Passer au contenu

INDY Réunion de comité

Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.

Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

Publication du jour précédent Publication du jour prochain

STANDING COMMITTEE ON INDUSTRY

COMITÉ PERMANENT DE L'INDUSTRIE

TÉMOIGNAGES

[Enregistrement électronique]

Le jeudi 4 mars 1999

• 0908

[Traduction]

La présidente (Mme Susan Whelan (Essex, Lib.)): En conformité avec l'ordre de renvoi adopté par la Chambre le mardi 3 novembre 1998, nous examinons le projet de loi C-54, Loi visant à faciliter et à promouvoir le commerce électronique en protégeant les renseignements personnels recueillis, utilisés ou communiqués dans certaines circonstances, en prévoyant l'utilisation de moyens électroniques pour communiquer ou enregistrer de l'information et des transactions et en modifiant la Loi sur la preuve au Canada, la Loi sur les textes réglementaires et la Loi sur la révision des lois.

C'est avec beaucoup de plaisir que nous accueillons ce matin trois groupes de témoins. Ainsi, nous entendrons, au nom de l'Association canadienne de la technologie de l'information, Mme Carol Stephenson, de Bell Satellite, M. Wayne Scott, d'IBM, et M. William Munson, de l'ACTI. Ensuite, nous entendrons au nom de l'Association canadienne des fournisseurs Internet, la présidente, Mme Margo Langford, et Mme Julie Garcia. Enfin, M. Michael Geist, qui enseigne le droit sur les questions concernant Internet à l'Université d'Ottawa, sera notre expert du jour.

Je souhaite la bienvenue à tous. Je propose que chacun d'entre vous fasse un exposé de cinq minutes environ, après quoi nous passerons aux questions.

Cela étant dit, nous commencerons par entendre l'Association canadienne de la technologie de l'information. Madame Stephenson, est-ce vous qui ferez l'exposé?

Mme Carol Stephenson (présidente, Association canadienne de la technologie de l'information): Oui. Je vous remercie.

Mesdames et messieurs, bonjour. Je m'appelle Carol Stephenson et je suis présidente de Bell Satellite Services et présidente de l'ACTI, c'est-à-dire de l'Association canadienne de la technologie de l'information. J'ai à mes côtés M. Wayne Scott d'IBM Canada, une compagnie membre de l'ACTI, et M. Bill Munson, de notre association.

L'ACTI est le porte-parole de l'industrie de la technologie de l'information et des communications. Elle représente environ 200 des plus grandes entreprises de ce secteur au Canada, chiffre qui passe à 1 300 si l'on ajoute les compagnies représentées par les neuf organismes provinciaux qui nous sont affiliés. Ensemble, nos membres comptent pour plus de 80 p. 100 de la contribution annuelle du secteur à l'économie canadienne qui se traduit par des revenus de 70 milliards de dollars, 418 000 emplois, 3 milliards de dollars d'investissement dans la recherche et 20,7 milliards de dollars d'exportations. Ces chiffres montrent bien pourquoi l'industrie s'intéresse à cette question et à quel point elle contribue à l'économie canadienne.

• 0910

Bien entendu, nous avons travaillé très fort pour qu'un cadre de politiques appropriées vienne préserver et soutenir une contribution de cette envergure. Nos membres et les clients qu'ils servent font oeuvre de pionniers dans les domaines du commerce et des services électroniques. Le Canada connaît un excellent départ dans ce marché naissant, et l'ACTI croit qu'il peut s'imposer comme un véritable chef de file mondial s'il trouve et applique la bonne formule.

Certains d'entre vous ont peut-être observé que le Canada faisait déjà figure de meneur à la Conférence sur le commerce électronique qui a réuni les ministres de l'OCDE à Ottawa, en octobre dernier. J'ai eu le privilège de représenter le milieu canadien des affaires à cette conférence et l'honneur d'entendre les compliments des représentants étrangers sur la qualité et la clarté de l'apport canadien à ces travaux et à ceux des diverses rencontres préparatoires.

Au Canada comme dans le monde entier, on sait bien que le commerce électronique ne réalisera pas son extraordinaire potentiel si tous n'adoptent pas une série de principes pour gagner la confiance des consommateurs. Les clients qui s'aventurent dans le marché virtuel veulent avoir l'assurance que leurs intérêts seront bien protégés, à commencer par leur vie privée et les renseignements personnels.

Déjà, en dehors du contexte législatif, les associations du secteur privé, en tout cas celles qui représentent notre industrie, sont de plus en plus conscientes du fait que les renseignements personnels ne doivent être ni perçus ni considérés comme une simple marchandise commerciale. Le projet de loi C-54 apporte un précieux complément à cette prise de conscience.

Je me permets de signaler ici que, parmi les associations industrielles du Canada, l'ACTI a toujours été aux premières lignes du débat sur la protection de la vie privée. En fait, nous avons demandé une loi à cet effet dès octobre 1994, dans un mémoire présenté au Comité consultatif du gouvernement fédéral sur l'autoroute de l'information. En réalité, nous y travaillons depuis le début des années 90.

Nous avons constamment insisté pour que le législateur prenne comme modèle le Code type de la CSA (Association canadienne de normalisation) sur la protection des renseignements personnels, un document élaboré avec notre concours par un comité multipartite représentant les entreprises, les consommateurs, les syndicats et le gouvernement. La représentation intersectorielle au sein du Comité de protection des renseignements personnels de la CSA était très large, de sorte que le Code type jouit d'une grande caution morale, tout comme le projet de loi C-54 d'ailleurs qui, comme vous le savez, s'en inspire.

En dépit de la variété d'opinions exprimées à la table de la CSA, le dialogue a été fructueux. Au terme d'un long processus de concessions mutuelles, le comité a estimé que nous avions trouvé une solution solide et raisonnable. Pour notre part, nous estimons que la solution tient bien compte de l'ensemble des intérêts qui étaient représentés à cette table.

L'ACTI est donc satisfaite du projet de loi et recommande son adoption par le Parlement, pour trois raisons fondamentales.

D'abord, comme je viens de le dire, le projet de loi se fonde sur le Code type de la CSA.

Ensuite, avec le Commissariat à la protection de la vie privée, il crée un mécanisme d'application qui mise sur la collaboration constructive plutôt que sur la contrainte. Protecteur du citoyen plutôt qu'agent de police, juge et jury, le commissaire devient un allié sur lequel on peut compter plutôt qu'une instance réglementaire contre laquelle il faut se défendre.

Enfin, le gouvernement montre par cette initiative qu'il veut une loi uniforme applicable à toutes les sociétés commerciales, peu importe où elles se trouvent au pays.

Nous aimerions toutefois, dans l'optique d'amélioration constante qui anime notre industrie, profiter de l'occasion pour proposer quatre amendements au texte de loi dont vous êtes saisis.

Je signalerai ici que nous sommes entièrement d'accord avec la partie II du projet de loi, qui reconnaît l'existence des documents électroniques et modifie en conséquence des lois en vigueur. Nous ne proposerons pas non plus d'amendements à l'annexe du projet de loi, qui reprend essentiellement le Code type de la CSA, fruit d'un compromis patiemment élaboré.

• 0915

Notre première suggestion concerne les pouvoirs d'enquête ou de vérification du commissaire. Comme je l'ai dit tantôt, nous trouvons très constructif que le Commissaire à la protection de la vie privée soit assimilé à un protecteur du citoyen. Par contre, nous n'aimons pas l'idée qu'il puisse, en vertu du paragraphe 18(1), procéder à des vérifications et faire rapport publiquement de la conformité à des dispositions libellées comme des recommandations plutôt que comme des obligations.

Le plus souvent, l'intérêt commercial poussera les sociétés à incorporer dans leurs politiques de protection de la vie privée les énoncés de l'annexe tels qu'ils sont rédigés, c'est-à-dire au mode conditionnel. Nous n'hésitons pas à affirmer que les quelques exceptions seront des compagnies qui auront des raisons valables et bien fondées de choisir de s'acquitter autrement de leurs obligations légales. Il ne faudrait pas qu'un pareil choix les pénalise.

Notre deuxième suggestion concerne la possibilité de réagir aux plaintes. Nous recommandons que le texte de loi accorde un certain délai minimum pour corriger une situation portée à l'attention du commissaire avant que ce dernier ne mette en branle son processus d'enquête et de rapport. C'est probablement ce qui se passera de toute façon, pour des raisons d'ordre pratique, mais nous aimerions beaucoup mieux avoir l'assurance formelle de la loi.

Notre troisième suggestion porte sur la transmission interne des renseignements. Nous recommandons que le texte de loi en donne l'autorisation en termes explicites. Nous sommes conscients que les organisations doivent être responsables de la sécurité des renseignements en leur possession, surtout si ces renseignements sont confidentiels. Mais la loi doit tenir compte de l'environnement ouvert dans lequel fonctionnent les bases de données à accès multiple déjà couramment utilisées au gouvernement et dans l'industrie.

Notre quatrième et dernière suggestion concerne le droit d'utilisation des renseignements publics, un point au sujet duquel nous constatons que le projet de loi C-54 est muet. Afin de faciliter le commerce électronique, les compagnies devraient être libres d'utiliser, de recueillir et de communiquer certains renseignements déjà accessibles au public (les numéros de téléphone inscrits au bottin, par exemple). Le législateur devrait aussi reconnaître, comme nous, que certains types de renseignements publics sont plus délicats que d'autres.

Vous conviendrez que ce sont là des recommandations destinées à raffiner encore plus une mesure législative que nous appuyons en règle générale. Les membres et le personnel de l'ACDI collaboreront avec plaisir avec votre comité et avec les fonctionnaires compétents pour incorporer tous les amendements qui s'imposent au projet de loi C-54 avant qu'il ne soit adopté.

Nous serons heureux également de collaborer avec les fonctionnaires et avec le Commissariat à la protection de la vie privée pour assurer la diffusion des nouvelles règles auprès des compagnies que nous représentons. Outre ses vertus intrinsèques de protection, le projet de loi C-54 offre au commissaire un excellent instrument autour duquel articuler des activités de sensibilisation et de développement organisationnel. Nous sommes heureux également que le commissaire adhère à des vues semblables et envisage de pareilles activités.

Je tiens à remercier le comité de nous avoir invités à exposer notre point de vue aujourd'hui. Nous sommes prêts à répondre à toutes vos questions, dès maintenant ou dans les jours et les semaines qui viennent.

La présidente: Madame Stephenson, je vous remercie beaucoup.

Nous cédons maintenant la parole à la porte-parole de l'Association canadienne des fournisseurs Internet. Madame Margo Langford, nous vous écoutons.

Mme Margo L. Langford (présidente, Association canadienne des fournisseurs d'accès à Internet): Je vous remercie, madame la présidente.

Je vais commencer par vous donner un aperçu général. Si vous cherchez la documentation à l'appui de mon exposé, elle se trouve dans les documents que voici. Je suis désolée de ne pas pouvoir vous la fournir en français. La documentation est en grande partie sous forme de tableaux. Elle est simplement destinée à vous donner une idée générale de l'industrie. L'industrie des fournisseurs Internet n'est pas très vieille. Je tenais donc à vous situer un peu en contexte avant de céder la parole à Julie Garcia.

Pour ce qui est de l'utilisation d'Internet à des fins personnelles, 40 p. 100 environ des Canadiens ont maintenant accès au réseau, dont 20 p. 100 approximativement à la maison, 14 p. 100 au travail et 10 p. 100 environ au deux. De plus, 70 p. 100 de nos étudiants universitaires sont maintenant branchés, un pourcentage incroyablement élevé. Grâce à Industrie Canada et à son programme Réseau scolaire canadien, presque tous les établissements d'enseignement—l'objectif visé est de brancher tous les établissements—auront accès à Internet d'ici l'an 2000. Par conséquent, l'utilisation d'Internet à des fins personnelles chez les consommateurs est sur le point d'atteindre la masse critique.

Quant aux entreprises, plusieurs se sont bien entendu branchées. Le tableau que voici illustre la répartition par secteur des entreprises qui utilisent Internet. Elles ne font forcément du commerce sur Internet, mais elles s'en servent pour mener leur exploitation. Bien sûr, elles l'utilisent de toutes sortes de façons, y compris pour les activités interentreprises.

• 0920

Comme vous pouvez le voir dans le tableau que voici, qui donne le pourcentage d'entreprises branchées, les petites et moyennes entreprises sont de loin le moteur de croissance de l'utilisation d'Internet par les entreprises, et elles font le saut à pas de géant.

Dans le prochain tableau, à la page suivante, il est question des fournisseurs Internet. Ils sont tous uniques. Il existe divers modèles d'entreprise, dont bon nombre nous sont inconnus. Industrie Canada a effectué une étude qui a révélé qu'il en existe 675. Nous parlons ici d'entreprises qui s'identifient comme étant des fournisseurs de services Internet. À mon avis, bon nombre d'entre eux sont simplement des fournisseurs d'accès ou de services connexes.

L'Association canadienne des fournisseurs Internet compte maintenant plus de 100 entreprises membres qui en réalité offrent une gamme plus complète de services. Elles offrent non seulement l'accès à Internet, mais également certains services à valeur ajoutée, comme le courriel, l'hébergement des données, la formation et la consultation.

On estime actuellement à environ un milliard de dollars les revenus de l'industrie. Typiquement, le fournisseur de services Internet connaît une croissance variant entre 5 et 8 p. 100 par mois. Les membres de l'association représentent environ 80 p. 100 du trafic sur Internet au Canada et environ 90 p. 100 des utilisateurs. L'association estime donc être très représentative de l'industrie et avoir le droit de parler en son nom.

Le tableau suivant montre que les revenus proviennent essentiellement, bien entendu, des grandes sociétés, bien qu'aucune d'entre elle ne réalise un profit à même l'accès direct. Il s'agit- là d'un facteur important. L'industrie est variée de par sa structure, et pour l'instant, nos membres comprennent d'importantes compagnies de téléphone et leurs affiliés, des câblodistributeurs et leurs affiliés, et des fournisseurs Internet indépendants. Il y a trois grands fournisseurs—AOL Canada, Netcom Canada et PSINet—et certains fournisseurs de réseaux comme Téléglobe, MetroNet, UUNet, WorldCom et AT&T, qui desservent également des fournisseurs plus petits. Nous représentons également de nombreux fournisseurs régionaux, locaux et spécialisés.

À l'heure actuelle, l'industrie tire le gros de ses revenus des abonnés résidentiels et d'affaires, de sorte que nous ne sommes pas encore au stade où une partie importante de notre chiffre d'affaires provient des transactions effectuées par voie électronique ou de l'hébergement de données, un domaine que tout le monde veut explorer, puisqu'il offre une marge de profits plus intéressante.

Enfin, notre industrie s'intéresse de près à la question de la protection des renseignements personnels et aux préoccupations des consommateurs concernant l'utilisation de l'Internet. Nous devons absolument nous attaquer à ces problèmes si nous voulons assurer notre viabilité. Ce tableau montre l'importance que nous accordons aux préoccupations de nos membres et de nos abonnés. Nous communiquons avec eux, et nous déployons de sérieux efforts en vue d'accroître leur confiance.

À cet égard, l'ACFI a adopté diverses mesures au cours des trois dernières années. Nous avons d'abord adopté, en 1996, un code de conduite qui s'attaque en priorité à certaines de ces questions, dont celle de la protection des renseignements personnels. Nous avons également élaboré, cet automne, un code sur la protection des renseignements personnels, que vous avez reçu si je ne m'abuse, et un guide à l'intention des utilisateurs. Nous avons en outre mis sur pied un programme sur les pratiques loyales qui nous permet de renseigner nos utilisateurs, nos entreprises membres et ainsi que nos abonnés d'affaires—leurs sites Web étant reliés à notre ordinateur central—sur les obligations qu'ils doivent remplir dans le domaine de la protection des renseignements personnels.

Je vais maintenant céder la parole à Julie Garcia, qui va vous donner d'autres précisions. Elle est non seulement responsable des questions juridiques auprès de la compagnie AOL Canada, mais elle occupe également le poste de directeur des politiques auprès d'AOL, America Online, à l'échelle mondiale.

Mme Julie Garcia (présidente, Comité de la protection à la vie privée, Association canadienne des fournisseurs d'accès à Internet): L'Association canadienne des fournisseurs Internet, comme Margo l'a indiqué, regroupe environ 150 entreprises qui s'intéressent à tous les aspects de l'Internet, y compris les services connexes. Bon nombre de nos membres sont de petits fournisseurs régionaux et locaux, quoique nous comptons également dans nos rangs des entreprises comme IBM Canada, Bell Canada et, bien entendu, AOL Canada.

• 0925

L'Association accorde la plus haute importance à la protection des renseignements personnels qui sont traités en direct. Nous savons que les consommateurs se méfient de la nouvelle technologie Internet et de l'impact qu'elle a sur la collecte, l'utilisation et la communication de renseignements les concernant. Nous sommes conscients du fait que ces renseignements doivent être protégés de façon adéquate si nous voulons gagner la confiance des consommateurs, et que le succès d'Internet et du commerce électronique repose sur cette confiance. Nos entreprises ne peuvent prospérer si elles n'ont pas la confiance des consommateurs.

Pour mousser ce sentiment de confiance, l'Association a établi son propre code de protection des renseignements personnels, qui est adapté aux besoins de l'industrie. Ce code s'inspire des normes de l'ACNOR. Nous y avons puisé ce qu'il offre de mieux et avons ensuite adapté les principes à la réalité technique du monde des services en ligne.

L'Association privilégie l'autoréglementation, surtout dans le domaine de la protection des renseignements personnels. Bien que le projet de loi C-54 et le code de l'Association s'inspirent tous les deux des normes de l'ACNOR, le code d'autoréglementation de l'ACFI est rédigé dans le jargon de l'industrie et reflète l'environnement technique unique dans lequel elle évolue.

Nos lignes directrices sur la protection des renseignements personnels, et je pense que vous en avez une copie, contiennent également un guide à l'intention des utilisateurs. Ce guide encourage les particuliers à prendre les mesures qui s'imposent pour protéger leur vie privée. D'après l'Association, la protection des renseignements personnels est une responsabilité qui relève de toutes les parties, pas seulement de l'industrie.

L'ACFI souhaiterait collaborer avec le comité en vue d'améliorer et de clarifier quatre aspects du projet de loi C-54.

Le premier concerne la collecte, l'utilisation et la communication de renseignements personnels par un fournisseur Internet. Quand il effectue une transaction en ligne, qu'il s'agisse de signer un contrat avec un fournisseur Internet, d'acheter des livres d'Amazon.com, ainsi de suite, l'utilisateur doit presque toujours fournir ce que nous appelons des renseignements d'en-tête et un numéro de facturation. Cela veut dire votre nom, votre adresse et habituellement un numéro de carte de crédit pour que la transaction puisse être réalisée.

Nous avons besoin de ces renseignements, et il en va de même pour les entreprises hors-réseau, aux fins de facturation. L'utilisateur fournit ces renseignements, et il sait qu'ils vont servir à compléter la transaction et, dans le cas d'un fournisseur de services, à établir des relations d'affaires.

Or, pendant que l'utilisateur navigue dans Internet, le fournisseur d'accès, lui, recueille automatiquement des données sur le temps de navigation du client et, s'il s'agit d'un réseau exclusif, sur les sites visités à l'intérieur de celui-ci.

Ces données sont recueillies automatiquement par des ordinateurs. Elles peuvent être utilisées à des fins de facturation, si les utilisateurs sont facturés en fonction de leur temps de navigation. Toutefois, elles sont parfois tout simplement stockées dans le système mémoire du fournisseur d'accès. Comme elles sont illisibles, elles ne permettent pas d'identifier une personne. Elles ne sont pas conservées dans un dossier ou un fichier. Par conséquent, ces renseignements ne devraient pas être communiqués à une personne pour qu'elle puisse les examiner et y apporter les corrections nécessaires.

Le projet de loi, dans sa forme actuelle, précise qu'une personne peut avoir accès aux renseignements qui la concernent dans le but de les examiner et de les modifier. Même si les fournisseurs d'accès possèdent—et je ne veux même utiliser le mot «en théorie»—des renseignements sur les sites visités et le temps de navigation de l'utilisateur, il est très difficile de mettre la main sur ces données. Il serait possible d'y avoir accès, mais cela représenterait un fardeau incroyable pour l'entreprise. Ce ne sont pas des renseignements qu'une entreprise conserverait dans le cadre de ses activités.

Donc, on arrive à mieux protéger les renseignements personnels quand on les laisse dans les bases de données, où ils ne sont jamais consultés et où ils finissent par disparaître avec le temps, quand les serveurs sont remplis à capacité et que les renseignements désuets sont tout simplement éliminés. Ces renseignements—qui sont recueillis et stockés automatiquement, qui ne peuvent être utilisés et qui ne permettent d'identifier une personne—ne devraient pas être assujettis aux exigences en matière d'avis, d'accès et de modification.

Le code de l'Association, qui s'inspire des normes de l'ACNOR, reflète la réalité du milieu des services en ligne et repose sur des principes que l'industrie peut mettre en oeuvre de manière efficace.

Encore une fois, comme les besoins d'information varient d'une industrie à l'autre, l'Association estime qu'il est essentiel que le projet de loi C-54 fournisse une certaine marge de manoeuvre aux industries, qui doivent trouver le meilleur moyen possible d'assurer la protection des renseignements personnels concernant les Canadiens.

• 0930

Il y a un deuxième point qui doit être clarifié et qui intéresse beaucoup les membres de l'Association, soit les renseignements recueillis dans le passé. Les obligations d'une entreprise à l'égard des renseignements personnels qu'elle détient ne sont pas clairement précisées dans le projet de loi. Mon association, par exemple, regroupe 16 millions de membres à l'échelle internationale. Tous ces membres nous ont fourni leurs noms et adresses. Nous connaissons leurs noms d'écran, de même que leurs numéros de carte de crédit ou de débit. Ces renseignements figurent déjà dans les bases de données et, dans bien des cas, circulent à l'extérieur du Canada. Nous avons besoin de précisions au sujet des renseignements concernant ces abonnés. Il serait très difficile de retourner voir ces 16 millions de personnes et de leur demander de nous fournir encore une fois ces données.

Il y a aussi les renseignements sur un employé qu'une entreprise a recueillis, dans certains cas, il y a de nombreuses années de cela. Nous proposons l'adoption d'une norme de consentement tacite pour l'utilisation, dans le cadre des activités d'une entreprise, de renseignements concernant un employé et de renseignements existants concernant un client. Nous partageons ici le point de vue de l'ACTI pour ce qui est du transfert interne de données. Nous tenons à le préciser aux fins du compte rendu.

Troisièmement, il y a la question des violations. Les dispositions du projet de loi C-54 sur les violations et les recours semblent plutôt vastes. L'Association est d'avis, tout comme l'ACTI, que l'industrie devrait avoir la possibilité de répondre en premier à une plainte concernant la protection de la vie privée et de prendre les mesures correctives nécessaires. J'accepterais volontiers, comme le feraient d'autres membres de l'Association, j'en suis certaine, de vous fournir des exemples précis sur la façon dont l'industrie assume déjà ses responsabilités dans ce domaine.

Le commissaire serait ensuite obligé de s'assurer que la personne s'est d'abord adressée à la compagnie avant d'entreprendre une enquête et une vérification. Ce type de démarche convient parfaitement à une industrie comme celle des fournisseurs Internet, qui a adopté un code sur la protection des renseignements personnels qui s'inspire des normes de l'ACNOR.

Enfin, il y a l'adoption de règlements uniformes. La question des compétences soulève des problèmes qui sont uniques, surtout pour notre industrie. L'arrivée d'Internet et des fournisseurs d'accès fait qu'il est difficile de savoir d'où proviennent les renseignements, par où ils transitent et où ils sont recueillis. Certaines entreprises stockent des renseignements partout au Canada, et même à l'étranger.

L'Association est consciente du fait que le gouvernement fédéral et les provinces vont se partager les compétences dans le cadre du projet de loi C-54, mais nous aimerions mettre l'accent sur la nécessité d'avoir une loi uniforme, non pas entre le Canada et les autres pays du monde, mais au Canada même. Nous devons avoir un régime de réglementation harmonisé pour que nous puissions fournir des garanties aux fournisseurs Internet.

Si nous permettons à chacune des provinces d'adopter de nouvelles mesures législatives en fonction de leurs besoins, nous risquons d'avoir des lois disparates qui pourraient effectivement nuire au commerce électronique entre les provinces. Il faut que les lois nationales sur la protection des données soient uniformes si nous voulons que tous les Canadiens bénéficient des mêmes normes de protection, et si nous voulons aussi encourager le commerce électronique.

L'Association est heureuse d'avoir l'occasion de comparaître devant le comité et d'exposer ses vues sur le projet de loi C-54. Nous applaudissons aux efforts que vous déployez en vue de protéger la vie privée des Canadiens. Nous espérons que nous parviendrons, tous ensemble, à trouver une solution que toutes les parties jugeront satisfaisante.

La présidente: Merci beaucoup, madame Garcia.

Monsieur Geist.

M. Michael Geist (témoignage à titre personnel): Bonjour, et merci de m'avoir invité à comparaître devant le comité pour parler de l'Internet et des protections qu'accorde le projet de loi C-54 aux renseignements personnels.

J'enseigne le droit à la Faculté de droit de l'Université d'Ottawa, et je me spécialise dans le droit concernant l'Internet. J'enseigne deux cours sur le droit relatif à l'Internet, et il s'agit là d'un fait unique pour les facultés de common law au Canada, soit un cours sur la réglementation du commerce électronique via Internet, et un autre sur la réglementation des communications via Internet, qui met l'accent sur la liberté de parole et la protection de la vie privée. J'ai rédigé plusieurs articles sur le droit relatif à l'Internet. Je suis le rédacteur adjoint de JURIS Canada, un portique Web sur l'éducation juridique. J'ai aussi créé un site Web consacré au droit concernant l'Internet au Canada.

J'aimerais d'abord féliciter le gouvernement pour cette initiative. Au lieu d'opter pour l'autoréglementation, il a choisi d'aller de l'avant avec le projet de loi C-54, qui constitue un pas dans la bonne direction. Il suffit de jeter un coup d'oeil sur ce qui se passe actuellement aux États-Unis, où la Online Privacy Alliance, le principal organisme d'autoréglementation du pays, invite les entreprises de services en ligne à adopter des lignes directrices sur la protection des renseignements personnels. Pourquoi? La semaine prochaine, la Commission du commerce fédéral entreprend sa deuxième vérification annuelle des pratiques en matière de protection des renseignements personnels, et on craint que, étant donné le peu de progrès réalisés dans ce domaine, le gouvernement n'institue une certaine forme de réglementation. Comme le démontre l'expérience américaine, il nous faut des lois pour protéger efficacement la vie privée des citoyens.

• 0935

Je compte aujourd'hui mettre l'accent sur l'application du projet de loi C-54 à l'Internet. Je sais que le projet de loi ne vise pas uniquement ce système, mais il est juste de dire que la croissance d'Internet est à l'origine de l'essor que connaît le commerce électronique et, partant, de ce projet de loi.

En ce qui concerne le droit relatif à l'Internet, rien n'est plus important que le fait d'avoir une loi solide et efficace en matière de protection de la vie privée. Comme vous le savez sans doute, les utilisateurs de l'Internet ont cité, dans plusieurs sondages, la protection de la vie privée comme étant leur principale source de préoccupation. Toutefois, la situation est beaucoup plus grave que ne le laissent entendre ces sondages. En effet, comme de plus en plus de personnes naviguent dans Internet, un écart croissant est en train de se creuser entre ce que nous pourrions appeler les initiés et les non-initiés.

Les initiés sont conscients des incidences qu'ont sur la vie privée les activités liées à Internet: la collecte, l'utilisation et la vente de données les concernant. Ils prennent souvent des mesures pour se protéger et vont soit utiliser des technologies qui garantissent leur anonymat, soit fournir de faux renseignements à leur sujet.

Malheureusement, les non-initiés sont beaucoup plus nombreux que les initiés. Ils ne sont tout simplement pas conscients de l'impact qu'a Internet sur la vie privée. Ils sont beaucoup plus enclins à voir l'Internet comme un outil inoffensif, non pas comme une source potentielle d'atteinte à la vie privée.

Comme les non-initiés sont très nombreux, deux mesures de protection s'imposent. Il y a d'abord l'éducation, et j'applaudis au projet de loi C-54 qui reconnaît l'importance de sensibiliser le public à la question de la protection des renseignements personnels. L'autre mesure de protection est le projet de loi lui- même. Ainsi, une fois tous les autres recours épuisés, les non- initiés pourront compter sur cette loi pour protéger les renseignements qui les concernent.

Or, la question est de savoir si elle les protège effectivement. J'aimerais, avec votre permission, prendre quelques instants pour décrire l'expérience d'un utilisateur type de l'Internet, exposer les problèmes que pose l'Internet en ce qui concerne la protection de la vie privée, et voir si le projet de loi C-54 fournit suffisamment de protection.

Notre utilisateur type, que certains qualifieraient de chanceux, utilise un nouvel ordinateur qui est muni d'une puce Pentium III et d'un modem qui lui permet d'avoir accès au Web par le biais du fournisseur @Home. Il visite un site qui offre un contenu intéressant ou qui donne peut-être accès gratuitement au courrier électronique. En retour, on lui demande de remplir un formulaire dans lequel on l'invite à fournir divers renseignements personnels.

Examinons un peu l'impact qu'a sur la vie privée cette démarche très simple et courante. Le fournisseur Internet, dans ce cas-ci @Home, a des renseignements, comme nous venons de l'entendre, sur les sites que l'utilisateur a visités. Les fournisseurs Internet, au Canada, ont tendance à protéger les intérêts des utilisateurs, mais examinons un peu la controverse entourant TCI@Home qui a éclaté récemment aux États-Unis.

La compagnie a annoncé, il y a plusieurs semaines de cela, qu'elle allait modifier ses lignes directrices en vue de permettre à l'entreprise de reproduire, publier, distribuer et afficher à l'échelle internationale tout contenu qui a été publié, transmis ou distribué par le biais du réseau TCI@Home. Cela semblait englober le courrier électronique de l'utilisateur et ses habitudes de navigation. Les initiés ont pris connaissance de ce changement et ont protesté. Plus tôt cette semaine, TCI@Home a annoncé qu'elle revenait sur sa décision, qualifiant l'incident de malentendu.

Est-ce que le projet de loi C-54 protégerait un utilisateur contre ce genre de situation? Peut-être, mais ce n'est pas certain. On partirait du principe que le consentement fait manifestement et raisonnablement partie de l'entente, et bien entendu, le consentement est au coeur même du code de l'ACNOR. Toutefois, le paragraphe 4.3.3 du code précise qu'une organisation ne peut, pour le motif qu'elle fournit un service, exiger d'une personne qu'elle consente à la collecte de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. Il serait intéressant de voir ce qui se produirait si un utilisateur contestait cette politique en s'appuyant sur cette disposition du code de l'ACNOR.

Passons à la puce P-III dont est muni l'ordinateur. Comme vous l'avez entendu, cette puce contient un identificateur numérique qui permet aux sites d'identifier l'ordinateur qui leur rend visite. Puisque chaque ordinateur contient un seul identificateur, il est possible pour différents sites web de partager cette information et d'obtenir un profil détaillé du consommateur.

Intel, dans un premier temps, a activé l'identificateur par défaut, de sorte que les ordinateurs qui sont actuellement livrés par la compagnie—elle a commencé à les livrer au cours de la dernière semaine—ont toujours cette configuration. Quand les initiés ont eu vent de cela, ils ont protesté. Intel a fait marche arrière, en partie, a fourni un logiciel qui permet de modifier ce dispositif par défaut, et a promis que l'identificateur, dans les nouveaux ordinateurs, serait inactivé par défaut.

• 0940

Mais la semaine dernière, Intel a publié les spécifications techniques de la puce P-III. En 24 heures, un fabricant allemand de logiciels a réussi à mettre au point un dispositif qui permet à un utilisateur externe d'activer et de désactiver l'identificateur. Quelqu'un d'autre peut donc le contrôler.

Supposons maintenant qu'un organisme veut recueillir et utiliser des renseignements sur l'identificateur. La question qu'il faut se poser est la suivante: est-ce que le projet de loi C-54 protégerait cet utilisateur? Si l'identificateur est désactivé, ils ne peuvent recueillir l'information, de sorte que le problème ne se pose pas. Si l'identificateur était activé, alors l'article 4.3.3 s'appliquerait dans ce cas-ci, et ils seraient obligés d'en justifier l'utilisation. S'ils l'activaient eux-mêmes, en utilisant un dispositif comme le logiciel allemand, ils violeraient sans doute les dispositions du Code criminel puisqu'ils manipuleraient des données informatisées.

Mais si l'identificateur était activé—disons que l'utilisateur a acheté un nouvel ordinateur où le dispositif par défaut est activé, ou qu'un site Web sans scrupules utilise le même dispositif pour activer l'identificateur sans que l'utilisateur en soit conscient—alors l'utilisateur ne serait peut-être pas protégé. Il est question à l'article 4.3.6 du code de l'ACNOR du consentement tacite. Comme le dispositif par défaut de l'identificateur est désactivé, on peut raisonnablement prétendre que le consentement a été donné de façon tacite puisque l'identificateur a été activé.

Enfin, passons à la question des renseignements qui sont fournis au site web. On trouve au haut de la page web les renseignements personnels qui doivent être fournis, ensuite quelques informations d'ordre général, et enfin, au bas de la page, la case que l'utilisateur doit cocher s'il ne veut pas qu'on recueille et qu'on utilise les renseignements le concernant. De nombreux utilisateurs ne voient jamais cette case, puisqu'ils ne se rendent jamais jusqu'au bas de la page. Ils remplissent le formulaire, appuient sur un bouton, et ne prennent pas la peine de lire ce qui suit. Pour ces utilisateurs, le projet de loi C-54 n'est d'aucune aide. L'alinéa 4.3.7b) du code de l'ACNOR précise que cette formule de consentement est conforme aux normes de l'ACNOR.

Prenons maintenant l'exemple d'un site qui ne contient même pas de case. Rien n'indique que les renseignements personnels vont être utilisés. Est-ce que le projet de loi C-54 protège l'utilisateur dans ces cas? On l'espère. Toutefois, l'exception prévue à l'alinéa 7(1)b) du projet de loi, et non pas du code de l'ACNOR, peut servir de fondement à l'argument voulant qu'aucune violation n'a été commise. Cet alinéa dispose que des renseignements peuvent être recueillis à l'insu et sans le consentement de l'intéressé s'il est raisonnable de s'attendre à ce que la collecte auprès de l'intéressé puisse compromettre l'exactitude des renseignements. Ajoutons à cela l'alinéa 7(2)d) du projet de loi, qui porte sur l'utilisation des renseignements, et une entreprise peut invoquer ces dispositions pour justifier son geste.

Comme je l'ai mentionné, de nombreux utilisateurs Internet fournissent de fausses données pour protéger leur vie privée. Compte tenu de la façon dont le projet de loi est libellé, des entreprises pourraient utiliser cet argument pour justifier le fait qu'elles n'ont pas obtenu le consentement de l'intéressé puisque, si elles avaient cherché à l'obtenir, on aurait pu raisonnablement s'attendre à ce que l'intéressé fournisse de faux renseignements.

En résumé, le projet de loi C-54 constitue une alternative intéressante à l'absence de protection juridique de la vie privée. Toutefois, il faudrait, dans l'intérêt des non-initiés qui ne connaissent pas l'Internet, renforcer le projet de loi pour supprimer certaines des lacunes que j'ai décrites ce matin.

La présidente: Merci beaucoup, monsieur Geist.

Nous allons maintenant passer aux questions. Monsieur Kaffer.

M. Rahim Jaffer (Edmonton—Strathcona, Réf.): Merci, madame la présidente.

D'abord, j'aimerais remercier les témoins d'être venus nous rencontrer ce matin. Vous nous avez fournis beaucoup de renseignements utiles, et je suis d'accord avec bon nombre des recommandations que vous avez formulées.

J'aimerais commencer par Mme Langford.

J'ai jeté un coup d'oeil sur votre exposé, les tableaux, les données concernant l'utilisation de l'Internet, ainsi de suite. J'appuie le projet de loi et j'espère qu'il sera adopté. Toutefois, comme j'ai eu l'occasion d'utiliser l'Internet, il me semble, d'après certains de ces chiffres...

La sécurité est une question qui se pose de façon évidente; c'est un point de préoccupation. Dans une certaine mesure cependant, ce sont les sociétés qui doivent assurer la confiance de la clientèle et qui doivent donc s'attaquer à la question de la sécurité. La sensibilisation à la sécurité fait partie du processus de la confiance à l'égard de l'Internet. Les gens commencent à mieux connaître l'Internet et à examiner ce qu'il a à offrir.

Même si je conviens que le projet de loi C-54 est un cadre qui permet de souligner l'importance de la sécurité et de la protection des renseignements personnels, je ne sais pas s'il va avoir autant d'effet sur le public et en matière de sécurité que, par exemple, les sociétés privées, comme la vôtre, qui font la promotion de dispositifs de sécurité sur leurs sites Web et qui donnent aux consommateurs la confiance que vous considérez comme très importante.

Mme Margo Langford: Merci pour votre question.

Nous abordons ces problèmes non comme une question distincte, mais de façon intégrée. La protection et la collecte des renseignements personnels dans le contexte du projet de loi C-54 sont un aspect de la confiance du consommateur, mais bien sûr, ce sont les systèmes sécurisés qui vous permettent de la susciter.

• 0945

C'est une chose que d'avoir une politique ou une loi, mais il faut arriver non seulement au niveau des pratiques commerciales les meilleures qui soient, mais aussi à celui des systèmes. Par conséquent, nous devons intervenir au niveau du matériel et des logiciels. Trois processus sous-tendent l'éducation et la mise en oeuvre.

En ce qui concerne l'information aux usagers, comme nous avons des abonnés et un compte de courrier électronique pour chacun d'entre eux, il nous est beaucoup facile de les contacter que l'entreprise moyenne. Nous pouvons donc leur donner des conseils et un enseignement au moment où ils se mettent en ligne.

Même si 40 p. 100 des Canadiens sont branchés, il y a tous les jours des gens qui achètent des ordinateurs pour la première fois et nous montons leur système de A jusqu'à Z. Ils doivent beaucoup apprendre. Nous avons des services d'assistance qui, très franchement, coûtent une fortune, mais qui sont essentiels pour nos affaires en ce moment, car ils établissent le contact avec les gens et leur expliquent comment utiliser l'Internet et comment se protéger. Nous avons donc de très bonnes relations avec les utilisateurs.

Nous pouvons aussi bien sûr contacter les clients dont nous sommes le serveur. Le contrat que nous concluons avec eux peut être utilisé de façon très positive. Nous pouvons choisir de ne pas accepter un site qui ne répond pas aux normes de sécurité et de protection des renseignements personnels. Nous pouvons le faire dans le cadre de nos meilleures pratiques. C'est certainement la politique d'IBM, par exemple. Nous ne permettons tout simplement pas les transactions commerciales si nos meilleurs systèmes de sécurité ne sont pas utilisés.

IBM a consacré beaucoup de temps, d'argent au développement des systèmes de sécurité et a fait beaucoup de recherche à cet égard; certains de ces systèmes sont mis à la disposition d'autres fournisseurs Internet et commerçants, car nous tenons absolument à une sécurité de base, à tout le moins. C'est le syndrome du «point faible». N'importe qui à n'importe quel moment de la transaction peut porter atteinte à la sécurité, si bien qu'il faut avoir une approche uniforme en matière de sécurité de systèmes. Nous prenons tous la question très au sérieux.

Cela m'amène à la puce P-III. Son objet, tout comme celui de la société Intel, lorsqu'elle l'a mise au point dans ses laboratoires, était en fait de s'assurer que l'on pouvait authentifier les utilisateurs plus efficacement de manière à éviter toute utilisation non autorisée et tout piratage. C'est ce à quoi elle devait servir; elle ne devait pas servir à collecter des renseignements personnels à partir d'un ordinateur particulier, mais plutôt à identifier l'utilisateur et, d'un point de vue de commerce électronique, à s'assurer que l'utilisateur était véritablement la personne autorisant la transaction. Elle a été donc créée avec les meilleures intentions du monde. Il est possible maintenant de la désactiver, mais j'imagine que beaucoup de gens vont en fait rechercher cette protection.

Nous devons constamment rechercher un équilibre entre des systèmes conçus pour resserrer les choses et une flexibilité qui permet de répondre aux attentes du public.

M. Rahim Jaffer: J'ai une autre question à poser à Mme Garcia.

J'ai remarqué que vous avez parlé de questions de compétence au Canada. J'ai dernièrement réfléchi à la position prise par beaucoup d'Européens en matière de réglementation, de sécurité et de cadre.

Cette approche européenne semble être légèrement différente de celle de l'Amérique du Nord, par exemple. Il semble qu'en Amérique du Nord, on mette davantage l'accent sur la flexibilité, en fonction du code de la CSA, permettant ainsi aux sociétés de fonctionner à l'intérieur d'un cadre de manière qu'elles puissent régler certains de ces problèmes, tandis qu'en Europe, il semble que l'on s'efforce davantage d'imposer des règlements officiels plus lourds au sujet de l'Internet.

À votre avis, y a-t-il un risque de différends commerciaux, etc., au fur et à mesure que l'on verra le nombre des transactions Internet augmenter? Ou y a-t-il un moyen d'être un peu plus «global», pour ainsi dire, de permettre un peu plus de flexibilité? Qu'en pensez-vous?

Mme Julie Garcia: Nous favorisons certainement une portée plus globale. Vous avez vraiment mis dans le mille.

C'est intéressant. La perspective européenne a toujours été à l'opposé de la perspective nord-américaine. Ce qui importe pour les Européens, ce n'est pas que le gouvernement ait—ou n'ait pas—des renseignements sur eux, mais que l'industrie privée ait—ou n'ait pas—des renseignements sur eux. La directive vise à protéger les particuliers de l'utilisation des renseignements personnels par l'industrie privée.

En Amérique du Nord, par contre, l'attitude est la suivante: «Peu importe qui sait ce que je fais de ma carte de crédit, mais je ne veux pas que le gouvernement sache à qui je m'adresse pour mes soins de santé», ou autres choses. L'approche est différente.

• 0950

Nous avons vu que des difficultés peuvent surgir entre les États-Unis et l'Europe en matière de transfert de données. L'Union européenne pense que les États-Unis n'ont pas de législation à ce sujet, ce qui, par conséquent, empêche le transfert des données. Vous êtes probablement au courant des négociations actuellement en cours. En fait, il semble que des progrès aient été réalisés cette semaine à propos d'une éventuelle exemption: certaines industries américaines, dotées de mécanismes solides d'autoréglementation et d'application seraient exemptées de la directive.

Par conséquent, même s'il existe des différences, que vous avez relevées, et même si cela risque de causer un problème, je pense que les gouvernements sont prêts à travailler ensemble pour que le commerce électronique soit possible. Chaque pays reconnaît de plus en plus qu'aucun pays ou groupe de pays—comme l'Union européenne—ne peut imposer ses volontés sur le reste du monde, vu qu'il scierait la branche sur laquelle il est assis.

Si la directive était appliquée telle quelle et qu'aucune donnée ne pouvait être transférée entre l'Europe et les États-Unis, tout le monde serait perdant. Ce n'est pas le but recherché. Tout ce que veut l'Europe, c'est un niveau de protection adéquat. Dans la mesure où les pays européens se sentiront à l'aise en matière de protection de données, je crois que nous pourrons aller de l'avant.

M. Rahim Jaffer: Merci.

La présidente: Merci beaucoup, madame Garcia.

Merci, monsieur Jaffer.

J'aurais dû indiquer que même si une question ne vous est pas posée directement, mais que vous avez quelque chose à dire, il suffit de me le faire savoir. Nous sommes tout à fait prêts à ce que d'autres participent à la discussion.

Monsieur Shepherd.

M. Alex Shepherd (Durham, Lib.): Merci beaucoup. J'aimerais d'abord poser une question rapide avant de passer à un point plus important.

La première question s'adresse à vous, madame Garcia. Ce qui m'intéresse, c'est la personne qui regarde l'Internet, celle qui, grâce à une petite clé, a accès aux renseignements qui circulent sur l'Internet.

Cela m'intéresse, car d'après une société américaine, la Schwab Online, il suffit que j'aie le numéro d'identité d'une société américaine et que j'utilise le logiciel Quicken ou autre, pour accéder à son compte d'investissement. Cela m'a paru assez grave. N'importe qui pourrait aller dans une banque, vider la corbeille à papier et trouver le numéro d'identité de tous les clients. Comment protéger les renseignements personnels de ces gens-là?

Mme Julie Garcia: Aux États-Unis, toutes les institutions financières ou les banques disposent en fait d'un niveau de protection intégré. La société Schwab peut légalement utiliser un niveau supérieur de codage. Elle peut coder les messages pour qu'ils soient plus sûrs.

En ce qui concerne le mot de passe, je crois que c'est une question que les fournisseurs Internet doivent véritablement aborder avec ceux que j'appellerais les «démunis.» Il est toujours possible de changer son mot de passe et ce n'est probablement pas une bonne idée d'utiliser le nom de son chien ou son adresse. On peut choisir des mots de passe impossibles à percer. Si c'est une combinaison de lettres et de chiffres, par exemple, au lieu de lettres seulement, aucun perceur de code ne peut avoir accès à ce numéro et à ce compte.

Ai-je répondu à votre question?

M. Alex Shepherd: Pas vraiment, car cela s'est fait en choisissant un numéro PIN, qui était une combinaison. Il a été possible d'avoir accès au compte, mais impossible de faire des transactions. C'est la personne qui a le mot de passe qui peut faire des transactions, mais il est possible pour quiconque, s'il a ce numéro d'identité de société, de se faire donner un numéro PIN et d'avoir accès à ce compte.

Mme Julie Garcia: Vous pourriez donc, par exemple, avoir accès à mon compte.

M. Alex Shepherd: Oui.

Mme Julie Garcia: Et savoir combien j'ai d'argent.

M. Alex Shepherd: C'est ce que cette société m'a dit. Il suffit d'avoir un logiciel Quicken ou autre, pour y avoir accès.

Mme Julie Garcia: Dans la mesure où vous avez le numéro PIN.

M. Alex Shepherd: Il est possible de créer un autre numéro PIN, à partir du moment où l'on a le numéro d'identité de la société.

Mme Julie Garcia: Je vois. Désolée de ne pas saisir plus vite. Ainsi, si je me trouvais dans le service comptable de mon organisation, j'aurais un numéro d'identité sociale et six ou sept d'entre nous pourraient avoir accès au compte.

• 0955

M. Alex Shepherd: Eh bien, j'imagine qu'aux États-Unis, il est très facile de connaître le numéro des sociétés, comme au Canada. Je trouve cela très bizarre et il faudrait se pencher là dessus.

De toute façon, je sors du sujet. Ce qui m'intéresse véritablement, c'est...

Mme Margo Langford: Schwab est en fait un compte IBM. Peut-être pourrions-nous essayer d'en connaître davantage au sujet de ce système et vous donner...

M. Alex Shepherd: Je me suis adressé au service informatique qui m'a répondu que c'est ainsi que se passent les choses. J'ai trouvé cela assez bizarre.

Mme Margo Langford: Je ne suis pas vraiment au courant.

Mme Julie Garcia: Oui, cela semble bizarre.

Mme Margo Langford: Effectivement.

M. Alex Shepherd: D'accord.

Vous avez utilisé l'expression «consentement tacite». Cela m'inquiète du point de vue de la loi. Vous dites que sous prétexte que je vais sur un de vos sites et que je donne mon numéro d'assurance sociale ou mon numéro de carte de crédit, je consens non seulement à faire affaire avec cet usager, mais aussi à lui permettre de prendre mes données. Vous me dites qu'il les stocke sous une forme ou une autre. De toute évidence, il les stocke pour certaines raisons. Je ne crois pas qu'il stocke les données pour... Le stockage coûte quelque chose aussi, n'est-ce pas?

Mme Julie Garcia: Oui, mais cela se fait automatiquement.

M. Alex Shepherd: Je le sais, mais c'est sûrement pour certaines raisons. Ne conviendrait-il pas mieux de demander immédiatement le consentement et dire: «Nous voulons utiliser vos renseignements à ces fins. Y consentez-vous?»

Mme Julie Garcia: Je crois bien sûr que cela convient mieux. J'ai utilisé l'expression «consentement tacite» dans le contexte des données existantes, des données qui existent déjà dans notre base. À partir de maintenant, il y aurait consentement tacite, c'est-à-dire que quiconque auquel s'applique ce projet de loi n'a pas à revenir sur tous les renseignements dont il dispose pour s'assurer que ces gens...

C'est le contexte dans lequel j'ai utilisé l'expression «consentement tacite».

M. Alex Shepherd: Je comprends le concept d'antériorité, mais à partir d'aujourd'hui, lorsque je vais sur un des sites de votre organisation, comment vais-je savoir que j'ai consenti ou que je n'ai pas consenti à l'utilisation de ces renseignements?

Mme Julie Garcia: Cela relève de l'obligation d'information. Nous sommes complètement en faveur de la norme de la CSA en vertu de laquelle il faut indiquer et divulguer ses politiques et en vertu de laquelle toute personne qui vient sur le site peut choisir de ne pas partager ses renseignements. Nous sommes complètement d'accord avec ces aspects du code.

M. Alex Shepherd: Tous vos membres vont donc changer ces sites. Autrement dit, lorsque je vais sur un site et que l'on m'indique: «Vous avez accès gratuitement au service; donnez-nous simplement votre numéro de courrier électronique et quelques autres statistiques à votre sujet», je vais également voir une petite case indiquant: «Soit dit en passant, vous consentez à ce que nous utilisions ces données». Est-ce ainsi que les choses vont se passer?

Mme Julie Garcia: C'est ce que nous voudrions.

Puis-je ajouter quelque chose à ce sujet? Nous ne voulons certainement pas réglementer les politiques de nos sociétés en matière de protection de renseignements personnels. Nous voulons simplement qu'elles donnent un préavis aux membres.

Vous serez peut-être intéressé d'apprendre qu'en Angleterre, Freemail est le deuxième fournisseur Internet et il va probablement supplanter AOL. Il offre un accès gratuit à l'Internet et au courrier électronique en échange de renseignements personnels; les utilisateurs sont pleins d'enthousiasme. Des centaines de milliers de personnes se précipitent sur ce service. Elles savent très bien que pour avoir gratuitement accès à l'Internet, elles donnent en contrepartie leur nom, leur adresse et indiquent leurs intérêts; elles vont donc recevoir de la publicité importune, du courrier électronique et du courrier hors ligne. Cette façon de procéder a beaucoup de succès et Freemail compte des centaines de milliers d'abonnés.

Ce que nous voulons dire donc, c'est qu'il faut donner un préavis. Les gens doivent savoir dans quoi ils se lancent. S'ils décident qu'ils préfèrent avoir accès à l'Internet à un faible coût ou gratuitement, mais qu'en contrepartie ils sont prêts à recevoir de la publicité importune, c'est leur affaire, c'est leur choix.

M. Alex Shepherd: Le fait est que dans ce projet de loi, rien n'exige le consentement; il n'est pas indiqué clairement que quiconque arrive sur ce site donne un consentement positif. Êtes- vous d'accord?

M. Michael Geist: Comme je l'ai indiqué, le recours au consentement tacite pose un problème car, dans de nombreux cas, une société ou un collecteur de données peut s'appuyer sur les normes établies par le code de la CSA et dire qu'un consentement tacite a été donné, alors que l'usager ne sait pas qu'il a effectivement donné un tel consentement.

• 1000

Il est important à certains égards de faire la distinction entre les renseignements que quelqu'un donne à un site Web et un accord conclu avec un fournisseur Internet, car le fournisseur fournit un service qui donne accès aux divers sites.

Mes collègues pourront me reprendre si je me trompe, mais il me semble que les limites en matière de collecte de données seront fixées par les clauses du contrat que l'on signe avec le fournisseur Internet. Le contrat peut indiquer que les données peuvent être collectées, transférées, etc., et qu'en signant le contrat ou en s'abonnant au service, on accepte effectivement ces normes. C'est quelque peu différent des cas où vous devez indiquer en bas de la page d'un site Web où vous donnez des renseignements que vous ne voulez pas que vos renseignements soient utilisés.

Mme Julie Garcia: Puis-je intervenir?

Il est important de réfléchir à la distinction que nous semblons faire entre ce qui convient dans le monde en ligne et ce qui convient dans le monde hors ligne. Lorsque je m'abonne à un magazine dans le monde hors ligne, je consens tacitement à ce que le magazine me facture et m'envoie des renseignements sur l'abonnement à d'autres magazines. La raison pour laquelle la norme serait différente—lorsque je signe un contrat avec un fournisseur et que je fournis ces mêmes renseignements—n'est pas très claire.

M. Michael Geist: La norme ne serait pas différente. Nous voulons avoir la même norme que celle établie pour obtenir le consentement. C'est ce que je veux dire. Ce n'est pas exclusivement pour l'Internet, c'est pour tout le monde. Il faut obtenir le consentement.

Mme Margo Langford: Le problème qui se pose ici, c'est que les trois premières années, toutes les entreprises ne sont pas visées par cette loi. Les fournisseurs Internet le sont, car ce sont des services de télécommunication et par conséquent, des entités fédérales. Nous avons mis au point notre politique en gardant cette réalité à l'esprit. Nous ne pouvons pas être responsables pour chaque commerçant en ligne ou chaque entreprise en ligne, sauf par contrat.

La présidente: Je vais maintenant passer à Mme Lalonde qui va probablement parler de la loi québécoise qui existe déjà. On connaît déjà ce problème au Québec.

Madame Lalonde.

[Français]

Mme Francine Lalonde (Mercier, BQ): C'est peut-être le Québec qui a un problème face au projet de loi C-54.

[Traduction]

La présidente: Vous avez déjà des lois au Québec; comment pouvez-vous affirmer pareille chose? Allez-y, madame Lalonde.

[Français]

Mme Francine Lalonde: Oui, je vais certainement en parler.

Je vous remercie de vos présentations. Vous êtes des spécialistes et des experts et vous représentez des compagnies qui sont dans un secteur d'affaires en constante évolution. Vous comprendrez qu'une députée, qui de surcroît vient du Québec, peut être un peu inquiète face aux propos que vous avez tenus.

Je m'adresserai tout de suite aux représentants de l'ACTI. Sur votre feuille, qui n'est pas traduite en français, vous dites qu'il faudrait qu'il y ait une législation uniforme partout au Canada. Vous n'êtes pas sans savoir qu'au Québec, il y a une loi qui régit le secteur privé depuis 1994. Je me permets de reprendre les propos de mon collègue Jaffer, qui parlait de l'Europe où les exigences sont beaucoup plus grandes. Il aurait aussi pu faire allusion au Québec parce que la loi québécoise s'inscrit davantage dans la tradition européenne, puisqu'on croit que la question de la protection des renseignements personnels est une question de culture. D'ailleurs, c'est ce qu'affirme M. Cleghorn au début de son dépliant sur les renseignements personnels. Si vous étiez non seulement le gouvernement du Québec, mais un de ceux qui, au Québec, ont travaillé à l'élaboration de cette loi et finalement aidé à... Excusez-moi, on semble avoir des problèmes de traduction.

Donc, il est inquiétant de vous entendre affirmer qu'il devrait y avoir une législation unique.

• 1005

Je vous dirai que d'emblée, au Québec, on pensait que la loi fédérale s'appuierait sur l'expérience québécoise, ce qui nous aurait permis d'avoir des lois très fortement harmonisées. Mais le gouvernement fédéral a décidé d'aller dans une autre direction, ce qui pose une question importante au Québec. Si on adoptait votre recommandation, le Québec devrait-il consentir à affaiblir sa loi? Il me semble que ce n'est pas légitime, d'autant plus qu'on se questionne beaucoup sur l'efficacité des dispositions du projet de loi C-54, non seulement eu égard à la protection des renseignements personnels ailleurs que dans le domaine du commerce électronique, mais, comme M. Geist et d'autres le soulignaient, également au niveau du commerce électronique. On se pose beaucoup de questions.

Puisque c'est un secteur qui en est à ses débuts et qu'il présente des risques pour les personnes qui sont plus démunies ou qui ne sont pas des experts ou des initiés, qui pourraient se faire avoir, est-ce que la loi ne devrait pas se montrer préventive lorsqu'elle prévoit des obligations en vue de protéger les citoyens? Par exemple, la loi québécoise sur la protection des consommateurs prévoit que le consommateur dispose toujours d'un délai pendant lequel il peut changer d'idée après la signature d'un contrat. Les transactions entre entreprises sont peut-être autre chose, mais est-ce que les citoyens ne devraient pas bénéficier d'un certain délai? Ne devrait-on pas exiger qu'il y ait une case où l'on vous demande: «Êtes-vous bien sûr de vouloir acheter ça?» ou quelque chose du genre?

Il y a des gens pour qui le commerce électronique est tout nouveau. Nous ne sommes pas tous des initiés et nous ne passons pas tous 10 heures par jour sur ces machins-là. Il peut arriver que, par mégarde, on achète un article ou on divulgue un renseignement, et là c'est parti: on ne peut ni corriger cela ni arrêter le processus. On n'a même pas de service, parce qu'il n'est pas toujours facile de communiquer avec son serveur, même lorsqu'il s'appelle Sympatico. Enfin, il faut être déterminé et avoir du temps. Est-ce que la loi ne devrait pas être plus exigeante, justement pour protéger les consommateurs qui sont susceptibles de faire face à des problèmes importants?

[Traduction]

La présidente: Madame Stephenson.

Mme Carol Stephenson: Permettez-moi de commencer par ce que dit l'ACTI, à savoir que la loi doit être aussi uniforme que possible. Le fait est que depuis plus de 100 ans, les affaires marchent bien au Canada. Très franchement, nous devons parfois fonctionner un peu différemment dans certains endroits par rapport à d'autres, mais nous avons toujours trouvé des moyens d'y arriver, et je suis absolument sûre que nous allons trouver le moyen d'y parvenir, car ce que nous faisons est très important pour les consommateurs et les entreprises. Je suis donc très confiante en l'avenir et je suis convaincue que les sociétés membres ACTI vont trouver des moyens pour y arriver.

Ce que nous avons dit, c'est que si nous pouvons minimiser les différences législatives d'un bout à l'autre du pays, nous pourrons alors devenir plus efficaces. Il vaut mieux que les risques d'erreurs soient minimes au niveau provincial, car cela facilite les transactions commerciales. Par conséquent, nous aimerions que la loi soit aussi uniforme que possible, même si nous savons bien que certaines sociétés font affaire dans toutes les provinces et que les lois ne sont pas les mêmes aujourd'hui.

Je vais céder la parole à Wayne qui représente une société pancanadienne et qui peut probablement vous donner des exemples de la façon dont sa société arrive à s'en sortir.

M. Wayne Scott (directeur exécutif, Opérations gouvernementales, Association canadienne de la technologie de l'information): Permettez-moi tout d'abord de parler de notre approche en matière de protection des renseignements personnels. Nous sommes en fait très actifs dans ce domaine, non seulement au Canada, mais aussi sur la scène internationale.

• 1010

Nous fixons une norme compatible avec nos valeurs en tant que société, que nous voulons utiliser comme base de référence opérationnelle partout où nous faisons affaire, que ce soit sur la scène internationale ou dans nos provinces. Je peux vous dire qu'en ce qui concerne les renseignements personnels, cette norme est très élevée à l'heure actuelle. Une fois la norme établie, nous voyons si, d'une compétence à l'autre, nous avons des obligations supplémentaires, car selon l'un de nos principes opérationnels, nous respectons toujours la loi.

Au Canada à l'heure actuelle, le Québec a des lois qui régissent nos opérations, si bien que lorsque nous voulons, d'un point de vue commercial, envoyer des renseignements personnels en dehors du pays—en fait, à l'extérieur du Québec—nous savons qu'il faut obtenir un consentement à cet effet et nous l'intégrons dans notre transaction commerciale. En fixant une norme uniforme, nous allons nous assurer qu'elle sera harmonisée dans tout le Canada et aussi à l'échelle internationale. C'est simplement un exemple du genre de chose dont nous avons conscience et de la sorte d'approche pratique dont parle Carol.

Si les normes que nous devons respecter se ressemblent d'un pays ou d'une province à l'autre, c'est avantageux pour tous. C'est avantageux pour nous en tant qu'entreprise et, par conséquent, c'est avantageux pour nos clients qui ont moins de règles et d'interfaces à connaître. C'est utile pour toutes les parties, autant les entreprises que les consommateurs.

Mme Margo Langford: Pourrais-je ajouter quelque chose?

Au sujet de l'harmonisation des règles du point de vue du consommateur, certains d'entre nous travaillent avec des groupes de consommateurs pour essayer d'élaborer des lignes directrices harmonisées à ce sujet. C'est très compliqué pour nous tous d'essayer de s'y retrouver dans différents domaines, qu'il s'agisse d'impôt ou de transactions commerciales sur le marché mondial.

Le Canada doit chercher à prendre les devants de façon éclairée, sans toutefois aller trop loin sinon ce domaine deviendra très mobile. Il l'est déjà. C'est très facile pour les entreprises de se déplacer et c'est ce qui nous menace constamment. S'il y a trop de règlements et trop de coûts, c'est facile d'aller établir des sites aux États-Unis, aux Bermudes ou ailleurs.

Il faut toujours essayer de maintenir l'équilibre entre la protection du consommateur et la capacité de concurrencer des entreprises comme Amazon.com, qui recueille des renseignements personnels et attire des foules de gens parce qu'elle offre un service personnalisé. Dire à quelqu'un au Canada qu'il ne peut concurrencer...

[Français]

Mme Francine Lalonde: Justement...

[Traduction]

La présidente: Un instant. Je vais d'abord donner la parole à M. Geist qui veut dire quelque chose.

Monsieur Geist.

M. Michael Geist: Merci.

J'aimerais parler de la protection du consommateur. À vrai dire, le Canada n'est ni à l'avant-garde ni dans le peloton de tête à ce sujet. En fait, il tirerait plutôt de l'arrière. Dans son plan de commerce électronique, le gouvernement a signalé que la protection du consommateur était une priorité et il a laissé entendre qu'il allait produire quelque chose là-dessus d'ici la fin de 1998. Or, il n'a encore rien fait.

Je nous compare à l'Union européenne, où il existe une directive sur les contrats à distance qui prévoit un délai de réflexion comme celui dont vous venez de parler. En Australie, on a proposé, pour protéger le consommateur, de faire cliquer l'utilisateur trois fois, parce qu'on sait qu'il est très facile d'appuyer sur un bouton et de donner son consentement à quelque chose qu'on ne voulait pas vraiment accepter. On propose donc de poser la question trois fois au consommateur pour s'assurer qu'il sait bien ce à quoi il s'engage.

Je m'excuse, mais le Canada a du rattrapage à faire par rapport aux autres pays sur la question de la protection du consommateur.

La présidente: Madame Lalonde, votre dernière question, je vous prie.

[Français]

Mme Francine Lalonde: J'aimerais d'abord faire un court commentaire. Au Québec, toutes ces craintes avaient été exprimées avant 1994, quand le gouvernement avait décidé d'agir. Je vous rappelle que c'était un gouvernement fédéraliste et libéral, que le Parti québécois a appuyé à l'époque. On avait été agités de toutes sortes de peurs qui ne sont pas concrétisées par la suite. On en aurait entendu parler si certaines entreprises avaient déménagé à cause de la cette loi sur les renseignements personnels.

Vous êtes tous des personnes informées et vous savez sans doute que le groupe de travail de l'ONU—si je me souviens bien—sur le commerce électronique a pris position, il y a quelques semaines, sur la définition dans une loi des expressions «signature électronique» et «signature électronique sécurisée». Elle disait qu'on devait les éviter parce qu'elles seraient

[Traduction]

abusives en raison de la diversité des notions de «signature» dans les différentes traditions juridiques.

[Français]

Cela prévaudrait aussi au Canada. Est-ce que vous avez entendu parler de cela? Puisque vous avez précisé que vous appuyez la partie 2 du projet de loi, j'aimerais entendre votre point de vue à ce sujet, d'autant plus que pour la définition de «signature électronique sécurisée», on nous renvoie à l'article 41, qui nous renvoie à son tour à des annexes et à des règlements qu'on n'a pas.

• 1015

[Traduction]

M. Wayne Scott: Nous nous intéressons ce matin à l'aspect du projet de loi C-54 qui porte sur la protection des renseignements personnels, comme vous le savez. Pour ce qui est des signatures sous forme numérique, nous avons dit appuyer la partie 2 du projet de loi qui permet d'effectuer électroniquement les mêmes transactions que celles qu'on connaît sur support papier.

Nous participons, comme membres de l'ACTI, avec nos homologues des autres pays, et comme entreprises, aux discussions internationales visant à assurer que les normes relatives aux transactions commerciales électroniques sont uniformes et pourront être effectuées d'un pays à l'autre. Nous sommes au courant des travaux parrainés par les Nations Unies. C'est seulement un des groupes qui se penchent sur cette question.

Notre objectif, dans nos échanges avec le secteur privé et les gouvernements du monde entier, est de créer un climat permettant d'échanger des documents, de prendre des engagements et de garantir les transactions en toute confiance.

La présidente: Merci.

Madame Langford.

Mme Margo Langford: Déplacer un site web est vraiment une affaire de rien. Il s'agit de savoir d'où on veut exploiter le site. L'entreprise n'a pas à déménager. Il y a beaucoup d'entreprises à Ottawa, par exemple, qui exploitent leur site dans un autre pays, surtout aux États-Unis. C'est une partie importante des activités des fournisseurs de services Internet que nous ne voulons pas perdre.

À notre avis, il ne faut pas que ce soit coûteux. L'application de différentes lois en vigueur dans différents endroits alourdit le fardeau administratif. C'était simplement une mise en garde. Il arrive déjà que des entreprises choisissent de ne pas exploiter leur site au Canada. Elles expédient toujours à partir du Canada, elles sont établies au Canada, mais elles exploitent leur site dans un autre pays. Par conséquent, les capitaux qui servent à l'exploitation du site, à l'embauche de personnel et aux télécommunications liées à ce site profitent à un autre pays.

La présidente: Merci madame Langford.

Merci madame Lalonde.

Monsieur Lastewka, je vous prie.

M. Walt Lastewka (St. Catharines, Lib.): Merci, madame la présidente. Je n'ai que quelques questions à poser.

Ma première question s'adresse aux représentants de l'ACTI. Dans votre deuxième suggestion, vous recommandez d'accorder un délai minimum pour corriger une situation portée à l'attention du commissaire. Vous signalez que c'est probablement ce qui se passera de toute façon pour des raisons pratiques, mais vous proposez presque de donner à l'entreprise le temps de corriger la situation en réaction à une plainte au lieu d'aider le commissaire dans son travail.

Disons qu'on reçoit trois ou quatre plaintes au sujet d'une entreprise. Selon votre proposition, il faudrait accorder un délai de 45 jours ou un autre délai chaque fois. Le commissaire ne pourrait pas dire: «Ça suffit. Je n'accorde pas de délai parce que l'entreprise n'est pas responsable.» Et vous et moi savons que les entreprises vont choisir cette possibilité.

Mme Carol Stephenson: Nous essayons de trouver une solution pratique, et le délai pourrait être d'environ 30 jours, par exemple. Nous ne savons pas quel sera le nombre de plaintes. Mais nous nous attendons à ce que le client doive s'adresser d'abord à l'entreprise, qui a peut-être commis une erreur.

Cependant, si c'est délibéré, que les cas se répètent comme dans votre exemple, que l'entreprise ne suit décidément pas les règles et que les erreurs commises par l'entreprise s'accumulent, je n'ai évidemment pas d'objection à ce que le commissaire à la protection de la vie privée agisse rapidement.

Nous disons que, dans les cas de plaintes isolées, on devrait accorder à l'entreprise visée un délai raisonnable pour réagir et faire enquête. Nous ne disons sûrement pas que nous n'aiderions pas le commissaire à la protection de la vie privée dans son travail. Nous essayons d'adopter une attitude plutôt pratique au sujet des plaintes.

• 1020

M. Walt Lastewka: Quand il est venu nous rencontrer, le commissaire a dit que la loi prévoit que, dans un premier temps, le plaignant doit s'adresser à l'entreprise.

Mme Carol Stephenson: Nous sommes d'accord là-dessus.

M. Walt Lastewka: Très bien. Donc le plaignant ne s'adresserait jamais au commissaire.

Mme Carol Stephenson: Est-ce clairement indiqué dans le projet de loi?

M. Walt Lastewka: Selon moi, c'est implicite.

Mme Carol Stephenson: Alors nous sommes on ne peut plus d'accord là-dessus.

M. Walt Lastewka: Bon, je comprends.

La présidente: Mme Garcia a quelque chose à dire.

Mme Julie Garcia: Je veux simplement donner un ordre de grandeur au sujet du nombre de plaintes relatives à la protection des renseignements personnels. Mon entreprise est établie au Canada depuis novembre 1995 et nous n'avons jamais reçu de plaintes à ce sujet. Cela peut vous donner une idée de la quantité.

Évidemment quand il y a un problème, on en parle beaucoup. Il y a peut-être eu deux ou trois cas aux États-Unis qui ont beaucoup fait jaser. Au Canada, il y a au moins deux ou trois plaintes déposées au cours des dernières années qui ont été fortement médiatisées, mais je dirais qu'il s'agit de deux ou trois cas sur une douzaine. C'est simplement pour vous donner une petite idée de l'ampleur du problème.

La présidente: Madame Langford, vous devrez décider qui va répondre. Je ne peux vous laisser répondre toutes les deux à chaque question, parce que nous sommes à court de temps.

Mme Margo Langford: Je voulais simplement donner un exemple de ce que nous envisageons sur le plan pratique, c'est-à-dire établir un système en ligne pour traiter les plaintes plus rapidement. On le fait pour toutes sortes de plaintes, y compris les plaintes des consommateurs. Si nous avions la possibilité de régler les problèmes à ce niveau, il semble que ce serait possible dans le monde des télécommunications. Si ça ne fonctionne pas, on transmet la plainte au commissaire, qui va recevoir des plaintes de toutes sortes provenant de tous les secteurs.

M. Walt Lastewka: Ma prochaine question s'adresse à Mme Langford et à Mme Garcia.

J'ai un problème avec les renseignements recueillis par le passé. Si les renseignements ont été recueillis sans le consentement du consommateur, vous semblez dire qu'ils devraient être considérés comme ayant été obtenus avec son consentement. Je sais bien qu'on parle de millions de gens, mais ces millions de gens ne sont-ils pas préoccupés justement par le fait que leur vie privée pourrait être touchée et qu'il faudrait trouver un moyen de corriger la situation?

J'aimerais aussi que M. Geist réponde.

Mme Julie Garcia: J'ai une ou deux choses à dire à ce sujet.

Si le projet de loi est adopté, des millions de gens, et sûrement les Canadiens intéressés, seront mis au courant de son existence et en comprendront la nature. Dans ce nouveau contexte, les entreprises devront assurer la divulgation et l'accès et laisser les gens permettre ou non d'utiliser les informations les concernant. Il faudra renseigner les gens au sujet des informations fournies avant l'adoption de la loi et les consommateurs pourront sûrement, comme ils le font actuellement auprès de beaucoup de fournisseurs de service Internet comme nous, dire: «Je ne veux pas recevoir d'envoi postal, ne transmettez pas les informations à mon sujet. Retirez mon nom de la liste.» Une petite campagne d'information va sûrement réussir à régler la situation des renseignements recueillis par le passé.

De plus, sur le plan légal, il serait très injuste d'obliger les entreprises qui, avant l'adoption de la loi, ont recueilli les informations en toute légalité, à faire appliquer la loi rétroactivement à ce sujet.

M. Michael Geist: Je trouverais très malheureux que les renseignements recueillis dans certains cas injustement, sans avoir obtenu le consentement parfaitement éclairé des consommateurs, puissent être utilisés par les fournisseurs de services Internet sous prétexte qu'ils ont été obtenus légalement à ce moment-là. Il est certain que les fournisseurs de services Internet soutiendront qu'ils n'ont pas l'intention d'utiliser ces informations. Je ne vois pas pourquoi ils ne pourraient pas dire aux gens qu'ils n'ont pas l'intention d'utiliser les informations recueillies avant l'adoption de la loi et pourquoi ils ne pourraient pas le dire très clairement au moment opportun.

M. Walt Lastewka: La dernière question que j'aimerais poser a trait à vos lignes directrices sur la conservation et la destruction des renseignements parce que je n'ai pas très bien compris. Vous avez dit que les informations sont recueillies puis éliminées. Je ne sais pas à quel moment cela se produit. Pourriez- vous me le réexpliquer?

Mme Julie Garcia: Oui. Les méthodes peuvent être légèrement différentes d'un fournisseur de services Internet à l'autre, selon la capacité technique et l'espace disponible de chacun, mais mon entreprise, par exemple, facture ses services différemment selon les pays.

• 1025

Au Canada, nous offrons aux gens un certain nombre d'heures pour un certain prix, puis on facture un taux horaire pour les heures supplémentaires d'utilisation. Pour les fins de la facturation, nous devons savoir pendant combien d'heures un client a utilisé le service. Ces informations sont recueillies et traitées automatiquement pour établir la facture du client.

Jamais un employé ne consulte ces informations pour savoir si Margo Langford, par exemple, a utilisé le service pendant sept heures et a visité tel ou tel site. Ces informations se trouvent dans les bases de données pour les fins de la facturation, mais on ne peut identifier les personnes et constituer un dossier sur quelqu'un; aucun employé de mon entreprise ne pourrait trouver ces renseignements pour savoir ce qu'un client a fait sur Internet.

Puis, après un certain temps—peut-être 30 jours ou quelques mois—ces informations sont simplement remplacées sur le serveur par de nouvelles informations sur les heures d'utilisation de ce client et d'autres clients. Selon les dates, les vieilles informations sont effacées et remplacées par de nouvelles.

Ces règles sont différentes d'une entreprise à l'autre selon la fonctionnalité de chacune. Par exemple, le courrier électronique reste dans le système pendant trois jours. Nous avons probablement 28 millions de messages électroniques qui circulent dans notre système chaque jour et nous ne pouvons pas tous les stocker. Donc, si vous n'enregistrez pas vos messages sur votre disque dur tous les deux jours ou à peu près, ils vont disparaître de notre serveur parce que nous n'avons pas assez de place pour tout garder. C'est la même chose avec toutes les informations.

M. Walt Lastewka: Ce que vous venez de dire me fait peur.

Mme Julie Garcia: Ce n'était pas mon intention.

M. Walt Lastewka: Une entreprise qui fonctionne à la limite de ce qui est permis ou peut-être d'une façon pas très légale a tout de même toutes ces informations en sa possession. C'est le problème que nous essayons de régler.

Les lois n'existent pas pour les entreprises efficaces qui se comportent en bon citoyen, comme celle pour laquelle je travaillais. Elles existent pour la petite proportion d'entreprises, qui varie d'un secteur à l'autre, qui cause tous les problèmes. Il s'agit de produire une loi qui tienne compte de ces situations. C'est ce que nous essayons de faire.

Mme Julie Garcia: Je ne voulais surtout pas vous faire peur. Je voulais en fait apaiser vos craintes et je ne me suis peut-être pas expliquée comme j'aurais dû.

Je conviens avec vous que les lois doivent cibler les délinquants. Le problème des fournisseurs de services Internet au Canada et ailleurs dans le monde, c'est qu'au lieu d'être les délinquants ils sont surtout des cibles faciles. Nous sommes une cible facile pour l'industrie de la musique; nous en sommes une pour l'atteinte au droit d'auteur. Nous ne sommes pas des délinquants. C'est comme dans le cas du téléphone, mais tout le monde se tourne vers nous et veut que ce soit nous qui réglions le problème. Comme je l'ai dit, je suis d'accord avec vous, je veux une loi qui cible les actes illégaux.

J'aimerais avoir une réponse à vous donner. Nous rêvons de faire adopter ce genre de loi. Il sera déplorable que l'industrie ait à faire appliquer un règlement coûteux quand ce n'est pas l'ensemble de l'industrie qui cause les problèmes et qu'elle n'a rien à voir avec les délits commis; il se trouve simplement qu'elle peut agir pour mettre fin aux problèmes, si vous comprenez ce que je veux dire.

M. Walt Lastewka: Et la vie continue.

Mme Julie Garcia: Par exemple, ce n'est pas la compagnie de téléphone qui fait les appels obscènes, c'est simplement...

La présidente: Merci monsieur Lastewka.

Avant de poursuivre, j'aimerais faire préciser quelque chose. Madame Garcia, vous avez dit savoir quels sites visite un internaute. Je ne comprends pas vraiment pourquoi vous recueillez ces informations. Je paie mon service Internet en fonction du temps d'utilisation. Pourquoi alors avez-vous besoin de savoir quels sont les sites que je vais visiter et pourquoi conservez-vous ce genre d'information?

Mme Julie Garcia: Nous ne recueillons pas ces informations.

La présidente: Vous venez de me dire que vous pouviez savoir que j'ai passé sept heures sur tel ou tel site, ce qui me paraît très choquant. Je ne comprends pas pourquoi c'est nécessaire de recueillir ces informations parce que je paie en fonction du temps d'utilisation et non de ce que je fais avec ce temps.

Mme Julie Garcia: C'est juste et je me suis sans doute mal exprimée ou mal fait comprendre. Nous ne gardons pas de renseignements sur les sites que visitent les internautes et nous ne pouvons pas le faire. Autant que je sache, c'est impossible sur le plan technologique.

AOL a son propre service en ligne en plus de fournir l'accès à Internet. Nous ne conservons pas d'informations sur la façon dont les gens utilisent notre service en ligne. On peut le faire parce que ces activités se passent à l'intérieur de notre réseau. Quand les clients vont sur Internet, vous avez tout à fait raison, nous nous fichons pas mal de savoir ce qu'ils font. Nous ne les facturons pas en fonction de ça. Ce n'est pas notre réseau, notre service breveté.

• 1030

Au sujet des sites visités par les internautes, je voulais dire que c'est possible de connaître ces informations mais que nous ne les vérifions pas et qu'aucun de mes employés ne serait en mesure de savoir ce genre de chose. Je vous ai donné un exemple de ce que nous ne faisons pas.

Mme Margo Langford: Selon notre politique, nous ne conservons pas les données de ce genre et nous ne voulons pas être en mesure de les fournir aux clients qui veulent savoir ce qu'ils ont fait sur Internet.

Mme Julie Garcia: C'est juste.

La présidente: Mais vous dites que c'est possible de le savoir, alors pourquoi ne rendez-vous pas la chose impossible? Grâce à tout ce que permet la technologie, à la puce-III d'Intel qui peut être activée ou désactivée, vous devriez pouvoir faire en sorte que ce ne soit pas possible d'avoir ces renseignements. Je trouve que c'est très choquant, pour être parfaitement honnête avec vous, que vous puissiez savoir ce genre de chose sans ma permission.

Je n'aime pas beaucoup non plus le principe de la facturation par défaut, dont M. Geist a parlé. J'ai beaucoup de mal à l'accepter, en tant que consommatrice et que particulier, et personne parmi vous n'a réussi à me convaincre que c'est une bonne chose.

Madame Garcia, ce que vous avez dit au sujet des 16 millions d'entrées que vous possédez m'inquiète aussi. Il s'agit de poser la question. La prochaine fois que j'utiliserai votre service, il vous suffit de me demander si, oui ou non, je vous autorise à utiliser les données que vous possédez déjà. Ce n'est pas compliqué de le faire aujourd'hui avec les connaissances technologiques que nous avons. Je ne trouve pas que c'est bien difficile de demander le consentement des clients.

Mais j'ai beaucoup de mal à accepter, comme M. Geist en a parlé, la facturation par défaut qui figure dans le code. Pour moi, c'est un écueil important. Il nous reste donc encore certains gros problèmes à régler.

Monsieur Jaffer.

M. Rahim Jaffer: Oui, il y a des problèmes à régler, madame la présidente, mais nous aimons bien dans notre pays nous en prendre à une industrie florissante qui n'a pas encore été visée par le gouvernement et lui imposer plein de règlements et de taxes. Je ne comprends pas pourquoi.

M. Geist a dit que le Canada avait beaucoup de rattrapage à faire par rapport aux autres pays. Comme je l'ai déjà dit, j'appuie le projet de loi, mais je constate que, même si l'ingérence du gouvernement est minime actuellement, le chiffre d'affaires de l'industrie sur Internet est de près de 100 millions de dollars. Les gens ne se sentent donc pas menacés d'utiliser Internet et, de toute évidence, beaucoup de fournisseurs de services font un travail honnête actuellement.

J'aimerais que quelqu'un me dise quels sont les coûts possibles pour l'industrie. L'industrie est en plein essor et je pense qu'elle n'a pas encore fini de croître. Il y a encore beaucoup à faire. Si certaines des restrictions dont vous avez parlé sont trop lourdes ou ne sont pas assez souples, quels pourraient en être les effets sur l'ensemble de l'industrie?

Mme Margo Langford: Je vais répondre à votre question.

Il y a beaucoup d'effets possibles. Comme Julie l'a dit, les fournisseurs de services Internet sont considérés actuellement comme les protecteurs du public, et il faut aussi soupeser les intérêts des forces de l'ordre et des percepteurs d'impôts, qui veulent que nous tenions des registres et soyons capables de savoir ce que font les internautes. Il faut tenir compte de tous ces aspects. On veut que nous payions pour le piratage sur Internet. Nous avons actuellement une cause devant la Commission du droit d'auteur, qui nous demande 3,2 p. 100 de nos revenus bruts parce qu'il y a de la musique piratée sur Internet. Si on réussit...

En France, actuellement, un projet de loi propose que les fournisseurs de services Internet conservent leurs registres et leurs données sur les sites visités pendant trois ans pour que les forces policières puissent les consulter.

M. Rahim Jaffer: Donc, en fait vous êtes forcés par un règlement adopté par le gouvernement de conserver certaines des informations dont parlait la présidente.

Mme Margo Langford: Nous n'avons pas encore été obligés de le faire, mais tout le monde nous considère comme les protecteurs du public. Comme on peut consulter les relevés des compagnies de téléphone en cas d'activités illégales, on voudrait que nous tenions des registres pour le service de perception d'impôt de Revenu Canada sur les activités et les transactions commerciales des utilisateurs.

Le problème de la réglementation nous est soumis par une centaine de services différents. Seulement essayer de gérer le nombre de politiques qui doivent être élaborées en même temps est coûteux pour notre industrie. Il y a aussi la réglementation dans le domaine des télécommunications à parfaire, pour ce qui est de l'accès des fournisseurs de services Internet. Nous avons au moins 50 dossiers différents à l'étude actuellement.

• 1035

Donc, même le coût lié à la gestion des problèmes est élevé, mais vous pouvez imaginer ce qu'il sera si tout le monde obtient sa part du gâteau... Il y a 13 collectifs de défense des droits. Si chacun obtient 3,2 p. 100, il ne nous restera pas grand chose.

Toutes nos commissions, comme la Commission des droits de la personne, ont montré que leurs délibérations sont longues et coûteuses. S'il fallait se conformer aux exigences d'un commissaire à la protection de la vie privée dans chaque province, par exemple, ce serait impossible dans ce contexte.

La présidente: Madame Stephenson.

M. Carol Stephenson: J'aimerais élever légèrement le débat. Je sais que votre comité discute de la protection des renseignements personnels, mais vous soulevez en fait la question du commerce électronique et de savoir si le Canada peut être un chef de file dans ce domaine sur la scène internationale.

J'aimerais parler de la question de leadership et revenir sur la conférence d'octobre dernier qui a réuni les ministres des pays membres de l'OCDE. J'aimerais dire que même les représentants de l'Europe et des États-Unis ont été très impressionnés par les initiatives du Canada dans le domaine du commerce électronique.

Le gouvernement aussi m'impressionne et je le félicite parce qu'il a adopté une approche très équilibrée, qui permet au commerce électronique de prendre de l'essor, qui nous permet de jouer un rôle de chef de file et qui n'impose pas trop de restrictions au point de faire fuir les entreprises—pas tellement physiquement, comme on l'a dit, qu'électroniquement.

La position sur le plan fiscal est louable. Le Canada est un modèle pour le reste du monde.

Je suis donc choquée qu'on dise que nous ne sommes pas des chefs de file. D'après tout ce que j'entends de mes contacts étrangers, nous sommes bons premiers et je ne supporterais pas que le Canada perde sa place parce que c'est une industrie d'avenir et que beaucoup d'entre nous comptent sur elle au Canada.

La présidente: Monsieur Geist.

M. Michael Geist: Pour revenir au projet de loi C-54, qui traite de la protection des renseignements personnels et du coût des mesures à ce sujet, je trouve qu'il en coûterait plus cher de ne pas adopter ce projet de loi que de l'adopter.

Il faut considérer que le commerce électronique, surtout du point de vue du consommateur, prend de l'essor, mais reste quand même marginal par rapport à l'ensemble des activités commerciales. Pour que le commerce électronique atteigne l'ampleur souhaitée par les entreprises du secteur, les consommateurs ont besoin de savoir que leurs renseignements personnels sont protégés. Les politiques sont là pour le prouver.

Je suis vraiment surpris de voir qu'on s'y oppose, surtout aux États-Unis, où on préconise l'autoréglementation. Il me semble que l'absence de réglementation va coûter beaucoup plus cher aux États-Unis que la réglementation que nous proposons ici et celle qui sera adoptée dans d'autres pays.

M. Rahim Jaffer: Je le répète, je suis d'accord avec vous et avec le cadre proposé, mais vous devez admettre qu'une certaine souplesse est nécessaire. On ne peut imposer des restrictions à beaucoup d'entreprises qui ont fait oeuvre de pionnier dans le domaine. Il faut soupeser tous les intérêts, sinon les deux parties vont être perdantes.

M. Michael Geist: Sans aucun doute. Les autres témoins ont soulevé la question du droit d'auteur, et il y a aussi des problèmes liés à la diffamation et à la fiscalité. Il y a toutes sortes de problèmes et il est certain qu'il faut concilier tous les intérêts. Je suis préoccupé aujourd'hui par ceux de la protection des renseignements personnels.

La présidente: Merci.

Merci monsieur Jaffer.

Monsieur Shepherd, je vous prie.

M. Alex Shepherd: Madame Langford, vous avez parlé de Revenu Canada et je voudrais revenir là-dessus. Qu'est-ce que le ministère vous demande?

Mme Margo Langford: Actuellement, il étudie les données que nous pouvons recueillir, le délai pendant lequel nous pouvons les conserver et ce que lui permet la loi. Je ne sais pas s'il est autorisé à consulter nos registres, mais il pose des questions sur les données recueillies et le temps de conservation de ces données, tout comme le ministère de la Justice essaie de coordonner les mesures policières sur le plan international.

Dans le contexte du présent projet de loi, il faut tenir compte des données à ne pas recueillir et du fait que d'autres mesures législatives pourraient nous forcer à les recueillir.

M. Alex Shepherd: J'imagine qu'on n'en est pas encore là mais qu'on pourrait vous demander: «Je connais M. Shepherd et son adresse électronique. Nous donneriez-vous ces dossiers ou laisseriez-vous nos enquêteurs les consulter pour vérifier les transactions qu'il effectue sur Internet?» Est-ce ce qu'on vous demande?

Mme Margo Langford: Les fournisseurs de services Internet estiment actuellement qu'il faut l'ordonnance d'un tribunal pour pouvoir consulter les registres d'un client. Donc, si le service de l'impôt possède une ordonnance, il ne serait pas très utile pour le fournisseur de services Internet de lui refuser l'accès à ses dossiers.

M. Alex Shepherd: Mais vous avez dit le contraire, que les renseignements étaient impossibles à obtenir. Vous avez dit que vous ne pouviez obtenir ce genre de renseignements.

• 1040

Mme Margo Langford: Et c'est une partie de notre problème, car nous devons expliquer quelles sont les données que nous pouvons isoler et quelles sont celles qui sont éliminées.

M. Alex Shepherd: Vous demande-t-on de rendre ces données accessibles?

Mme Margo Langford: J'espère que nous pourrons faire comprendre aux autorités que cela coûterait...

Par exemple, en France, où on propose que les données soient conservées pendant trois ans, cette mesure va éliminer les fournisseurs de services Internet de ce pays. Ils ne pourront tout simplement pas conserver autant de données si longtemps. Nous essayons donc de faire comprendre aux autorités que ce genre de mesure va pousser l'industrie à quitter le pays parce que nous ne pouvons nous permettre de conserver des données sur les sites visités, si c'est ce qu'on exige de nous.

M. Alex Shepherd: Mais cela va à l'encontre du projet de loi dont nous discutons ici.

Mme Margo Langford: Tout à fait.

M. Alex Shepherd: Donc, si le projet de loi est adopté, Revenu Canada n'aura pas accès aux renseignements.

Mme Margo Langford: Mais quelle mesure législative va primer? La police aura-t-elle le droit de produire un mandat de perquisition pour consulter les renseignements même si le projet de loi est adopté?

M. Alex Shepherd: Il faut donc prévoir des exceptions dans le projet de loi.

Mme Margo Langford: Oui. Et il faut savoir si la Loi de l'impôt sur le revenu permet au ministère d'obtenir une ordonnance du tribunal, ce dont je ne suis pas sûre.

M. Alex Shepherd: Monsieur Geist, vous avez dit, d'après les journaux, que la loi est trop spécifique pour cette technologie généralisée en pleine croissance. Avez-vous des amendements à proposer pour corriger la situation?

M. Michael Geist: Au projet de loi comme tel?

M. Alex Shepherd: Oui. Vous avez parlé du consentement.

M. Michael Geist: Oui. Le consentement serait en tête de liste.

M. Alex Shepherd: Avez-vous des amendements à ce sujet?

M. Michael Geist: J'aimerais que l'on supprime la case que l'utilisateur doit cocher s'il ne veut pas qu'on recueille ou qu'on utilise les renseignements le concernant. J'aimerais qu'on ne se serve plus du consentement tacite ou qu'on le limite à des cas très précis. J'aimerais qu'on obtienne un consentement très éclairé chaque fois. Rien n'empêche d'obtenir un consentement en bonne et due forme sur l'utilisation des renseignements personnels.

M. Alex Shepherd: Merci.

La présidente: Merci monsieur Shepherd.

Madame Lalonde, allez-y, brièvement.

[Français]

Mme Francine Lalonde: J'ai entendu à plusieurs reprises cet argument de l'équilibre, ou de balance comme on dit en anglais, entre les divers intérêts. Je pense que la balance, pour reprendre une expression française cette fois-ci, penche largement du côté de l'entreprise et que le citoyen est en grande partie laissé à lui-même. J'ai participé—et j'en remercie le ministre—à la conférence sur le commerce électronique et j'ai été impressionnée par la position des Européens, notamment celle du ministre français. Ce dernier disait que les entreprises devaient faire l'effort de se donner des règles et que le gouvernement ou l'État devait être du côté du citoyen. Là où l'entreprise ne va pas assez loin, faillit à ses propres règles ou ne s'en donne pas, il faut que l'État soit à côté du citoyen. Il faut donc que les droits des citoyens soient clairs et que la possibilité de corriger ou de remédier soit elle aussi claire.

Or, vous semblez craindre les pouvoirs qu'on accorde au commissaire dans le projet de loi C-54. En réalité, le citoyen doit d'abord se débattre avec la compagnie et ensuite demander au commissaire de faire une étude et formuler une recommandation. Par la suite, si ce citoyen n'a pas obtenu correction et qu'il y tient toujours—les corrections qu'il demande sont souvent petites et ne justifient pas tout ce délai ou tout ce temps—il doit porter sa cause devant la cour. Pensez-vous vraiment que ce projet de loi est well balanced?

[Traduction]

Mme Carol Stephenson: Je tiens à souligner que nous approuvons les pouvoirs qui sont accordés au commissaire à la protection de la vie privée, et je n'ai jamais voulu laisser entendre qu'en accordant un court délai... Nous avons fait une proposition pour essayer de rendre le processus plus efficace, mais ce n'est pas très important.

Franchement, nous approuvons tout à fait les pouvoirs conférés au commissaire à la protection de la vie privée. Nous sommes très favorables au projet de loi. Nous pensons qu'il est constructif d'avoir un règlement et une mesure législative. Nous sommes d'accord.

La question est de savoir jusqu'où aller pour concilier tous les intérêts. Pour revenir à la compagnie de téléphone, je peux vous dire que les escrocs sont vite mis hors d'état de nuire. Nous sommes tous conscients dans l'industrie que si les consommateurs ne nous font pas confiance et s'ils ne veulent pas utiliser nos services, nous sommes cuits. Nous tenons donc beaucoup à ce que nos clients soient bien traités, comme ils doivent l'être.

La présidente: Madame Garcia.

Mme Julie Garcia: Je suis tout à fait d'accord.

La présidente: Bien.

Madame Lalonde, avez-vous une autre question?

• 1045

[Français]

Mme Francine Lalonde: Je voudrais vous poser à nouveau la question sur le Québec. Croyez-vous que le Québec devrait affaiblir sa loi au bénéfice d'une loi harmonisée partout au Canada?

[Traduction]

La présidente: Madame Garcia.

Mme Julie Garcia: Je vais parler du commerce électronique plutôt que des lois sur la protection du consommateur en général parce que c'est le domaine que je connais le mieux. Si le gouvernement fédéral et les membres du comité décident que c'est la façon de protéger la vie privée des Canadiens et que ce sont les normes à suivre en matière de commerce électronique, alors j'aimerais que les règles soient uniformes. Je dirais donc que le Québec devrait se conformer à ces règles.

Le commerce électronique est un domaine unique en son genre à cause du flux de données transfrontière. C'est bien différent d'aller acheter un livre dans une librairie Chapters à Québec ou à Toronto, où des lois différentes s'appliquent, et d'aller sur le site Web de Chapters. Les lois qui s'appliquent quand je commande un livre sur le site web devraient-elles être différentes de celles qui s'appliquent quand je vais l'acheter à la librairie?

[Français]

Mme Francine Lalonde: Au Québec, on a déjà prévu de telles situations.

[Traduction]

La présidente: Monsieur Geist.

M. Michael Geist: Merci.

Je m'excuse, mais je ne suis pas du tout d'accord. Il vaut beaucoup mieux en faire plus que moins. L'idée de fixer une norme minimale vers laquelle tendre défie toute logique ici. La directive sur la protection des renseignements personnels de l'Union européenne fixe une norme minimale et permet aux pays membres de dépasser cette norme s'ils le jugent nécessaire. Je ne vois pas pourquoi nous ne pourrions pas faire la même chose au Canada.

La présidente: Un dernier commentaire de la part de Mme Stephenson.

Mme Carol Stephenson: Nous voulons que les lois se ressemblent le plus possible, mais je peux vous assurer que les entreprises avec lesquelles nous transigeons vont respecter la loi en vigueur peu importe où nous faisons affaire.

[Français]

Mme Francine Lalonde: Merci.

[Traduction]

La présidente: Merci beaucoup.

[Français]

Mme Francine Lalonde: La loi canadienne pourrait donc être plus sévère.

[Traduction]

La présidente: Merci beaucoup, madame Lalonde.

J'aimerais que M. Geist me précise quelque chose avant de lever la séance.

M. Shepherd vous a demandé si vous aviez des amendements à proposer. Pensez-vous que des amendements à la Section 1 du projet de loi pourraient vous satisfaire? Vous avez des réserves au sujet de l'annexe énonçant le code. Pourrait-on améliorer les choses en amendant la section 1?

M. Michael Geist: Ça rendrait le projet de loi encore plus compliqué qu'il ne l'est.

Je ne suis pas tellement d'accord avec le fait de mettre le code CSA en annexe; on aurait plutôt dû essayer d'intégrer les dispositions du code dans le projet de loi lui-même. Je comprends qu'on veuille s'en inspirer dans le projet de loi, mais je ne comprends justement pas pourquoi on n'a pas jugé bon d'utiliser ces principes comme point de départ pour rédiger un texte de loi adapté aux besoins des Canadiens. À certains égards, le code CSA, comme vous le savez, est un compromis et il ne répond pas nécessairement aux besoins des Canadiens.

La présidente: Bien. Merci.

Je vous remercie tous d'être venus nous rencontrer malgré le temps qu'il fait ce matin. Je tiens à remercier tous les témoins d'être arrivés à l'heure, et les membres du comité de s'être présentés le plus rapidement possible. Nous vous sommes très reconnaisants de nous avoir fait connaître votre point de vue. Nous vous tiendrons au courant de ce que nous allons faire.

La séance est levée.