ETHI Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
CANADA
Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique
|
l |
|
l |
|
TÉMOIGNAGES
Le jeudi 22 février 2007
[Enregistrement électronique]
[Traduction]
La séance est ouverte.
Je prie les témoins et mes collègues d'excuser mon retard. J'ai été mal informé quant à la salle et quand j'ai appelé cette salle, personne n'a pris le téléphone. Je suis donc désolé.
Pour la 33e séance de notre comité, nous accueillons aujourd'hui du Commissariat à la protection de la vie privée, Mme Jennifer Stoddart, commissaire et Mme Heather Black, commissaire ajointe qui ont eu l'amabilité de nous envoyer des documents à lire avant leur comparution. Merci beaucoup.
Nous allons commencer, je suppose, par une déclaration liminaire de la part de la commissaire.
Allez-y.
Merci beaucoup, monsieur le président et mesdames et messieurs les députés.
Vous connaissez la commissaire adjointe Heather Black qui a déjà comparu et qui présenterait une partie de notre position ce matin.
Nous vous avons envoyé la documentation à laquelle vient de faire allusion le président. Ceci pour que les documents de référence soient faciles à consulter.
Je n'ai pas préparé de déclaration liminaire. Je vous rappellerai simplement notre position que nous avons essayé de vous résumer d'une façon qui vous a, je l'espère, paru utile. C'est à la deuxième page non numérotée, en face de la table des matières.
[Français]
Le résumé se trouve à la page opposée de la table des matières,
[Traduction]
tout au début, du côté droit.
[Français]
Vous pourrez y voir le résumé de notre position en version française et en version anglaise. Ce sont des suggestions de modifications à la loi ainsi que les points sur lesquels nous pensons qu'il n'y a pas de recommandations à faire.
[Traduction]
Je résumerai très brièvement, vous avez entendu beaucoup de témoins de pratiquement tous les milieux canadiens. Vous avez constaté qu'il y avait tout un éventail d'opinions. Certaines sont radicalement opposées les unes aux autres.
Nous allons donc essayer de vous conseiller sur les modifications à apporter à la loi qui permettraient à la fois de maintenir la protection de la vie privée et de tenir compte, dans toute la mesure du possible, de tout consensus ou position raisonnable que l'on pourrait adopter face à certaines des positions diamétralement opposées sur ces questions.
Je vais commencer au bas de la première série de points dans laquelle nous énumérerons les modifications que nous suggérerons à la LPRPDE.
Collaboration avec d'autres autorités responsables de la protection des données. C'est extrêmement important dans un monde mondialisé. Les légistes m'ont parfaitement assuré la possibilité de collaborer pleinement avec les provinces. Pour plus de certitude, nous suggérons que vous élargissiez cela.
La nécessité d'aviser les victimes éventuelles de brèches de sécurité est ressortie très clairement ces derniers mois. Je suggérerais ainsi que votre comité recommande qu'il soit obligatoire d'aviser les victimes de toute infraction à la protection des renseignements personnels des Canadiens.
J'ai de la documentation à ce sujet. Vous constaterez que nous avons fait un résumé à l'annexe 6. Nous avons donné un aperçu des lois américaines concernant les brèches de sécurité qui pourraient nous inspirer quant aux différents éléments que comporte le devoir d'aviser.
On a constaté un autre problème dernièrement aussi qui découle de l'omission dans la LPRPDE de dispositions concernant la communication de renseignements personnels avant le transfert d'entreprises. C'est ce que l'on appelle la diligence raisonnable. Il s'agit simplement d'une omission. Nous suggérons que vous recommandiez une modification.
Nous avons donné un exemple à l'annexe 2 du classeur, le modèle albertain, qui à notre avis est un modèle raisonnable.
Autre omission dans la loi, nous pensons que vous pourriez élargir les exceptions aux exigences en matière de consentement pour la collecte de renseignements à des fins d'intérêt public en cas d'urgence, comme pour les victimes d'accidents, où il est nécessaire d'obtenir des dossiers dentaires aux fins d'identification, pour des raisons humanitaires, dans le cadre de harcèlement de personnes âgées, comme l'ont signalé les banques, etc.
[Français]
Au concept de la tentative de collecte, dans les autres exceptions au consentement, il faudrait ajouter la notion de délibération. On se rappelle que la Cour fédérale dit que si on tente de recueillir, par exemple, les renseignements personnels d'un employé, mais qu'on ne réussit pas à les capter, la loi ne s'applique pas. Il faudrait donc développer en ce sens.
Finalement, je vous rappelle que sur la question épineuse de la sécurité nationale, au paragraphe 7(1), notre position a toujours été de redonner à la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, la forme qu'elle avait avant les amendements apportés en 2004 par la Loi sur la sécurité publique et, donc, de revenir à la position précédente, en vertu de laquelle les entreprises ne deviennent pas les agents de l'État pour la collecte des renseignements personnels dans le but de les donner aux autorités de la sécurité.
[Traduction]
Heather Black va maintenant parler des trois autres suggestions que nous faisons pour modifier la loi.
Nous passons ainsi aux relations entre employeur et employé. Il nous est apparu très clairement au cours des six dernières années que le modèle de consentement ne convient pas très bien dans ce contexte. Nous proposons que vous examiniez le libellé de la loi albertaine, qui repose sur un critère de fin raisonnable et que vous y ajoutiez la notion de dignité de la personne que l'on retrouve dans la loi québécoise.
Nous estimons que le modèle de consentement ne fonctionne pas bien mais nous continuons à nous préoccuper du déséquilibre entre les pouvoirs de l'employeur et de l'employé. Il faut bien comprendre que ce qu'essaient de faire les employeurs ne satisfait pas toujours les employés.
L'information sur les contacts d'affaires, c'est assez facile. Il y a déjà une exception à la définition des renseignements personnels que nous vous suggérons d'élargir pour inclure l'information sur les contacts d'affaire mais en imposant des restrictions sur les fins pour lesquelles ils pourraient être recueillis et communiqués.
Le secret professionnel est pour nous un problème énorme du fait des décisions de la Cour fédérale. Aux termes de la LPRPDE, les personnes ont un droit d'accès aux renseignements personnels les concernant. Il y a des exceptions à ce droit d'accès. L'une d'elles est le secret professionnel.
Nous ne recommandons pas que les informations touchées par le secret professionnel soient communiquées aux personnes. Ce que nous aimerions, c'est la possibilité de prendre connaissance de ces renseignements afin de nous assurer que l'on n'invoque pas indûment le secret professionnel. C'est donc très limité et c'est tout ce que nous demandons en fait.
Merci.
J'aimerais maintenant passer aux éléments sur lesquels nous ne recommandons aucun changement et vous expliquer brièvement pourquoi.
À propos des pouvoirs de la commissaire, je maintiens que ce n'est pas le moment, étant donné tout ce qui se passe au Commissariat et que nous sommes un des agents du Parlement étroitement lié par la loi à d'autres agents.
La loi, sous sa forme actuelle, me donne un certain nombre de pouvoirs. Nous n'avons pas eu le temps de tous les exercer et je recommande donc le statu quo.
On vous a dit que le processus de désignation des organismes d'enquête est à la fois long et lourd. Je ne peux le nier. Mais j'estime que le contraire — supprimer toute réglementation et tout processus d'approbation pour les organismes d'enquête — signifierait que les détectives pourraient se nommer entre eux à ces organisations, de même que les espions, etc. Il est très bien que le gouvernement fédéral puisse réglementer cela sinon, ils pourraient fonctionner ainsi tant que personne ne porterait plainte ou que l'on nous signale quelque chose, ce qui est très difficile dans un pays aussi vaste que le Canada.
Le consentement général n'a en fait jamais posé de problème et nous suggérons donc de ne rien faire à ce sujet.
Heather, voulez-vous parler du produit du travail et de notre position à ce sujet?
On a beaucoup parlé du produit du travail. D'après notre expérience, dans bien des cas, le produit du travail n'est pas essentiellement des informations personnelles. Il y a certaines circonstances où quelque chose qui semble être un produit du travail pourrait être un renseignement personnel puisque cela révèle quelque chose à propos de l'intéressé.
Nous recommandons de continuer comme par le passé, à savoir que nous examinions ces circonstances au fur et à mesure qu'elles se présentent.
Vous voudrez peut-être nous poser d'autres questions à propos du produit du travail mais c'est essentiellement notre position à l'heure actuelle.
Merci.
Enfin, la question de la circulation transfrontalière des renseignements personnels est une question que, à notre avis, nous pouvons régler en vertu de la loi actuelle et à l'aide de dispositions contractuelles dans le secteur privé. Je vous renverrais à ma première demande, à savoir que l'on nous permette de collaborer davantage avec d'autres autorités responsables dans le monde entier.
Enfin, j'ajouterais quelque chose qui n'est pas dans la LPRPDE mais qui constitue un problème énorme. J'ai pris la liberté d'envoyer au comité copie de la lettre que j'ai adressée à Mr. Bernier à propos du pourriel. Je suppose que vous l'avez reçu. J'en profite, puisque vous êtes le comité qui s'occupe des questions de protection de la vie privée, pour vous rappeler qu'il s'agit d'un problème très sérieux si l'on considère la protection de la vie privée.
[Français]
Le fait que nous sommes le seul pays du G8 qui n'a pas de législation contre les pourriels est extrêmement inquiétant. Je vous encourage à vous pencher sur ce problème.
Monsieur le président, c'était notre présentation. Nous sommes prêtes à répondre aux questions des membres du comité.
[Traduction]
Merci beaucoup.
Je suis sûr qu'il y aura quelques questions.
Nous allons commencer par M. Peterson, sept minutes.
Nous avons reçu une proposition très détaillée d'IMS à propos du produit du travail. Pourriez-vous me dire pourquoi vous n'êtes pas d'accord avec IMS?
La loi, telle quelle est et telle qu'elle a été interprétée fait déjà la distinction entre produit du travail et renseignement personnel. Nous craignons ainsi que l'on essaie de faire des exceptions là où ce n'est pas justifié.
Deuxièmement, comme vous le verrez dans l'annexe que nous avons soumise au comité, nous craignons que tout exception ait un effet indirect sur les questions de surveillance.
Nous pensons d'autre part que si l'on veut modifier la loi en ce qui concerne le produit du travail, il faudra tenir compte du contexte dans lequel cet amendement est demandé, le secteur dans lequel opère IMS et les initiatives législatives qui ont été prises dans certaines provinces et qui stipulent, par exemple, dans l'une d'elles, qu'il faut obtenir le consentement de ceux dont c'est le produit du travail.
Voilà en résumé la raison pour laquelle nous jugeons inapproprié de faire quoi que ce soit dans ce sens pour le moment.
Je parle de la modification apportée par le Québec à sa loi afin de capter de façon précise le produit du travail et c'est ce que nous résumons brièvement au point 11 ainsi que dans notre annexe. D'autre part, très franchement, il ne s'agit dans ce cas que de prescrire des habitudes et ceux à qui on prescrirait de telles habitudes bénéficient, premièrement, de la possibilité d'être consultés et, deuxièmement, de la possibilité de refuser, deux choses qui ne sont pas contenues dans cette recommandation. Je signale également l'expérience d'autres provinces, en particulier de la Colombie-Britannique, où il est interdit de récolter ce genre de renseignements...
Mais cela se trouve dans d'autres lois, n'est-ce pas, si ce n'est pas dans leurs lois sur l'accès à l'information et la protection de la vie privée?
Notre rôle est de nous occuper de l'accès à l'information et de la protection de la vie privée. S'il y a d'autres lois qui stipulent que l'on ne veut pas que ces renseignements aillent à des vendeurs de drogue, cela ne nous regarde pas, n'est-ce pas?
Si, je crois que cela nous regarde parce qu'il n'y a pas tellement de monde qui demande ce genre d'amendements. Il ne semble pas que cela touche tout un éventail de secteurs. Il semble que cela soit très limité. J'estime ainsi qu'il faut considérer le contexte et les différentes lois qui s'appliquent.
Je ne pense pas que nous devions nous occuper de la diffusion de renseignements médicaux dans les lois sur la protection de la vie privée. N'est-ce pas la responsabilité des provinces plutôt que du gouvernement fédéral?
Ma foi, une partie de la LPRPDE réglemente de facto les renseignements personnels qui sont entre les mains des médecins. Étant donné qu'une partie des renseignements médicaux sont en fait des renseignements commerciaux et, de plus en plus, la LPRPDE joue ce rôle et l'a fait depuis le début, d'après ce que je sais.
Je ne suis pas sûr d'être d'accord avec vous, commissaire.
Passons maintenant à votre obligation d'aviser. Vous nous proposez une obligation d'aviser de toutes les effractions?
C'est quelque chose sur quoi nous avons essayé de vous fournir autant de documentation que possible. Nous avons fait une étude de l'expérience américaine et vous pouvez donc consulter cela et nous espérons que ceux qui rédigeront un amendement s'en serviront.
Il est évident que nous ne nous voulions pas alarmer le grand public s'il ne s'agit pas de quelque chose d'important, si c'est quelque chose qui a été perdu puis retrouvé peut-être le lendemain. Il faut un certain seuil d'importance, qu'il y ait une forte probabilité que cela puisse avoir des conséquences négatives.
Vous savez qu'un certain nombre de groupes, en particulier un qui intéresse la Chambre de commerce du Canada, examinent des lignes directrices qui pourraient nous aider à cet égard? Est-ce que vous travaillez avec ces groupes à ce sujet?
Oui, le commissariat travaille à ces lignes directrices. J'ai parlé aux représentants du secteur privé et je crois que nous devrions avoir une rencontre avec eux en mars.
Si votre amendement était adopté, ces lignes directrices tenteraient de définir ce que signifie « importante »?
Tout d'abord, tout dépend si c'est une modification éventuelle ou des lignes directrices qui sont d'abord adoptées. Il est évident que nous allons nous pencher dès que possible sur des lignes directrices parce que les entreprises le souhaitent. Le grand public serait beaucoup plus rassuré s'il existait de telles lignes directrices.
Si la nouvelle loi devait être adoptée rapidement, d'éventuelles lignes directrices deviendraient beaucoup plus fonctionnelles et serviraient à interpréter la loi, selon ce que contiendrait la modification.
En fait, ce n'est pas parce que vous rendrez obligatoires ces avis d'effraction que cela va changer la pratique. Vous allez examiner les incidents cas par cas. Vous devrez travailler avec les institutions concernées et le secteur privé pour définir des lignes directrices qui permettront de savoir quand il sera effectivement nécessaire de déclarer une effraction.
Je comprends.
Mon dernier commentaire: je m'inquiète du fait qu'un ensemble hétéroclite de lois sont élaborées au pays --les lois fédérales, les lois de quatre provinces et celles d'autres provinces qui s'ajouteront peut-être, je n'en sais rien.
Envisagez-vous une situation où toute cette législation pourrait être totalement harmonisée afin qu'il soit facile d'appliquer les règles partout au pays?
Je crois que de plus en plus, les provinces et le gouvernement fédéral vont collaborer de plus en plus tellement la question est importante, tellement il y a de renseignements personnels qui circulent dans une économie qui est de plus en plus une économie de services.
D'autre part, étant donné que nous sommes un groupe assez homogène, nous voyons ce qui semble bien marcher à un endroit et ce qui ne va pas bien. C'est également ce que font les défenseurs de la protection de la vie privée et les entreprises. Je crois donc que l'expérience sera commune et que nous nous dirigerons vers un régime harmonieux...
Oui, vouliez-vous...
Lorsque le Parlement a adopté la LPRPDE, on avait prévu le risque que l'on se retrouve face à un système tout à fait disparate et c'est la raison pour laquelle on avait indiqué « identique pour l'essentiel ». C'était pour essayer d'orienter les provinces vers l'harmonisation.
Toutefois, si vous considérez les lois de la Colombie-Britannique et de l'Alberta qui ont été adoptées après la loi fédérale, et qui semblent différentes parce que les styles sont différents et qu'elles n'ont pas suivi le code et tout le reste, tous les principes du code CSA se retrouve dans ces deux lois. Elles sont en fait identiques. Les différences sont mineures et elles fonctionnent essentiellement de la même façon. Je ne pense donc pas que les entreprises aient du mal à se conformer aux trois.
Merci.
Avant de passer à M. Vincent, j'aimerais clarifier une chose. La question du produit du travail a été abordée par IMS ainsi qu'un certain nombre d'autres témoins. En fait, certains témoins, dont le Bureau d'assurance du Canada, ont recommandé que nous adoption le modèle de produit du travail de la Colombie-Britannique.
Je ne pense pas que ce soit donc aussi limité que vous l'ayez dit, madame.
Monsieur le président, me permettez-vous de répondre. Je ne pense pas avoir dit qu'un seul témoin nous en avait parlé. J'ai dit que cela tournait autour d'un problème particulier, celui des questions d'ordonnance et, dans le cas du secteur de l'assurance, des questions d'accès aux avis de médecins sur les gens que l'on évalue aux fins d'assurance. Je reste donc...
[Français]
Merci beaucoup, monsieur le président.
Je pense que sept minutes ne me suffiront pas pour vous poser toutes les questions que je voudrais vous adresser.
D'abord, je vous remercie toutes deux d'être ici ce matin. Je pense que ce sera une séance de travail extrêmement importante.
Comme je vous l'ai dit, j'ai plusieurs questions à vous poser et je ne sais pas par laquelle débuter, tellement elles me semblent toutes importantes.
D'abord, M. Peterson a parlé d'unifier toutes les lois. Si je peux me le permettre, monsieur Peterson, j'ai une opinion un peu contraire à la vôtre. En effet, je pense que les provinces vont parfois beaucoup plus loin que le fédéral. Le Québec, particulièrement, est souvent un chef de file dans plusieurs domaines, et je ne vois pas une situation où on devrait se soumettre au diktat d'Ottawa.
Par ailleurs, le produit du travail a été abordé par plusieurs témoins. Des représentants de IMS Health Canada, particulièrement, ont même suggéré un libellé. Quelles seraient les conséquences négatives si on adoptait ce libellé suggéré par IMS? Est-ce que vous l'avez lu?
Oui.
Je vous réfère au texte que nous vous avons soumis. Je crois que c'est un geste très significatif. D'abord, je voudrais souligner ce qu'on semble oublier, c'est-à-dire que l'interprétation actuelle donne l'effet d'exempter la situation, laisse croire que la LPRPDE ne s'applique pas aux situations qui sont envisagées par IMS.
Dans ce contexte, nous reconnaissons, dans les interprétations, la question du produit du travail où les renseignements, au Québec, sont appelés les renseignements personnels professionnels. Nous pensons que ce n'est pas une bonne idée d'amender la loi, étant donné que le statu quo est déjà le but recherché. Dans un sens, c'est très significatif d'amender cette loi élaborée après des années de discussions.
Si vous faites cela, vous devriez examiner l'ensemble des circonstances où cet amendement est requis. Vous devriez aussi examiner les implications possibles d'un tel amendement, notamment la surveillance des travailleurs et des produits intellectuels dans d'autres domaines, et d'autres personnes que des médecins ou les travailleurs de la santé.
Je répète que je pense que le statu quo établit déjà que ce type de situation n'est pas couvert par la LRPDE.
Alors, si je comprends bien ce que vous dites, il s'agit de soumettre la définition de IMS à d'autres groupes, par exemple des groupes qui s'occupent des droits d'auteur des artistes, pour voir si cela entraînerait des effets non recherchés.
Vous pourriez faire cela, ce serait une idée. Toutefois, vous n'avez pas besoin d'adopter cet amendement, puisque l'interprétation de la loi, actuellement, fait en sorte que les ordonnances des médecins ne sont pas couvertes par la LPRPDE. Donc, pourquoi adopter cet amendement?
Si on identifie des problèmes, il faudrait les régler. Cela n'a pas été un problème, puisqu'ils sont, de fait, exemptés de la loi.
Nous avons identifié bien assez de problèmes qui nous ont amenés à vous demander de changer la loi. Il y a un cas devant les tribunaux — je pense qu'il y a eu désistement — où on a fait ressortir que, dans ce cas précis et à la lumière des faits évoqués, ces pratiques n'étaient pas couvertes par la LPRPDE.
Donc, je ne vois pas pourquoi on adopterait un amendement, si cela n'a pas été un problème.
C'est peut-être cela.
Je me préoccupe du fait qu'on ait au minimum une ceinture. Mais les Canadiens n'en ont pas, dans bien des cas déjà, en vertu de la loi.
Effectivement, particulièrement par rapport au Patriot Act, que vous avez identifié plus tôt. C'est normal de craindre que la loi américaine ait des incidences très importantes au Canada et au Québec. Vous disiez tout à l'heure qu'en vertu de la loi actuelle, vous pouviez vous débrouiller et faire en sorte que les renseignements personnels des Québécois ou des Canadiens soient protégés du Patriot Act.
Que vouliez-vous dire exactement?
Aucune loi ne peut protéger les renseignements personnels d'un citoyen qui se trouvent outre-frontière. Chaque pays a la compétence de régir ce qui se passe à l'intérieur de ses frontières. Étant donné l'importance du commerce dans le vécu canadien et des multiples situations qui peuvent survenir, l'idée est de trouver une réponse qui s'adapte aux situations. Je crois que la réponse, dans la LPRPDE, c'est que quiconque exporte des renseignements personnels des Canadiens doit lier le destinataire, même s'il est dans un autre pays, aux normes canadiennes. Au Canada, il est responsable de ce qui se passe. C'est pratique parce que s'il y a un problème quant à mes données aux États-Unis, par exemple, et que j'ai ces contrats, je peux avoir un recours au Canada, ce qui est plus réaliste.
Je crois qu'au Québec, lorsqu'on a modifié la loi, récemment, on a adopté la norme selon laquelle il faut exporter les données seulement si on prend les précautions de lier l'exportation aux normes autochtones, pour ainsi dire.
Vous avez dit que si une entreprise canadienne située au Canada exporte des renseignements personnels, vous avez des recours. Qui a des recours? Parliez-vous de la commissaire ou de la citoyenne?
Non, je me mettais à la place d'un citoyen consommateur qui a des recours au Canada, ou au Québec en vertu de la loi québécoise, pour un bris de contrat à cause de ce qui est arrivé à ses données à l'étranger, si cela ne respecte pas les normes canadiennes ou québécoises.
Mais vous comprenez que ces recours sont comme David contre Goliath. Il y a certaines entreprises qui sont assez responsables pour envoyer une lettre au consommateur dans laquelle ils s'excusent parce qu'elles l'ont oublié, perdu ou je ne sais trop quoi. Mais même avec une telle lettre, que voulez-vous qu'un citoyen fasse? Le pourcentage de citoyens qui sont en mesure d'intenter des recours contre une grosse compagnie canadienne qui a des ramifications aux États-Unis est, à toutes fins pratiques, très marginal.
Dans le cadre de vos constitutions, ils ont peut-être une chance au Québec, où les actions collectives étant relativement faciles, comparativement aux autres provinces. On peut avoir accès à la Cour des petites créances. Il y a plusieurs recours au Québec qui n'existent pas dans les autres provinces. Par contre, tous peuvent formuler des plaintes auprès du commissaire à la protection de la vie privée, et nous pouvons intenter une action pour eux.
Si quelqu'un déposait une plainte à ce sujet, je trouverais cela très intéressant. On n'en a pas eu pour le moment, mais cela me ferait plaisir de présenter devant les tribunaux des preuves de dommages ou de bris de contrat.
[Traduction]
Merci, monsieur le président et merci à nos invités d'aujourd'hui.
Je voulais faire un peu la lumière sur quelque chose qui ne se trouve pas dans le mémoire mais qui est assez récent. Il s'agit d'un projet de loi qui a été adopté par la Chambre des communes et qui a été renvoyé au Sénat, à savoir le projet de loi C-31 qui touche aux questions de protection de la vie privée.
Il est intéressant de souligner qu'alors que le projet de loi s'efforce de se pencher sur cette question, nous semblions ouvrir des possibilités à ceux qui voudraient exploiter des renseignements personnels. Ceci parce que le projet de loi C-31, Loi modifiant la Loi électorale du Canada et la Loi sur l'emploi dans la fonction publique, prévoit que la date de naissance puisse être fournie aux fins de vérification électorale. Je vous ai écrit à ce sujet, parce que notre parti s'inquiète que l'on ait modifié le libellé initial pour que ces informations soient également communiquées aux partis politiques. Vous m'avez répondu la semaine dernière et je vous en remercie.
J'aimerais simplement que l'on éclaircisse une chose. Mardi dernier, dans une question à la Chambre, j'ai demandé au gouvernement s'il...
Monsieur Dewar, excusez-moi. Je ne voudrais pas vous interrompre mais j'ai dit à la dernière séance...
Certainement.
Le gouvernement me disait et disait aux Canadiens que ce que vous avez dit au Comité permanent de la procédure et des affaires de la Chambre au printemps dernier, en janvier, c'est que vous ne vous inquiétez pas que l'on communique les dates de naissance des Canadiens. En fait, dans la lettre que vous m'avez envoyée récemment -- parce qu'en juin nous n'avions pas été saisis d'un projet de loi, vous n'aviez donc pas vu cela -- vous répondez à mes préoccupations. J'aimerais simplement avoir votre avis sur toute cette question, sur ces dates de naissance qui seraient communiquées aux partis politiques, qui deviendraient publiques.
Ici, nous essayons de protéger la vie privée et il me semble que ce projet de loi ne va pas du tout dans ce sens. Je voulais simplement que vous me disiez ce que vous pensez de cette idée de communiquer les dates de naissance.
Écoutez, monsieur Dewar, vous savez vous êtes un invité ici, en ce sens que vous n'êtes pas membre permanent du comité. Nous traitons là d'un projet de loi très précis...
...et vous essayez de rapprocher votre question de cette étude de la LPRPDE, ce qui est admirable, sauf que je ne vois absolument pas en quoi la question de la communication de dates de naissance est pertinente à cette loi.
Ma foi, je pense à l'obligation d'aviser. Par exemple, les renseignements sur la date de naissance viennent de — je ne sais pas si vous êtes au courant, mais les Canadiens sont en train d'apprendre que leurs déclarations d'impôt sont maintenant, du fait de cette loi, communiquées à Élections Canada. Je parle de l'obligation d'aviser. En a-t-il été question? C'est nouveau et le Sénat en est maintenant saisi. Si c'est adopté, cela aura une incidence sur l'obligation d'aviser. C'est donc là déjà un lien avec ma question.
Je pourrais vous donner beaucoup d'autres exemples parce qu'il s'agit de quelque chose de nouveau qui me semble tout à fait pertinent. Si c'est quelque chose qu'on est en train d'adopter, il est normal que les gens soient avisés. Il est important que l'on en parle afin que dans un an, on ne se demande pas pourquoi le comité ne s'était pas penché sur la question.
Merci, monsieur le président.
Il est évident que tout ce qui porte sur les renseignements personnels, la circulation de renseignements personnels et l'autorisation de les faire circuler en vertu des lois canadiennes entre dans la protection de la vie privée. Je renverrais le député à la lettre que je lui ai écrite et dans laquelle j'ai essayé de lui expliquer.
De façon générale, il nous faut considérer que la date de naissance de quelqu'un est essentielle pour identifier une personne. Dans notre société, on s'en sert pour ouvrir la porte à des tas d'informations personnelles importantes et cela ne peut donc être utilisé que lorsque c'est absolument nécessaire. C'est ma position et c'est la philosophie qui inspire ma position à propos de la LPRPDE et tout autre avis que je puis donner au comité.
Je crois que nous y étions et je remercie notre témoin de sa réponse.
J'aimerais revenir à l'obligation d'aviser. Dans votre point 12, vous parlez de cette obligation et dites: « Nous encourageons fortement le comité à recommander de modifier la loi de façon à y inclure une disposition sur les avis d'effraction à la sécurité ». Notre parti est tout à fait favorable à cela. Nous savons que cette disposition et ce que vous recommandez ici existent dans 32 états. Nous savions qu'environ trois millions de Canadiens ont vu leurs cartes de crédit compromises — si je puis m'exprimer ainsi — sans perte financière dans certains cas mais sans avis. Mes électeurs et mon collègue M. Martin, qui suit le dossier de près, me disent que c'est un gros problème lorsque les gens découvrent qu'il s'est produit quelque chose et qu'ils n'en ont pas été avisés.
Pourriez-vous nous expliquer un peu pourquoi c'est important et pourquoi vous dites que vous nous encouragez fortement à recommander cela? Je pense en effet que c'est nécessaire mais j'aimerais que vous insistiez un petit peu sur l'importance d'une telle modification.
Les événements des derniers mois, que la plupart des membres du comité ont certainement suivi, indiquent très nettement qu'il s'agit d'un ajout important à la loi, pour que les sociétés et organismes n'aient aucune réticence à détenir des renseignements personnels concernant les Canadiens et, lorsqu'un tel événement se produit, elles devront prendre des mesures pour les en avertir et pour intervenir afin de prévenir tout vol d'identité.
On a réalisé aux États-Unis une étude digne de foi concernant le lien entre l'effraction à la sécurité de l'information et le vol d'identité, car c'est toujours la question qui se pose: comment peut-on savoir si une effraction à la sécurité de l'information va occasionner un préjudice? En effet, bien souvent, ces effractions n'en causent pas. L'étude indique que 5 p. 100 des personnes dont les renseignements personnels ont été obtenus par une effraction à la sécurité de l'information sont victimes d'un vol d'identité. Je trouve ce renseignement très intéressant. Les gens disent qu'une effraction à la sécurité de l'information ne signifie pas nécessairement qu'un préjudice va en résulter, mais il semble, d'après cette étude, qu'il y a effectivement un préjudice dans 5 p. 100 des cas. Si 100 000 Canadiens sont victimes d'une effraction à la sécurité des renseignements personnels les concernant, cela veut dire que 5 000 d'entre eux vont être victimes d'une fraude, d'un vol d'identité ou d'une situation sérieuse du même genre.
C'est une étude très récente, et ses conclusions sont importantes. C'est pourquoi je demande au comité de rendre cette mesure obligatoire, de façon que les organismes prêtent davantage attention à la sécurité entourant les renseignements personnels qu'ils détiennent et à leur obligation de prendre rapidement les mesures qui s'imposent pour aider leurs clients à faire les bons choix, à surveiller leurs renseignements personnels et leurs cartes de crédit, voire même dans certains cas leurs hypothèques et leurs propriétés foncières, afin de savoir au moins ce qui se passe. La personne qui ne sait pas qu'elle a été victime d'une effraction à la sécurité de l'information ne va pas y prêter particulièrement attention. Combien d'entre nous avons le temps de lire en détail tous nos relevés de cartes de crédit? Je pense qu'il en va de même pour de nombreux Canadiens qui sont toujours à la course.
Il s'agit là d'une mesure publique importante. J'ai d'autres propositions concernant le contenu de l'avis d'effraction à la sécurité de l'information, sur lequel nous avons fait de la recherche, et je serai très heureuse de prêter main forte au comité s'il décide d'agir en ce sens.
Merci, madame la commissaire, d'être parmi nous aujourd'hui.
Je tiens à dire au nom de tous les membres du comité que nous apprécions beaucoup l'ouvrage et la liste que vous nous avez remis.
Je voudrais vous soumettre très rapidement quelques questions avant de me concentrer sur l'obligation d'aviser.
Est-ce que les éléments que vous nous avez soumis sont classés par ordre de priorité?
Pas nécessairement, monsieur. Nous avons essayé de les placer dans un ordre qui soit compatible avec l'ordre dans lequel nous les avons présentés, pour faciliter la lecture et les références.
Parfait, merci.
Est-ce que vous avez fait une analyse financière pour déterminer ce qu'il nous en coûtera si vous obtenez tout ce que vous voulez?
Bien. Pouvez-vous nous donner cette information d'ici quelques semaines si vous avez fait l'analyse en question?
Merci.
Avant d'aborder quelques éléments dont je souhaite faire part à l'ensemble du comité, je voudrais poser une question concernant l'obligation d'aviser. Vous êtes déjà, en quelque sorte, investis d'un pouvoir en la matière aux termes de la loi actuelle. Ne pouvez-vous pas contraindre un organisme à publier certaines choses?
J'ai reçu récemment une lettre qui m'informait que l'un de mes fonds mutuels avait été perdu, ou quelque chose du genre; j'ai vu la lettre et je l'ai jetée. Quels sont vos pouvoirs actuels en ce qui concerne l'obligation d'aviser?
Nous considérons que l'obligation d'aviser fait partie de l'obligation d'assurer la sécurité des renseignements personnels, et le pouvoir en la matière correspond donc aux pouvoirs ordinaires dont nous sommes investis.
Dans le cas des récents épisodes dont les journaux ont fait état, qu'il s'agisse d'un commerce de détail, d'une carte de crédit ou, dans mon cas, d'un fonds mutuel, est-ce que votre bureau est intervenu pour inviter les organismes concernés à aviser leurs clients?
Oui. Les organismes en question ont pris contact avec nous, conformément à une pratique qui dure depuis des années. Les grands organismes sont en contact direct avec mon bureau et lorsqu'il y a un problème, pour autant que nous sachions, ils nous en informent. Nous ne connaissons pas les situations qu'ils ne nous signalent pas.
Oui. Ce que nous ne savons pas et ce sur quoi je ne peux rien vous dire de concret, c'est la proportion des situations dont nous sommes informés par rapport à celles dont nous ne sommes pas informés, ainsi que les délais dans lesquels nous sommes informés.
Excusez-moi de précipiter le mouvement, mais je n'ai que sept minutes et j'ai de nombreuses questions à poser.
Quel est votre point de vue sur les modalités de l'avis? Est-ce qu'il doit être publié dans un journal ou transmis directement aux clients par courrier? Avez-vous des règles à ce sujet?
Vous donnez un aperçu à chaque page, et j'en ai pris connaissance. C'est très bon. En réalité, je ne suis pas d'accord avec vous sur tout.
Y a-t-il une raison particulière pour laquelle vous ne proposez pas véritablement de changement dans le libellé de la loi?
Bien, merci.
Ce que je voudrais proposer au comité à la fin de ce... Ce que vous dites depuis le début, et que vous avez dit lors de votre première comparution, c'est que la loi fonctionne bien. Nous avons aussi le point de vue d'un certain nombre d'éléments du secteur privé. La loi ne s'applique au secteur privé que depuis quelques années. Personnellement, je pense que cette révision est un peu prématurée, et je voudrais vous donner l'occasion de vous prononcer à ce sujet. Par ailleurs, vous n'avez pas préconisé beaucoup de changements, et vous nous proposez maintenant ceci, qui résulte sans doute des témoignages et des arguments qui nous ont été soumis.
J'aimerais donner au ministre l'occasion de prendre connaissance de ce qu'on nous a dit. Je vais donc recommander au comité d'inviter nos attachés de recherche à produire un rapport provisoire que nous pourrons remettre au ministre avant qu'il ne comparaisse devant nous afin qu'il puisse répondre aux questions soulevées, comme vous venez de le faire vous-même.
Tout d'abord, que pensez-vous de cette façon de faire? Deuxièmement, la loi n'a que deux ans d'ancienneté; peut-être faudrait-il attendre encore un peu avant de la réviser. J'aimerais savoir ce que vous en pensez.
Monsieur le président, je pense tout d'abord qu'il ne m'appartient pas de me prononcer sur la façon dont le comité doit faire son travail. La possibilité que vous présentiez un rapport provisoire va bien au-delà de mes compétences.
Deuxièmement, j'aimerais rappeler au député que cette loi a été adoptée en 2000, et que les banques et autres organismes relevant de la réglementation fédérale y sont assujettis depuis 2001. Elle est entrée progressivement en vigueur. La dernière phase est intervenue en 2003, c'est-à-dire il y a quatre ans. Elle n'est donc pas aussi récente que vous le dites.
Bon, très bien.
Ma question est la suivante. Au cours des exposés, on nous a beaucoup parlé du produit du travail. Un organisme a proposé un libellé inspiré d'une loi provinciale sur la protection des renseignements personnels, qu'il nous propose d'utiliser. Je ne comprends pas bien pourquoi ce qui est bon pour la Colombie-Britannique pourrait ne pas l'être suffisamment pour notre loi.
Monsieur le président, j'aimerais demander à la commissaire adjointe Heather Black d'exposer encore une fois notre point de vue à ce sujet.
La Colombie-Britannique est la seule province qui ait isolé le produit du travail des renseignements personnels. Je ne sais pas pourquoi elle a pris cette décision.
Nous considérons fondamentalement, en tant que gardiens du respect de la vie privée des Canadiens, qu'il faut éviter tout ce qui peut déroger à la protection des renseignements personnels. Nous avons réussi à traiter toute la question du produit du travail — les habitudes des médecins dans l’établissement des ordonnances et toutes les choses de ce genre — en travaillant avec les outils dont nous disposons actuellement dans le cadre de la définition des renseignements personnels.
Nous avons recueilli le témoignage du commissaire à la protection de la vie privée de la Colombie-Britannique. Est-ce que vous l'avez consulté pour savoir si la mise en oeuvre de sa loi avait posé des problèmes?
Je lui en ai parlé de façon informelle. Il ne semble pas avoir rencontré de problèmes. Je ne sais pas s'il a dû invoquer fréquemment les dispositions en question. Je peux me renseigner pour vous, si vous le souhaitez.
Merci.
Je ne suis pas certain de vous avoir bien compris, monsieur Wallace, mais il ne s'agit pas d'une révision facultative. Elle est imposée par la loi.
Bien.
Nous pourrons aborder votre autre proposition la semaine prochaine lorsque nous commencerons nos délibérations à huis clos.
Nous passons maintenant à M. Pearson pour cinq minutes.
Merci, madame la commissaire et madame la commissaire adjointe, de votre présence parmi nous.
Je fais partie de ce comité depuis cinq semaines, mais je sais que vous avez comparu avant cela. J'ai lu les comptes rendus des séances précédentes; vous avez dit que vous reconnaissez qu'il existe une différence quantitative entre l'information sur le produit du travail et la protection de la vie privée ou des renseignements personnels d'un individu.
Est-ce bien exact? Êtes-vous toujours de cet avis?
D'autres mettent l'accent sur la dimension éthique de la divulgation des renseignements, mais nous avons accueilli de très nombreux groupes qui nous ont fait des propositions sur toutes sortes de choses. Il s'agissait dans la plupart des cas de gros organismes qui avaient les moyens d'agir, mais certains des groupes que nous avons entendus représentaient des associations de petites entreprises, par exemple. Ils ont pris connaissance de cette loi et reconnaissent qu'elle peut avoir son utilité, mais ils considèrent qu'elle leur impose un fardeau trop lourd. Ils nous ont dit, presque sous la forme d'un plaidoyer, que si nous les obligeons à fonctionner au cas par cas, ils ne seront pas tous capables de le faire et ce sera pour eux une grande difficulté. Ils préféreraient quelque chose de plus permanent, quelque chose d'aussi sûr que de l'argent en banque, parce qu'ils n'ont que quelques employés.
J'estime que pour fonctionner au cas par cas, il faut certains moyens, des moyens dont disposent la plupart des grosses sociétés. J'aimerais savoir ce que vous pensez de l'obligation de fonctionner au cas par cas pour les plus petits organismes. En avez-vous tenu compte? Ne pensez-vous pas que cela risque de leur imposer un fardeau trop lourd?
Comment peuvent-ils s'y conformer? Si le fardeau est trop lourd, ils ne s'y conformeront sans doute pas comme vous le souhaitez.
Merci. C'est une question très intéressante.
Dans les cas sur lesquels nous avons dû trancher---et je vous rappelle que 75 p. 100 des dossiers sont réglés en cours d'enquête par la médiation---nous avons tenu compte du contexte, et je pense que c'est là l'un des avantages de l'intervention au cas par cas. S'agit-il d'un dépanneur? S'agit-il d'une entreprise familiale?
Nous avons eu récemment le cas d'une très petite station de radio communautaire, dont la commissaire adjointe et moi-même avons beaucoup discuté, car je n'en m'étais pas rendue compte initialement. Nous avons considéré la formulation de la loi par rapport à ce qui s'était produit en l'espèce. Nous avons tenu compte du fait qu'il s'agissait essentiellement d'une association de bénévoles, même si elle relevait de la législation fédérale; nous avons modéré nos attentes en considérant qu'il ne s'agissait pas d'une grosse société.
Et c'est ce que nous faisons constamment. Nous essayons d'appliquer la loi en tenant compte du fardeau qu'elle impose dans les milieux d'affaires au Canada, et je ne peux pas dire que les petites entreprises nous aient posé un problème particulier. Elles n'ont sans doute pas les mêmes moyens que les grosses sociétés, mais d'après notre expérience, lorsque nous leur expliquons la loi, elles sont très heureuses de s'y conformer.
Merci.
Deuxièmement, monsieur le président... et j'espère que ma question sera recevable, car vous l'avez déjà soulevée vous-même, c'est la question du pourriel. Je suis membre du comité depuis cinq semaines et j'ai reçu un certain nombre de courriels et de documents de différents groupes qui devaient comparaître devant le comité. Mais j'ai aussi reçu de nombreux courriels de citoyens ordinaires de ma circonscription qui se plaignent du pourriel. Ils savent que je fais partie du comité et ils tiennent en m'en parler.
Nous allons bientôt envisager la façon dont nous aborderons la question en comité. Pouvez-vous nous donner des indications concernant la problématique d'ensemble du pourriel et la façon dont nous devrions l'aborder? Pouvez-vous nous en donner un avant-goût?
Monsieur le président, je vais demander à la commissaire adjointe Heather Black de répondre. Elle a collaboré avec le groupe de travail sur le pourriel et elle est très au courant de la question.
Dans le cadre de la loi que vous révisez actuellement, nous avons le mandat d'aborder le problème du pourriel. Je remercie notre bonne étoile d'avoir fait en sorte que la plus grande partie de la population ne sait pas qu'elle peut s'en plaindre auprès de nos services, car nous pourrions être submergés par le pourriel---non pas par le pourriel, mais par les plaintes. Nous avons cependant reçu quelques plaintes concernant le pourriel.
Le groupe de travail a essentiellement recommandé un renforcement de nos pouvoirs en matière de lutte contre le pourriel. Les véritables auteurs de pourriels ne sont pas des organismes avec lesquels nous pourrions amorcer un dialogue, comme nous pouvons le faire avec des banques ou des petites entreprises, car ces innondeurs n'ont nullement l'intention de se conformer à la loi. Ce serait donc très difficile pour nous.
Nous pouvons cependant intervenir sur le courriel ordinaire non sollicité que vous pouvez recevoir d'une grosse société avec laquelle vous n'êtes pas forcément en contact, mais le véritable problème du pourriel ne peut pas être abordé dans le cadre de la législation sur la protection de la vie privée. C'est un problème qui relève du droit criminel ou de la compétence du Bureau de la concurrence lorsqu'il est question de publicité trompeuse, pour laquelle de lourdes sanctions pénales sont prévues. Je pense que c'est la seule façon d'en venir à bout.
Merci, et merci à vous, M. Pearson.
On passe maintenant à M. Van Kesteren, puis ce sera le tour de Mme Lavallée.
Merci, monsieur le président. Je tiens à remercier nos témoins d'être de nouveau parmi nous.
L'étude de cette loi a été pour nous toute une expérience. Je ne sais pas si les Canadiens sont bien conscients des conséquences de notre étude sur la LPRPDE. Vous et moi en avons beaucoup discuté. Plus nous progressons dans notre étude, et c'est particulièrement le cas pour des membres récents du comité comme M. Pearson et moi, plus nous prenons conscience de toutes ses énormes ramifications.
Des questions ont déjà été posées sur la plupart des sujets. Je m'interrogeais sur le problème des domaines de juridiction et sur le produit du travail, mais le rapport est excellent. Je ne suis pas certains d'être d'accord avec vous sur tous les points; comme l'a dit M. Wallace, nous avons considéré au départ qu'il n'y avait pas lieu de modifier la loi, mais nous avons recueilli d'excellents témoignages qui nous ont amenés à envisager certains changements. Personnellement, je me préoccupe toujours de leurs coûts et je ne suis pas convaincu qu'ils n'entraîneront pas de coûts supplémentaires. Évidemment, c'est un facteur dont nous devons tenir compte.
Il y a deux éléments qui me préoccupent avant tout; le premier concerne le produit du travail, et vous nous avez donné votre point de vue à ce sujet. Je ne suis pas certain d'être d'accord avec vous.
L'autre sujet concerne l'information recueillie et divulguée par la police. Nous avons eu les témoignages de la GRC et des chefs de police, qui nous ont présenté d'excellents arguments concernant leurs enquêtes. Ils ont parlé de la pornographie infantile, des fournisseurs d'Internet et des banques qui n'étaient pas assujettis à la loi et des raisons qui les amenaient à faire enquête. Est-ce que vos recommandations tiennent spécifiquement compte de leurs préoccupations?
En fait, nos recommandations englobent le sujet de l'information recueillie par la police, mais ce que nous demandons--et on ne devrait sans doute pas s'en étonner--va dans le sens contraire de ce que vous a demandé la police hier. Nous voudrions qu'on en revienne à la version de la LPRPDE d'avant la Loi sur la sécurité publique.
La version de la LPRPDE adoptée par ce Parlement en l'an 2000 n'investissait pas les sociétés privées, par des pouvoirs extraordinaires, du droit que possède l'État de recueillir des renseignements personnels sans le consentement de la personne concernée aux fins de l'application de la loi et de la sécurité nationale. Le changement qu'on a apporté est majeur dans un contexte démocratique. On a pratiquement donné à des organismes privés des pouvoirs équivalents à ceux de la police. J'ai protesté lorsque la loi a été adoptée en 2004; je suis toujours du même avis.
Les policiers sont toujours préoccupés lorsqu'ils ne peuvent pas obtenir de l'information et ils sont mécontents du fait que la LPRPDE ait occasionné une prise de conscience dans de nombreux organismes canadiens quand au respect de la vie privée. Ces organismes se demandent si l'article 7 ne vas pas les obliger à transmettre des renseignements sur certains employés si la police en fait la demande. Cet article prévoit qu'ils peuvent y être obligés. Par conséquent, les organismes s'en inquiètent. Nous considérons qu'on est allé bien assez loin aux fins de l'application de la loi, et qu'il s'agit de pouvoirs discrétionnaires.
En tant que commissaire à la protection de la vie privée, je dois rappeler aux membres de ce comité que l'information personnelle fait partie des droits fondamentaux du citoyen et de l'individu. La police devrait être tenue de s'adresser à un tribunal si elle a des doutes ou des soupçons sérieux et qu'elle a besoin d'obtenir des renseignements personnels. Nos tribunaux canadiens connaissent les antécédents de la police et ils ont déjà affirmé, par exemple, qu'elle n'est pas autorisée à prendre des renseignements à l'aveuglette en milieu de travail.
Comme M. Pearson, je me préoccupe surtout des plus petites entreprises. On a constaté très rapidement que la LPRPDE semblait poser plus de problèmes aux grosses sociétés qu'aux plus petites. Votre bureau pourrait-il me donner quelques détails sur ce qu'elles leur coûtent? Nous voulons parler des petites multinationales par opposition aux petites entreprises. Va-t-il y avoir un problème d'application de la loi? Je trouve de plus en plus préoccupant le fait qu'on impose aux petites entreprises les mêmes exigences qu'aux plus grosses.
De votre point de vue, est-ce qu'on se dirige vers un problème d'application de la loi? Pouvez-vous nous présenter une analyse qui donne la répartition du coût de l'application de la loi?
Pour notre bureau, les coûts sont minimes, mais ils pourraient augmenter si, comme nous le demandons, les sociétés doivent nous aviser. Il va nous falloir un mécanisme de réception des avis, qui va nous imposer des coûts supplémentaires, mais je pense que tout cela devrait rester minime dans le budget du commissaire à la protection de la vie privée.
Pour en revenir à votre préoccupation que j'estime légitime concernant le coût de ces dispositions pour les petites entreprises, nous avons travaillé avec la Fédération canadienne de l'entreprise indépendante. Nous avons appliqué nos modules spéciaux aux petites entreprises. Nous les testons auprès de dirigeants de petites entreprises, car nous sommes très soucieux de ne pas imposer de fardeau réglementaire supplémentaire aux petits organismes.
D'après notre expérience également, le défi de l'application de cette loi ne se pose pas pour les petites entreprises, car elles sont ancrées dans la collectivité. Les gens prennent conscience de la problématique de la protection de la vie privée et si une entreprise locale n'assure pas la protection de leurs renseignements personnels, toute la collectivité va exercer des pressions. L'entreprise va tirer spontanément la leçon de sa toute première erreur. En outre, une entreprise présente au niveau de la collectivité n'a pas autant de renseignements personnels à sa disposition qu'une énorme multinationale.
Ce qui me préoccupe en tant que commissaire à la protection de la vie privée, ce n'est pas le danger que pourraient poser les petites entreprises qui font de leur mieux -- et nous essayons de leur venir en aide en restant constamment en contact avec leurs associations -- mais ce sont les énormes volumes de données rassemblées au sein de gros organismes, où la moindre fuite peut faire des millions de victimes.
Pour que les choses soient bien claires dans l'esprit des membres du comité et pour qu'on ne mélange pas les torchons avec les serviettes, votre préoccupation en matière de sécurité concerne l'alinéa 7(1)(e), qui a été ajouté par la Loi sur la sécurité publique. Est-ce bien cela?
Vous voulez qu'on en revienne à la disposition initiale qui comprenait, je crois, un paragraphe 7(3) et un alinéa 7(3)(c.1), qui avaient été ajoutés par le comité.
C'est de l'alinéa 7(3)(c.1) que la GRC a parlé, et non pas de l'alinéa 7(1)(e).
Puis-je donc présumer que vous ne voyez pas de problème à ce que le paragraphe 7(3), et en particulier son alinéa (c.1), demeurent dans la loi, puisque vous demandez qu'on en revienne aux dispositions antérieures à l'adoption de la Loi sur la sécurité publique?
Je pense que M. Van Kesteren voulait avoir votre point de vue sur l'alinéa 7(3)(c.1) mentionné notamment par la GRC à propos des mots « ne peut communiquer » et quant à la signification de l'expression « l'autorité légitime ».
Je ne veux pas empiéter sur le temps accordé aux membres du comité. Je veux simplement m'assurer de ce dont nous parlons.
[Français]
Merci.
Je reviens à mon extraordinaire question. Il y a des compagnies suffisamment responsables, entre autres celles qui s'occupent de fonds mutuels. Pour le moment, la loi n'oblige pas les entreprises à fournir un avis au client. Un de mes amis a reçu ce genre de lettre. Je ne sais pas s'il a les mêmes fonds mutuels que M. Wallace. Dans la lettre, que j'ai vue de mes propres yeux, on dit à cette personne vouloir simplement l'aviser qu'on a en quelque sorte perdu ses renseignements personnels, mais que le risque encouru par cette perte n'est pas très élevé.
Rien n'est très clair. On ne connaît pas les conséquences de la perte ou du vol que la compagnie en question a subi. On ne sait pas trop quoi faire non plus. M. Wallace, pour sa part, a envoyé cet avis dans la filière n° 13, mais certaines personnes l'ont rangé dans leur cerveau, du côté de l'inquiétude et de l'angoisse.
Ne croyez-vous pas, madame Stoddart, que la loi devrait prévoir, pour toutes les entreprises, l'obligation d'aviser le client, selon des modalités raisonnables? Je sais que vous faites des propositions dans votre document. Supposons que la sécurité économique du consommateur soit en jeu, que le risque soit suffisamment grave. Je sais que vous disposez des ressources nécessaires pour identifier ces situations. Ne croyez-vous pas qu'il devrait y avoir, d'abord et avant tout, une obligation d'aviser le client? Dans cet avis — et il serait bon que le formulaire soit rédigé par les gens de vos bureaux —, on pourrait indiquer clairement les risques encourus par le consommateur en question, de même que les renseignements volés ou perdus. Je pense que le consommateur doit savoir cela. Il ne suffit pas de lui dire qu'un petit problème s'est présenté.
Il devrait aussi y avoir une possibilité de recours. Vous avez mentionné qu'au Québec, il était possible d'intenter un recours collectif. Il reste que la loi en cause ici est prévue pour le simple consommateur qui reçoit ce genre de lettre à son domicile. Quand on envisage un recours collectif, il n'est pas facile de savoir par où commencer. L'entreprise devrait être responsable de préciser le genre de recours. Elle devrait aussi — et c'est un de nos témoins qui nous a fait cette suggestion, que j'ai trouvée intéressante — réparer en tout ou en partie les torts qui ont été causés. Comment pourrait-elle le faire? En faisant elle-même certaines démarches, par exemple en communiquant un genre d'alerte à la fraude aux entreprises qui recueillent des données sur le crédit. En effet, faire soi-même ce genre de démarches représente beaucoup de travail.
Bref, les entreprises ne devraient-elles pas assumer ces obligations?
Je suis essentiellement d'accord avec vous concernant tout ce que vous venez de dire. C'est ce qu'indique l'aperçu de la situation des juridictions qui ont pris de telles mesures.
Monsieur le président, nous ne connaissons pas encore très bien le lien entre la perte de renseignements personnels et les dommages éventuels, par exemple. Il reste que je suis absolument d'accord en ce qui concerne la réparation des dommages causés.
Il faut aussi déterminer s'il faut sanctionner autrement les entreprises qui perdent de tels renseignements. Pour le moment, on vous dit qu'il faut aviser les gens sans restrictions, comme vous l'avez suggéré.
On suggère un modèle aux entreprises. Par exemple, il s'agit d'indiquer ce qui est arrivé; quand la perte a eu lieu; le type de renseignements personnels en cause; un résumé assez précis des risques de fraude; des conseils aux individus pour mieux se protéger; les mesures à prendre par la compagnie; les personnes pouvant fournir de l'aide supplémentaire; et la façon de faire parvenir cette information aux gens, entre autres par courrier, vu les problèmes de pourriels.
[Traduction]
Merci, monsieur le président. Madame la commissaire, madame la commissaire-adjointe, soyez les bienvenues.
Tout d'abord, je voudrais m'excuser auprès de mon collègue M. Martin. À la dernière séance, nous avons discuté des paragraphe 7(3) et 7(1), dont je vais parler maintenant. J'avais un exemplaire de la loi dans lequel ne figurait pas l'alinéa 7(1)(e) et qui n'indiquait pas le rapport avec la collecte de renseignements dont il est question à l'alinéa 7(3)(c.1). Je vois maintenant ce rapport, sur lequel portait l'essentiel de notre discussion. Je vous prie donc de m'excuser.
En ce qui concerne ce sujet, nous avons consacré beaucoup de temps, particulièrement avec des représentants des corps de police, pour parler du paragraphe 7(3) et du pouvoir discrétionnaire accordé à l'organisme pour déterminer s'il va communiquer l'information ou non.
Les représentants de la police trouvent particulièrement problématique le pouvoir discrétionnaire conféré par les mots « l'organisation peut communiquer ». J'admets qu'il est essentiel de protéger les renseignements personnels au nom du respect des droits civils et de l'indépendance des lois qui garantissent à l'individu... Cependant, un autre facteur entre en jeu quand il est question de sécurité, et c'est pourquoi nous devons parvenir à un juste équilibre.
On nous a soumis des arguments très convaincants, selon lesquels, dans certaines circonstances -- par exemple, lorsqu'un fournisseur de service Internet en temps réel constate qu'un prédateur est en communication avec une jeune personne; le temps est alors précieux et les autorités policières doivent pouvoir intervenir pour prévenir une fraude ou une situation qui risque de causer un préjudice -- la police doit pouvoir obtenir l'information nécessaire.
Nous avons discuté très longtemps du mot « peut ». Serait-il possible de prévoir, au paragraphe 7(3), qu'en cas d'urgence ou de danger pour la sécurité publique, l'organisme ait non pas la possibilité, mais l'obligation de fournir cette information personnelle dans le contexte du paragraphe 7(3)?
Autorisé? Est-ce que...?
En effet, ils proposent même de modifier la loi pour que ces compagnies soient autorisées et tenues de les communiquer dans de telles circonstances.
Évidemment tout est possible. C'est une possibilité, mais en tant que commissaire à la protection de la vie privée, je ne serais pas en faveur de cela.
La commissaire adjointe, Heather Black, pourrait vous en parler davantage, parce qu'elle a travaillé sur ce dossier directement.
J'ai travaillé au ministère de la Justice dans une vie antérieure ou, si vous voulez, aidé à la rédaction de ce projet de loi. J'ai pris connaissance de tous les arguments de tous les intervenants, y compris la GRC, et vous devriez savoir que le Comité de l'industrie a modifié le projet de loi original pour y ajouter l'alinéa 7(3)(c.1) à la demande du milieu policier.
Je ne suis pas convaincue que l'ajout du mot « autorisé » changera grand-chose. En effet, le « peut » en question accorde la permission. « Autorisé » signifie que vous êtes autorisés à le faire. C'est du pareil au même. C'est une question sémantique; essentiellement vous dites la même chose: on peut ou on peut ne pas le faire. Il incomberait donc à l'organisation en question de trancher, c'est-à-dire de déterminer si les circonstances les obligent à divulguer sans mandat des renseignements en ce qui concerne une personne au service policier.
En ce qui concerne ce point en particulier, parce qu'il s'agit d'un point crucial, à votre avis, convient-il de consacrer ce pouvoir discrétionnaire dans ce cas---il se peut qu'on dépasse la portée de notre débat ici---pour ce genre de décisions, à une organisation qui, il faut le dire, peut ne pas vouloir communiquer de tels renseignements?
Nous avons entendu, par exemple, que 30 p. 100 jusqu'à 40 p. 100 des fournisseurs de service Internet n'offrent pas leur pleine collaboration au service policier quand il s'agit de divulguer des renseignements, par exemple, au sujet de leurs clients lors d'une enquête sur un acte criminel. En effet, ils ne sont pas du tout intéressés à collaborer lorsqu'il s'agit de la sécurité publique.
Il s'agit d'un équilibre entre la sécurité publique et la divulgation des renseignements.
Je n'ai entendu personne qui disait que les fournisseurs de service Internet hésitaient à divulguer des renseignements dans de telles circonstances.
Il faut comprendre qu'il y a une poignée de fournisseurs de service Internet qui offrent ces services à travers le pays. Il s'agit de grandes sociétés, d'entreprises citoyennes de bonne réputation.
Du point de vue de la protection de la vie privée, aussitôt qu'on commence à exiger que les organisations divulguent des renseignements personnels aux services policiers dans les circonstances où il serait tout à fait possible d'obtenir un mandat, il me semble qu'on commence à avancer sur une pente glissante.
Au nom du commissariat à la protection de la vie privée, je ne serais pas favorable à une telle modification.
Merci.
C'est un débat fort intéressant. Comment obtenir un mandat dans le cas d'une personne atteint de la maladie d'Alzheimer qui s'échappe de son foyer pour aînés? On essaie donc d'obtenir des renseignements au sujet de cette personne, et au sujet de la résidence, dans le but de deviner où elle pourrait vouloir aller. Je vois mal comment on pourrait obtenir un mandat dans ce cas.
Monsieur Martin, vous avez cinq minutes.
Monsieur le président, peut-être que la commissaire va vouloir répondre à votre question.
Sa réponse m'intéresse.
J'aimerais répondre à votre question, monsieur le président.
À notre avis, nous croyons qu'on devrait divulguer des renseignements personnels, sans consentement, lorsqu'il s'agit de la sécurité publique, des raisons humanitaires, etc.
Il s'agit d'une question tout à fait différente de celle relative à la sécurité publique et au service policier. Nous avons, dans nos systèmes, des juges qui sont toujours de service et il est évident que les grandes sociétés font appel à des avocats pour les conseiller.
Je voulais vous rassurer en ce qui concerne cette question.
Merci, madame la commissaire.
C'est un plaisir de vous revoir tous les deux.
Merci, monsieur Stanton, d'avoir éclairci notre conversation de la dernière séance. C'est un peu ma faute, parce que je n'étais pas capable de citer l'alinéa 7(1)(e), auquel je faisais allusion. J'avais tout sauf le numéro, et vous ne l'aviez pas ici.
Je crois qu'on se comprend maintenant. J'ai l'impression que tout le monde comprend le problème éventuel que nous voulions signaler. Nous nous basions sur les informations apportées à l'attention du comité par la commissaire au mois de novembre 2006, alors qu'elle a clairement dit qu'il s'agissait d'un véritable problème et d'une préoccupation certaine.
Vous avez demandé son abolition au moment où on a débattu de la Loi sur la sécurité publique. Avant le mois de novembre 2006, avez-vous déjà publiquement demandé son élimination de la LPRPDE?
J'imagine que vous n'avez pas pu le faire, faute d'occasion.
Dans mon exposé, je crois avoir dit que donner aux sociétés des pouvoirs qui relèvent essentiellement de la police et de la sécurité nationale constituait une tendance troublante.
Oui, sur le plan de la protection de la vie privée, il s'agit d'une tendance très troublante, et c'est ce que j'ai dit dans mon exposé. D'ailleurs c'est mon avis depuis que j'occupe le poste depuis 2004.
Vous avez signalé, entre autres choses, que les entreprises du secteur privé ne sont pas contraintes par les mêmes limites ou les mêmes règles qui s'appliqueraient à une agence.
Que voulez-vous dire en disant que une entreprise du secteur privé n'est pas contrainte par les mêmes limites en ce qui concerne les motifs raisonnables et la présomption?
Ce sont tous des domaines nouveaux de la loi. Essentiellement, une préoccupation parmi d'autres, c'est que les gens n'auront pas accès à ce qu'on appelle l'application régulière de la loi.
Au fil du temps, notre système judiciaire a évolué pour s'assurer que l'octroi des pouvoirs se fasse en fonction de l'application de la loi. Cela signifie que des gens qui travaillent pour des entreprises peuvent voir quelqu'un de suspect et, de leur propre gré, divulguer des renseignements à leur sujet au service de police, sans dire à la personne visée qu'ils obtiennent ces renseignements, tandis que le service de police ne pourrait pas agir ainsi.
C'est précisément cet aspect-là qui me préoccupe. Est-ce que j'ai bien compris en pensant qu'un organisme privé pourrait divulguer des renseignements qu'il a à sa disposition mais aussi on pourrait lui demander de recueillir de nouveaux éléments de renseignements au nom de l'agence de l'application de la loi pour ensuite les divulguer, encore une fois à l'insu de la personne visée et sans son consentement?
Oui. Nous avons de nombreux services de sécurité au pays qui disposent maintenant de ces pouvoirs extraordinaires.
Monsieur Martin, la commissaire a dit que l'organisme pourrait le faire de sa propre initiative, mais il n'a pas été ordonné par quelqu'un d'autre.
a) un organisme peut maintenant recueillir des renseignements personnels à l'insu et sans le consentement d'un individu dans le but de faire une divulgation à une agence gouvernementale qui a demandé les renseignements... et
b) un organisme peut maintenant recueillir des renseignements de son propre gré pour en faire une divulgation subséquente à une agence gouvernementale aux fins précitées.[traduction]
Voici l'interprétation légale que nous avons de cette disposition. Nous devrions tous être préoccupés.
J'ai l'impression que nous compliquons les choses, si vous me permettez de le dire, en se servant de cet exemple d'un pédophile qui abuse d'un enfant en temps réel et de la possibilité des incidents relevant du terrorisme ou de la sécurité nationale. Je me penche sur cette question. J'avais dit à la GRC que je pourrais comprendre et éprouver de la sympathie pour leur exemple -- vouloir jeter les règles par la fenêtre dans le but de sauver la vie d'un enfant. Mais ce qui m'inquiète, c'est la possibilité qu'on enquête les affaires privées d'une personne si on soupçonne que cette dernière pourrait, de façon indirecte, être liée à un acte terroriste possible.
Des voix:Note de la rédaction: Inaudible]
Je veux que ça soit clair, il ne me reste que très peu de temps.
Je veux dire très clairement que, si je lis vos recommandations correctement, vous croyez que, à l'heure actuelle, 34 États ont une certaine obligation de modifier et que vous encouragerez fortement ce comité de recommander une modification de la loi afin d'ajouter une disposition quant aux avis de violation aujourd'hui?
Merci, monsieur le président.
Je ne siège pas à ce comité, madame Stoddart, alors je vous prie de m'accorder une certaine indulgence quant à ma compréhension de la LPRPDE.
Je crois avoir obtenu les renseignements adéquats quand à la question de la sécurité nationale et de la Loi sur la sécurité publique. Je vais donner aux autres la possibilité de poser des questions à ce sujet, n'empêche que j'ai noté que l'une de vos préoccupations, c'était que les entreprises ne deviennent pas chargées de la collecte des renseignements au nom de l'État. Je comprends qu'il existe un problème au niveau de la sécurité publique. Mais je laisserai aux autres membres du comité le soin de poursuivre ces questions.
On a soulevé une question qui m'a troublé, et j'espère qu'elle est pertinente aux délibérations. Il s'agit de votre rôle relatif à Élection Canada et la question soulevée quant aux renseignements portant sur les certificats de naissance, la date de naissance et, j'imagine, les adresses, les lieux de résidence. Est-ce que c'est bien une ordonnance du tribunal qui déclenche vos enquêtes suite à une allégation d'abus électoral?
Honorables députés, nous ne participons pas à l'administration du processus électoral. Cela relève exclusivement de la responsabilité du directeur général des élections.
D'accord, alors je vous demanderais qui prend la décision ou qui détermine si quelque chose dépasse les dispositions de la LPRPDE qui portent, vous avez dit, sur le droit d'accès? Votre rôle, c'est de déterminer les cas d'utilisation abusive des renseignements confidentiels de la part de, disons, Élection Canada. Qui prend cette décision?
C'est un autre agent du Parlement, c'est-à-dire le directeur général des élections, qui est responsable de toute l'application, de la légalité de la Loi électorale. Peu importe les modifications. Il est difficile à concevoir comment on pourrait le lier à la LPRPDE, qui porte sur le secteur privé.
Mais il existe une autre loi parallèle, c'est-à-dire la Loi sur la vie privée, qui s'appliquerait à toute question de vie privée relevant du secteur public. Je ne sais pas si le commissariat a déjà participé à une enquête d'ordre électoral.
D'accord. Merci.
Quant à ce que vous appelez vos pouvoirs d'enquête, j'ai ici une citation où vous dites êtres préoccupés par le concept d'un consentement général, et vous dites qu'il ne faut surtout pas -- et je vous cite -- procéder à des« attaques par hameçonnage » et déclarer que c'est « la saison de chasse ». Des paroles un peu rhétoriques. Trouvez-vous que la LPRPDE et votre rôle nous permettent d'atteindre un équilibre entre nos secteurs privés et les contrepoids visant à protéger la personne? Votre rôle vous donne un certain pouvoir discrétionnaire.
En fait, c'est une question qui me paraît plus théorique que réelle. On l'a soulevée dans notre document de consultations initiales, monsieur le président, que nous avons distribué cet été. Nous avons trouvé que la majorité des répondants--je crois que nous avions 62 réponses--ne s'intéressaient pas tellement à cette question ou n'avaient pas grand-chose à dire à ce sujet. Je ne crois pas qu'il y a eu grands témoignages devant ce comité là-dessus. Ce que nous disons, c'est que pour l'instant, ce n'est pas un enjeu et nous n'encourageons le comité à étudier cela plus en profondeur, étant donné l'importance d'autres enjeux. C'est une question que nous continuerons à nous poser au cas par cas: le consentement était-il valable étant donné le contexte dans certains cas précis?
Merci, monsieur le président. J'ai quelques questions brèves.
Sur la question de l'avis que vous voudriez voir renforcé, je voudrais qu'il soit bien clair que vous ne demandez pas d'avoir le pouvoir d'émettre des ordonnances. Vous voulez rester ombudsman. Mais en ajoutant ce pouvoir qui forcerait les compagnies à aviser leurs clients, est-ce qu'on ne vous donne pas le pouvoir d'émettre des ordonnances? Je dirais que non puisque ce n'est pas une sanction financière. Est-ce exact?
Non. Si nous avions le pouvoir d'émettre des ordonnances alors toute décision que nous prendrions aurait immédiatement force exécutoire selon la loi. Nous avons des pouvoirs, mais nous devons plaider devant la Cour fédérale et prouver le bien-fondé de nos arguments pour avoir ces pouvoirs.
Vous avez eu une conversation avec madame Lavallée et, si j'ai bien compris, vous avez parlé des avis volontaires.
C'est fantastique que vous travaillez avec cette organisation sur le code de conduite volontaire. Mais n'est-ce pas quelque chose qui existe déjà dans vos bureaux? N'existe-t-il pas déjà un système volontaire qui leur permet de vous appeler et par lequel vous les conseillez? Est-ce que cela n'existe pas?
Oui, il y en a qui nous appellent, mais il y en aussi d'autres qui ne nous appellent pas. En tant que commissaire à la protection de la vie privée, je trouve que cela démontre bien que peut-être toutes les sociétés ne comprennent pas clairement ce qu'elles doivent faire. J'aime l'idée d'avoir des balises, pendant qu'on attend l'adoption d'amendements qui devraient, je l'espère, être adoptés. Je serais ravie d'élaborer des lignes directrices, pour que les compagnies sachent clairement ce dont elles devraient aviser leurs clients, et c'est ce que madame Lavallée a suggéré. Quelles seraient les retombées? Quels seraient les détails? Le gabarit? Qui devrait être avisé? À qui devrait-on téléphoner? Que devraient faire les clients?
Je comprends tout à fait votre rôle. Vous êtes là pour protéger la vie privée. Vous êtes la commissaire à la protection de la vie privée et vous êtes accompagnée de votre commissaire adjointe. La vie privée, c'est ce que vous défendez. Moi de mon point de vue, je crois qu'il faut établir un équilibre entre la sécurité et la vie privée dans un environnement comme celui-ci, qu'on le veuille ou non. Et très franchement, et je sais que Robert est d'accord, « l'autorité légitime » risque d'être difficile à expliquer selon eux. Pouvoir ou être autorisé, ce sont des nouvelles façons de dire les choses qui ne changent pas énormément le fond mais qui aideraient les forces de l'ordre à décrire la situation.
Donnez-moi un exemple. On a utilisé cet exemple horrible des utilisateurs de fournisseurs de services Internet. On nous a dit qu'il y avait des milliers de fournisseurs et à peu près 30 p. 100... c'est-à-dire 300, pas juste quelques-uns. Il y en a des très grands, mais ceux qui sont petits risquent de nous causer problème.
Prenons un autre exemple, et dites-moi si j'ai tort, parce que je ne le sais pas et c'est quelque chose que j'aimerais savoir avant de prendre une décision. Disons que je suis propriétaire d'une compagnie qui produit des armes à feu, par exemple. J'ai un client qui achète des armes à feu de façon licite mais les vend à un groupe qui figure sur une liste de terroristes. La police demande à savoir si telle ou telle personne est ma cliente. Ai-je le droit, en tant que propriétaire de la compagnie, de leur dire, selon la loi? Doivent-ils m'explique que je peux leur dire ou ne pas le leur dire? Croyez-vous que cette « autorité » de leur fournir les renseignements peut être utile dans cette situation? Croyez-vous qu'il leur faut vraiment un mandat pour savoir si quelqu'un est mon client?
Cette disposition est permissive. Donc ils doivent juger que si c'est direct, s'il se trouve qu'ils savent que la personne figure sur la liste de surveillance des terroristes et achète des armes.
Je ne sais pas s'il vend les armes, mais il en achète beaucoup. C'est légal et il a le droit de le faire.
Oui, parce qu'alors, presque tout renseignement demandé par les forces nationales de l'ordre devrait être fourni. Nous avons un système judiciaire qui sert à cette fin, et si la question est tellement importante, pourquoi ne pas aller devant les tribunaux?
Non, il leur faudrait ou bien avoir un mandat ou bien l'autorité légitime — pas n'importe quel renseignement qu'ils veulent.
[Français]
À titre d'information, monsieur le président, j'aimerais dire qu'à mon avis, un registre des armes à feu remplirait parfaitement cette fonction.
Des voix: Ah, ah!
[Traduction]
Dieu merci, il y a la traduction...
Des voix: Oh! oh!
M. Mike Wallace: ...parce que sinon je n'aurais rien compris de ce qu'elle disait.
[Français]
[Traduction]
D'accord, nous passons au troisième tour, et je vais commencer.
Ensuite, nous n'avons personne du côté des conservateurs, donc s'il y a quelqu'un qui veut... et ensuite nous avons monsieur Vincent.
J'ai trois questions à vous poser.
Premièrement, ai-je bien compris, madame la commissaire, que vous avez dit dans vos remarques liminaires que la loi n'existe pas depuis assez longtemps pour que vous ayez eu l'occasion d'utiliser tous vos pouvoirs? Est-ce bien cela que vous avez dit?
Il y a bien des questions que j'ai pas pu explorer à la Cour fédérale — par exemple, la question des dommages et intérêts. Chose intéressante, la loi fait preuve de prévoyance car elle prévoit la question des dommages et intérêts. Je n'ai pas encore participé à une cause mettant en jeu des dommages et intérêts qui n'avaient pas déjà été réglés à l'avance, où je pouvais me présenter devant un tribunal pour voir comment la LPRPDE peut offrir des recours aux Canadiens dont la vie privée a été brimée.
J'ai le pouvoir de faire des vérifications de sociétés privées, lorsque j'ai des motifs raisonnables de croire qu'il pourrait y avoir un problème. Une société conteste actuellement ce pouvoir. L'audience n'a pas encore eu lieu, donc je ne connais pas encore la portée de ce pouvoir, que je considère fort important.
Il y a bien des choses, y compris des dispositions pénales de la loi qui n'ont pas encore été utilisées. Elles ne me concernent pas nécessairement, mais je dis tout simplement qu'en réponse à la question des pouvoirs du commissaire, la loi en prévoit plusieurs, et nous devrions examiner comment ces pouvoirs peuvent être appliqués avant d'adopter un nouveau modèle.
Merci.
La deuxième question touche le secret professionnel: la cause Blood Tribe.
Votre note est bien rédigée, merci. Merci aussi de votre document et de vos observations, tout cela est très utile.
Oui, mais ils reçoivent des instructions.
Ceci n'est pas numéroté. J'imagine que c'est le premier point dans votre document, et je vous cite: « Cette décision crée une lacune dans les pouvoirs de la commissaire et ouvre largement la porte » à d'éventuelles revendications du secret professionnel en rapport à des dossiers que détiennent les organisations en vue de bloquer nos enquêtes « et ce, sans possibilité de vérification indépendante à l'effet que les documents visés contiennent bien des renseignements assujettis au secret professionnel, autrement que par une demande officielle à la cour ».
Pourquoi une demande officielle à la cour poserait-elle problème? Pour bien vérifier que la revendication du secret professionnel est bien fondée. Sauf votre respect, il me semble que les juges, qui ont la compétence et la formation juridique pour prendre cette décision, seraient mieux placés que vous pour le faire.
Pourquoi cela pose-t-il problème? Vous préoccupez-vous du fait que cela risque de prendre longtemps avant qu'une décision ne soit prise sur cette question très précise? Si oui, et si c'est votre seule préoccupation, pourquoi ne pas faire une demande à la Cour fédérale immédiatement pour savoir si oui ou non une revendication du secret professionnel est légitime? C'est ma seule question.
C'est précisément ce que nous faisons pour tâcher de nous conformer à la décision récente de la Cour d'appel. Mais j'aimerais demander à la commissaire adjointe de répondre à votre question, parce qu'elle a participé directement à cette cause?
Ce serait compliqué. Je ne vois pas non plus comment on pourrait se retrouver à la Cour fédérale pour ce faire, puisque la Cour fédérale n'a pas la compétence inhérente. Sans une modification législative quelconque, je ne vois pas comment nous pourrions même nous rendre là.
C'est précisément ce que je dis. C'est pour cela que nous revoyons la LPRPDE. Vous pourriez recommander que nous inscrivions dans la loi que si quelqu'un revendique le secret professionnel, il faudrait faire une demande à la Cour fédérale pour qu'elle décide si oui ou non la revendication est bien fondée, si vous ne le croyez pas. Ç'aurait pu être une de vos recommandations.
Pour revenir aux observations de la commissaire adjointe Black, monsieur le président, nous avons ce pouvoir en vertu de la Loi sur la protection de la vie privée. Lorsque le gouvernement fédéral revendique le secret professionnel, nous pouvons revoir les documents mais seulement pour nous assurer que le secret professionnel touche uniquement les documents faisant l'objet d'une plainte. Ça n'a pas été inscrit dans la LPRPDE puisque pour une raison ou pour une autre, la question semblait avoir été réglée. Personne ne trouvait que ça posait problème, d'après ce que les rédacteurs ont dit. Nous vous demandons tout simplement de nous assurer les mêmes pouvoirs que ceux que nous avons déjà en ce qui a trait au secret professionnel dans la fonction publique.
Je vais vous avouer qu'en tant qu'avocat procureur, je crois qu'une des libertés fondamentales les plus importantes dont nous jouissons est celle du secret professionnel. Très franchement, je suis surpris de le trouver dans la Loi sur la protection de la vie privée, et je ne vois pas d'inconvénient à ce qu'il faille demander à un tribunal de trancher quant à savoir si oui ou non une revendication du secret professionnel est fondée. Je crois que c'est là justement que cette liberté fondamentale des particuliers doit être étudiée, et non par un commissaire qui ne rend pas de compte à la magistrature, avec tout le respect que je vous dois.
Finalement, voici ma dernière question, et en fait je reprends celle de nos attachés de recherche parce qu'il nous faut une réponse:
Pour ce qui est de la question d'émettre des avis de manquement, nous avons reçu un Livre blanc publié par la Clinique d'intérêt public et de politique d'Internet du Canada, datant de janvier 2007. La CIPPIC appuierait une loi qui exigerait des sociétés qu'elles émettent des avis de manquement en fonction de certains critères.
Avez-vous eu l'occasion de revoir ce document? Qu'avez-vous à dire là-dessus?
Dans notre mémoire écrit, nous disons qu'il s'agit d'un excellent document, bien mesuré. Oui, sans aucun doute, on doit avoir un seuil. J'ai illustré ce point plus tôt dans mes remarques en parlant des documents qui se perdent pendant 24 heures, etc. Vous ne voulez pas imposer aux compagnies le fardeau de chaque document ou disque compact perdu dans un bureau. On doit avoir des critères pour qu'ils ne soient pas trop onéreux et donc inutiles aux consommateurs et au grand public.
[Français]
Merci, monsieur le président.
J'aimerais tout d'abord féliciter M. Wallace, qui a avoué aujourd'hui comprendre le rôle de la commissaire.
[Traduction]
[Français]
Madame Stoddart, je suis parfaitement d'accord avec vous lorsque vous parlez des policiers, des médecins et des produits du travail, et quand vous dites que rien ne devait être dévoilé. Cependant, lorsque vous dites que la perte de données d'une seule journée n'est pas plus grave que ça, j'accroche un peu. On ne sait pas qui s'est approprié ces données. Une personne peut les rapporter le même jour, mais le seul fait qu'elle les ait eues en sa possession pendant une demi-heure, c'est déjà trop. En effet, on ne sait pas ce qu'elle en a fait. Elle peut les avoir vendues, etc.
J'entends mes collègues dire qu'il faudrait laisser plus de place aux petites entreprises. Je vous ferais remarquer que lorsque les membres de la Fédération canadienne de l’entreprise indépendante sont venus témoigner devant le comité, ils ont dit qu'ils donnaient de la formation aux gens des petites entreprises. Les membres de la Chambre de commerce donnent eux aussi de la formation aux petites entreprises concernant la loi. Donc, il ne devrait pas y avoir de passe-droit, qu'il s'agisse d'une petite entreprise ou non.
Ensuite, à mon avis, une petite entreprise est d'autant plus importante. Un petit magasin ou une boutique de mode peut avoir je ne sais combien de clients au cours d'une année. Combien de cartes de crédit peuvent passer là? C'est d'autant plus important que ces gens prennent conscience de la protection des renseignements personnels qu'ils ont entre les mains.
Dans le même ordre d'idées, j'imagine qu'on devrait donner, dans la loi, une certaine responsabilité aux entreprises. Si elles pensent avoir perdu des renseignements personnels, il faudrait qu'elles avisent tout de suite les clients pour que ceux-ci puissent vérifier auprès de leurs compagnies de cartes de crédit ou autres afin d'éviter que d'autres personnes se servent de leurs renseignements personnels, ce qui peut leur créer des problèmes juridiques. Les entreprises devraient avoir une part de responsabilités en cas de perte de renseignements.
Si on a usurpé l'identité d'une personne et que cela entraîne des pertes financières ou des conséquences criminelles, l'industrie ou le commerce devrait être tenu responsable et rembourser cette personne.
Qu'en pensez-vous?
Je suis entièrement d'accord avec vous, monsieur le député, ainsi qu'avec Mme Lavallée. Effectivement, c'est très important que les entreprises avisent rapidement les consommateurs, de façon appropriée.
Je ne voulais pas insinuer que la perte des renseignements d'une seule journée n'était pas significative. Étant donnée qu'on peut égarer bien des choses dans le cours ordinaire des choses, si on égare quelque chose dans le bureau qu'il y a une obligation de donner un avis, je crains qu'on devienne désabusé et que le fardeau des petites entreprises devienne très lourd.
Autrement, je suis tout à fait d'accord avec vous et je réitère que nous travaillons en collaboration avec la Fédération canadienne de l’entreprise indépendante pour développer des modules. Nous testons actuellement du matériel éducatif auprès des petites entreprises pour nous assurer qu'elles obtiennent de l'aide pour se conformer à la loi.
Croyez-vous que le fait d'inciter les petites et les grandes entreprises à dédommager les individus dont elles ont perdu les renseignements personnels est suffisant pour les faire réfléchir, pour leur faire penser qu'elles doivent faire attention aux renseignements personnels qu'elles ont en leur possession autant qu'à leurs propres renseignements personnels?
Je pense que c'est un très grand incitatif. Le public est très préoccupé par cela. Vous avez peut-être vu l'émission La Facture, la semaine dernière. Ce n'est pas la première fois que les médias se penchent sur ce phénomène. Tout le monde est très inquiet. Il existe en quelque sorte un sentiment de paralysie. C'est très important que les gens aient des outils et qu'on ne soit pas passif face à ce phénomène. Nous devons avoir l'autorité d'agir. Le message est clair pour les entreprises: dans de telles conditions, vous avisez les gens et voici ce que vous allez faire. Mais je pense que ce n'est pas clair, présentement.
Ne devrait-on pas inclure dans la loi ces mesures incitatives, c'est-à-dire inscrire intégralement dans la loi que tous les frais d'avocat et tout ce qui est engendré par la perte de renseignements personnels devrait être payé par l'industrie? Pourrait-on y inclure quelque chose afin que ce soit bien clair pour les gens?
Les petites et les grandes entreprises prennent la Loi sur les renseignements personnels vraiment à la légère. J'ai même vu des compagnies d'assurances qui partageaient entre elles des données au sujet des personnes qui avaient eu un accident de voiture. Elles demandaient au personnel des autres compagnies d'assurances si un certain individu avait déjà eu un accident de voiture lorsqu'il était client de cette compagnie. Elles veulent partager les renseignements personnels et avoir du plaisir. Je ne suis pas sûr qu'elles prennent au sérieux les renseignements personnels qu'elles détiennent.
Dans la LPRPDE, que vous étudiez présentement, il y a déjà une disposition pour les dédommagements. J'en parlais avec le président tout à l'heure. Il est possible d'obtenir un dédommagement. Nous avons soulevé la question, et jusqu'à maintenant, toutes les entreprises ont réglé les problèmes à l'amiable avec les gens. La loi couvre donc ce phénomène.
Maintenant, lorsqu'il y a un bris de contrat ou une perte de renseignements personnels, nous voulons que les consommateurs dont on détient les renseignements personnels reçoivent un avis. Je pense que cela pourrait aller loin si on faisait en sorte que le public et les entreprises en prennent conscience.
Monsieur Vincent, votre temps de parole est écoulé. Merci.
Monsieur Van Kesteren, vous avez sept minutes.
[Traduction]
Madame la commissaire, je veux parler des pourriels pour une minute. Dans votre exposé, vous avez dit qu'aucune des recommandations du groupe de travail avait mise en oeuvre. Ne diriez-vous pas que certaines ont été adoptées par des entreprises? Je pense au site Web « Stop Spam », aux organismes bénévoles représentant des sociétés et à des organismes qui souhaitent protéger leurs renseignements personnels. N'est-ce pas une réussite? Un commentaire rapide, s'il vous plaît.
Oui, le secteur privé et la police se mobilisent afin de combattre la fraude sous forme de pourriels. En fait, le mois de sensibilisation à la fraude commence dans quelques jours, en mars, et nous y participerons de façon très active, tout comme de nombreux organismes d'application de la loi, des organismes importants tels que le Bureau de la concurrence, les chambres de commerce, etc. Nous ferons tous de notre mieux...
Ce n'est pas directement le gouvernement. Des organismes gouvernementaux y participent, oui, vous avez raison. Il y avait un groupe de travail assez important — auquel siégeaient plusieurs spécialistes — qui a suggéré l'adoption d'une loi anti-pourriel. La plupart des pays du G8 — je cite les chiffres dans ma lettre — ont une telle loi, et des mesures précises qui nous aideraient à combattre les pourriels. C'était justement le sujet de ma lettre au ministre à l'approche du Mois de sensibilisation à la fraude.
Vous avez dit que le comité devrait se concentrer sur les pourriels. Nous examinons la LPRPDE. Dans le rapport sur les pourriels, ne formulons-nous pas déjà des recommandations visant des modifications précises à la LPRPDE?
Certaines modifications mineures étaient suggérées, mais nous ne sommes pas en train de suggérer que la LPRPDE soit complètement remaniée afin de régler la question des pourriels. Elle n'est peut-être pas l'instrument le plus approprié, pourtant étant donné que votre comité a le mandat d'examiner la vie privée — vous êtes le comité de la Chambre des communes sur la protection des renseignements personnels — et je me permets donc d'attirer votre attention sur un problème connexe qui n'existait pas auparavant, et qui n'a pas vraiment existé en 2000, à mon avis, quand la LPRPDE a été rédigée. Pour de nombreux consommateurs — je ne sais pas si cela s'applique à vous, mais nous recevons énormément de pourriels — cela représente une grande menace à nos renseignements personnels, et peut même constituer de la fraude.
Quel contrôle d'application de plus votre bureau a-t-il adopté depuis le dépôt du rapport? Contrôlez-vous davantage les pourriels?
Comme la commissaire adjointe, Mme Black, l'a expliqué, étant donné nos pouvoirs actuels, ce n'est pas quelque chose que nous pouvons réellement contrôler sans d'importants pouvoirs juridiques, mais nous collaborons davantage au Mois de sensibilisation à la fraude. Je ne sais pas si ça existait il y a six ans, et chaque année nous jouons un plus grand rôle. Vous verrez un communiqué de presse. J'ai soulevé ce point lors d'une récente réunion des commissaires fédéral-provinciaux à la vie privée et à l'information à Banff. Tous les commissaires du Canada travailleront ensemble sur la question de sensibilisation à la fraude. Oui, nous accélérons énormément nos efforts de sensibilisation du public.
Je ne pense pas qu'on en ait déjà parlé, mais une des suggestions par certains groupes était de vous donner plus de pouvoirs. Qu'en pensez-vous? Je sais que quand vous êtes arrivée ici la première fois, nous étions tous d'accord que c'était dans le meilleur intérêt des banques et des sociétés d'assurances et des grandes sociétés de suivre ces pratiques, et vous étiez d'avis que le fait de les exposer ou de rendre ces violations publiques aurait un effet de dissuasion. Que pensez-vous de ces suggestions de vous donner plus de pouvoirs et de vous permettre d'infliger des amendes, par exemple? Qu'en pensez-vous?
Je respecte l'opinion de ceux qui vous ont fait ces suggestions. Ils examinent d'autres modèles d'application de la loi qui fonctionnent très bien dans ce contexte. Pourtant, étant donné l'histoire récente du Commissariat à la protection de la vie privée, et étant donné aussi que nous ne sommes pas un organisme unique, mais plutôt lié dans l'interprétation de notre loi au commissaire à l'information et aux autres agents du Parlement, je vous dirais qu'à la lumière de ces faits et à l'examen de mes pouvoirs, notamment en vertu de la LPRPDE, j'ai plusieurs pouvoirs déjà. Peut-être on ne s'en est pas servi encore à cause de ces raisons, mais la loi nous accorde plusieurs pouvoirs.
Là où j'ai besoin de plus de pouvoirs c'est dans la Loi sur la protection des renseignements personnels, mais ce n'est pas à l'ordre du jour aujourd'hui. J'ai besoin de toute une gamme de pouvoirs en ce qui concerne la Loi sur la protection des renseignements personnels.
Merci.
Madame Black, en réponse à monsieur Pearson, vous avez dit qu'il y a très peu de FAI dont nous devons nous inquiéter. Les témoins nous ont dit qu'il y en a à peu près une centaine. J'aimerais tout simplement clarifier...
Oui, il y a beaucoup de petits FAI, mais la majorité des services Internet sont fournis par une poignée de compagnies au Canada.
Merci.
Madame Stoddart, si le comité choisissait d'adopter le modèle de la Colombie-Britannique sur la définition du produit du travail, cela vous causerait-il des problèmes? Le cas échéant, lesquels?
Nous avons expliqué que nous hésitons à vous recommander d'adopter ce modèle à cause de l'interprétation, pas nécessairement par nous, mais aussi par les tribunaux, qui pourrait s'appliquer à bien des domaines comme ce qui est prévu à l'heure actuelle et qui pourrait avoir une incidence sur la question générale de la surveillance des travailleurs, qui est une grande question. Entre les empreintes vocales, les systèmes mondiaux de positionnement, les cartes d'accès biométriques, la vidéosurveillance au travail et j'en passe, cela représente un enjeu majeur pour nous tous. Dans ce contexte, des lignes directrices additionnelles m'inquiéteraient.
Si nous l'adoptons, serait-il possible de répondre aux inquiétudes que vous venez d'exprimer et, en même temps, permettre de mieux définir ce que c'est vraiment le produit du travail?
Si c'est ce que vous décidez, peut-être que je pourrais le considérer sous cet angle et faire des suggestions à ce moment-là.
[Français]
Monsieur Vincent, vous avez le temps de poser une brève question. Ce sera ensuite le tour de M. Stanton.
J'ai dit tout à l'heure que les entreprises devraient dédommager ces gens. Au lieu de se présenter devant les tribunaux, pensez-vous qu'il serait préférable d'aller vous voir d'abord, afin que vous rendiez une décision au sujet de la responsabilité d'une entreprise et que vous demandiez à cette dernière de rembourser un individu? Vous êtes en première ligne. S'il n'y a pas d'entente entre les deux parties, elles pourraient se présenter devant les tribunaux. On éliminerait au moins une étape et des frais judiciaires. Si on allait vous voir d'abord, vous auriez le rôle de déterminer la responsabilité de l'entreprise face aux pertes financières d'un requérant.
Absolument. Cela relève entièrement de nos compétences. Par exemple, des Québécois peuvent déposer une plainte chez nous contre une industrie qui relève de la compétence fédérale. Le service est gratuit, et on pourrait s'occuper de la demande de remboursement des dommages.
[Traduction]
Merci, monsieur le président.
J'ai une question très rapide. Dans votre exposé, vous avez mentionné que s'il y a eu violation de la vie privée, des renseignements personnels, 5 p. 100 servent à la fraude ou à un crime. D'où vient ce chiffre? Qu'est-ce qui vous permet de le dire?
Ce chiffre vient d'une étude effectuée aux États-Unis. Je n'ai pas la citation exacte ici, mais nous sommes abonnés à de nombreux bulletins sur la situation. Il s'agit d'une étude américaine qui a été reproduite dans un de ces bulletins sur le droit relatif à la protection de la vie privée.
Merci, monsieur Stanton.
Auriez-vous la gentillesse de nous fournir ce document de référence afin que nous puissions l'examiner?
Merci beaucoup, madame la commissaire, et madame la commissaire adjointe, d'être venues. Votre document a été très utile. Comme vous pouvez le constater, nous nous débattons avec un grand nombre de ces questions, et nous vous remercions de vos opinions et de votre aide à la fin comme au début. Cela a été très utile.
Aux membres du comité, j'ai deux points à mentionner. Demain, vous devriez recevoir un résumé des recommandations de tous les témoins. Vos bureaux devraient recevoir ce document demain, pour ceux qui n'ont rien à faire ce week-end, vous aurez la fin de semaine pour le dépouiller.
Notre première réunion à huis clos aura lieu mardi à 9 heures. Je trouverai la salle parfaite le moment venu. Pour l'instant, il s'agit de la salle 237-C, et j'espère vous voir au lieu et à l'heure indiqués.
Vous vous souviendrez qu'à la demande du comité, j'ai écrit au ministre afin de lui demander de comparaître. Le ministre, semble-t-il, est très occupé. J'ai suggéré de nombreux compromis, y compris de tenir une réunion spéciale, de tenir une réunion le soir, semble-t-il que le ministre est occupé 24 heures sur 24 jusqu'à la pause. Finalement, il a donné son accord pour le 20 mars. Je lui ai fait savoir que le comité n'acceptera pas de changement à la date, alors c'est le jour de sa comparution.
Entre-temps, nous aurons cerné les questions sur lesquelles nous sommes unanimes ou qui ont l'appui de la majorité, et nous pourrons en discuter avec lui.
Merci beaucoup. À la semaine prochaine.
La séance est levée.