ETHI Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
CANADA
Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique
|
l |
|
l |
|
TÉMOIGNAGES
Le mercredi 29 novembre 2006
[Enregistrement électronique]
[Traduction]
Bonjour, mesdames et messieurs. La séance est ouverte.
Conformément à l’ordre de renvoi du mardi 25 avril 2006 et à l’article 29 de la Loi sur la protection des renseignements personnels et les documents électroniques, nous poursuivons l’examen législatif de la partie 1 de cette loi.
Nous accueillons aujourd’hui, du Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique, le commissaire lui-même, M. Loukidelis, et, à titre personnel, Valerie Steeves, du département de criminologie de l’Université d’Ottawa.
Je vous souhaite tous deux la bienvenue. Je suppose que vous avez un exposé préliminaire à présenter. Nous vous laisserons le faire, après quoi nous aurons des questions à vous poser.
Les dames d’abord? À vous, madame Steeves.
Je vous remercie beaucoup de m’avoir donné l’occasion de m’adresser à vous cet après-midi.
Pendant que je préparais l’exposé d’aujourd’hui, j’ai été surprise de lire dans la transcription de vos délibérations qu’aussi bien M. Binder que la commissaire Stoddart ont dit que la LPRPDE marchait bien et que, dans l’ensemble, les gens sont assez satisfaits de ses dispositions.
Parmi les différentes fonctions que je remplis, je suis présidente de la National Privacy Coalition. Il s’agit d’un regroupement plus ou moins informel d’une centaine d’experts canadiens de la vie privée. Nous encourageons et appuyons la communication sur un certain nombre de sujets. Nous offrons également une plate-forme permettant de s’organiser au sujet de ces questions. Il est assez évident, je crois, qu’au moins la communauté de défense de la vie privée a de sérieuses préoccupations sur la façon dont la LPRPDE protège, ou ne protège pas, devrais-je dire, la vie privée des Canadiens depuis cinq ans.
Dès novembre 2004, le Centre pour la défense de l’intérêt public avait publié un rapport aboutissant à la conclusion que la loi n’était en fait qu’« un mouton déguisé en loup ». Je sais que vous êtes au courant du rapport publié cette année par la Clinique d’intérêt public et de politique d’Internet de l’Université d’Ottawa, qui faisait état d’un manque général de conformité dans le secteur privé. Je sais personnellement, grâce à mes contacts avec la communauté des petites entreprises, surtout dans le contexte de la sensibilisation du public, que beaucoup de membres de cette communauté n’ont qu’une très vague idée des responsabilités qui leur incombent en vertu de la loi.
Du point de vue du consommateur, je crains fort que, malgré les bonnes intentions exprimées dans la LPRPDE, la meilleure façon de décrire la situation est de dire qu’il y a « décès par suite de mille égratignures ». Le libellé de la loi est vague. Beaucoup des droits et responsabilités qu’elle établit sont soit mal définis soit pas définis du tout.
Le caractère vague des dispositions n’est pas accidentel. Le Code de protection des renseignements personnels de l’Association canadienne de normalisation, sur lequel se fonde la loi, était un document établi par consensus. Lors de sa négociation, lorsqu’il y avait des conflits entre les droits des consommateurs et les aspects pratiques du fonctionnement des entreprises, les rédacteurs du Code ont intentionnellement utilisé un langage que les deux parties pouvaient interpréter assez largement. C’est tout à fait raisonnable dans le cas d’un code volontaire, mais le résultat est désastreux dans la loi.
La LPRPDE est-elle récupérable? Oui, avec certaines réserves. D’abord et avant tout, nous devons reconnaître d’emblée que la loi vise deux objectifs très différents. D’une part, elle a pour objet de protéger le droit individuel à la vie privée et, de l’autre, elle est conçue pour favoriser le commerce électronique et mettre à disposition du marché des renseignements personnels à des fins commerciales.
Ces deux objets ne sont pas toujours conciliables. Vous constaterez que des problèmes se posent si vous examinez le genre de plates-formes mises au point pour appuyer le commerce électronique.
En premier lieu, le monde du commerce électronique commence à adopter un certain nombre de technologies conçues pour permettre une collecte invisible de toute une gamme de renseignements personnels sur moi, sur vous et sur tout le monde.
Vous savez, par exemple, que les cookies suivent les sites Web que vous consultez. Microsoft est l’une des nombreuses sociétés qui se servent de ce qu’on appelle des pixels espions. Ce sont des points graphiques tellement petits qu’ils sont invisibles. On les place sur une page Web ou dans un courriel. Dans un message électronique, ils permettent aux entreprises qui les ont placés là de savoir ce que vous faites lorsqu’elles vous écrivent. Ces petits pixels espions leur donnent la possibilité de voir si vous ou moi...
Si j’utilise la messagerie instantanée de MSN – comme je suis inscrite, les responsables savent qui je suis –, ils n’ont qu’à insérer l’un de ces pixels espions dans les messages qu’ils m’envoient. Ils peuvent alors contrôler ce que fait Valerie. A-t-elle lu notre courriel? A-t-elle cliqué sur l’un des liens? Ils ont des arrangements leur permettant d’insérer des pixels espions sur les sites de leurs annonceurs pour voir si Valerie s’y est rendue et a acheté l’un des produits annoncés.
Je ne suis pas la seule à être surveillée. Ils me trouveraient plutôt ennuyeuse. Il est particulièrement important de se rendre compte que plus de la moitié des enfants canadiens de 9 à 17 ans utilisent une messagerie instantanée tous les jours. Cela fait plus de 50 p. 100. Et 20 p. 100 de plus s’en servent au moins une fois tous les deux jours.
Ils peuvent par exemple placer une caméra dans un magasin pour suivre le mouvement des yeux. Si je vais dans un magasin pour acheter une paire de jeans à l’un de mes enfants, que mes yeux tombent sur un chandail rouge qui se trouve dans un coin et reviennent à plusieurs reprises sur ce chandail, la caméra peut recueillir toutes ces informations me concernant. Elle peut alerter le directeur du magasin, qui ira demander à un vendeur d’essayer de me vendre le chandail rouge que je n’avais pas l’intention d’acheter à mon arrivée.
Je crois savoir que vous avez déjà discuté des étiquettes d’identification par radiofréquence. Ces étiquettes sont déployées en nombres croissants partout sur le marché électronique. Ces petits dispositifs indiscrets sont fixés sur les produits que nous achetons. Ils n’ont qu’un seul but: dire à quiconque les interroge quelle est leur identité et où ils se trouvent. Si un lecteur d’étiquettes émet une interrogation, les étiquettes lui répondront : « Me voici, je suis juste à côté. »
J’ai essayé de le découvrir, mais il est très difficile de dire si les étiquettes de ce genre sont fixées sur un produit que j’achète. Il est tout aussi difficile de dire si elles sont inactivées quand je quitte le magasin. À titre de consommatrice, je ne m’inquiète pas seulement des renseignements que je laisse un peu partout dans mes déplacements sur le marché électronique, je dois aussi m’inquiéter du fait que les objets que j’achète émettent également des renseignements à mon sujet.
Quand vous pensez aux flux d’information dans un tel environnement, vous vous rendez compte que les gens qui font leurs achats de cette façon, en participant au commerce électronique, divulguent automatiquement – je dis bien automatiquement, et non par choix – des renseignements personnels simplement en recourant à un service gratuit de messagerie instantanée, en achetant des lames de rasoir ou en marchant devant les caméras d’un magasin. La collecte de ces renseignements étant invisible, il est vraiment difficile pour moi de savoir qu’elle a eu lieu et, à plus forte raison, de la contester.
En deuxième lieu, l’environnement est organisé de façon telle que beaucoup de renseignements recueillis sur les personnes et utilisés à des fins commerciales sont également communiqués à des fins non commerciales. Tous les jours, nous vaquons à nos occupations habituelles. Nous pourrions être en train de jouer, de bavarder avec des amis, de naviguer sur le Web ou de nous promener dans les magasins pour regarder, par simple curiosité, des chandails rouges. Je n’exige pas nécessairement d’une entreprise de signer un contrat avec moi chaque fois qu’elle recueille une information à mon sujet. En fait, l’entreprise surveille ce que je fais dans ma vie privée. Elle recueille des données à mon sujet à ses propres fins. Je voudrais vous donner quelques exemples qui vous montreront comment les choses se passent sur le marché de l’information.
Neopets est l’un des sites de commerce électronique les plus populaires parmi les enfants canadiens âgés de 9 à 13 ans. Comme c’est le cas dans la plupart des 50 premiers sites fréquentés par les enfants canadiens, ils y sont encouragés à s’inscrire. Cela signifie qu’on leur demande de donner leur vrai nom, leur adresse électronique, leur âge, leur sexe et des renseignements sur l’endroit où ils se trouvent, sous forme d’une adresse complète ou d’un code postal. Les enfants vont sur ce site parce qu’il ressemble à un terrain de jeu. En réalité, il s’agit d’une entreprise d’étude du marché. Les enfants y vont pour jouer. On leur donne la possibilité de produire une créature virtuelle appelée Neopet. Pour la maintenir en vie, ils doivent lui acheter à manger. Après un certain nombre de plaintes, les responsables ont établi une banque alimentaire Neopet pour que les créatures ne meurent pas de faim, ce qui leur arrivait il y a quelques années.
Des voix: Oh, oh!
M. Mike Wallace (Burlington, PCC): C’est sûrement la faute des libéraux.
Des voix: Oh, oh!
Mme Valerie Steeves: L’État-providence est encore à l’œuvre, n’est-ce pas?
Pour aller sur le site Neopets acheter ces choses, les enfants doivent d’abord gagner des Neopoints. Ils le font en répondant à des questionnaires d’enquête de marketing. Certaines des questions posées sont assez prévisibles. Il y a deux ans, j’ai rempli un de ces questionnaires qui visait à déterminer si j’aimais ou non les céréales pour petit-déjeuner. On m’a demandé : « Prends-tu un petit-déjeuner? À quelle fréquence prends-tu un petit-déjeuner? Qu’est-ce que tu manges au petit-déjeuner? Reconnais-tu cette marque particulière? »
Il y avait aussi des questions qui vous surprendront. Dans le questionnaire que j’ai rempli, on m’a demandé comment mes parents gagnaient leur vie : « Est-ce que ta maman travaille à l’extérieur? Quel genre de voiture ont tes parents? Combien d’argent penses-tu que tes parents gagnent chaque année? Choisis dans les tranches suivantes. »
Il y avait ensuite ceci dans le questionnaire : « Nous voulons en savoir un peu plus sur toi. C’est pour toi que nous le faisons. Si tu nous en dis assez sur toi-même, nous pourrons améliorer beaucoup plus ce site pour toi. Veux-tu examiner cette liste de 50 choses et cliquer sur celles qui t’excitent vraiment? » La liste contenait des choses auxquelles on pouvait s’attendre, comme des poupées Barbie, des jeux vidéo et des livres. Mais elle contenait aussi des choses assez curieuses, comme la bière, l’alcool, les cigarettes et les cigares.
Il s’agit d’enfants de 9 ans qui jouent. Ils ne communiquent pas de l’information à des fins commerciales. Pourtant, le genre de loi que nous avons mise en place permet aux sociétés de créer cette sorte d’environnement et d’user d’un mécanisme de consentement assez douteux pour recueillir de l’information et lui donner la forme d’un bien commercial.
Les sites d’établissement de contacts sociaux comme Facebook, par exemple, fonctionnent beaucoup de la même façon. Facebook est aujourd’hui très populaire parmi les Canadiens dans la vingtaine et le début de la trentaine. Ces sites encouragent les gens à donner en ligne toutes sortes de renseignements sur leur vie personnelle. Vous y placez votre photo, la liste de vos amis et vous dressez votre profil personnel. Pour établir ce profil, on vous demande des choses comme votre orientation sexuelle, vos vues politiques et vos convictions religieuses.
L’entreprise prend toute cette information et enregistre aussi tous les messages, tous vos bavardages avec vos amis, toutes les recherches que vous faites et toutes les fêtes et réceptions que vous organisez. Ensuite, elle y joint toute l’information à votre sujet qu’elle peut trouver en puisant à d’autres sources, comme les journaux, les carnets Web et les messageries instantanées. L’idée est de faire la synthèse de ces renseignements pour pouvoir vous revendre à des annonceurs.
Lorsque les gens vont sur ce site, ils croient échanger des photos avec leurs amis. Mes étudiants dans la vingtaine, par exemple, passent beaucoup de temps sur le site de Facebook où ils placent toutes les photos qu’ils ont prises au cours de différentes fêtes, se plaignent de l’ennui mortel qu’ils éprouvent en classe et font des commérages sur leurs professeurs. Or toute cette information est captée pour être utilisée comme marchandise.
En fait, Facebook est l’une d’un nombre croissant d’entreprises qui, dans l’entente pour laquelle elles obtiennent votre consentement, précisent qu’en utilisant leur service, vous leur accordez une licence non exclusive. Autrement dit, tout ce que vous avez mis sur le site leur appartient. Elles peuvent en faire ce qu’elles veulent. Elles peuvent le céder à d’autres. Elles peuvent le placer à d’autres endroits. En fait, elles prennent les détails intimes de la vie privée de ces Canadiens et les transforment en un bien intellectuel leur appartenant en propre.
Excusez-moi.
Nous accordons ordinairement aux témoins dix minutes pour présenter un exposé préliminaire. Vos dix minutes sont déjà écoulées. Je me demande si vous pouvez conclure en présentant une recommandation ou une proposition au comité. Vous pourrez ensuite revenir à ces exemples – qui sont tous très intéressants et me confirment une fois de plus que j’ai raison de ne pas vouloir d’un ordinateur – lorsque les membres du comité vous poseront des questions.
En fait, c’est exactement là que j’en suis. J’ai sept recommandations à vous présenter. Elles sont toutes réalisables et très pratiques.
Premièrement, si vous voulez vous assurer que les gens savent de quelle façon leur information est utilisée pour être en mesure de décider d’une manière raisonnable et éclairée s’ils veulent utiliser un ordinateur ou divulguer cette information, je crois que vous devriez modifier le principe 4.3.2 pour établir clairement que les sociétés doivent dire aux gens ce qu’elles font avant d’obtenir leur consentement. Vous pouvez examiner les lois de la Colombie-Britannique et de l’Alberta. Ces deux provinces ont eu l’occasion d’examiner certaines des faiblesses de la LPRPDE et d’établir des dispositions plus précises.
Deuxièmement, je vous propose d’éliminer les échappatoires qui permettent aux sociétés de supposer que les gens ont donné leur consentement et de définir de façon précise le consentement explicite, le consentement tacite et le consentement par abstention.
Troisièmement, la politique de protection des renseignements personnels constitue l’un des principaux mécanismes pratiques permettant de s’assurer que les gens savent ce qui se passe sur le marché de l’information. D’après toutes les recherches effectuées, les politiques de protection des renseignements personnels sont ordinairement rédigées dans une langue incompréhensible qui ne permet aux gens de savoir ni comment ni quand leur information est recueillie et utilisée.
Je vais vous donner rapidement un exemple. Je fais actuellement un travail portant sur les moyens d’améliorer la compréhension des politiques de protection des renseignements personnels. Ma collègue de l’Université Western, Jacquelyn Burkell, m’a dit que son adjoint de recherche ne comprenait pas quelque chose. Elle a ajouté : « Voici la politique de l’un des sites les plus fréquentés par les enfants canadiens. J’aimerais simplement que tu me dises quelle information ce site recueille, de quelle façon il l’utilise et comment un utilisateur peut refuser d’autoriser le site à recueillir son information. » Il m’a fallu neuf heures de travail pour répondre à ces questions. Je dirai, sans fausse modestie, que j’ai une licence en droit, un doctorat en communication et 15 ans d’expérience en matière de législation de protection de la vie privée.
Je vous propose donc d’envisager de modifier la loi de façon à exiger que les politiques soient rédigées dans une langue compréhensible pour que les gens sachent exactement quelle information est recueillie et comment elle est utilisée.
De même, je vous suggère d’examiner la façon dont la loi permet aux sociétés de définir l’objet de leur politique. Lorsqu’il demande leur consentement aux gens, le site Facebook leur dit qu’il recueille toute cette information « pour vous fournir des renseignements plus utiles et une expérience plus personnalisée ». Je propose donc de modifier la loi pour exiger une définition précise de l’objet.
Cinquièmement, vous savez qu’une société n’est autorisée à recueillir des renseignements qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. La grande question qui se pose est de savoir: acceptables pour qui? Pour la société ou pour l’individu? Il est parfaitement raisonnable pour Neopets de vouloir déterminer si mes enfants s’intéressent à l’alcool, mais, du point de vue des consommateurs, cette demande est déraisonnable.
Je vous propose donc de modifier le paragraphe 5(3) pour qu’il soit clair que l’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’un consommateur raisonnable estimerait acceptables dans le contexte d’une transaction donnée. De plus, il arrive souvent que les sociétés n’offrent aux consommateurs qu’un choix entre oui ou non: Voici ce que nous faisons de vos renseignements; si vous n’êtes pas d’accord, allez-vous-en.
Pour renforcer la loi à cet égard, je vous propose de réexaminer le principe 4.3.3, qui parle de consentement conditionnel ou de refus de service, pour établir clairement qu’une société ne peut refuser ses services à quelqu’un que s’il refuse de lui donner l’information dont elle a besoin pour fournir les biens ou les services faisant l’objet de la transaction. Encore une fois, vous trouverez des modèles dans les lois de l’Alberta ou de la Colombie-Britannique.
En dernier, et c’est peut-être ma recommandation la plus importante, je vous demanderais de considérer soigneusement en faveur de qui vous vous prononcerez si des impératifs commerciaux entrent en conflit avec la protection des renseignements personnels, car il n’y a pas de doute que de tels conflits existent.
Je vous demande donc d’envisager de modifier l’article 3 pour établir clairement que le droit à la vie privée est un droit humain, une valeur sociale et une valeur démocratique et que le principal objet de la LPRPDE est de protéger la vie privée des Canadiens sur le marché électronique que je vous ai décrit.
Merci beaucoup de votre attention.
Merci, madame Steeves.
Avant de passer au commissaire, je voudrais vous demander si vous avez acheté le chandail rouge.
Commissaire, je vous souhaite la bienvenue. Nous avons hâte d’entendre ce que vous avez à nous dire. La parole est à vous.
Merci, monsieur le président et membres du comité. Je suis heureux d’être venu ici pour retrouver un climat plus clément et vous présenter quelques observations sur l’approche de la Colombie-Britannique et l’expérience qu’elle a acquise ces trois dernières années dans le domaine des mesures législatives touchant la protection des renseignements personnels dans le secteur privé.
Il est évident que je vous parlerai de la situation en Colombie-Britannique et de la loi que nous avons dans la province. Je n’ai pas l’intention de vous présenter des recommandations sur ce qu’il convient ou ne convient pas de faire dans une autre administration. Il va sans dire que je parle ici en mon nom ou, si vous voulez, au nom du Commissariat plutôt qu’au nom du gouvernement de la Colombie-Britannique.
En guise d’introduction, je voudrais formuler quelques observations générales concernant la structure des lois canadiennes conçues pour protéger les renseignements personnels dans le secteur privé. Je crois qu’il est important de souligner que, depuis 1994, sur l’initiative du Québec qui réagissait aux développements survenus dans l’Union européenne, les législateurs canadiens ont mis en vigueur une structure cohérente de lois de protection des renseignements personnels dans le secteur privé, par opposition à un ensemble disparate de lois.
Certains soutiennent qu’au Canada, les entreprises et les autres organisations du secteur privé doivent se conformer, en matière de protection des renseignements personnels, à une multitude de lois qui font qu’il est très difficile de faire des affaires dans le pays. Je prétends, au contraire, que les lois canadiennes sont non seulement cohérentes, mais en fait très semblables. Il en est ainsi parce qu’elles se fondent toutes sur ce qu’on appelle les pratiques équitables de traitement de l’information, qui sont acceptées à l’échelle internationale et qu’on trouve dans des instruments tels que les Lignes directrices de l’OCDE régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel et, plus récemment, le cadre de protection des renseignements personnels de 2004 de l’APEC.
Par conséquent, nous avons en Colombie-Britannique, par exemple, une loi provinciale, la Personal Information Protection Act ou PIPA, qui régit toutes les organisations du secteur privé assujetties à la réglementation provinciale. Même si nous avons également des lois en Alberta, au Québec et au niveau fédéral, elles forment toutes, à mon avis, un ensemble cohérent. J’estime donc que les préoccupations concernant les difficultés que les entreprises et les autres organisations peuvent avoir par suite de la multiplicité des lois applicables sont, sinon déplacées, pour le moins assez exagérées.
Quoi qu’il en soit, comme je l’ai dit, la loi de la Colombie-Britannique traite d’une façon générique de la protection des renseignements personnels dans le secteur privé. Elle couvre tous les secteurs de l’économie sous réglementation provinciale. Depuis le 1er janvier 2004, les quelque 350 000 organismes à but lucratif et non lucratif de la Colombie-Britannique sont assujettis aux règles généralement connues, au niveau international, sous le nom de pratiques équitables de traitement de l’information. Notre Commissariat applique donc le PIPA depuis trois ans. L’objet de mon exposé d’aujourd’hui est de vous présenter des observations générales sur quelques questions précises qui, je le sais, ont retenu l’attention du comité au cours de séances précédentes consacrées à l’examen de la Loi sur la protection des renseignements personnels et les documents électroniques.
Le premier aspect précis du PIPA de la Colombie-Britannique dont je voudrais vous parler est l’information sur le produit du travail. Je tenais à en parler en premier parce que je sais que le comité s’y est beaucoup intéressé, notamment au cours de votre séance de lundi. J’ai donc pensé que j’aborderai ce sujet en premier, sous réserve des vœux du comité, parce que je m’attendais à ce qu’il en ait entendu parler suffisamment.
Le PIPA de la Colombie-Britannique comporte une définition de l’information sur le produit du travail. Le but était de soustraire du concept des renseignements personnels protégés par le PIPA un ensemble de renseignements qui ne sont pas vraiment personnels, dans le sens généralement attribué à ce mot.
Une approche semblable a été adoptée au niveau fédéral, par suite de l’interprétation de la LPRPDE, de même que dans certaines lois provinciales sur l’accès à l'information et la protection des renseignements personnels. Toutefois, les décideurs de la Colombie-Britannique ont préféré s’attaquer au problème de front en inscrivant dans la loi une définition de l’information sur le produit du travail, information qu’ils ont ensuite soustraite à la protection accordée aux renseignements personnels.
L’objectif fondamental est d’empêcher, par exemple, un ancien employé congédié de venir dire à l’entreprise qui l’employait: « Dans l’exercice du droit que me confère le PIPA d’accéder à mes propres renseignements personnels, je vous demande de me remettre tous les courriels, plans d’activités, notes, télécopies et lettres que j’ai produits pendant mes 23 années d’emploi parce qu’ils m'appartiennent. D’une certaine façon, ils me concernent et je vous somme donc de donner suite à cette demande. » Par suite de l’exclusion de l’information sur le produit du travail – c’est-à-dire l’information produite par suite d’activités et de fonctions liées à l’emploi –, l’entreprise est en droit de dire simplement non, ce ne sont pas des renseignements personnels.
Je comprends qu’il puisse y avoir des préoccupations quant au libellé de la définition et à la précision des termes utilisés dans la loi, surtout dans le contexte de la surveillance des employés. Je crois personnellement que, d’une façon générale, le PIPA de la Colombie-Britannique permet d’interpréter la définition que je viens de paraphraser de façon à assujettir cette surveillance à des règles appropriées et à ne pas l’exclure en se prévalant de la définition de l’information sur le produit du travail.
La deuxième question que je voudrais aborder découle du dernier point. Il s’agit de la protection des renseignements sur l’emploi et de toute la question des renseignements personnels relatifs à l’employé. Je crois que des témoins vous ont déjà parlé de la façon dont cette question est traitée dans la LPRPDE. Bien sûr, cette loi se fonde dans une très grande mesure sur le consentement. En général, le consentement est nécessaire pour la collecte, l’utilisation et la communication des renseignements personnels, même dans le contexte de l’emploi.
J’ajouterai que la LPRPDE aborde la question des renseignements personnels liés à l’emploi en ce qui concerne les ouvrages, entreprises et sociétés sous réglementation fédérale. Par contre, pour des raisons constitutionnelles, il est établi depuis longtemps que la LPRPDE ne peut pas aborder la question des renseignements personnels liés à l’emploi dans les lieux de travail sous réglementation provinciale. Cette question est traitée dans le PIPA de la Colombie-Britannique et dans les autres lois provinciales de même nature.
En Colombie-Britannique, les décideurs ont évité l’approche du consentement en matière d’emploi, préférant créer une catégorie spéciale, les renseignements personnels de l’employé, à l’égard de laquelle le consentement n’est pas exigé. Une organisation de la Colombie-Britannique n’a pas à obtenir le consentement des employés pour recueillir, utiliser et communiquer ces renseignements.
Les employeurs n’ont pas pour autant la liberté de faire n’importe quoi dans ce domaine, parce que la définition des renseignements personnels de l’employé précise qu’il s’agit exclusivement des renseignements qu’un employeur recueille à seule fin d’établir, de gérer ou de terminer une relation d’emploi avec une personne particulière. La définition exige en outre que la collecte, l’utilisation et la communication de ces renseignements se limitent à des fins raisonnables liées au travail accompli.
La Colombie-Britannique a décidé de ne pas se fonder sur le consentement, reconnaissant que, dans le contexte de l’emploi, celui-ci est souvent imposé parce que l’employé est obligé d’accepter les pratiques de l’employeur, et qu’il ne convient pas, par exemple, de demander à un employeur d’obtenir le consentement d’un employé soupçonné de fraude avant de le soumettre à une surveillance. En effet, vous ne pouvez pas vous attendre à ce qu’une personne que vous soupçonnez de vous voler consente à être surveillée. Par conséquent, au lieu de choisir l’approche du consentement, la Colombie-Britannique a décidé de permettre la collecte, l’utilisation et la communication des renseignements personnels qui s’inscrivent dans la définition, sous réserve d’un ensemble de règles qui, du moins à mon avis, réalisent l’équilibre entre les besoins des employeurs et les intérêts des employés en matière de renseignements personnels liés à l’emploi.
La dernière question que je voudrais aborder, parce que je sais que vous en avez déjà parlé, est celle des transactions commerciales. Le PIPA et la loi équivalente de l’Alberta ont adopté une approche différente de celle de la LPRPDE, par exemple, en permettant à des parties qui négocient la vente d’une entreprise d’échanger des renseignements personnels sur la clientèle, les employés ou les actionnaires dans le but de décider si la vente aura lieu ou non. Si les négociations aboutissent, il est permis de communiquer ces renseignements à l’acheteur, qui peut alors les utiliser aux fins pour lesquelles ils avaient été recueillis à l’origine, sans avoir à obtenir un consentement.
Il y a lieu de noter qu’en Colombie-Britannique, l’entreprise doit, après coup, avertir ses clients du changement de direction, de la vente de l’entreprise ou d’un éventuel échange d’éléments d’actif. Cette notification n’est pas exigée en Alberta. Il s’agit peut-être d’un élément mineur, mais il bénéficie d’un large appui en Colombie-Britannique parce qu’il reconnaît que, dans le contexte des opérations qui précèdent et suivent des transactions commerciales, il n’est pas nécessairement approprié ou possible de s’attendre de la part des parties à ce qu’elles obtiennent le consentement des clients chaque fois qu’une entreprise change de propriétaire.
C’étaient là les sujets que je voulais aborder. Je suppose que les membres du comité auront des questions à poser sur d’autres aspects. Je serai heureux d’y répondre du mieux que je pourrais ou de vous transmettre d’autres renseignements si je n’ai pas de réponse à vous donner tout de suite.
Je vous remercie.
Merci beaucoup, commissaire. Oui, vous avez de la chance pour ce qui est du temps qu’il fait ici aujourd’hui, ou plutôt de la malchance en ce qui a trait au temps qu’il fait chez vous. Je ne sais pas si le beau temps va durer, mais nous allons en profiter tant qu’il est là.
Nous entreprenons maintenant notre tour de table habituel à sept minutes, en commençant par M. Dhaliwal.
Merci, monsieur le président.
Commissaire, je vous souhaite la bienvenue dans notre belle province d’Ontario parce qu’il est difficile actuellement de parler de la belle province de Colombie-Britannique. Je vous souhaite également la bienvenue, madame Steeves.
Ma première question s’adresse à Mme Steeves. Nous faisons actuellement la transition vers une économie du savoir et une ère de technologie dans lesquelles l’information circule à une vitesse vraiment considérable. Vous ayant écoutée, je dois dire que j’ai bien aimé l’histoire du chandail rouge, même si le vendeur essaie de conclure la vente. Il se peut que cette question soit sans conséquence pour moi, mais que vous ayez un point de vue différent. De toute façon, jusqu’où pouvons-nous aller pour maintenir l’équilibre, c’est-à-dire permettre aux entreprises de fonctionner tout en protégeant les renseignements personnels des individus?
Je crois que la loi établit un bon cadre de travail. Comme je l’ai dit, beaucoup des problèmes découlent du fait que certains libellés sont trop vagues. De plus, si la surveillance de toutes les transactions relève des sociétés, le consommateur n’a aucun moyen de prendre une décision au sujet de ce qu’on fait de son information. Il faudrait donc que la LPRPDE permette aux gens d’obtenir suffisamment de renseignements sur ce qui se passe pour qu’ils puissent décider en connaissance de cause s’ils souhaitent ou non communiquer de l’information.
Dans le contexte du marché électronique, les mécanismes sur lesquels nous comptons masquent les choses plutôt que de les rendre plus claires. Il faudrait donc donner aux gens la possibilité de savoir de quelle façon une transaction donnée se répercutera sur leur vie avant de faire un choix.
Je crois que nous pourrions en faire beaucoup simplement en resserrant les dispositions de consentement et surtout la disposition relative au consentement conditionnel. Si tout le monde accepte les conditions, alors que je n’y peux plus rien parce que je n’aurais plus le droit de dire non.
Permettez-moi de vous donner un exemple. Au début de ce mois, je suis allé dans un magasin Home Depot parce que je devais rendre quelques articles de plomberie. N’étant pas sûre de la taille de l’article dont j’avais besoin, j’en avais acheté de deux tailles différentes. Je fais des achats chez Home Depot depuis dix ans, et je n’avais jamais eu de difficultés à rendre certaines choses. J’ai donc présenté mon reçu. On m’a dit : « C’est parfait, mais nous devons d’abord passer votre permis de conduire dans le lecteur. » Je me suis posée des questions. D’autres pourraient n’avoir aucun inconvénient à donner leur information. Ils pourraient même y voir des avantages, se dire que cette information sera appariée à d’autres renseignements – par exemple le fait que je m’intéresse à ce chandail rouge –, ce qui leur permettrait d’obtenir davantage de services. D’autres pourraient vouloir ne pas donner leur information et avoir de bonnes raisons d’agir ainsi.
Industrie Canada a publié en 2005 un document de travail sur l’usurpation d’identité d’après lequel 70 p. 100 des incidents se produisent parce qu’un employé vole l’information et la transmet à des malfaiteurs. Je ne tiens donc pas à ce que Home Depot garde les renseignements de mon permis de conduire dans sa base de données, sur laquelle je n’ai aucun contrôle. C’est vraiment très simple: vous pouvez dire non. À l’heure actuelle, c’est difficile parce que les dispositions de la loi sont très vagues. En fait, lorsque je me suis plainte de cela au Commissariat à la protection de la vie privée, on m’a dit de prendre moi-même contact avec Home Depot pour dire que je n’aimais pas sa politique.
Je ne suis pas sûre que nous puissions aboutir à de bons résultats de cette façon. Nous avons besoin d’un commissaire fort qui s’occupe activement des questions de ce genre et s’assure que les gens soient suffisamment renseignés pour prendre des décisions éclairées au sujet de leurs renseignements personnels.
Je comprends mal que Mme Steeves propose, à cause de risque propre à certaines technologies, comme Internet, d’adopter des solutions législatives régissant la technologie. Je voudrais cependant profiter de l’occasion pour dire, au moins pour la Colombie-Britannique, que j’appuie fortement le maintien de la neutralité technologique de nos lois de protection des renseignements personnels destinées au secteur privé. Nous ne devrions pas essayer de prescrire des technologies ou des solutions particulières. Nous devrions rester neutres pour que les lois puissent continuer à s’appliquer malgré l’évolution des technologies.
Encore une fois, madame Steeves, quand vous parlez de permis de conduire, de numéro d’assurance sociale, etc., n’appartient-il pas déjà au client de donner cette information aux sociétés pour qu’elles les conservent? Vous pouvez dire non actuellement. N’est-ce pas ce que les dispositions actuelles prévoient?
À mon avis, nous reviendrions au cas par cas si nous agissions ainsi. Aujourd’hui, c’est le permis de conduire, demain, ce sera autre chose, n’est-ce pas? Avec les technologies qui continuent à évoluer...
J’ai entendu parler de gens qui fabriquaient chez eux des permis de conduire, des cartes de crédit et ainsi de suite. Ces problèmes resteront, indépendamment de ce que nous ferons avec la LPRPDE. D’une façon générale, diriez-vous que la situation est acceptable dans le cas du secteur public?
Parlez-vous de l’ensemble de la législation sur la protection de la vie privée? Permettez-moi de vous répondre dans le contexte de la LPRPDE. Quand on parle de législation sur la protection de la vie privée dans le secteur public, il s’agit dans une grande mesure des lois qui définissent la relation entre l’individu et l’État.
Les lois sur la protection des renseignements personnels et l’accès à l’information représentent en fait des gestes démocratiques. Les gouvernements des années 1970 les ont adoptées pour que les citoyens puissent voir ce que fait l’État et puissent le tenir responsable dans le cadre du processus démocratique. Les individus devaient avoir assez d’autonomie pour vivre leur vie sans interventions indues.
Aujourd’hui, les choses ne sont plus aussi claires. À cause du marché de l’information dont nous parlons, l’information saisie à des fins commerciales est communiquée à l’État qui s’en sert à d’autres fins. Il est encore plus important, dans ces conditions, de protéger les renseignements personnels utilisés dans le commerce parce que ces renseignements ne restent pas là.
Je sais, par exemple, que des agents de police du nord des États-Unis sont équipés de téléphones cellulaires avec accès à Internet. S’ils vous arrêtent sur la route par ce que vous conduisez trop vite ou pour une autre raison, ils peuvent se servir de votre permis de conduire et de votre nom pour accéder à votre profil commercial auprès de courtiers en données, ce qui leur permet de voir ce que vous achetez, etc.
Je suis d’avis que, du point de vue de la politique publique, il est important de contrôler strictement l’utilisation de l’information commerciale car, si elle peut passer au secteur public, elle fausserait la relation entre l’individu et l’État. Je m’inquiète de constater que nous sommes en train de rendre l’individu transparent pour l’État tout en utilisant ces lois pour protéger les gouvernements contre la responsabilité qui constituait l’objet central des lois sur la protection des renseignements personnels et l’accès à l’information.
[Français]
Madame Steeves, j'ai été très étonnée par votre présentation, qui était parfois à la limite de la science-fiction. Je suis assez étonnée des exemples que vous avez donnés, entre autres celui de la caméra qui capte votre regard quand vous allez magasiner et celui du fameux chandail rouge. J'ai l'impression que même s'il était possible de le faire, cela ne serait pas intéressant sur le plan économique, en raison du coût élevé actuel de la technologie. Sur le plan technique, il serait également assez difficile de trouver un commis derrière son comptoir en train de regarder le chandail que vos yeux regardent.
Je me demande jusqu'à quel point on doit se donner des lois pour des choses qui sont loin de pouvoir se produire. Qu'en pensez-vous?
Vous avez également parlé des cookies dans les ordinateurs. Devrait-on simplement interdire les cookies, tout en sachant qu'il serait extrêmement difficile de le faire et que cela ne serait pas parfait? Les premiers pas seront extrêmement difficiles à faire parce qu'ils exigeront une collaboration plus grande que celle d'un ou deux pays. Est-il possible d'interdire les cookies?
Vous avez parlé des enfants qui s'inscrivent à des jeux sur des sites et à qui on pose des questions. Je ne sais pas s'il en est ainsi dans le reste du Canada, mais certaines lois québécoises interdisent la publicité à l'intention des enfants. Je ne connais pas toutes les lois, mais n'y a-t-il pas également des lois au Canada qui interdisent de faire des sondages auprès des enfants? Dans quelle mesure peut-on inclure ces aspects dans la loi que nous sommes en train de réviser?
Je me suis toujours demandé ce que les firmes de sondages faisaient de leurs sondages. On sait que ces entreprises collectent des informations pour les revendre ensuite à d'autres. Dans les définitions que nous réviserons, il ne faudrait quand même pas interdire les sondages. Après tout, les gens peuvent toujours décider de répondre ou non.
La semaine dernière, on a téléphoné chez moi pour me demander combien d'ordinateurs j'avais à la maison. Comme on venait de voler mes ordinateurs au bureau, j'ai refusé de répondre à cette question. Je ne suis pas aussi masochiste que j'en ai l'air.
Vous avez proposé sept recommandations. Je vous ai suivie du mieux que j'ai pu et je n'en ai noté que six. J'aimerais que vous nous fassiez parvenir vos documents afin qu'on puisse examiner toutes les recommandations qu'ils contiennent. Une d'entre elles était particulièrement à la fois intéressante et intrigante: faire de la protection des renseignements privés un droit fondamental.
J'aimerais que vous en parliez davantage.
[Traduction]
Sauf erreur, Mme Lavallée a posé quatre questions : Jusqu’où pouvons-nous aller? Devrions-nous interdire les cookies et, par ailleurs, est-ce possible? Il y a ensuite les sites pour enfants au Québec, où les sondages auprès des enfants sont interdits. Sont-ils également illicites ailleurs?
Mme Lavallée n’a compté que six recommandations. En avez-vous six ou sept? Pourriez-vous nous les communiquer par écrit?
Je serai heureuse de vous communiquer les recommandations par écrit.
Si je peux répondre dans le désordre, je dirai qu’il est vrai que le Québec a une loi qui interdit la publicité à l’intention des enfants. Les autres provinces n’ont pas de dispositions législatives équivalentes. Il y a plutôt des codes volontaires. Je trouve par ailleurs curieux que le site DoYouLookGood.com soit le plus populaire parmi les filles québécoises de la huitième à la onzième année. C’est un site de contacts sociaux dans lequel vous placez une photo de vous que les autres notent sur une échelle de zéro à dix. Le site essaie d’obtenir votre profil. Il demande à quel genre de relations vous vous intéressez. Êtes-vous hétérosexuelle? Êtes-vous gaie? Préférez-vous les rencontres d’un soir ou recherchez-vous des relations durables?
Lorsque vous vous inscrivez sur ce site, vous devez donner votre âge. Les inscriptions sont acceptées à partir de 13 ans. Comme tous les autres sites de contacts sociaux, celui-ci présente de la publicité, mais toute l’information donnée est utilisée à des fins commerciales, de sorte que nous avons intérêt à examiner d’un œil plus critique notre définition de la publicité.
La publicité a considérablement changé dans l’environnement électronique. Elle est actuellement dominée par cette intense surveillance de tout ce que vous faites dans ces environnements.
En toute franchise, je suis complètement d’accord avec David. Les cookies ne contiennent pas de renseignements technologiques délicats. Du moins, ils ne devraient pas. Nous devrions avoir des règles qui avantagent les Canadiens qui fréquentent ce marché. Nous avons déjà des règles disant que si vous voulez recueillir de l’information à mon sujet, vous devez a) me le faire savoir et b) me laisser décider si je suis d’accord ou non.
Nous devons chercher à déterminer quelles dispositions de la LPRPDE rendent ce processus tellement flou. Pourquoi m’est-il tellement difficile de trouver ce qu’on fait de mes renseignements sur le marché de l’information? J’en reviens à mes observations concernant les politiques de protection des renseignements personnels, la communication de ces renseignements et la façon dont le consentement est obtenu. Si nous pouvions revenir au point de départ, considérer les pratiques équitables de traitement de l’information et les accepter telles quelles, nous pourrions avoir une chance d’aboutir à quelque chose. Ces pratiques pourraient permettre aux consommateurs de reprendre le contrôle dans le marché électronique.
Je ne crois pas que nous ayons besoin d’interdire les cookies à cette fin. Il suffit que les gens sachent de quelle façon le marché prend leur information, la transforme en marchandise et la leur revend. La situation peut être avantageuse pour certains. Je m’intéresse peut-être à ce que produit Apple Tunes, ou je pourrais vouloir être au courant des nouveaux produits mis en marché.
La plupart des défenseurs de la vie privée conviendront que le problème ne réside pas nécessairement dans le fait que l’information peut être utilisée à des fins commerciales. La question est plutôt de savoir qui décide de l’objet de l’information.
À l’heure actuelle, la loi dit qu’il appartient à l’entreprise de décider de cet objet et de déterminer si vous avez ou non donné votre consentement. Dans bien des cas, je ne sais même pas que des renseignements sont recueillis à mon sujet, et ce n’est pas seulement sur Internet.
J’ai deux observations à formuler au sujet d’Internet, qui se rattachent à un commentaire que vous avez fait, monsieur Wappel.
D’accord. J’avais acheté un téléphone chez Bell Canada. Je ne sais trop comment, le numéro est tombé aux mains de quelqu’un qui m’envoie constamment des messages texte. J’en reçois une trentaine par jour. Il s’agit de pourriel, mais je dois payer 1,25 $ chaque fois que j’en reçois un. Je ne sais pas du tout qui a mon numéro. J’ai donc besoin d’un mécanisme qui me permette de m’adresser à une société pour obtenir ce renseignement, de façon à pouvoir décider si je veux ou non recevoir ces messages.
La LPRPDE nous permettra d’avoir cette possibilité si vous pouvez en resserrer les dispositions. Vous devriez essayer. Je suis sûre que ça marchera.
Très bien, merci.
Commissaire, vous pouvez répondre à n’importe laquelle des quatre questions, et particulièrement à celle concernant les sondages auprès des enfants.
Si je peux répondre d’abord à la question relative aux cookies, je dirais, comme je l’ai dit tout à l’heure et, encore une fois, dans le contexte de la Colombie-Britannique, que nous ne devrions pas adopter une approche axée sur la technologie. Je crois que nous devrions nous en tenir aux principes généraux de la protection des renseignements personnels. Pour revenir aux cookies, en particulier, vous pouvez recourir aux paramètres de votre navigateur ou encore vous procurer des logiciels spécialisés qui vous permettront de contrôler étroitement les cookies. Vous pouvez, par exemple, les accepter ou les rejeter à votre gré et permettre ou non qu’on suive vos déplacements sur Internet.
Les enquêtes auprès des enfants soulèvent clairement des questions très délicates au sujet de la capacité des jeunes de comprendre ce à quoi ils s’engagent lorsqu’ils donnent des renseignements. Ces questions ont été jugées assez délicates par le Congrès des États-Unis pour qu’il adopte en 1998 le Children’s Online Privacy Protection Act sur la protection des renseignements personnels donnés en ligne par des enfants. Au Canada, notre expérience dans ce domaine reste assez limitée. De mon côté, j’espère qu’en Colombie-Britannique, nous pourrons, trois ans seulement après l’adoption de notre loi, continuer à collaborer avec l’industrie pour assurer le respect des principes généraux dans le cas des enfants et, d’une façon plus générale, pour tous ces problèmes technologiques. J’espère que notre loi donnera de bons résultats dans sa forme actuelle, sans qu’il soit nécessaire de changer radicalement notre approche à l’égard de certaines de ces technologies.
Merci, monsieur le président.
Commissaire Loukidelis, j’ai trouvé intéressants vos commentaires concernant l’information sur le produit du travail. Nous en avons discuté au comité. Vous aurez peut-être des réticences à aborder ce sujet, mais la commissaire Stoddart a dit au comité que le Commissariat national examine chaque sujet cas par cas et non sur la base d’une définition particulière. Je n’en suis pas trop sûr, mais je n’ai pas l’impression qu’elle était en faveur d’une définition. Pourriez-vous nous parler de cette question d’une définition précise par opposition à l’examen cas par cas auquel procède le gouvernement fédéral?
Bien sûr.
Comme je l’ai mentionné, la loi de la Colombie-Britannique comporte une définition de l’information sur le produit du travail. Notre Assemblée législative m’a donc donné un libellé clair sur lequel je peux baser mon travail. Si une affaire m’est transmise sous forme d’une demande officielle de renseignements, je dois procéder au cas par cas pour interpréter et appliquer les dispositions adoptées par notre Assemblée.
Cela étant dit, sans cette définition, nous aurions dû nous contenter de la définition de « renseignements personnels », c’est-à-dire « tout renseignement concernant un individu identifiable », et affronter les mêmes difficultés que mes collègues fédéraux et les autres provinces, qui doivent se fonder sur leur loi relative au secteur public pour essayer de déterminer quels renseignements « concernent » un individu dans l’esprit du législateur et aboutir peut-être au même résultat.
Sauf, je suppose, qu’en l’absence d’une définition, le cas B pourrait être très différent du cas A, même s’ils sont presque identiques.
Il y aurait néanmoins des zones grises à la périphérie. C’est encore le vieux conflit entre le spécifique et le général en rédaction législative. Je crois cependant que si l’on dispose d’une décision établissant clairement les principes d’interprétation de l’expression « tout renseignement concernant un individu identifiable », il se peut fort bien qu’on aboutisse au même résultat, sous réserve d'une décision contraire des tribunaux.
Vous avez parlé du cas d’une entreprise qui est vendue à une autre. Je me demande dans quelle mesure l’État devrait intervenir dans une transaction de ce genre. Dans la plupart des ventes d’entreprises, les clauses de non-concurrence et de confidentialité font ordinairement partie de la quasi-totalité des ententes dont j’ai entendu parler. Si les gens ne veulent pas de ces clauses, est-ce que l’intervention de l’État dans les transactions commerciales personnelles devient excessive?
Je considère que les dispositions spéciales de la loi de la Colombie-Britannique concernant les transactions commerciales favorisent ou facilitent ces transactions, surtout en soustrayant les entreprises à l’obligation qu’elles auraient autrement, dans chaque cas de vente de la totalité ou d’une partie importante d’une entreprise, d’obtenir le consentement des consommateurs, des employés, des clients, des actionnaires, des cadres supérieurs, etc. La loi les décharge de l’obligation de consentement, facilitant ainsi les changements de contrôle et les ventes d’actifs.
En vertu du PIPA de la Colombie-Britannique, il est interdit de communiquer des renseignements personnels sans le consentement de l’intéressé. Il est cependant vrai, comme vous le dites, qu’au moment où vous obteniez de l’information auprès de votre client, vous pouviez, en recourant à la notification exigée par la loi, lui dire que les renseignements obtenus pour lui vendre des produits ou des services pourraient être communiqués aux fins d’une transaction commerciale. Je crois par ailleurs que l’Assemblée législative a voulu donner une plus grande certitude en adoptant cette série particulière de dispositions.
Au sujet de cette question d’enquêtes ou de sondages, madame Steeves, ma seule observation est qu’à un moment donné, nous devons assumer la responsabilité de nos propres actes. Normalement, surtout dans le cas des enfants, quand des gens au téléphone leur demandent ce que font leur maman et leur papa, nous les entraînons à ne pas donner des renseignements de ce genre. D’habitude, nous disons à nos enfants de ne pas accepter un biscuit offert par un étranger dans la rue. Nous pouvons aussi leur dire de ne pas donner de renseignements, que ce soit sur Internet ou au téléphone. Il arrive même qu’on dise à son conjoint de ne pas donner d’information parce que Dieu seul sait ce qu’on en fera.
Quand vous assistez à une foire d’automne et que vous inscrivez votre nom pour un tirage, vous avez toujours un prix à payer. Qui sait à quelles fins on se servira de votre nom?
Je suppose que j’adresse la même question à M. Loukidelis : Y a-t-il un point où l’on peut dire que l’État va trop loin dans son intervention dans la vie des gens? Cela revient peut-être à dire, comme la commissaire Stoddart – et, dans une certaine mesure, je suis d’accord avec elle sur ce point –, que le plus important, c’est l’éducation et la sensibilisation. Il y a un prix à payer lorsqu’on donne des renseignements, qui n’existe peut-être pas si on n’en donne pas.
La loi établit un mécanisme de consentement pour permettre aux gens de faire des choix. Le problème, c’est qu’il arrive souvent aux gens de communiquer des renseignements dans un cadre social, sans se rendre compte des implications commerciales.
Je m’occupe beaucoup de sensibilisation à la protection des renseignements personnels parmi les enfants, du jardin d’enfants à la 13e année. J’ai conçu un certain nombre de jeux multimédias dans le but d’apprendre aux enfants à protéger leurs renseignements personnels aussi bien dans le monde virtuel que dans le monde réel. Je suis donc parfaitement d’accord avec vous au sujet de l’importance de l’éducation et de la discussion publique de ces questions.
En même temps, nous devons reconnaître que ces pratiques indiscrètes envahissent de plus en plus des environnements sociaux dans lesquels les gens ne se rendent pas compte du prix à payer. Lorsque j’ai parlé à mon...
Excusez-moi de vous interrompre, mais supposons que nous adoptions une loi disant qu’il est interdit de faire telle ou telle chose, que ce soit à l’égard des enfants ou des adultes. Comment ferez-vous pour appliquer cette loi?
Je suis un peu perplexe parce que nous avons actuellement une loi d’après laquelle si une organisation veut faire quelque chose, elle doit me le dire pour que je puisse prendre une décision en connaissance de cause.
Et qu’arrive-t-il si elle ne le fait pas? Qu’arrive-t-il si vous avez une ligne directrice, une politique ou une loi interdisant de faire des enquêtes auprès des enfants ou auprès des adultes... Après tout, quelle importance? J’ai de la difficulté à comprendre les gens qui se plaignent des sondages. Si vous ne voulez pas y participer, n’y participez pas. On me demande tout le temps de répondre à des sondages. Je refuse la plupart du temps.
Nous avons déjà une loi qui dit que si on veut des renseignements, il faut les demander. Si quelqu’un demande des renseignements à des enfants, en vertu de la LPRPDE, j’ai des droits que je peux faire valoir. Je peux m’adresser au Commissariat à la protection de la vie privée. Je peux déposer une plainte et obtenir qu’une enquête soit ouverte. Les pratiques contestées seraient alors examinées sous l’angle de leur conformité aux principes de base.
Je vous demande quelle devrai être la sanction si... Vous avez fait un certain nombre d’affirmations...
... selon lesquelles des renseignements sont obtenus en violation des règles. Vous dites que le gouvernement – non, vous ne l’avez pas dit, mais vous l’avez laissé entendre – devrait prendre des mesures pour mettre fin à ces violations en exigeant un consentement ou autre chose. Qu’arrive-t-il si les intéressés n’obtempèrent pas? Quelle devrait être la sanction?
C’est ce que nous avons déjà. C’est le statu quo. C’est ce que prévoit la LPRPDE. Elle dit que si a une organisation n’obtient pas un consentement avant de recueillir des renseignements, le commissaire peut lui ordonner de cesser de le faire. On peut réunir les parties pour essayer d’en arriver à une solution qui leur convienne. Tout cela est déjà en place.
Je regrette, mais vous avez déjà dépassé de beaucoup de votre temps de parole.
Au deuxième tour de table, nous aurons Monsieur Thibault, M. Stanton, M. Laforest, M. Wallace et M. Van Kesteren, avec cinq minutes pour chacun.
Je vous souhaite la bienvenue au comité, monsieur Thibault.
Je vous remercie tous les deux d’être venus aujourd’hui.
Je comprends vos arguments concernant la technologie et une approche de type neutre, mais il me semble... Nous parlons d’Internet, mais il y a aussi la téléphonie cellulaire et toutes les autres technologies qui se développent si rapidement qu’il est impossible de les contrôler. Malgré toutes ces sociétés, comme Microsoft, qui s’attaquent à la pornographie et autre, il y aura toujours moyen de contourner les règles. Je crois que l’éducation et la sensibilisation à la façon de se protéger soi-même deviennent très importantes.
Je pense donc qu’il nous faudra envisager la technologie en particulier, à cause de son évolution tellement rapide. Il est quasi impossible de savoir à quel moment on donne des renseignements. Le mécanisme de consentement n’est pas nécessairement là. Il arrive même qu’on considère que votre simple présence sur un site équivaut à un consentement.
Je consulte souvent le site d’une importante organisation d’information. J’y vais tous les jours pour vérifier le prix du pétrole sur le marché des produits de base. Après quelque temps, j’ai remarqué que je recevais des propositions non sollicitées d’achat d’actions. Les messages comprenaient des fichiers exécutables. Bien sûr, j’efface tout parce que je ne sais pas de quoi il s’agit. À ma connaissance, je n’ai jamais donné un consentement quelconque à cet égard. Si je l’ai fait, c’est à mon insu, mais je reçois quand même ces messages. Je trouve cela assez difficile.
D’une façon générale, je ne tiens pas beaucoup à légiférer dans un domaine touchant le marché commercial et les biens de consommation. Par ailleurs, je n’aime pas l’idée que mon nom et des renseignements personnels soient vendus parce que j’ai acheté une paire d’écouteurs. Chaque fois que je fais un achat dans un magasin d’électronique, on me demande mon numéro de téléphone et d’autres renseignements. À chaque visite, il faut encore donner des renseignements personnels. Au lieu de se limiter à prendre mon paiement, on me demande des renseignements.
Il y a cependant un autre aspect, des choses qui sont dans l’intérêt de la société. La compréhension des lois et de leur application est devenue très difficile. Prenons le cas des soins de santé. Je trouve parfaitement raisonnable lorsque je vais voir un pharmacien qu’il me demande mon numéro d’assurance sociale et d’autres renseignements et qu’il connaisse tous les médicaments que j’ai pris ma vie durant. Le médecin que je consulte dispose également des mêmes renseignements. Mais les gens ne sont pas tous d’accord à ce sujet. Ils pensent que certains renseignements devraient rester personnels et ne pas circuler un peu partout. Pour améliorer notre système de santé, je suis personnellement disposé à renoncer à une part de ma vie privée, mais je ne veux pas le faire à des fins commerciales.
Il devient donc très difficile de rédiger des règlements et des lois dans toutes les provinces et tous les secteurs de façon à respecter tous les critères.
Pouvez-vous nous parler de ces questions d’intérêt public et du droit individuel à la vie privée?
Certainement.
Au sujet de votre dernier point concernant la formation médicale et la confidentialité des renseignements sur la santé, des investissements considérables sont actuellement faits pour créer des dossiers de santé électroniques à l’échelle du Canada. La difficulté, bien sûr, est d’harmoniser les exigences de confidentialité des différentes administrations canadiennes.
Beaucoup de travail s’est fait dans ce domaine. Ma collègue fédérale, Jennifer Stoddart, a travaillé de concert avec les ministères fédéraux, par exemple, pour établir un guide d’interprétation de la LPRPDE dans le domaine de la santé. Il y a maintenant un cadre d’harmonisation fédéral-provincial-territorial destiné à favoriser l’harmonisation en vue de faire progresser l’initiative des dossiers de santé électroniques.
Des décisions difficiles sont prises partout dans le pays au sujet de l’équilibre à maintenir entre l’intérêt public, représenté dans ce cas par l’échange de renseignements sur la prestation des services de santé pour favoriser l’innovation, la recherche et une répartition judicieuse des ressources, et les droits individuels en matière de renseignements médicaux personnels. Où se situe cet équilibre nécessairement dynamique? Je ne crois pas qu’il m’appartienne de le dire.
Je sais que d’importantes discussions ont actuellement lieu en Colombie-Britannique et que le gouvernement est consulté. On discute notamment des moyens technologiques pouvant garantir aux gens que leurs renseignements médicaux les plus délicats ne sont mis à la disposition que des professionnels de la santé qui ont besoin de les connaître pour traiter la personne en cause.
Comme vous le savez, nous avons ici un mélange intéressant de compétences fédérales et provinciales. La LPRPDE s’applique aux renseignements médicaux échangés dans le cadre d’une activité commerciale. On affirme dans ce cas que l’information doit circuler dans la communauté de la santé pour que les Canadiens puissent obtenir des soins appropriés et ainsi de suite. En même temps, je crois qu’il est important de reconnaître que cette information a une valeur incalculable sur le marché. Elle vaut beaucoup d’argent et sert également à d’autres fins.
Par exemple, un médecin canadien a pris contact avec moi pour me dire que le représentant d’une société pharmaceutique est venu le voir à son bureau et a commencé à discuter des ordonnances qu’il avait données à ses patients. Il a précisé qu’il détenait une liste de toutes les femmes âgées de 35 à 55 ans qui venaient consulter le médecin, et a demandé à celui-ci pourquoi il ne leur prescrivait pas un traitement hormonal substitutif. Il existe des preuves établissant que les sociétés pharmaceutiques dépensent des dizaines de millions de dollars par an pour dresser le profil des médecins en vue de vendre leurs produits.
Lorsque nous créons ces infrastructures devant permettre la circulation de l’information dans l’intérêt public, nous devons nous rendre compte de l’existence d’objets secondaires pouvant avoir des effets pervers. Lorsque les renseignements médicaux cessent d’être confidentiels et sortent du cercle étroit de la relation médecin-patient, tous les indices que j’ai trouvés dans la recherche semblent prouver que les gens réagissent en mentant, en se cachant et en cessant d’aller voir leur médecin.
Cela me ramène à une observation que vous avez faite, madame Lavallée, au sujet de l’importance de la vie privée comme valeur sociale et droit humain. La vie privée, c’est plus que le contrôle de l’information. C’est la façon dont nous négocions nos rapports avec les autres. Elle occupe une place centrale dans notre capacité de faire confiance à autrui et de nouer des relations sociales. Si nous permettons la circulation de l’information, si nous ne respectons pas la valeur sociale de la vie privée et l’importance du rôle qu’elle joue dans le processus démocratique, nous aboutirons à ces effets pervers: les gens se cacheront et n’iront pas voir leur médecin car ils n’y vont qu'en ayant la certitude que ce qu’ils lui diront restera confidentiel.
Je trouve intéressant que la LPRPDE régisse l’information médicale. Cela met en évidence son caractère de marchandise qu’on achète et qu’on vend, car elle vaut vraiment beaucoup d’argent. Nous devons être particulièrement soigneux lorsque nous examinons les arguments en faveur de la circulation de l’information dans l’intérêt public car les effets pervers ne vous mèneront pas nécessairement au but que vous recherchez.
Merci, monsieur le président.
Je tiens à remercier nos témoins de leur présence aujourd’hui.
Commissaire Loukidelis, au sujet des réparations ou des réactions que la LPRPDE prévoit actuellement, je crois savoir qu’en Colombie-Britannique, vous avez le pouvoir de prendre des ordonnances et d’imposer la conformité d’une manière que la LPRPDE ne permet pas au niveau fédéral. Je voudrais vous demander de nous parler de l’expérience de la Colombie-Britannique et de comparer votre façon de faire à l’approche fédérale basée sur un ombudsman.
Je vous remercie de votre question.
Je suis heureux de vous faire part de l’expérience de la Colombie-Britannique aussi succinctement que possible. Cette expérience a commencé en 1993 avec la mise en vigueur du Freedom of Information and Protection of Privacy Act, notre loi sur l’accès à l’information et la protection des renseignements personnels destinée au secteur public. Elle s’applique à plus de 2 000 organismes publics de la Colombie-Britannique et nous confère le pouvoir de prendre des ordonnances. Comme vous l’avez dit, c’est également le cas en vertu du PIPA, la loi destinée au secteur privé, qui nous a donné ce pouvoir depuis 2004.
Je dois cependant souligner, à titre personnel et compte tenu de l’expérience de notre Commissariat, que ce n’est pas du tout le moyen que nous privilégions. Dans le cas du secteur public, nous renvoyons toujours les plaintes concernant la protection des renseignements personnels et les appels relatifs à l’accès à l’information – pour lesquels nous avons également le pouvoir de prendre des ordonnances – à la médiation, dont un de mes collègues s’occupe. Nous avons réussi à régler 88 à 91 p. 100 des cas par ce moyen.
Nous avons également adopté la même approche dans le cas du PIPA. Nous renvoyons les plaintes à la médiation. Depuis la mise en vigueur du PIPA, il y a environ trois ans, je n’ai pris que sept ordonnances en vertu de cette loi. Nous avons réglé tous les autres cas au moyen d’une approche de type médiation semblable, sous tous les aspects importants, à celles qu’ont adoptées ma collègue fédérale ici à Ottawa et les autres commissaires provinciaux.
Nous disposons également d’autres moyens. Par exemple, il nous arrive de renvoyer des plaignants éventuels à l’organisation en cause pour qu’ils tentent de régler l’affaire à l’amiable. Nous pouvons également les renvoyer à d’autres processus, comme ceux des griefs et de l’arbitrage, si une convention collective est en vigueur – ce que nous faisons assez régulièrement –, ou encore au processus des droits de la personne. Nous recourons parfois au service de médiation d’organismes du secteur privé, comme les chambres de commerce. Nous usons en outre de nos pouvoirs pour éduquer et sensibiliser les consommateurs et les organisations, comme nous l’avons fait dans le secteur public, et pour produire de la documentation, aussi concrète et pratique que possible, sur l’interprétation et l’application de la loi, de façon à prévenir les plaintes d’une manière proactive.
Nous disposons donc de toute une gamme d’outils, dans laquelle le pouvoir de prendre des ordonnances est loin d’être en tête de liste. En fait, nous considérons le plus souvent que c’est un dernier recours.
Il est également arrivé, au niveau fédéral, que notre commissaire à la protection de la vie privée recoure à la Cour fédérale, comme la loi le prévoit, mais cela est assez rare. Le Commissariat fédéral se sert également des enquêtes, des vérifications et des rapports pour régler différents problèmes.
À votre avis et sur la base de votre expérience, croyez-vous que nous devrions envisager sérieusement de nous écarter de ce modèle d’ombudsman?
Je suis évidemment au courant de ce qu’a dit ma collègue fédérale lors de sa comparution devant vous au début de cette semaine. Notre système fonctionne bien en Colombie-Britannique, compte tenu de la nature des organismes publics et privés auxquels nous avons affaire. Nous avons, dans la province, une proportion beaucoup plus élevée de petites et moyennes entreprises que dans le contexte fédéral, où vous avez surtout affaire à des banques, à d’autres grandes institutions financières sous réglementation fédérale et à de grandes sociétés de télécommunications. Dans ce cas, l’approche de l’ombudsman peut avoir différents avantages.
Je conviens avec vous que ma collègue fédérale a accès à d’autres moyens, comme le recours à la Cour fédérale et au pouvoir de vérification, qu’elle a commencé à utiliser également dans le cadre de la LPRPDE, je crois. Je ne dirais donc pas que l’approche de l’ombudsman est dépourvue de moyens d’action assez décisifs, si on en a besoin.
[Français]
Monsieur Loukidelis, en Colombie-Britannique, vous avez le pouvoir d'émettre des ordonnances relativement à des plaintes. Vous dites que vous avez eu à rendre des ordonnances huit ou neuf fois au cours des dernières années.
Mme Stoddart a signifié elle-même que ce n'était pas une priorité, au niveau de la loi fédérale, du moins pour son bureau, que de demander quel était le pouvoir de rendre des ordonnances.
Vous avez relaté votre propre expérience. Vous nous avez dit que vous alliez avoir recours à la médiation et vous référer à quelqu'un d'autre pour le traitement des plaintes. Bien que cela ne soit pas inclus dans la loi, le fait d'avoir le pouvoir de rendre des ordonnances et de trouver toutes sortes de solutions en même temps ne diminue-t-il le nombre de plaintes ou, à tout le moins, cela améliore-t-il le processus du traitement des plaintes?
[Traduction]
Il est difficile de dire quelle serait la situation si nous n’avions pas le pouvoir de prendre des ordonnances. Je ne peux que vous donner une impression à ce sujet. Je ne crois pas que ce pouvoir puisse vraiment réduire le nombre de plaintes que nous recevons. On pourrait même soutenir le contraire: le fait que nous puissions ordonner à une organisation de cesser de faire quelque chose ou de détruire des renseignements personnels qu’elle aurait recueillis sans autorisation pourrait en réalité encourager le dépôt de plaintes.
Le nombre de plaintes que nous recevons va de 150 à 180 par an et augmente bien sûr avec le temps et à mesure que les gens se rendent compte de l’existence de la loi. Il n’en reste pas moins que nous essayons de régler la quasi-totalité des plaintes reçues par des moyens moins officiels que le recours à des ordonnances.
Je suppose que l’existence de ce pouvoir peut inciter les organisations à se conformer, mais, encore une fois, il y a d’autres moyens d’assurer la conformité. D’une façon générale, nous avons constaté que lorsque les organisations comprennent leurs obligations en vertu de la loi, une fois que nous en avons discuté avec elles, elles se montrent tout à fait disposées à respecter les règles plutôt que de s’exposer à des mesures officielles.
[Français]
C'est exactement le sens de ma question. Au fond, quand vous me répondez qu'il ne faudrait pas perdre ce pouvoir car cela pourrait éventuellement augmenter le nombre de plaintes, je peux mettre cela en parallèle.
Pourtant, au niveau fédéral, la commissaire a dit qu'il n'était pas nécessaire qu'elle ait ce droit actuellement. Mais si elle avait ce droit, cela permettrait peut-être de diminuer les plaintes ou, à tout le moins, d'imposer aux entreprises et aux commerces, comme vous venez de le dire, qu'il y en ait moins. Les entreprises seraient plus prudentes dans la gestion des renseignements personnels.
[Traduction]
Je crois savoir que les organisations sous réglementation fédérale se conforment bien en général. Encore une fois, il est possible que lorsque la loi sera mieux connue et que nous aurons acquis plus d’expérience dans son application... Même si nous n’avions pas ce pouvoir de prendre des ordonnances en Colombie-Britannique, nous aurions recours à la même gamme d’outils qu’au niveau fédéral pour essayer d’assurer la plus grande conformité possible. Je pense en fait que la conformité augmenterait à mesure que la loi serait mieux connue.
[Français]
Je vais essayer de vous poser une question fondamentale sur les droits fondamentaux en quelques secondes.
Une de vos recommandations est que la protection des renseignements personnels devienne un droit fondamental. Ne croyez-vous pas que dans certains cas, il y a des préséances dans les droits fondamentaux, et qu'il faudra parfois aller chercher des informations personnelles malgré la volonté des gens.
Je vous donne un exemple, très rapidement, se rapportant au Service correctionnel canadien. Lorsque les agents du Service correctionnel se font agresser par des détenus et qu'il y a un échange de fluides corporels — et la plupart du temps, c'est volontaire et malfaisant, si je peux dire —, ceux-ci ne peuvent avoir accès à leur dossier de santé personnel.
Est-ce que vous trouvez cela normal?
[Traduction]
Tout d’abord, le droit à la vie privée est reconnu au Canada à titre de droit fondamental de la personne de bien des façons. Le Canada a signé des instruments internationaux qui l'engagent à protéger la vie privée, comme droit humain. L’interprétation de la Charte canadienne a permis d’établir qu’elle protège les gens contre les mesures indues de perquisition et de saisie lorsqu’ils peuvent raisonnablement s’attendre au respect de leur vie privée.
La consécration de la vie privée comme droit de la personne ne signifie pas que la société n’a pas à trouver un certain équilibre entre ce droit individuel et d’autres droits collectifs. Au Canada, la liberté d’expression n’est pas absolue, le Code criminel établissant des restrictions sur ce qu’on peut dire. Il en est de même du droit à la vie privée, qui n'est pas absolu au Canada. À plusieurs occasions, les tribunaux, surtout dans le contexte pénal, ont cherché à trouver un équilibre approprié lorsque des intérêts contraires étaient en jeu.
Je crois, pour ma part, que si le droit à la vie privée est reconnu comme droit fondamental dans la LPRPDE, on pourrait éviter d’avoir à trouver un équilibre entre ce droit et des considérations commerciales de profit ou de commodité. Nous ne limitons pas la liberté d’expression parce que quelqu’un peut gagner de l’argent en l’absence de ce droit. Dans certaines situations, nous devons définir des limites lorsqu’il s’agit de trouver l’équilibre entre différents droits.
Dans l’exemple que vous avez mentionné, il y a des précédents qui permettent de rechercher l’équilibre délicat nécessaire. Car c’est un équilibre délicat, assez difficile à trouver.
Je suggère à cet égard de se fonder sur le rapport Finestone, dans lequel le comité permanent s’est basé sur les résultats d’importantes consultations publiques un peu partout dans le pays pour déterminer les répercussions des nouvelles technologies sur le droit à la vie privée. Le comité avait alors recommandé d’élaborer une loi pour protéger les renseignements personnels dans le secteur privé, tout en précisant que des mesures législatives ne suffiraient pas pour assurer une pleine protection, à cause de tous les facteurs que nous avons examinés. C’est un environnement complexe, dans lequel l’information circule par toutes sortes de moyens et nos relations évoluent constamment par suite des plates-formes que nous construisons.
La protection des données ne sera mise en œuvre d’une façon qui permette à notre société d’atteindre le but qu’elle vise que si nous avons une mesure législative générale reconnaissant la vie privée comme valeur fondamentale, comme valeur démocratique, comme valeur sociale et comme un droit de la personne.
Le rapport Finestone proposait d’adopter une charte de la vie privée qui aurait simplement établi ce droit sous forme d’une déclaration de principe.
Je dois vous interrompre, madame Steeves, parce qu’il y a d’autres membres du comité qui veulent poser des questions. Je vous remercie.
Monsieur Wallace.
Monsieur le président, j’essaierai d’être bref. Je vais commencer par poser quelques questions au commissaire.
On nous a dit précédemment – et j’aimerais bien savoir si c’est la même chose en Colombie-Britannique – qu’en cas de fuites... Je crois que notre ami libéral, qui est absent aujourd’hui, avait parlé de cartes de crédit, d’erreurs commises et de la perte des renseignements personnels de centaines et de milliers de personnes. La loi de la Colombie-Britannique exige-t-elle des entreprises qu’elles avertissent les intéressés si leurs renseignements personnels sont compromis?
Non. À ma connaissance, la seule loi canadienne contenant cette exigence est la Loi ontarienne de 2004 sur la protection des renseignements personnels sur la santé.
En Colombie-Britannique, notre loi doit faire l’objet d’un examen législatif d’ici quelques mois. Si on me le demande, je dirais que, pour le moment, je ne suis certainement pas en faveur d’une exigence explicite de notification semblable à celle qui existe aux États-Unis, par exemple. Je crois que nous devrions attendre d’avoir plus d’expérience dans l’application de la loi pour déterminer si une notification obligatoire constitue un moyen efficace et économique de réduire les risques d’usurpation d’identité pouvant découler de fuites de renseignements personnels.
Pour le moment, je préfère beaucoup maintenir l’approche de notre Commissariat, qui consiste à évaluer les risques dans le cadre des obligations que la LPRPDE impose aux organisations en matière de mesures raisonnables de sécurité destinées à protéger les renseignements personnels contre une utilisation non autorisée. Nous préférons collaborer avec les organisations et les conseiller, ce que nous nous apprêtons à faire. D’ailleurs, depuis quelque temps, nos collègues de l’Ontario se sont joints à nous à cet égard pour évaluer les risques et déterminer s’il est prudent de procéder par voie de notification officielle.
Très bien. Vous avez déjà répondu à ma deuxième question, et je vous en remercie.
Voici ma troisième question, que je vais essayer d’exprimer clairement. En présence de différentes lois de protection des renseignements personnels, au niveau provincial ou, à défaut, au niveau fédéral, si j’ai une entreprise qui a des activités partout dans le pays, y compris au Québec, me direz-vous que je n’aurai pas de frais importants à engager pour fonctionner en Colombie-Britannique, en Alberta, au Québec ou dans l’Île-du-Prince-Édouard?
… et je dois donc exprimer les réserves d’usage. Il y a probablement beaucoup d’avocats qui m’en voudront de ce que je vais dire, mais je prétends que les points communs des différentes lois canadiennes l’emportent de loin sur les différences mineures qui existent. Une organisation qui s’assure de respecter la LPRPDE, par exemple, et peut-être les exigences particulières du Québec serait bien placée pour me dire et dire aussi à d’autres responsables provinciaux – mon collègue de l’Alberta n’aimera probablement pas ce que je dis – que les mesures législatives existantes n’occasionnent pas vraiment de difficultés.
Il y a bien sûr des nuances. Vous aurez sans doute quelques frais à débourser pour vous assurer d’avoir tenu compte de toutes les exigences, mais, comme je l’ai dit dans mon exposé préliminaire, ils ne seront pas aussi importants que certains l’affirment. Je suis persuadé que les frais nécessaires pour se conformer seraient beaucoup plus importants ailleurs, aux États-Unis, par exemple.
Plus importants, d’accord.
Vous avez dit qu’aucun consentement direct n’est nécessaire en ce qui concerne les renseignements de base sur l’emploi. Est-ce que cela s’applique au salaire? Le salaire est-il considéré comme un renseignement de base sur l’emploi?
En principe, une organisation est autorisée à communiquer le salaire d’un employé à des tiers, mais seulement à des fins nécessaires, par exemple, pour maintenir son emploi ou y mettre fin et seulement si la communication de ce renseignement est raisonnable dans les circonstances.
Prenons le cas d’une compagnie d’assurance qui prend contact avec une entreprise pour soumissionner, mettons, sur un produit que celle-ci envisage d’acheter pour ses employés et qui dépend de sa feuille de paie. L’entreprise serait autorisée à communiquer le montant global de sa rémunération, mais non le salaire de chaque employé. Est-ce exact?
J’ai deux observations à faire pour vous répondre.
Si les renseignements portent sur la rémunération globale, ils ne concernent évidemment pas un individu identifiable. Ils ne s’inscrivent donc pas dans la catégorie des renseignements personnels et ne sont pas assujettis au PIPA.
Notre loi comprend un ensemble particulier de règles régissant la collecte, l’utilisation et la communication de renseignements personnels dans le but d’inscrire un employé comme bénéficiaire d’un régime d’avantages sociaux ou d’une assurance-vie de groupe.
Même s’il s’agit de renseignements personnels, le consentement n’est pas nécessaire si l’objet est d’inscrire ou de maintenir un employé dans l’un de ces régimes.
Non. Merci, monsieur Wallace.
Commissaire, vous avez parlé de l’examen de votre loi. L’article 59 dit que l’examen doit commencer dans les trois années suivant le 1er janvier 2004, c’est-à-dire à plus tard que le mois prochain. Habituellement, ces délais sont assez élastiques, mais vous devez sûrement vous préparer à comparaître devant le comité législatif spécial de votre province. Aurez-vous alors de grandes questions à soulever au sujet de votre loi que vous voudrez porter à l’attention du comité et qui pourraient nous intéresser dans le cadre de notre examen de la LPRPDE?
Le comité prévu à l’article 59 n’a pas encore été formé. Nous sommes en train de préparer le mémoire que nous lui présenterons une fois qu’il sera créé et que l’examen aura commencé. Si je peux fournir à votre comité des renseignements utiles à ce sujet dans les prochaines semaines et les prochains mois, je me ferai certainement un plaisir de le faire.
Dans les prochaines semaines plutôt que dans les prochains mois, si nous devons nous en servir dans notre examen. Merci beaucoup de votre offre.
Nous passons maintenant à M. Dhaliwal, qui sera suivi par M. Van Kesteren.
Merci, monsieur le président.
Ma question s’adresse au commissaire.
Mme Steeves a parlé tout à l’heure du médecin qui réunit des renseignements sur le traitement hormonal substitutif et les transmet à des sociétés pharmaceutiques. À mon avis, cela est utile à la société aux fins de la recherche sur les hormones. C’est d’ailleurs le seul moyen pour l’industrie pharmaceutique de se renseigner sur les besoins des consommateurs et de la société. Tant que le nom de ces femmes ou d’autres patients n’est pas communiqué à ces sociétés, considéreriez-vous qu’il s’agit de renseignements sur le produit du travail?
Sans perdre de vue les réserves relatives aux circonstances et à d’autres considérations générales que me dicte ma formation d’avocat, je dirais que l’information dont vous parlez concernant les schémas de traitements prescrits par les médecins, et non les renseignements personnels des patients, semble à première vue s’inscrire dans la catégorie de l’information sur le produit du travail, telle qu’elle est définie dans la loi de la Colombie-Britannique.
Sur le plan de la politique? Il ne m’appartient pas de me prononcer à ce sujet, mais il est clair, je crois, que l’Assemblée législative de la province a fait un choix en adoptant cette définition de l’information sur le produit du travail. Comme je l’ai dit, il semble bien qu’à première vue, le genre de renseignements dont vous parlez concernant les schémas de traitements prescrits s’inscrit bien dans cette définition et dans cette politique.
Encore une fois, il ne m’appartient pas de me prononcer ou de vous faire des recommandations à ce sujet. De toute évidence, il faudrait envisager cette question dans le cadre de l’interprétation de la définition des renseignements personnels dans la LPRPDE. Par conséquent, je voudrais, avec respect, laisser au comité et à d’autres le soin de décider s’il est nécessaire ou non d’ajouter une définition à la lumière de cette interprétation.
Madame Steeves, la question du produit du travail a suscité beaucoup d’intérêt parmi les membres du comité. Avez-vous des observations à formuler au sujet de la question de M. Dhaliwal?
Je suis curieuse de savoir si vous avez eu l’occasion de parler à des représentants d’organismes tels que l’Association médicale de l’Ontario ou du Canada...
D’accord.
À différentes occasions, dans le cadre de mon travail, des omnipraticiens m’ont dit qu’ils avaient de sérieuses réserves au sujet de la collecte de tels renseignements et ce, pour deux raisons. D’abord, même s’il est possible de supprimer les éléments identifiables de ces renseignements, il est très difficile de les rendre vraiment anonymes. Les médecins estiment donc que cela peut faire courir des risques à leurs patients. Ensuite, j’ai entendu dire que la communication de ces renseignements peut nuire à la relation de confidentialité entre le médecin et son patient.
Mon dernier commentaire est qu’il est nécessaire d’envisager d’une façon plus critique la différence entre la recherche dans l’intérêt public ou pour le bien public et la transformation de l’information en marchandise à des fins commerciales. La LPRPDE prévoit déjà des exceptions dans le cas de la recherche universitaire et statistique. Dans ces cas, l’information est disponible, ordinairement avec le consentement des intéressés, parce que la plupart des comités d’éthique l’exigent. Ces renseignements circulent dans la communauté de la recherche, avec certaines restrictions motivées par des considérations éthiques. Nous parlons d’une chose différente lorsqu’il s’agit de vendre de l’information pour convaincre un médecin de prescrire un produit pharmaceutique plutôt qu’un autre ayant en principe les mêmes effets.
Merci, monsieur le président.
Je remercie les témoins de leur présence aujourd’hui.
Je ne suis pas avocat, mais je crois savoir que la common law britannique portait essentiellement sur les droits de propriété. Avons-nous abordé une nouvelle ère? Devons-nous adopter des lois interdisant de faire certaines choses et menaçant des pires sanctions ceux qui n’obtempèrent pas? Est-ce là notre but?
Nous savons par exemple que le voyeurisme est interdit par la loi, mais si vous prenez la décision de vous changer devant la fenêtre et que vous attirez une foule, c’est peut-être un peu... Tant de ces choses sont... Je voudrais aller un peu plus loin. Si j’étais propriétaire d’une petite entreprise, je serais épouvanté par toutes ces lois parce qu’il n’y a vraiment pas là de mauvaises intentions. Une petite entreprise peut souhaiter établir une liste de clients et vouloir s’assurer qu’un client particulier n’essaiera pas d’obtenir des marchandises sans les payer. Nous abordons des domaines qui semblent comporter des contradictions. D’une part, il y a toutes ces choses dont vous parlez, qui nous impressionnent et nous amènent à penser qu'il est nécessaire de prendre des mesures. Par ailleurs, comme M. Tilson l’a dit, si vous naviguez sur Internet et faites toutes ces choses, eh bien, c’est un peu comme vous déshabiller devant une fenêtre ouverte.
Pour en revenir à ma première question, avons-nous atteint un point où nous devons songer à adopter toute une série de nouvelles lois?
Il ne faut pas perdre de vue que la LPRPDE est le résultat de négociations entre des groupes de consommateurs et le secteur privé. Les deux parties se sont entendues sur un ensemble de règles pratiques que nous avons inscrites dans une loi. Je crois qu’il nous faut maintenant resserrer ces règles pour nous assurer d’atteindre le but poursuivi.
Oui, mais nous avons établi ces règles qui s’appliquent probablement aux domaines qui vous préoccupent. J’en conviens, mais n’y a-t-il pas énormément de gens qui ne se placeraient jamais dans une situation pouvant entraîner une violation de la loi ou qui ne feraient jamais quelque chose avec une mauvaise intention?
Pour répondre à votre question concernant les petites entreprises, je voudrais mentionner que j’ai eu le privilège de travailler avec la commissaire fédérale sur un module éducatif spécialement conçu pour permettre aux petites entreprises de se conformer à la loi d’une manière facile et économique.
Certains considèrent que l’obligation de se conformer constitue un obstacle, mais je pense que c’est attribuable au fait que nous n’avons pas encore mis en œuvre ce programme éducatif. Je suis bien d’accord avec vous que les petites entreprises font preuve de beaucoup de bonne volonté. Elles veulent simplement qu’on leur dise quelle est la limite à ne pas dépasser et quelles mesures elles doivent prendre.
À l’heure actuelle, il y a beaucoup de confusion au sujet de cette limite et des restrictions à observer. Nous devrions laisser au programme éducatif le temps d'agir, de donner une plus grande certitude aux petites entreprises et de leur faciliter la tâche.
Vous pensez donc que nous avons affaire à un processus évolutif et que nous n’avons pas besoin d’envisager des changements radicaux en imposant des interdictions catégoriques. Si une nouvelle technologie fait son apparition, nous devons l’examiner. S’il se révèle que certains aspects nécessitent de nouvelles mesures législatives, ne pensez-vous pas que...
Je crois en fait qu’à titre de législateurs, vous vous rendrez compte que n’importe quelle mesure législative comporte des aspects touchant à la vie privée. C’est une chose à laquelle nous devons sensibiliser le public. En même temps, nous avons besoin d’un débat démocratique permanent entre citoyens et législateurs. Il y a donc une question de sensibilisation à l’importance de la vie privée comme valeur sociale, pas seulement dans la LPRPDE, mais aussi dans la Loi sur la sécurité publique, la Loi antiterroriste et différentes autres mesures dont vous serez saisis et sur lesquelles vous devrez vous prononcer.
Je reviens encore au commentaire de Mme Lavallée. Si nous reconnaissons l’importance de la vie privée comme valeur démocratique – c’est l’un des aspects fondamentaux de la primauté du droit –, il est probable que nous en arriverons à l’équilibre voulu lorsque nous aurons à faire des choix au sujet de toutes ces autres formes de mesures législatives.
Par conséquent, l’examen de la LPRPDE nous donne l’occasion de considérer tout l’environnement du commerce électronique en vue d’élaborer des règles permettant aux gens d’avoir leur mot à dire sur la circulation de leurs renseignements personnels.
Merci.
Membres du comité, avez-vous d’autres questions?
S’il n’y a personne d’autre, je poserai moi-même les dernières questions.
Puisque vous êtes ici, commissaire, nous aimerions avoir votre avis puisque c’est le domaine dont vous vous occupez activement. Je vais simplement vous poser mes deux questions. Vous y répondrez ensuite.
Pouvez-vous nous parler des circonstances qui ont amené la Colombie-Britannique à modifier sa loi sur la protection des renseignements personnels pour répondre aux préoccupations suscitées par la possibilité d’une communication non autorisée de renseignements personnels aux autorités des États-Unis, conformément au Patriot Act américain?
En second lieu, pouvez-vous nous dire pourquoi vous avez modifié la loi relative au secteur public, mais non la loi relative au secteur privé?
Très bien.
Au départ, un certain nombre de plaintes ont été déposées par suite de la décision du gouvernement provincial de confier à des entreprises du secteur privé la prestation de certains services publics, et plus particulièrement l’administration du régime provincial de soins de santé.
L’analyse à laquelle nous avons procédé a révélé qu’il était vraisemblable que des ordonnances prises en vertu du Patriot Act américain et d’autres lois connexes puissent imposer aux entreprises privées retenues à contrat de communiquer les renseignements personnels qu’elles détenaient, si elles avaient des liens suffisants avec les États-Unis.
Trois semaines avant le dépôt de notre rapport qui avait abouti à cette conclusion, l’Assemblée législative provinciale a décidé de modifier la loi sur l’accès à l’information et la protection des renseignements personnels de la Colombie-Britannique pour établir d’une façon encore plus claire que les ordonnances de tribunaux étrangers n’avaient pas d’effet extraterritorial au Canada et pour imposer aux organismes publics de la Colombie-Britannique quelques autres exigences liées à la protection des renseignements personnels.
Aucune modification de ce genre n’a été apportée au PIPA, c’est-à-dire à la loi sur la protection des renseignements personnels dans le secteur privé. Dès le départ, j’avais établi une nette distinction entre le secteur public – à l’égard duquel les citoyens n’ont pas le pouvoir de consentir ou non à la décision prise par le gouvernement de donner à contrat la prestation de service public touchant leurs renseignements médicaux personnels – et le secteur privé où, en principe et en pratique aussi, à mon avis, les gens ont leur mot à dire. S’ils ne sont pas satisfaits des pratiques de l’entreprise en matière de renseignements personnels, ils peuvent toujours s’adresser ailleurs pour obtenir les biens et les services dont ils ont besoin. Je crois que cette distinction est bien réelle et qu’elle justifie un traitement différent, selon qu’il s’agit du secteur public ou du secteur privé.
Merci beaucoup.
Je voudrais remercier nos deux témoins pour cette discussion très intéressante et, je n’en doute pas, très utile. Je vais certainement être prudent et surveiller la direction de mon regard quand je ferai mes achats de Noël.
Je vous souhaite un bon retour chez vous. Encore une fois, merci beaucoup.
La séance est levée. Nous nous reverrons lundi.