]
M. Antoine Dubé: J'ai le même problème. Je n'entends pas l'anglais. Cependant, je me débrouille un peu en anglais.
Voulez-vous que je reprenne?
On sait maintenant que le code risque d'être ajouté à la loi. Préféreriez-vous que le code, quitte à ce qu'il soit écrit autrement, soit partie intégrante de la loi plutôt que d'être placé en annexe?
[Traduction]
M. Jim Savary: D'autres connaissent mieux que moi la procédure législative et je préfère les laisser répondre à cette question.
L'avantage qu'il y a à ce que le code demeure une annexe, c'est qu'on peut ensuite s'en servir pour élaborer une norme internationale, ce qui correspond à la politique du gouvernement. Je suis d'accord avec cela, tout comme, je le soupçonne, l'ACN.
[Français]
M. Antoine Dubé: J'ai une autre question. C'est peut-être un élément particulier auquel j'aurai l'occasion de revenir plus tard, mais il s'agit du consentement.
Dans la loi québécoise, que vous connaissez sans doute, c'est défini plus spécifiquement. On dit ici:
-
14. Le consentement à la communication et à l'utilisation d'un
renseignement personnel doit être manifeste, libre,
éclairé et être donné à des fins spécifiques.
Dans le projet de loi, en ce qui concerne le consentement, on énonce des principes plus larges, plus vagues, qui laissent une plus grande place à l'interprétation et, partant, défavorisent le consommateur.
À titre d'exemple, on dit que «les organisations doivent faire un effort raisonnable». À mes yeux, des mots comme «doivent faire un effort raisonnable» ne contribuent pas à établir une norme très précise. On sent qu'il y a eu une longue discussion là-dessus.
[Traduction]
M. Jim Savary: En effet, et votre dernier argument est fort valable. La norme québécoise a dès le départ été élaborée sous forme de loi. Le gouvernement de l'époque a donc pu rédiger cette loi de la façon qu'il jugeait être la meilleure. Nous avons fait de même dans l'élaboration du code, même si nous visions un consensus. Par conséquent, même si les principes sont extrêmement clairs et même si les intervenants se sont engagés implicitement à respecter l'esprit et la lettre de ces principes, le libellé n'est peut-être pas aussi précis que ce qu'on pourrait trouver dans une loi.
M. Gérald Lavallée: J'aimerais ajouter que ceux qui adoptaient le code ne pouvaient l'adopter en partie. Si on adoptait le code, on devait absolument l'adopter en entier. C'était tout ou rien. Les principes comportent les mots clés et établissent les normes, tandis que dans ce qui suit, on a plutôt des paragraphes explicatifs pour mieux faire comprendre les 10 principes du code.
[Traduction]
La présidente: Nous devrons vous redonner la parole plus tard, monsieur Dubé. Merci.
Madame Barnes, s'il vous plaît.
Mme Sue Barnes: Merci, madame la présidente. Je n'ai qu'une ou deux questions.
Je crois savoir que, auparavant, le commissaire fédéral à la protection de la vie privée avait déclaré ne pas être entièrement satisfait du code, de la norme telle qu'elle existe actuellement au Canada. Il souhaitait que certaines modifications y soient apportées, mais votre comité ne les a pas encore intégrées à la norme. Pourriez-vous nous relater ce qui s'est passé de façon chronologique et nous dire pourquoi vous n'avez pas estimé que ces modifications étaient importantes ou nécessaires.
M. Jim Savary: Les commissaires à la protection de la vie privée n'étaient pas eux-mêmes membres du comité technique. Nous les avons certainement rencontrés de façon officieuse—tout au moins, certains membres du comité de rédaction et de coordination les ont rencontrés officieusement—les commissaires à la protection de la vie privée n'ont pas participé directement de façon détaillée. En effet, il s'agissait d'un comité technique de l'Association canadienne de normalisation et nous cherchions à aboutir à un consensus fondé sur des principes largement acceptés en matière de protection de la vie privée.
De fait, je crois savoir que le Commissaire à la protection de la vie privée du gouvernement fédéral est très favorable au code à l'heure actuelle. Nous aimerions certainement savoir quels sont les changements qu'il souhaiterait à terme, mais il n'a pas communiqué avec nous à ma connaissance. J'aimerais demander à ma collègue Ellen Pekilis, la responsable du projet, de nous dire si le Commissaire à la protection de la vie a communiqué avec nous officiellement.
Mme Ellen Pekilis (gestionnaire de projet, Association canadienne de normalisation): Non, il n'a pas communiqué officiellement avec nous pour nous dire qu'il souhaitait des changements à la norme.
M. Jim Savary: Permettez-moi d'ajouter, madame la présidente, que c'est devant votre comité que de telles questions seraient soulevées, en vue de faire modifier la loi.
Mme Sue Barnes: À titre de précision il s'agissait, me semble-t-il, du mémoire écrit soumis au comité par le Commissaire fédéral à la protection de la vie privée. Il serait peut-être sage que vous en preniez connaissance et que vous nous fassiez vos commentaires plus tard, sous forme de lettre—si je puis me permettre de le proposer, madame la présidente—qui pourrait être distribuée aux membres du comité.
La présidente: Vous seriez très aimable de le faire, monsieur Savary.
M. Jim Savary: Je le ferai très volontiers.
La présidente: Parfait.
Mme Sue Barnes: J'en parle parce que certaines questions ont été abordées, mais je ne vais pas en traiter maintenant si vous n'êtes pas au courant.
La présidente: Vous devez savoir que le compte rendu de notre rencontre avec le Commissaire à la protection de la vie privée est déjà disponible sur l'Internet. Cela remonte au début décembre.
M. Jim Savary: Excellent. Merci. Nous prendrons connaissance de son témoignage et de ceux des autres.
Mme Sue Barnes: C'était les aspects que je voulais aborder, et je vais donc céder mon temps à un collègue.
La présidente: Merci. Nous allons tout simplement poursuivre.
Monsieur Jones.
M. Jim Jones (Markham, PC): Merci.
Lorsque vous parlez d'un «code», vous voulez parler de «règles», n'est-ce pas?
M. Jim Savary: Lorsque je parle du Code avec un C majuscule, je parle du code de l'ACN concernant la protection de la vie privée, la norme 830.
M. Jim Jones: Oui, mais vous voulez parler de règles et non pas d'un code de programmation.
M. Jim Savary: Non.
M. Jim Jones: D'accord.
Vous dites compter 8 000 membres un peu partout dans le monde. Je suppose que cela ne veut pas dire que l'Association canadienne de normalisation compte 8 000 membres. Est-ce que vous comptez les organisations comme l'IEEE et l'ISO? Donc, de qui parlez-vous au juste lorsque vous dites que vous comptez 8 000 membres?
M. Jim Savary: Je vais demander à Ellen Pekilis de vous répondre.
Mme Ellen Pekilis: L'ACN est un organisme sans but lucratif. Nous n'avons donc pas d'actionnaires mais plutôt des membres. Ceux qui acquittent leurs cotisations deviennent membres et ont le droit de voter pour le conseil d'administration. Lorsque mon collègue parle de 8 000 membres, il parle des personnes qui ont décidé de devenir membres de l'ACN.
L'ISO est une organisation tout à fait distincte, qui a son siège social en Suisse. Il s'agit d'une organisation internationale. Elle est composée du membre le plus représentatif de normalisation dans chaque pays membre. Le membre qui représente le Canada n'est pas l'ACN, mais plutôt le Conseil canadien des normes, une société d'État fédérale.
M. Jim Jones: J'aimerais savoir également si votre organisation agrée les programmes ou les produits d'organisations qui déclarent se conformer aux normes de l'ACN. Doivent-elles se conformer à 100 p. 100 aux règles pour être accréditées?
Mme Ellen Pekilis: C'est une division distincte de le l'ACN qui se charge de la vérification. Il existe au Canada plusieurs autres bureaux de vérification qui pourraient assurer les services de vérification. Le vérificateur doit être certain que l'intéressé s'est conformé à l'ensemble de la norme; il n'est pas question de conformité sélective.
M. Jim Jones: D'accord. Siégez-vous sur d'autres organisations comme l'ISO, l'IEEE et toutes les autres? Veuillez-vous à ce que nos règles soient conformes à celles des normes mondiales?
M. Jim Savary: Permettez-moi de répondre, en partie tout au moins. Le Canada participe aux organisations internationales de normalisation par le truchement du Conseil canadien des normes. Il se peut que certains bénévoles siègent à des comités comme représentants du Conseil des normes du Canada aussi bien que de l'ISO et de l'ACN. Suzanne en est un exemple.
M. Jim Jones: Stan nous a souligné un aspect intéressant il y a quelques semaines au sujet de la nouvelle puce Intel Pentium 3. On stocke de l'information sur la puce pour être en mesure d'échanger de l'information sur l'Internet. Je ne crois pas que la société Intel a agi isolément. Elle a probablement contacté un organisme de normalisation et donné des précisions sur le type d'information qu'elle aimerait recueillir et sur le mode de transmission. Êtes-vous au courant de cela et y avez-vous participé d'une façon ou d'une autre?
M. Jim Savary: Non. Je ne parle pas à titre de porte-parole de l'ACN ici, mais plutôt à brûle-pourpoint comme économiste de l'Université York. Je doute qu'Intel ait contacté une organisation de normalisation. J'ai l'impression que cette société a tout simplement encodé le numéro de série de la puce, en espérant commercialiser une technologie qui permettrait, me semble-t-il, une violation flagrante de la vie privée.
M. Stan Keyes (Hamilton-Ouest, Lib.): On commercialise de l'information, et pas de la technologie.
Mme Sue Barnes: C'est exact.
M. Jim Savary: Tout à fait. La prospection des données est une réalité de l'heure beaucoup plus significative que nous ne l'aurions imaginé, si jamais elle se concrétise. Heureusement, au Canada, le code de l'ACN la décèlerait puisqu'il serait nécessaire d'informer le consommateur de la collecte de certaines données, des raisons qui la justifient, et ce dernier aurait l'occasion de refuser que des données le concernant soient recueillies de la sorte.
Sur le plan de l'observation, ce serait peut-être autre chose. Il faudra peut-être une solution technique qui imposerait la conformité au code de protection de la vie privée et à toute législation pertinente, le cas échéant. Mais il faut dire que le code a certainement l'envergure suffisante pour englober ce genre de situation.
M. Jim Jones: Si j'ai parlé d'autres organismes comme l'IEEE et l'ISO—et il y en a une série d'autres dont les sigles m'échappent pour le moment—c'est parce que j'estime qu'ils auraient été contactés pour des discussions concernant ce genre d'information. Voilà pourquoi il importe que votre organisation entretienne des rapports avec ces organismes.
M. Jim Savary: Je conviens certes qu'il importe que l'ACN collabore de très près avec de telles organisations par le truchement du CCN. Il existe, comme vous le savez, d'autres organisations comme la Commission consultative sur la normalisation des télécommunications, qui suivent de très près les divers aspects techniques dans ces domaines. Toutefois, d'après ce que j'en sais, l'IEEE ne serait intéressée par les normes techniques ayant trait aux interfaces du matériel ou au développement de protocoles de logiciel. Et je ne suis même pas certain que l'IEEE soit intéressée par les logiciels. De toutes manières, je ne crois pas que cette organisation pourrait accepter ou rejeter une initiative d'Intel. Cependant, vous avez peut-être raison.
M. Jim Jones: Il s'agit peut-être de l'ISO.
M. Jim Savary: Cela m'étonnerait. Mais vous avez peut-être raison. Dans la mesure ou notre code l'empêche, je crois que nous sommes en bonne posture.
La présidente: Quelqu'un souhaite-t-il formuler un commentaire à ce sujet?
Mme Suzanne Morin: Mon collègue M. Savary a répondu à ma question. À mon avis, Intel n'a contacté aucun organisme de normalisation à ce sujet. Malheureusement, pour ce type de technologie, il arrive souvent que ce soit après la commercialisation que diverses entreprises, soit de leur propre chef, soit à cause d'initiatives de leur gouvernement, décident qu'il est nécessaire de formuler une norme internationale. C'est souvent de cette manière qu'une norme voit le jour.
On peut aussi citer en exemple le cas des préférences personnelles. Je ne voudrais pas m'aventurer dans un domaine qui ne m'est pas très familier, mais un organisme qui s'appelle le World wide web organization W3W ou W3, songe à établir l'accès par défaut aux préférences personnelles. Lorsqu'on navigue sur l'Internet, le fureteur ne permettra l'interface qu'avec les sites web qui correspondent aux préférences exprimées.
La question reste de savoir qu'est-ce qui permettra d'accéder par défaut à ces préférences et s'il faudra être un internaute aguerri pour pouvoir les modifier? Un témoin faisait hier ressortir le fait que les «cookies» ne posent aucune difficulté.
• 1605
Malheureusement, les entreprises très souvent conçoivent des
logiciels et du matériel privé et ce n'est qu'après coup, si un
problème se pose ou si le besoin s'en fait sentir, qu'elles
s'entendent sur une norme. Je pense donc comme Jim qu'Intel ne
s'est pas adressée à un organisme de normalisation.
M. Jim Jones: Puis-je faire une suggestion? Je peux communiquer avec Intel pour savoir à quel organisme de normalisation la société appartient et pour demander si cette proposition a été soumise à ce genre d'organisme. La société a peut-être adopté cette mesure parce que le reste du monde est en train d'adopter cette norme.
Mme Suzanne Morin: L'objectif c'est d'être le premier sur le marché.
M. Jim Jones: J'ai déjà travaillé dans le secteur de la haute technologie et la société à laquelle j'appartenais a siégé à de nombreux organismes de normalisation. Ma société a essayé de se conformer rigoureusement aux recommandations de ces organismes. Je pense que c'est sans doute ce qu'a fait Intel. Je ne pense pas que la société avait un motif caché.
M. Jim Savary: Je pense que c'est une excellente suggestion. Je verrai quels renseignements je peux obtenir de la société.
La présidente: Je vous remercie.
Monsieur Lastewka.
M. Walt Lastewka: Merci, madame la présidente.
Pouvez-vous nous donner une idée du nombre d'organismes qui ont demandé l'agrément après l'adoption de la norme?
M. Jim Savary: J'ai une vague idée. Ellen, connaissez-vous le nombre exact?
Mme Ellen Pekilis: Vous connaissez toute la liste.
M. Jim Savary: Je ne sais pas si je devrais nommer ces organismes. Je suppose que je l'ai déjà fait dans ma déclaration préliminaire. Le Bureau d'assurance du Canada en est un. L'Association des banquiers canadiens en et un autre. L'Association médicale canadienne élabore actuellement un code. Le Canadian Television Standards Council le fait également. Je pourrais aussi vous citer beaucoup d'autres exemples.
Mme Marlene Jennings (Notre-Dame-de-Grâce—Lachine, Lib.): Il y a aussi l'Association canadienne de marketing direct.
M. Jim Savary: En effet. Cette association a été l'une des toutes premières à adopter un code.
Un certain nombre d'autres organismes ont dit vouloir également se doter d'un code. Certains l'auraient déjà fait, mais comme on s'attendait à ce qu'une loi soit adoptée dans ce domaine, ils ont préféré attendre de voir ce qui serait prévu dans la loi.
M. Walt Lastewka: L'un d'entre vous a dit plus tôt que la section de la vérification est celle qui est chargée de voir si une société respecte le code de l'Association canadienne de normalisation, n'est-ce pas? Je pense que c'est Ellen qui a fait cette observation.
Mme Ellen Pekilis: Oui.
M. Walt Lastewka: Comment une entreprise fait-elle savoir aux clients qu'elle respecte ces normes?
M. Jim Savary: C'est habituellement à l'entreprise elle-même d'y voir. Ainsi, si la société machin décidait d'approuver mon code de protection de la vie privée, je ferais en sorte que mes clients sachent en consultant mon site web ou par un encart publicitaire que ce code respecte la norme ACN-830.
M. Walt Lastewka: À quels intervalles allez-vous revoir ce code?
M. Jim Savary: L'ACN prévoit un examen quinquennal des normes. Les normes peuvent cependant être revues plus fréquemment. Le président du comité technique ou un sous-comité de celui-ci, pourrait demander que les normes soient revues s'il y avait une bonne raison de le faire plus tôt.
M. Walt Lastewka: Est-ce la première fois qu'une norme figure dans une loi du Parlement?
Mme Ellen Pekilis: Non.
M. Jim Savary: Parlez-vous de cette norme ou des normes en général?
M. Walt Lastewka: De cette norme.
M. Jim Savary: C'est la première fois qu'il est question de cette norme dans une loi canadienne.
M. Walt Lastewka: Merci, madame la présidente.
La présidente: Merci beaucoup, monsieur Lastewka.
[Français]
Monsieur Dubé, avez-vous d'autres questions?
M. Antoine Dubé: J'aimerais revenir à la loi québécoise. Au moment où vous avez établi ces normes, est-ce que vous connaissiez la teneur de la loi québécoise?
M. Jim Savary: Nous la connaissons. Nous avons commencé par étudier le projet de loi C-68 adopté au Québec et les lignes directrices de l'OCDE. Le projet de loi C-68 s'est inspiré des lignes directrices de l'OCDE comme nous l'avons fait nous-mêmes. Nous avons également établi notre code après avoir comparé l'ensemble des lois à l'échelle mondiale dans ce domaine.
[Français]
M. Antoine Dubé: J'ai eu l'occasion de discuter avec des représentants de l'OCDE qui étaient venus ici, à Hull, avant les Fêtes. Les Français me disaient notamment qu'ils connaissaient la loi québécoise et qu'ils la trouvaient intéressante. On vous a demandé si vous procéderiez à des révisions à tous cinq ans ou peut-être même plus fréquemment. Si vous ne l'avez pas fait auparavant, pourriez-vous envisager d'examiner la loi québécoise?
[Traduction]
M. Jim Savary: Nous l'avons fait par le passé dans la mesure où nous nous sommes servis de la loi québécoise comme point de départ pour établir notre propre code. La loi québécoise a été adoptée par une assemblée législative. Notre code est un code volontaire qui s'inspire de différents documents dont le code de l'OCDE et le projet de loi C-68. Le code n'est cependant pas formulé de la même façon puisqu'il s'agit d'un code volontaire. Lorsque la norme sera revue, nous tiendrons certainement compte de toute l'information dont nous disposons et notamment de la loi québécoise, qui aura peut-être été modifiée d'ici là.
[Français]
M. Antoine Dubé: Vu que les normes sont précisées dans un article de l'annexe, est-ce qu'il serait possible que le ministre ou le Conseil des ministres puisse simplement modifier ces normes? Certains témoins nous ont dit que, puisqu'il s'agirait d'un amendement à la loi, une modification devrait faire l'objet d'un débat à la Chambre et ainsi de suite. Qu'en pensez-vous?
[Traduction]
M. Jim Savary: À titre d'organisme de normalisation, nous n'avons vraiment pas de position sur la façon dont le gouvernement doit légiférer dans ce domaine. N'étant pas un spécialiste du droit administratif ou de la procédure législative, j'ignore les conséquences qu'entraîne la loi telle qu'elle est proposée. Quelqu'un peut peut-être me renseigner là-dessus.
Nous voulons essentiellement nous assurer que la norme soit la meilleure possible. Nous laissons au gouvernement le soin de décider ce qu'il veut en faire. C'est d'ailleurs ce qui se passe dans le cas des autres normes qui sont adoptées par l'association, et je crois que c'est notre position au sujet de cette norme également.
[Français]
M. Antoine Dubé: Au cours de vos discussions, qu'est-ce qui a été le point le plus difficile à faire accepter à vos membres?
[Traduction]
M. Jim Savary: C'est une bonne question. Je demanderai à Gerry d'y répondre.
[Français]
M. Gérald Lavallée: À mon avis, nous avons bien débattu de presque tous les points. Comme nous le disions lors de notre présentation orale, il nous a fallu quatre ans pour en arriver à un code qui soit appuyé à l'unanimité par nos membres. Nous avons discuté de façon approfondie de tous les aspects et de tous les principes, tenu compte de toutes les préoccupations et réussi à en arriver à un consensus. Je ne saurais identifier une question plus difficile que les autres.
M. Antoine Dubé: On a parlé d'un processus équilibré, donc de la représentativité de différents groupes d'intérêts. Pourriez-vous me donner une idée de la proportion que représentaient les consommateurs? Parmi les 44 membres dont vous parliez, combien représentaient les consommateurs?
[Traduction]
M. Jim Savary: Le comité technique compte deux types de membres. Il y a les membres ayant droit de vote qui représentent dans une proportion égale les organismes de consommateurs, l'industrie et le gouvernement. Pour ce qui est des autres membres, je devrais demander à Ellen de vous donner des renseignements plus précis...
Mme Ellen Pekilis: Il s'agit de membres associés.
M. Jim Savary: Les membres associés n'ont pas participé au vote, mais ils ont pris part aux discussions. Seuls les membres ayant droit de vote ont évidemment participé au vote lui-même. Tous les groupes y sont cependant représentés en proportions égales.
Comme je l'ai dit plus tôt, le vote doit être unanime. Le processus de normalisation repose sur le consensus et les discussions se poursuivent jusqu'à ce qu'on aboutisse à un consensus.
La présidente: Je vous remercie beaucoup, monsieur Dubé.
Monsieur Murray, je vous prie.
M. Ian Murray (Lanark—Carleton, Lib.): Merci.
En répondant à la question de M. Dubé, vous avez abordé le sujet du processus d'examen sur lequel je voulais vous poser une question. Vous devez d'abord être très fier de voir que cette norme figure maintenant dans une loi. Ce doit aussi être un peu comme si vous aviez donné votre enfant en adoption puisque le code peut désormais être changé par décret. Le code est l'aboutissement d'un long processus.
Je pose la même question que M. Dubé. Le gouvernement s'est-il engagé à vous consulter s'il décidait de modifier la norme ou êtes-vous maintenant essentiellement exclu du processus? Je sais que vous pouvez changer le code de votre propre chef pour répondre à vos besoins.
M. Jim Savary: Je ne crois pas qu'on se soit engagé officiellement à nous consulter. Nous espérons naturellement qu'on le fera puisque nous sommes les parents naturels de cet enfant. Nous espérons que les parents adoptifs tireront parti des connaissances que nous croyons avoir acquises dans ce domaine.
Mme Ellen Pekilis: Les parents adoptifs, c'est-à-dire Industrie Canada, sont des membres à part entière du comité et les membres du comité se sont engagés à se tenir réciproquement au courant de l'évolution du dossier.
M. Ian Murray: J'aimerais savoir quel est le rôle du Conseil canadien des normes? Doit-il approuver une norme pour qu'elle devienne une norme nationale? Je ne sais pas au juste quel est son rôle.
M. Jim Savary: Je peux essayer de répondre à la question...
Mme Ellen Pekilis: Je peux répondre assez bien à cette question.
M. Jim Savary: Dans ce cas, faites-le.
Mme Ellen Pekilis: Vous pouvez le faire si vous le souhaitez.
M. Jim Savary: Non, répondez-y. Je ne pourrais sans doute pas y répondre aussi bien que vous.
Mme Ellen Pekilis: C'est une procédure que nous connaissons bien. Le Conseil canadien des normes est un organisme de surveillance fédéral. C'est une société d'État fédérale qui relève d'Industrie Canada. Le conseil est chargé d'agréer les organismes de normalisation au Canada. L'Association canadienne de normalisation est l'un de ces organismes. Le conseil n'a pas droit de regard direct sur chacun des comités de l'ACN. En vertu de l'agrément qui lui a été accordé, l'ACN mène ses activités conformément aux règles établies en matière de normalisation par le Conseil canadien des normes.
Lorsqu'une norme est nationale, comme notre code, cela signifie qu'on a franchi une étape supplémentaire. Ainsi, notre code a été soumis au Conseil canadien des normes devant lequel nous avons fait la preuve qu'il avait été établi conformément aux procédures établies par le conseil et qu'il représente un consensus. Voilà ce qu'on entend par norme nationale. Le processus, et non pas le contenu, a été agréé par le Conseil canadien des normes qui veille à ce qu'une norme représente un consensus.
La présidente: Monsieur Murray, Mme Morin voulait ajouter quelque chose. Je ne suis pas sûre qu'elle le veuille toujours.
Mme Suzanne Morin: Merci, madame la présidente.
Je reviens à votre première question qui portait sur la modification de l'annexe, c'est-à-dire de la norme. J'admets être avocate et, à moins que je ne m'abuse, le projet de loi prévoit seulement que le gouverneur en conseil peut seulement modifier la norme pour refléter les changements qui pourraient y être apportés par l'Association canadienne de normalisation à l'issu d'un processus très complexe.
Dans le cadre du processus d'examen quinquennal, il faudrait tenir compte des voix exprimées si l'on comptait modifier la norme. Nous espérons tous que cette norme serait modifiée dans l'intérêt de tous les intervenants puisque le milieu des affaires, le gouvernement et les consommateurs sont représentés au sein du comité. Si je ne m'abuse, le gouverneur en conseil pourrait ensuite décider de modifier la norme en conséquence et le Parlement n'aurait pas à intervenir. Voilà comment je pense que cela fonctionnerait.
Je conviens avec Jim qu'il serait malheureux que le gouvernement modifie la norme sans nous consulter, mais le gouvernement est cependant libre d'agir à sa guise. Voilà ce que prévoit le projet de loi C-54, si je ne m'abuse.
M. Ian Murray: Si vous avez raison, c'est une grande marque de confiance dans votre organisme. Je pense que vous pouvez en être fière.
Mme Suzanne Morin: Le gouverneur en conseil peut cependant décider de ne pas procéder de cette façon.
M. Ian Murray: Merci beaucoup.
La présidente: Merci beaucoup, monsieur Murray.
• 1620
Monsieur Jones, aviez-vous d'autres questions?
M. Jim Jones: Oui, merci.
J'aimerais savoir ce que vous pensez de l'éventualité d'avoir au Canada des normes multiples sur la protection des renseignements personnels. Le projet de loi C-54 pourrait créer des normes multiples sur la protection des renseignements personnels, en les inscrivant dans une loi fédérale qui s'appliquerait conjointement avec la loi québécoise, et au cours des deux ou trois prochaines années, les neuf provinces auxquelles viendraient s'ajouter les territoires pourraient adopter leurs propres lois sur la protection des renseignements personnels. D'après vous, est-ce souhaitable ou pas? Le consommateur serait-il confus? D'après votre expérience, les normes multiples peuvent-elles coexister en pratique? Les normes plus élevées parviendraient-elles à chasser les moins élevées, ou coexisteraient-elles dans une multiplicité portant à confusion? Cette situation ne pourrait-elle pas entraîner le magasinage de la province de résidence, les citoyens décidant de s'établir dans la province qui offre les normes de protection des renseignements personnels qui leur conviennent?
M. Jim Savary: C'est une suggestion intéressante. Ceux d'entre vous qui auront suivi des cours d'économie de première année, se rappellent sans doute la loi de Gresham, portant que la mauvaise monnaie chasse la bonne. Je crois que vous laissez entendre que les mauvaises normes pourraient chasser les bonnes, dans un contexte de normes multiples.
Si j'ai bien compris le projet de loi, il faudra qu'il y ait conformité avec la loi fédérale. Mais vous connaissez bien mieux que moi toutes les subtilités du projet de loi et avez eu l'avantage sur moi d'entendre ce qu'en pensaient les législateurs, et j'imagine que vous cernez donc mieux que moi la situation.
Je répète que ce qui nous préoccupait, c'était la norme CAN/CSA-Q830, à laquelle adhérait une bonne part des parties prenantes et qui, d'après nous, offre un excellent modèle. Il revient aux gouvernements fédéral et provinciaux de déterminer par voie de négociation comment la loi s'appliquera à chaque palier gouvernemental.
M. Jim Jones: J'imagine que vous avez consulté toutes les provinces là-dessus.
M. Jim Savary: Oui, toutes les provinces. Plusieurs d'entre elles siègent d'ailleurs au comité technique, ce qui implique leur participation, et ce qui permettra, je pense, d'avoir une certaine homogénéité d'un secteur à l'autre.
M. Jim Jones: Bien. Merci.
La présidente: Vous avez terminé, monsieur Jones?
M. Jim Jones: Oui.
La présidente: Merci.
Madame Jennings, vous avez la parole.
Mme Marlene Jennings: Merci.
M. Bellemare vous a demandé si cette norme avait été incorporée dans d'autres lois, et vous avez répondu par la négative, en expliquant qu'elle serait incorporée pour la première fois au projet de loi C-54. Y a-t-il des normes de l'ACN qui aient été incorporées dans des lois, et dans l'affirmative, ont-elles été incorporées de la façon dont on se propose de le faire avec le code type? Qu'en savez-vous?
Mme Ellen Pekilis: Des centaines, voire des milliers, de normes de l'ACN ont été adoptées par les gouvernements d'un bout à l'autre du pays. Elles ont été incorporées de diverses façons. Je crois que le Code canadien de l'électricité a été inscrit directement dans la loi. Quant à la méthode que choisissent les provinces, il faudrait poser la question aux rédacteurs de la loi.
Mme Marlene Jennings: Je comprends, mais j'aimerais savoir si l'on a déjà incorporé dans d'autres lois des normes de l'ACN, de la même façon dont on se propose de le faire dans ce projet de loi-ci.
Mme Ellen Pekilis: Je répète que l'on a eu recours à diverses méthodes, et...
Mme Marlene Jennings: Cette méthode-ci a-t-elle déjà été utilisée?
Mme Ellen Pekilis: À vrai dire, je n'en sais rien.
Mme Marlene Jennings: Bien.
La présidente: L'un ou l'autre des autres témoins peut-il répondre? Non.
Mme Marlene Jennings: Si ce n'est pas trop difficile, j'aimerais que vous fassiez un peu de recherche, mais pas trop tout de même, pour essayer de déterminer si cette méthode a déjà été utilisée.
J'ai une autre question: Dans les cas où ce genre de normes a été adopté et que l'on a dû imposer des normes multiples en raison d'un chevauchement de compétences, que s'est-il passé? Par exemple lorsque le gouvernement fédéral adoptait sa propre loi dans son propre champ de compétence, alors que les gouvernements provinciaux faisaient de même dans leur propre sphère de compétence? Quelles étaient les répercussions pour le milieu des affaires et pour les consommateurs?
Même si c'est à vous que je m'adressais, madame Pekilis, les autres peuvent répondre.
Mme Ellen Pekilis: Vous feriez mieux de poser la question au gouvernement, puisqu'il s'agit plutôt d'une question de politique. Notre mandat à nous, c'est de rédiger la norme. Si vous pensez à la confusion et à la multiplicité de lois, nous pouvons bien pour notre part rédiger une seule norme qui soit applicable d'un bout à l'autre du pays, mais le reste ne relève pas de nous.
Mme Marlene Jennings: D'accord, mais vous ne portez tout de même pas d'oeillères. M. Savary a expliqué que lorsque vous avez commencé à réfléchir au code, vous aviez entre les mains, dans votre documentation de base, le texte législatif d'au moins une province, texte qui vous a servi à élaborer la norme en question. Autrement dit, vous savez qu'au moins un texte législatif existe déjà. Une fois une norme adoptée, elle est généralement utilisée par vos membres qui l'adoptent à leur tour. J'imagine qu'il peut parfois arriver que vos membres vous signalent que la double présence d'une norme provinciale et d'une norme nationale ne pose aucune difficulté, ou que parfois au contraire cette double norme leur rend la vie difficile. Vous pouvez alors réagir en rétorquant que vous n'y pouvez rien puisqu'il s'agit de lois et de différents champs de compétence, ou vous pouvez alors décider de rééquilibrer votre code. Cela vous est-il déjà arrivé à l'ACN, et dans l'affirmative, que s'est-il passé?
Mme Ellen Pekilis: Je comprends mieux votre question. Sachez, en premier lieu, que pour avoir des comités bien équilibrés, nous demandons toujours à des représentants du gouvernement d'y siéger; par conséquent, nos comités comptent toujours parmi leurs membres des représentants gouvernementaux qui connaissent intimement le champ d'action auquel s'applique la norme. D'ailleurs, faute de faire siéger ces gens-là à notre comité, nous pourrions nous heurter à de véritables problèmes. Faute d'avoir parmi ces membres des représentants du gouvernement, un comité serait bien mal composé.
Il y a toutes sortes d'étapes à suivre pour le maintien d'une norme. Une fois que la norme est mise en vigueur, on la revoit périodiquement pour s'assurer qu'elle ne tombe jamais en désuétude. De plus, il est toujours possible de modifier la norme si un problème surgit. Ainsi, si une norme est utilisée pour induire les consommateurs en erreur et que cela est porté à notre attention, il est de notre devoir de réagir. Vous avez donc raison de dire que nous sommes sensibilisés à ce qui arrive au moment de la mise en oeuvre. Nous espérons que nos membres, qui représentent toutes les différentes couches de la société, porteront à notre attention les problèmes qui surgiront, de façon que nos comités puissent au besoin corriger la situation.
Mme Marlene Jennings: Merci beaucoup.
La présidente: Merci beaucoup, madame Jennings.
[Français]
Monsieur Dubé, s'il vous plaît.
M. Antoine Dubé: Comme l'indique son titre, ce projet de loi vise à promouvoir le commerce électronique en protégeant les renseignements personnels recueillis, utilisés ou communiqués dans certaines circonstances, en prévoyant l'utilisation de moyens électroniques.
Les normes que vous avez établies devaient être appliquées dans un contexte d'autodiscipline et d'autoapplication. Elles n'ont pas été établies en fonction d'une révision de la loi. Est-ce que vos normes se limitent aux communications électroniques ou si elles ont une visée plus large?
[Traduction]
M. Jim Savary: Pouvez-répondre à cette question?
[Français]
M. Gérald Lavallée: Leur visée était plus large. Nous avons voulu dès le début qu'elles s'appliquent au secteur privé en général, peu importe le moyen utilisé pour faire des affaires.
M. Antoine Dubé: Puisque la révision actuelle vise surtout le commerce électronique, croyez-vous qu'on devrait y apporter des modifications afin de les rendre encore plus précises?
M. Gérald Lavallée: Comme nous l'avons déjà mentionné, les normes pourraient faire l'objet d'une revue, bien que notre code semble bien couvrir le commerce électronique.
M. Antoine Dubé: Vous nous avez peut-être déjà fourni cette réponse, mais comme vous pouvez le constater, nous devons lire une assez grosse brique et nous travaillons également sur d'autres dossiers.
Pourriez-vous nous fournir une liste des 44 membres du comité technique, ce qui nous permettrait de savoir, comme M. Jones le demandait, si toutes les provinces y sont bien représentées et de connaître le nombre de représentants issus du secteur gouvernemental? Merci.
M. Jim Savary: Oui, il n'y a pas de raisons qu'il n'en soit pas de même.
Mme Ellen Pekilis: J'ai d'ailleurs la liste avec moi. Voulez-vous que je vous la fasse parvenir plus tard, ou voulez-vous la photocopier maintenant?
La présidente: Vous pouvez l'envoyer à la greffière qui la fera distribuer aux membres du comité.
Monsieur Shepherd.
M. Alex Shepherd (Durham, Lib.): Je m'intéresse au rapprochement des codes, au sein de votre association. Il semble évident que l'ACN a plusieurs codes pour la fabrication des biens de production, etc. Votre association a-t-elle un moyen de les faire concorder?
Soit dit en passant, on a parlé de la puce Intel et du fait que ce système informatique pourrait être vendu au Canada. Est-ce qu'il doit d'abord être approuvé par l'ACN pour pouvoir être vendu ici, et comment faites-vous pour faire concorder votre système d'homologation et le code?
M. Jim Savary: Vous avez posé une question intéressante, car vous parlez au fond de deux normes différentes: d'une part, de la norme technique, qui oblige Intel à répondre aux normes de l'ACN en matière de sécurité, notamment, et, d'autre part, de la norme de gestion, autrement dit du code de protection des renseignements personnels. Il se peut fort bien que les fabricants d'Intel aient le feu vert du point de vue technique—autrement dit, la puce peut être utilisée sans problèmes dans un ordinateur et répondre aux autres critères de l'ACN—mais pour ce qui est de la norme de gestion, que l'inclusion de cette méthode servant à repérer l'utilisateur réponde au code ou pas, j'ai l'impression qu'il faudra attendre un cas d'utilisation frauduleuse du mécanisme.
Autrement dit, le simple fait d'avoir une méthode servant à repérer l'utilisateur ne constitue pas en soi une infraction à la norme; par ailleurs, dès lors que l'on collige de l'information sur l'usager et qu'on l'utilise sans son consentement, le code se trouve se trouve enfreint. Il y aura donc infraction à partir du moment où Intel aura souscrit au code ou aura une base d'affaires au Canada, et à partir du moment où la loi aura été adoptée et qu'elle s'appliquera à toutes opérations commerciales. Lorsque ce sera le cas, j'imagine qu'Intel devra respecter tous les critères de la loi.
Mme Ellen Pekilis: Me permettez-vous d'intervenir? M. Savary n'est certainement pas au courant, puisqu'il préside notre comité, mais je suis pour ma part de l'intérieur de la boîte.
Nous avons formé un groupe de travail interne sur le commerce électronique. Nous formons un groupe de ce genre chaque fois qu'il y a croisement d'un sujet à l'autre, comme par exemple entre l'environnement, d'une part, et la santé et la sécurité au travail, d'autre part. Parfois, il est difficile de déterminer qu'un sujet relève entièrement de la santé et de la sécurité au travail plutôt que de l'environnement. Notre comité interne s'occupe plutôt de santé et de sécurité au travail.
Chaque fois que nous nous intéressons à des normes qui portent sur des politiques et qui chevauchent plusieurs secteurs, nous essayons de cibler des spécialistes de chacun de ces domaines pour leur demander de former un groupe de travail. Nous avons donc former un groupe de travail interne sur le commerce électronique qui inclut des spécialistes des normes électriques et des spécialistes des questions d'informatique.
M. Alex Shepherd: Je voudrais pousser ma réflexion un peu plus loin: si l'ordinateur que vend Intel répond aux normes techniques que vous avez fixées et qu'il porte votre nom et le sceau de l'ACN, est-ce que cela ne laisse pas entendre aux consommateurs que la compagnie Intel souscrit également à vos normes en matière de protection des renseignements personnels? Est-ce que cela ne revient pas à induire en erreur les consommateurs canadiens?
M. Jim Savary: Cela ne l'induit certainement pas encore en erreur, car je doute que les Canadiens connaissent vraiment la norme ACN. Je crois qu'au fil des audiences de votre comité, les Canadiens finiront par se familiariser beaucoup plus avec le projet de loi C-54 qu'avec la norme.
Mais d'un point de vue pratique, si l'on devait utiliser le symbole de l'ACN comme indice d'adhésion à la norme, cela pourrait en effet prêter à confusion. C'est justement à cause de cela, notamment, que nous avons eu de longues et intenses discussions entre nous pour décider si l'ACN devrait offrir son symbole aux compagnies dont le code se conformerait au sien. Mais que je sache, rien n'a été décidé en ce sens. L'emblème ACN ne s'appliquerait qu'aux normes de sécurité et aux dispositifs électriques de l'ordinateur. De plus, le symbole ACN n'implique en rien qu'Intel adhère à la protection des renseignements personnels.
En outre, j'imagine que le consommateur pourrait être aisément déconcerté et ne pas savoir qui est responsable: est-ce Intel, qui fabrique la puce installée à l'intérieur de l'ordinateur, lequel a sans doute été assemblé dans un petit atelier de Markham...
M. Jim Jones: Eh bien...
M. Jim Savary: Ou plutôt dans un grand atelier de Markham. J'avais oublié, monsieur Jones, que vous représentiez une circonscription très prospère.
Mais vous soulevez une excellente question. Comment les consommateurs peuvent-ils être sûrs que leurs renseignements personnels sont protégés? C'est une question difficile, voire hypothétique, puisque les consommateurs doivent d'abord être sensibilisés au fait que leurs renseignements personnels peuvent être vulnérables. Une fois qu'ils sont sensibles au fait que leurs renseignements personnels peuvent être vulnérables, il leur faudrait ensuite découvrir de quelles façons ils sont vulnérables. En supposant qu'ils découvrent que le coupable est Intel, une société étrangère, j'ai l'impression qu'ils pourraient soit fermer les yeux, soit décider de se plaindre auprès d'une agence provinciale de protection du consommateur.
Mme Ellen Pekilis: Me permettez-vous d'intervenir?
La présidente: Bien sûr.
Mme Ellen Pekilis: Lors des essais, l'homologation consiste en une série de fonctions afférentes à un certain groupe de normes qui fixent les spécifications de produits; une fois le produit homologué, dans le cadre d'un contrat, l'emblème prouve que les essais ont été effectués. Dans le cas qui nous occupe, il ne s'agit du même type de normes. Il s'agit ici d'une norme de système de gestion, qui est vérifiée de façon distincte par une division distincte. Les trois divisions de l'ACN—élaboration des normes, enregistrement des systèmes de gestion et homologation des essais—sont séparées par une cloison interne qui vise à éviter les conflits d'intérêts; et c'est pour cette même raison que ces trois divisions rendent des comptes à différents conseils.
La section de notre organisation qui s'occupe de l'enregistrement des systèmes de gestion n'est pas la même section de l'ACN chargée des travaux d'homologation dont tous les consommateurs canadiens connaissent la marque. À savoir la petite étiquette ACN sur une ampoule électrique, ou sur un ordinateur. Tout appareil électrique, tout ce qui se branche dans une prise de courant, doit porter cette marque pour être vendu au Canada. QMI n'appose pas d'étiquettes sur les produits; cet organisme délivre plutôt des certificats d'enregistrement. Les certificats concernant les systèmes de gestion sont communiqués d'une manière différente. On n'utilise pas la même marque ACN qu'on emploie pour certifier la sécurité des appareils électriques.
M. Alex Shepherd: Très bien.
La présidente: Avez-vous d'autres questions, monsieur Shepherd?
M. Alex Shepherd: Non.
La présidente: Monsieur Jones, avez-vous d'autres questions?
M. Jim Jones: Oui.
La présidente: Je vous donnerai la parole dans une quinzaine de secondes, après qu'un technicien aura fait des ajustements techniques, car l'anglais ne nous parvient pas encore correctement. Nous allons faire cela maintenant.
Nous passons maintenant à M. Jones.
M. Jim Jones: J'ai deux brèves questions à poser. L'une concerne le sous-comité gouvernemental de l'ACN. Vous avez dit tantôt que les décisions se prenaient d'un accord général plutôt qu'à l'unanimité. Ce sous-comité gouvernemental possède-t-il un plus grand poids?
Vous voudriez que toutes les provinces et le gouvernement fédéral s'entendent sur des normes en ce qui concerne la protection des renseignements personnels. Ce groupe a-t-il plus de poids que vos autres 8 000 membres?
M. Jim Savary: Les sous-comités auxquels j'ai fait allusion étaient le comité de coordination et de rédaction et le comité de mise en oeuvre. Si je me souviens bien, le comité de coordination et de rédaction ne comptait qu'un ou deux représentants du gouvernement—deux, je crois, et trois à l'occasion—et les autres membres venaient de groupes de revendication et du secteur privé.
Je crois cependant que vous voulez plutôt savoir si les représentants du gouvernement ont plus de poids que les représentants d'autres organisations. La réponse est non.
Ils participent au débat. Je suppose que tous les participants ont la même possibilité d'exprimer leurs opinions, étant donné que c'est une activité de concertation. Quant à savoir si chacun profite de cette possibilité, c'est une autre question. Le gouvernement a certainement délégué des représentants bien informés et éloquents, mais ce fut le cas également des organisations du secteur privé et des représentants de certains groupes de revendication. Je dirais donc qu'aucun participant n'a plus de poids qu'un autre.
Mme Ellen Pekilis: Si vous le permettez, j'ajouterai que nos règlements internes—et ils remontent au temps de notre accréditation par le conseil des normes—exigent que nous établissions et que nous maintenions un certain équilibre parmi les membres de nos comités techniques, et grâce à cet équilibre, aucun groupe ne peut contrôler les votes. Le groupe qui comporte le plus grand nombre de membres au sein d'un comité technique ne peut pas en avoir assez pour dépasser le nombre de votes des deux plus petits groupes réunis, de telle sorte qu'il ne peut jamais arriver qu'un groupe plus nombreux puisse dicter ses volontés au groupe moins nombreux.
M. Jim Jones: Ma deuxième question porte sur la puce pour Internet. Pouvez-vous nous en expliquer encore une fois les raisons? Je comprends que cela peut être aussi simple que lorsqu'on vous demande une pièce d'identité dans un magasin à rayons ou une épicerie. Lorsqu'on s'abonne à des services Internet, il y a probablement un endroit où l'on inscrit automatiquement son identité. Ensuite, lorsqu'on veut acheter quelque chose ou obtenir quelque chose, il devient possible de faire une vérification rétrospective pour savoir qui a fait quoi.
M. Jim Savary: C'est une façon très charitable de voir la chose. Il y a je suppose des organisations sur Internet qui vous demandent déjà de vous inscrire. On justifie cette inscription en disant que vous n'aurez à fournir vos renseignements personnels qu'une seule fois. Vous pourrez ensuite avoir accès à un grand nombre d'entreprises commerciales abonnées à ce service Internet. En théorie, du moins, cette façon de procéder est censée rendre les achats en ligne beaucoup plus agréables, beaucoup plus rapides et plus faciles pour les profanes en informatique comme moi. J'ai vérifié auprès de quelques organisations, cependant. D'après ce que j'ai pu voir, elles n'ont aucune politique en matière de protection des renseignements personnels pour empêcher l'accès à ces renseignements sur leurs sites Web. Elles ont presque certainement l'intention d'utiliser les données recueillies comme un moyen assez peu dispendieux...
M. Jim Jones: Je vois la chose de l'autre point de vue. Lorsque j'entre dans le système, chaque fois que je veux acheter quelque chose, j'obtiens cette page sur l'écran où je dois fournir une foule de données. J'aimerais que tout cela soit consigné quelque part; ainsi je pourrais appuyer sur une touche ou quelque chose du genre, pour envoyer ces données au lieu d'avoir à taper tout cela à chaque fois.
M. Jim Savary: Certaines de ces organisations vous offrent ce service. Mon problème est que je n'aime pas qu'Intel nous l'impose au moyen de la technologie, en particulier d'une technologie câblée comme celle-là. Il s'agit de microprogrammation et non d'un simple logiciel. C'est beaucoup plus compliqué quand il s'agit de microprogrammation.
La présidente: Je crois que Mme Morin veut aussi ajouter quelque chose.
Mme Suzanne Morin: Oui, monsieur Jones, pour faire suite à ce que Jim a dit quand il affirmait que la norme ACN ne fait pas d'«exception» pour la technologie, j'ajouterai que c'est l'une des raisons pour lesquelles nous estimons important le travail de l'Organisation internationale de normalisation. En dépit du caractère apparemment très envahissant de la puce Intel, et même après l'adoption de cette mesure législative, la norme ACN permettra quand même de capter l'utilisation de cette technologie par une organisation ou une entreprise commerciale.
Au sein de ce Comité spécial sur la protection des renseignements personnels, où j'étais l'une des représentantes canadiennes, le plus grand problème lors de notre première réunion est venu du fait que les représentants américains—surprise, surprise—disaient que nous devrions adopter des normes techniques, des normes technologiques, par exemple. À notre avis, c'est important parce qu'il s'agit des outils techniques qu'on utilise pour mettre en oeuvre une norme en matière de système de gestion où le Code canadien de l'ACN sur la protection des renseignements personnels, par exemple. Si l'on adoptait une norme canadienne pour résoudre le problème lié à la puce Pentium d'Intel, on essayerait d'élaborer des normes techniques de manière à pouvoir appliquer les politiques et les principes qui sous-tendent notre code ou nos normes sur la protection des renseignements personnels. C'est ainsi qu'on procéderait.
M. Jim Jones: Vous pourriez donc nous fournir plus tard de plus amples informations à ce sujet.
M. Jim Savary: Oui, je l'ai noté.
Mme Suzanne Morin: Vous devriez peut-être les inviter à comparaître devant le comité.
M. Jim Savary: Oui, vous aimeriez peut-être entendre leur témoignage.
Mme Suzanne Morin: Jim s'est engagé à vous donner de plus amples renseignements.
M. Jim Savary: Oui, je le ferai.
La présidente: Avez-vous terminé, monsieur Jones?
M. Jim Jones: Oui.
La présidente: Merci.
Étant donné que personne d'autre ne veut poser de questions, je voudrais en poser une moi-même. Vous fixez les normes concernant le consentement, mais qu'en est-il des exceptions prévues dans la loi? Avez-vous des commentaires au sujet de ceux qui ne sont pas assujettis aux mêmes normes?
M. Jim Savary: Quand vous parlez d'«exceptions», faites-vous allusion au cas des journalistes?
La présidente: Je parle en particulier de l'exception pour les journalistes.
M. Jim Savary: Les exceptions accordées aux journalistes et aux universitaires ne faisaient pas partie de la norme. Ce sont les législateurs qui ont jugé bon de les ajouter et je devrais donc dire, je suppose, que l'ACN n'a pas d'opinion à ce sujet.
La présidente: Vous n'avez pas d'opinion.
M. Jim Savary: Eh bien, l'ACN n'a pas d'opinion. Je suppose que l'idée ne plaît à aucun d'entre nous. L'idée ne plaît pas à notre organisme, et elle ne plaît peut-être pas non plus à chacun d'entre nous en particulier.
La présidente: Très bien.
Voulez-vous ajouter quelque chose? Avez-vous un dernier mot à dire avant de partir.
M. Jim Savary: Je dirai seulement que nous vous remercions de nous avoir donné l'occasion de vous rencontrer et je répète que le processus de concertation nous a permis d'établir ce que nous pensons être une très bonne norme. Nous sommes heureux de nous en remettre maintenant au gouvernement.
La présidente: Au nom des membres du comité, je vous remercie tous d'être venus aujourd'hui.
La séance est levée.