Passer au contenu
;

ETHI Réunion de comité

Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.

Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

Publication du jour précédent Publication du jour prochain







CANADA

Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique


NUMÉRO 031 
l
2e SESSION 
l
39e LÉGISLATURE 

TÉMOIGNAGES

Le jeudi 1er mai 2008

[Enregistrement électronique]

(1530)

[Traduction]

    Bonjour, chers collègues.
    C'est la réforme de la Loi sur la protection des renseignements personnels qui est à l'ordre du jour.
    Les témoins d'aujourd'hui viennent du Secrétariat du Conseil du Trésor. Ce sont M. Ken Cochrane, dirigeant principal de l'information, et M. Donald Lemieux, directeur exécutif de la Politique de l'information, de la protection des renseignements personnels et de la sécurité.
    Je crois savoir que M. Cochrane a une déclaration d'ouverture à faire et que les députés en ont le texte.
    Les députés m'ont demandé si les représentants du Conseil du Trésor avaient reçu un exemplaire du document sur les recommandations à étudier au sujet des modifications à la Loi sur la protection des renseignements personnels. Ils sont au courant de ces recommandations, mais nous devons être un peu prudents dans nos attentes, compte tenu du rôle et des responsabilités du Conseil du Trésor à cet égard. Je crois que M. Cochrane va aborder la question.
    Messieurs Cochrane et Lemieux, vous êtes les bienvenus. Vous avez la parole.
    Bonjour et merci beaucoup, monsieur le président.
    Je m'appelle Ken Cochrane et je suis le dirigeant principal de l'information pour le gouvernement du Canada.
    Comme le président l'a déjà dit, je suis accompagné aujourd'hui de M. Donald Lemieux, qui est le directeur exécutif de la Division de la politique de l'information et de la protection des renseignements personnels au Secrétariat du Conseil du Trésor. C'est donc lui qui est l'expert en la matière au secrétariat.
    Je vais d'abord remercier le Comité de cette occasion qu'il m'offre de parler du rôle stratégique que le Secrétariat du Conseil du Trésor joue dans le domaine de la protection des renseignements personnels à l'échelle du gouvernement du Canada. Le comité nous a invités à le renseigner au sujet de la politique sur la protection de la vie privée et de la politique d'évaluation des facteurs relatifs à la vie privée, dont le Secrétariat du Conseil du Trésor est le ministère responsable. Je vais donc prendre quelques minutes pour donner un aperçu du rôle que joue le Secrétariat du Conseil du Trésor pour appuyer les instruments de politique dont il a la responsabilité.
    Tout d'abord, il est important de noter la responsabilité partagée du Secrétariat du Conseil du Trésor, du ministère de l'Industrie et du ministère de la Justice dans le domaine de la protection des renseignements personnels. À cet égard, la Politique sur la protection de la vie privée et la Politique d'évaluation des facteurs relatifs à la vie privée sont la responsabilité du Secrétariat du Conseil du Trésor. Ces deux politiques de gestion appuient la Loi sur la protection des renseignements personnels. Cette loi relève du ministre de la Justice. La Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, dont la commissaire à la protection de la vie privée a discuté auparavant avec le comité, est administrée par le ministre de l'Industrie.
    Les dirigeants des institutions doivent s'assurer que leur organisme respecte les exigences des politiques de gestion et des lois.
    Le président du Conseil du Trésor est le ministre désigné en vertu de la Loi sur la protection des renseignements personnels pour formuler et publier les politiques et les lignes directrices de gestion et assurer la bonne application de la Loi. Le Secrétariat du Conseil du Trésor assiste le président dans ce rôle en élaborant des politiques et des lignes directrices et en offrant continuellement de la formation et du soutien à ceux qui sont chargés de l'accès à l'information et de la protection des renseignements personnels.
    Il est important de signaler que le dirigeant de chaque institution doit protéger les renseignements personnels dont il a la garde et observer les politiques de gestion et les lois. Les membres du comité pourront trouver de l'information détaillée sur les instruments de politique de gestion des renseignements personnels dans le manuel que nous leur avons remis.
    Je vais maintenant vous renseigner davantage au sujet des politiques sur la protection de la vie privée dont la responsabilité incombe au Secrétariat du Conseil du Trésor. Comme le savent peut-être déjà les membres du comité, le gouvernement procède actuellement à un important renouvellement de ses politiques de gestion qui porte notamment sur les instruments de politique relatifs à la protection des renseignements personnels. Le président du Conseil du Trésor a publié deux politiques sur la vie privée pour appuyer la Loi sur la protection des renseignements personnels: la Politique sur la protection de la vie privée et la Politique d'évaluation des facteurs relatifs à la vie privée.
    La première remplace l'ancienne Politique sur la protection des renseignements personnels et des données, qui a été récemment remaniée pour tenir compte des modifications apportées par la Loi fédérale sur la responsabilité. Elle vise à faire en sorte que de bonnes pratiques de gestion soient en place pour le traitement et la protection des renseignements personnels; que des responsabilités de nature décisionnelles et opérationnelles claires soient attribuées au sein des institutions gouvernementales; que l'information soit communiquée de manière cohérente au moyen des rapports annuels au Parlement, des rapports statistiques et de la publication annuelle d'Info Source, produits par le Secrétariat du Conseil du Trésor; que les facteurs relatifs à la vie privée et les risques d'entrave à la vie privée concernant tous les programmes et activités du gouvernement, nouveaux ou modifiés, qui nécessitent l'utilisation de renseignements personnels soient identifiés, évalués et atténués.
    Le deuxième instrument de politique de gestion dont nous sommes responsables est la Politique d'évaluation des facteurs relatifs à la vie privée, qui a été mise en œuvre en 2002. Les évaluations des facteurs relatifs à la vie privée permettent de garantir aux Canadiens que les principes du droit à la vie privée sont pris en considération dans la planification, la conception, l'exécution et l'élaboration des programmes et services qui posent des problèmes pour la protection des renseignements personnels. Les résultats des évaluations des facteurs relatifs à la vie privée menées par le gouvernement sont communiqués à la commissaire à la protection de la vie privée et au public. Nous examinons actuellement cette politique et nous travaillons en étroite collaboration avec le Commissariat à la protection de la vie privée du Canada sur cette question. Nous prévoyons que notre examen sera terminé avant la fin de l'exercice financier.
    Passons au rôle des autres institutions. Même si le secrétariat joue un rôle important dans l'élaboration des politiques et lignes directrices et la formulation de conseils aux services de l'AIPRP, les chefs des institutions gouvernementales sont responsables en fin de compte des renseignements personnels dont leur institution respective a la garde. Ils doivent s'assurer que leur organisme se conforme à toutes les exigences des politiques de gestion du Secrétariat du Conseil du Trésor; les institutions sont évaluées chaque année au moyen du Cadre de responsabilisation de gestion, le CRG, que vous connaissez bien, j'en suis certain.
    La responsabilité de la mise en œuvre des exigences dans les institutions est déléguée en général aux coordonnateurs de l'AIPRP, précisément pour les instruments de politique de gestion relatifs à la protection des renseignements personnels. Le Secrétariat du Conseil du Trésor est le chef de file des services de protection des renseignements personnels dans l'ensemble du gouvernement.
(1535)
    Vu l'importance du mandat des services de l'AIPRP, le Secrétariat du Conseil du Trésor a adopté diverses mesures pour aider les institutions fédérales à respecter les politiques sur la protection des renseignements personnels. Par exemple, il fournit continuellement de la formation aux services de l'AIPRP par divers moyens, notamment: la préparation de documents de formation et l'organisation de séances de formation pour permettre d'informer les membres de ces services des dernières nouvelles sur les politiques; la distribution de documents d'orientation aux praticiens de l'AIPRP; la tenue de réunions régulières visant à communiquer des questions d'intérêt et des pratiques exemplaires et à aviser les services de toute modification aux politiques; la réponse aux questions des praticiens de l'AIPRP qui ont besoin d'aide et de conseils sur l'interprétation de nos politiques.
     Enfin, le Secrétariat du Conseil du Trésor publie le bulletin annuel Info Source qui renferme des statistiques sur les demandes présentées en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels, ainsi que des résumés de la jurisprudence fédérale sur l'interprétation des lois.
     Monsieur le président, membres du comité, comme vous le savez, le gouvernement est fermement résolu à protéger le droit à la vie privée. Nos instruments de politique visent à appuyer les lois adoptées à la Chambre des communes par les parlementaires au nom des Canadiens. Ces instruments de politique sont solides et sont pris très au sérieux par les institutions gouvernementales. Je suis convaincu que les politiques sur la protection de la vie privée renforcent les droits des Canadiens relativement à une protection efficace de leurs renseignements personnels.
    Puisque le comité poursuit son examen de la Loi sur la protection des renseignements personnels, le Secrétariat du Conseil du Trésor attendra que le Parlement établisse par voie législative la marche à suivre.
    Monsieur le président, voilà qui conclut mon intervention. M. Lemieux et moi serions heureux de répondre aux questions des membres du comité.
    Merci beaucoup, monsieur Cochrane.
    Très brièvement, je signale que l'article 71 de la Loi sur la protection des renseignements personnels définit les devoirs et les responsabilités du Conseil du Trésor. Pourriez-vous nous donner une très brève évaluation de l'ensemble de la situation? Il serait probablement très intéressant pour le comité de connaître les domaines qui méritent qu'on s'y attarde ou qui sont préoccupants.
(1540)
    Au fond, l'article 71 de la Loi sur la protection des renseignements personnels répartit les responsabilités en matière de réglementation. Le Secrétariat du Conseil du Trésor est chargé de certains règlements.
    Quant à l'ensemble de la situation, comme vous dites, en ce qui concerne cette loi, bien qu'elle soit l'une de celles qui existent depuis le plus longtemps, elle semble avoir bien résisté à l'épreuve du temps et être toujours bien vivante. Bien sûr, elle est appuyée par le Secrétariat du Conseil du Trésor et le renouvellement de l'ensemble de politiques dont M. Cochrane a parlé. Ce renouvellement s'inscrit dans le plan d'action appliqué en vertu de la Loi fédérale sur la responsabilité visant à renforcer certaines mesures. Par exemple, nous avons assujetti un certain nombre d'institutions à cette loi. Soixante-dix institutions ont été soumises à la Loi sur l'accès à l'information par suite de la Loi fédérale sur la responsabilité, mais cela exigeait également que ces institutions soient visées par la Loi sur la protection des renseignements personnels.
    Ce n'est peut-être pas aussi évident, mais, si on considère les liens entre les deux lois, la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels, la définition de « renseignement personnel » se trouve dans la seconde, si bien qu'elle doit viser ces institutions. Ce sont donc maintenant quelque 250 institutions qui y sont soumises.
    D'accord. Peut-être allons-nous fouiller un peu plus ce genre de questions.
    Ce sera M. Hubbard, Mme Lavallée puis M. Wallace.
    Merci, monsieur le Président, et bonjour.
    Pour faire le travail dans ce domaine, de quel personnel avez-vous besoin? Combien de personnes travaillent directement avec vous pour offrir ce service aux ministères?
    M. Lemieux donnera peut-être plus de détails, mais son équipe compte en tout 35 personnes environ. Ce personnel s'occupe à la fois des renseignements personnels et de l'accès à l'information. C'est donc une équipe mixte qui s'occupe de ces deux domaines. Il s'agit en grande partie d'un travail de soutien, de formation, comme je l'ai dit, et il faut répondre à beaucoup de questions des services qui appliquent les deux lois, sans oublier la préparation de nombreux textes et moyens d'action.
    Votre mémoire dit qu'un certain nombre de programmes sont en cours. Par exemple, vous avez parlé d'un programme qui se concrétiserait d'ici la fin de l'année. Combien d'initiatives sont en marche? La Loi fédérale sur la responsabilité a été un élément vraiment très important dans votre travail. Avez-vous un calendrier de mise en oeuvre qui dit par exemple qu'il faut atteindre le point A au plus tard en juillet 2008 et tel autre point à la fin de 2008? Comment définiriez-vous les principaux éléments? Quelle est la date d'achèvement prévue pour chacun d'eux?
    Je vais commencer à répondre et je vais peut-être encore m'en remettre à M. Lemieux pour la suite.
    Nous avons dissocié le rôle du travail sur la politique. Tout cela fait partie du renouvellement des politiques. Je suis sûr que vous le savez. Un grand objectif de ce renouvellement était de simplifier la politique pour que les ministères l'appliquent bien plus efficacement.
    Au cours de la première étape — qui s'est terminée en avril 2008; les délais étaient très serrés —, nous avons renouvelé les politiques sur l'accès à l'information et la protection des renseignements personnels. Ces nouvelles politiques sont donc en place. Il y a maintenant aussi une directive sur le numéro d'assurance sociale.
    La deuxième étape ira jusqu'en avril 2009. Il s'agit d'établir un certain nombre de directives, qui sont d'application obligatoire aux termes de la politique. Une directive sur l'application de la Loi sur la protection des renseignements personnels aidera les ministères à comprendre comment gérer leur travail à cet égard, et une autre portera sur l'évaluation des facteurs relatifs à la vie privée. C'est actuellement une politique, mais nous y apportons des simplifications et l'intégrons dans ce domaine. Cela se fera aussi pendant cette deuxième étape.
    Il y a une directive sur la gestion de la protection des renseignements personnels et une sur l'application de la Loi sur l'accès à l'information. Il se fait également un travail — mais cela relève d'un domaine plus vaste — sur l'obligation d'aider les demandeurs, et cela se rattache sans doute davantage au domaine du commissaire à l'information. C'est un élément important du dialogue qui doit se faire entre nous, le commissaire à l'information et tout le monde. Si j'en parle, c'est parce que cela fait partie d'un plan intégré et que l'équipe a actuellement plusieurs fers au feu.
    Pour ce qui est de la Loi sur l'accès à l'information, il semble que les journalistes aient été très préoccupés, récemment, lorsque le comité a choisi d'étudier cette question au lieu de l'accès à l'information. De toute façon, il semble que les journalistes, beaucoup de députés et le grand public déplorent que l'accès à l'information soit devenu une affaire bien compliquée et que, souvent, les délais de production de l'information ne soient pas respectés.
    Est-ce que votre travail entrave celui du Commissariat à l'information?
(1545)
    Monsieur le président, je veux m'assurer de bien comprendre la question. Notre travail consiste à guider et à appuyer l'application du programme dans 250 institutions. La formation et le perfectionnement du personnel chargé de l'AIPRP, de ceux qui répondent aux demandes sur le terrain, sont une grande partie de notre travail.
    Nous devons nous assurer que ce personnel comprend ses rôles et responsabilités.
    Vous le comprenez certainement, nous avons ajouté 70 institutions, et c'est beaucoup. Nous en avions 180, et il y en a maintenant 250. C'est considérable. Nous consacrons beaucoup d'énergie à ce travail, tant pour la Loi sur l'accès à l'information que pour la Loi sur la protection des renseignements personnels. Nous aidons de notre mieux les institutions à simplifier les processus.
    Je voudrais ajouter quelque chose à un point effleuré tout à l'heure par M. Cochrane, et il s'agit de faciliter la tâche des institutions. L'un des gros efforts de notre division est consacré à Info Source. C'est une publication énorme. Et d'autant plus énorme maintenant, à cause de l'ajout de toutes ces nouvelles institutions. Nous envisageons de faciliter énormément la mise à jour pour les institutions. Nous essayons ainsi de leur faciliter la tâche.
    Aussi, parce que nous avons pris de l'expansion pour appuyer les services d'AIPRP, nous avons établi des centres d'appels et nous avons un site Web qui facilite le travail. Nous faisons tout notre possible, dans le cadre de nos rôles et responsabilités, pour appuyer ce personnel afin qu'il puisse assurer le service et aider les demandeurs, ce qui est un élément très important signalé par M. Cochrane.
    Dans tout ce que vous expliquez au comité, il n'y a aucune ligne directrice nouvelle ni aucun élément lié à la Loi fédérale sur la responsabilité qui entrave le travail du commissaire à l'information?
    Entraver? Pas du tout. Dans notre travail de renouvellement des politiques, nous collaborons avec les deux commissaires.
    Nous avons par exemple un groupe de travail qui compte deux représentants du Commissariat à l'information; nous avons un comité de SMA où siègent des représentants de ce commissariat. Nous avons des réunions bilatérales tout au long du processus, tant pour l'accès à l'information que pour la protection des renseignements personnels.
    Lorsque nous faisons la moindre chose, nous sommes conscients de le faire pour appuyer le programme, et nous collaborons avec les deux commissaires.
    Nous allons maintenant passer à Mme Lavallée. S'il vous plaît.

[Français]

    Merci, monsieur le président.
    Je vous remercie de nous éclairer quant à la façon dont est appliquée la Loi sur la protection des renseignements personnels. C'est davantage ce volet qui nous intéresse, du moins aujourd'hui. Nous aurions préféré étudier d'abord la Loi sur l'accès à l'information.
    Monsieur Lemieux, vous parlez de la communauté de l'AIPRP, c'est-à-dire de l'accès à l'information et de la protection des renseignements personnels. Concrètement, les agents de l'accès à l'information sont-ils les mêmes que les agents de protection des renseignements personnels?
    Dans la plupart des cas, oui, quoique cela dépende de l'institution. Par exemple, une grande institution aura peut-être un bureau pour l'accès à l'information et un autre pour la protection des renseignements personnels. Cette façon de faire est peut-être pratique pour un ministère qui compte 20 000 employés, mais dans l'ensemble, le bureau de chaque institution combine l'accès à l'information et la protection de la vie privée. Il y a des avantages à cela. Les deux lois se rejoignent et doivent souvent être soupesées, par exemple lorsqu'il s'agit d'invoquer une exception pour exempter des renseignements personnels.
     Ce sont les mêmes personnes.
(1550)
    Dans l'ensemble, oui.
    Vous avez raison: la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels sont comme le yin et le yang chinois. Il reste que pour certaines personnes, ces lois doivent entraîner des difficultés en matière de décisions. Par exemple, une haute fonctionnaire est venue ici et a eu beaucoup de difficulté à donner des informations dans le cadre d'une demande d'accès à l'information. Elle disait être elle-même très préoccupée par la nature confidentielle de l'information. Elle était coordonnatrice de l'accès à l'information.
    Il me semble que le fait de devoir s'occuper des deux lois crée des difficultés pour les fonctionnaires. Ne vaudrait-il pas mieux séparer ces fonctions? Il y a bien deux commissaires. Pourquoi n'est-ce pas la même chose pour les employés?
    Dans différentes juridictions, cela peut fonctionner de façon différente. Il y a toujours des avantages et des inconvénients. Je suis un ancien coordonnateur. J'ai donc vécu...
    ... des angoisses existentielles.
    Oui, exactement. Certains dossiers sont assez épineux. À titre de directeur général responsable de l'accès à l'information et de la protection de la vie privée, je peux peser le pour et le contre. Lorsque je prends une décision concernant l'accès à l'information, je suis très conscient qu'elle peut avoir des répercussions. C'est vraiment équilibré. Sans connaître la raison précise pour laquelle la coordonnatrice a fait ce commentaire, je peux dire que certaines décisions sont difficiles. On encourage ces gens à venir nous voir. Il y a aussi des équipes qui peuvent discuter avec leur service juridique. Dans l'ensemble, cela fonctionne assez bien.
    Les coordonnateurs sont-ils plus portés à censurer l'information?
    C'est très difficile à dire sans parler d'un dossier très précis. Les coordonnateurs vont comprendre leur rôle et les exceptions qu'ils doivent appliquer ou ce qu'on appelle les exclusions, comme les confidences du Cabinet. On peut avoir recours au mécanisme de plaintes du bureau du commissaire. Donc, si la liberté d'action d'un coordonnateur ou d'une coordonnatrice est trop restreinte, dans ce cas, c'est le commissaire qui va intervenir, conformément à la loi
    C'est la même chose dans le cas de la protection de la vie privée. Là où ça devient vraiment mêlant... Dans un monde idéal, un dossier renferme les renseignements personnels d'une seule personne, mais s'il contient des renseignements personnels touchant plus d'une personne, ça complique les choses.
    Peut-être que dans la plupart des cas, il s'agit de renseignements qu'un coordonnateur à l'accès à l'information a envie de protéger, mais qui ne sont pas nécessairement personnels.
    Vous connaissez la nature des exceptions, y compris la sécurité nationale. Pour un fonctionnaire, n'est-il pas plus tentant de censurer davantage que moins? À moins qu'il s'agisse d'un dossier très sensible comme le rapport sur les droits de la personne des prisonniers afghans, ce qui se présente rarement, il me semble que les fonctionnaires doivent peser pas mal plus fort, afin d'être certains d'éviter les problèmes. Cependant, s'ils prennent davantage le parti de la population et qu'ils sont davantage prêts à lui fournir l'information, comme elle y a droit, ils peuvent faire face à des problèmes.
    Encore une fois, je peux uniquement parler de mon expérience. Je peux dire que le fait de jouer les deux rôles était utile. Quand j'expliquais à des fonctionnaires de la haute direction leurs responsabilités en vertu des deux lois dans un dossier particulier, j'étais bien outillé pour le faire.
    Il est certain qu'il peut y avoir des cas plus difficiles, mais la loi existe depuis 25 ans et je pense que dans l'ensemble, elle fonctionne assez bien.
(1555)
    Il me reste combien de temps, monsieur le président?

[Traduction]

    Vous avez 30 secondes.

[Français]

    Merci beaucoup.

[Traduction]

    Monsieur Wallace.
    Merci, monsieur le président.
    Messieurs, merci de comparaître aujourd'hui. Je vais essayer de poser mes questions rapidement.
    Dans votre exposé, vous traitez du partage des responsabilités: la Loi sur la protection des renseignements personnels relève du ministère de la Justice, Industrie Canada s'occupe de la Loi sur la protection des renseignements personnels et les documents électroniques et le Conseil du Trésor s'occupe d'autre chose. Serait-il préférable que tout relève d'un seul ministère? Pouvez-vous répondre à cette question? Du point de vue administratif, dans l'appareil bureaucratique, cela présente-t-il des difficultés?
    Vous voulez dire que les deux lois...
    Il y a en fait trois ministères en cause. Vous dites même ici qu'il y a trois secteurs chargés d'éléments différents. Cela fait-il problème?
    Je ne le crois pas, car, au fond, il s'agit de la Loi sur la protection des renseignements personnels, qui relève du ministère de la Justice, et de la Loi sur l'accès à l'information, qui en relève également. Quant à la Loi sur la protection des renseignements personnels et les documents électroniques, qui porte plutôt sur le privé, c'est Industrie Canada qui s'en occupe, ce qui semble logique. Et nous sommes là, au beau milieu, à considérer ce qui se passe dans l'appareil gouvernemental. Je ne crois pas que cela occasionne des difficultés.
    D'accord, je comprends.
    Vous dites que le Secrétariat du Conseil du Trésor assure à la direction un soutien à l'égard de la Loi sur la protection des renseignements personnels. Qu'entendez-vous par « soutien »? Cela veut-il dire que, si j'ai un problème et travaille dans un ministère, je peux vous appeler pour obtenir des conseils? Ou fournissez-vous des guides sur la façon de faire les choses? Que voulez-vous dire?
    Voici de quoi il s'agit. Voici la loi qui a été adoptée. Les gens du Secrétariat du Conseil du Trésor, dans les différents domaines de la politique — le nôtre est celui-ci —, interprètent cette loi pour en déduire des règles administratives. Nous proposons donc une interprétation du texte législatif pour que les ministères puissent se conformer à la loi.
    Vous fournissez cela aux ministères?
    Nous fournissons cela au ministère ainsi que... Le « soutien » comprend non seulement cette interprétation, mais aussi sa publication, les moyens d'application, des moyens de faciliter l'accès, la formation et un service de dépannage.
    Vous avez donc l'habitude de faire tout cela pour assurer le soutien.
    La commissaire à la protection de la vie privée nous a proposé quelques améliorations. Il doit y avoir dix ou onze recommandations. Notre groupe y travaille. Du côté du Conseil du Trésor, les recommandations de changement doivent-elles venir du président du Conseil du Trésor ou le personnel administratif a-t-il étudié les recommandations qu'il souhaite faire au comité sur les modifications à apporter à la Loi sur la protection des renseignements personnels pour faciliter votre travail ou appuyer le système?
    Je vais demander à M. Lemieux de répondre.
    D'abord, je crois avoir dit que nous venons de recevoir les recommandations...
    Les recommandations de la commissaire, je sais, mais le Conseil du Trésor a-t-il étudié la question en fonction de cet examen qui pourrait durer quelques semaines...? À qui, au Conseil du Trésor, devrions-nous nous adresser: « Bon, vous assurez le soutien. Vous voyez comment les choses se passent sur le terrain, avec vos groupes de soutien. Avez-vous des recommandations à nous faire? » Le Conseil du Trésor s'est-il posé ces questions?
    Pas autant que ce à quoi vous semblez faire allusion dans votre question. Lorsque je considère ces recommandations, je dois voir clairement au départ où on veut en venir au juste. Nous en sommes toujours à nous interroger sur la portée. Quelques recommandations ont été mentionnées expressément. Ainsi, Mme Stoddart a parlé du Secrétariat du Conseil du Trésor et de certaines choses que nous avons déjà faites sur le plan de la politique.
    Vous préféreriez donc que nous vous donnions un peu de temps et que nous vous convoquions de nouveau? Pourriez-vous examiner la question d'ici un mois environ? Est-ce une question de politique? Est-il acceptable que nous vous demandions votre avis?
    La situation est intéressante pour nous. Certains éléments se trouvent dans la loi, et il appartient au Parlement de décider quels éléments il veut retenir.
    Dans nos échanges avec les commissaires — avec qui nous entretenons d'excellentes relations, étant donné notre rôle —, nous consacrons beaucoup de temps à l'aspect pratique des dispositions qui risquent de se retrouver dans la loi. Si nous faisons telle chose, cela semble bien, mais est-ce pratique? Les services peuvent-ils s'en occuper efficacement? Dans cette optique, il est probable que nous pourrions jouer un rôle en vous livrant nos réactions.
    L'enchaînement est parfait avec la question que je voulais aborder aujourd'hui, et il me reste sans doute deux ou trois minutes seulement pour le faire. Les rapports d'évaluation des facteurs relatifs à la vie privée qui existent maintenant, mais qui ne sont pas prévus dans la loi, les considérez-vous comme facultatifs ou sont-ils obligatoires, sans être imposés par la loi?
(1600)
    Ils sont obligatoires parce que nous en avons fait une directive aux termes de la politique de gestion du gouvernement du Canada. Si ces rapports sont obligatoires, c'est que le secrétariat a exigé que les dirigeants des institutions les produisent. En outre, comme vous le savez pertinemment, nous nous assurons qu'ils le font en recourant à des moyens comme le cadre de responsabilisation de gestion. Nous veillons de près au respect de cette exigence.
    L'administrateur du ministère fait donc cette évaluation lorsqu'un programme est modifié ou qu'un nouveau programme est mis en place. Que devient l'information contenue dans le rapport? Elle reste au CT? Dans le ministère? Qu'advient-il de cette information? Et si vous êtes mécontents, du point de vue de l'application de la Loi sur la protection des renseignements personnels, d'après votre interprétation de cette loi, quel est le recours? Quelle suite donne-t-on à ces rapports?
    Je pourrais peut-être répondre, monsieur le président.
    Si une institution gouvernementale réalise un projet qui a des conséquences pour la protection de la vie privée, elle doit d'abord faire une évaluation des facteurs relatifs à la vie privée. C'est un examen rapide pour toutes les questions relatives à la vie privée. Il y a des dossiers où c'est tout de suite évident. On pose des questions de base. Puis, l'institution consulte la commissaire à la protection de la vie privée pour qu'elle s'occupe immédiatement des problèmes de protection de la vie privée qui sont liés au programme en question.
    Nous travaillons en ce moment avec la commissaire et les ministères en vue d'améliorer les choses. La politique est entrée en vigueur en 2002, et nous cherchons des modalités d'application plus simples. Nous voulons éviter les retards, être beaucoup plus efficaces dans ces évaluations et établir des modèles, qui sont un moyen utile dont les institutions auront besoin pour repérer par exemple les problèmes horizontaux.
    Au cours de ces réunions, avez-vous discuté de la nécessité de recourir à des dispositions législatives?
    Compte tenu du mandat de renouvellement des politiques, nous nous limitons aux politiques. Et nous entretenons une étroite collaboration avec la commissaire
    Je comprends. Merci beaucoup.
    Merci, monsieur le président.
    Monsieur Pearson.
    Je m'adresse à M. Cochrane. Lorsqu'elle a comparu, la commissaire à la protection de la vie privée vous a dit que, selon elle, ce serait une bonne idée que la loi impose des exigences aux ministères pour qu'ils comprennent qu'ils doivent recueillir des renseignements. C'était intéressant. Quelles sont les procédures actuellement en place à cet égard? Quel est le mécanisme en place pour prévenir les gens que vous avez besoin de cette information?
    Nous avons compris que cette exigence était proposée. Elle existe déjà dans la politique actuelle. M. Lemieux est en train de chercher ce document. Peut-être voudrez-vous le consulter. Je crois qu'il répondra à votre question. Les ministères comprennent bien qu'ils doivent suivre cette étape dès le départ.
    Pour en rester aux généralités, cela se trouve au chapitre 2-2. Nous avons remis au comité un cahier qui contient les lignes directrices. Je comprends qu'il y a beaucoup... Cela donne sans doute une idée de l'information que nous fournissons aux services de l'AIPRP. C'est au chapitre 2-2, page 1:
La Loi prévoit que les seuls renseignements personnels qu'une institution fédérale peut recueillir sont ceux qui ont un lien direct avec l'un de ses programmes ou avec l'une de ses activités et, en vertu de la politique, les institutions doivent exercer des contrôles administratifs...
    Le texte continue. La politique exige des institutions des contrôles administratifs pour éviter de recueillir trop de renseignements. Le texte se poursuit.
    Il y a donc déjà quelque chose dans la politique, en dehors de la loi. Comme M. Cochrane l'a signalé, la politique oblige les institutions gouvernementales à limiter la collecte de renseignements personnels lorsqu'elles lancent un nouveau programme.
    Pourquoi, dans ce cas, la commissaire demande-t-elle que cette exigence soit prévue dans la loi, puisque vous dites qu'elle existe déjà? J'essaie de comprendre.
    Ni moi ni aucun de nos fonctionnaires n'avons eu de discussion sur les raisons de cette position. Peut-être la commissaire a-t-elle regardé ce qui se faisait ailleurs ou a-t-elle eu des entretiens avec quelqu'un d'autre. Je ne saurais dire.
(1605)
    Les exigences législatives que vous venez de lire dans votre cahier, s'appliquent-elles...
    Une précision: ce sont les exigences de la politique.
    Désolé. Vous avez raison. Merci.
    S'appliquent-elles uniformément dans tous les ministères?
    Toutes les institutions, les 250 institutions, doivent agir de la sorte.
    Dans quelle mesure le Conseil du Trésor exerce-t-il un contrôle pour s'assurer que ces exigences sont respectées?
    Je crois que le mécanisme, le moyen de contrôle, le cadre prévu dans la loi... Il y a ce qu'on appelle le quatre-à-huit. La commissaire à la protection de la vie privée a des pouvoirs de vérification. Elle et ses collaborateurs peuvent intervenir et vérifier si la gestion est conforme aux exigences. Il s'agit de la collecte — ce à quoi j'ai fait allusion —, de l'utilisation et de la communication de renseignements personnels. Selon le régime prévu par la loi, la commissaire, qui a des pouvoirs de vérification, peut intervenir. Il est aussi possible d'intervenir sur présentation d'une plainte selon laquelle les choses ne sont pas faites correctement.
    Voilà le mécanisme. La loi n'a pas confié au Conseil du Trésor et au commissaire à la protection de la vie privée le même rôle de vérificateur. Ce rôle a été confié expressément au commissaire, mais il peut aussi y avoir des plaintes, comme je le disais à l'instant.
    Pourriez-vous me faire une comparaison entre votre politique, la Loi sur la protection des renseignements personnels et les documents électroniques et la collecte de renseignements? Sont-elles comparables?
    Malheureusement, je ne suis pas un spécialiste de la Loi sur la protection des renseignements personnels et les documents électroniques, qui relève d'Industrie Canada. Mon travail ne porte pas sur cette loi. Je vous avoue sans détours que je ne suis pas le spécialiste en mesure de faire cette comparaison. Le régime prévu dans cette autre loi diffère de celui de la Loi sur la protection des renseignements personnels. Je ne peux pas vraiment faire d'évaluation. Il faudrait faire une étude fouillée. J'hésiterais à me prononcer sans l'avoir faite.
    C'est normal.
    La commissaire à la protection de la vie privée a dit que, selon elle, il fallait, lorsqu'on recueille des renseignements, le faire de la façon la plus ouverte et transparente possible. Je ne dis pas qu'elle laisse entendre qu'on procède autrement, mais quelle est votre politique à cet égard et comment l'appliquez-vous?
    Encore une fois, monsieur le président, je ne sais pas dans quel contexte elle a dit cela. Peut-être a-t-elle constaté... Je ne savais même pas qu'elle en avait parlé dans son rapport annuel, mais elle l'a peut-être fait.
    Que je sache, il n'y a pas de lacune de ce côté et elle n'a rien relevé de particulier. Comme je l'ai dit, nous avons régulièrement des réunions avec elle. Rien de précis ne m'a été signalé qui permette de dire qu'il y a un problème. Et nous nous rencontrons régulièrement.
    Quel moyen au juste avez-vous d'exiger qu'on rende compte de la transparence? Je fouille un peu, je sais, mais j'essaie simplement de comprendre pourquoi elle dit cela.
    M. Lemieux me corrigera, j'en suis sûr, mais selon moi, un des éléments est que l'évaluation des facteurs relatifs à la vie privée est jusqu'à un certain point liée à ce processus. Bien qu'on recueille des renseignements, il y a un certain effet, et c'est là un processus très transparent. Il y a un rapport et une évaluation sérieuse. Cela est publié sur le site Web. La commissaire peut en prendre connaissance. C'est un élément du processus qui est au grand jour. Je crois que cela se fait chaque fois qu'on crée un nouveau corpus de renseignements.
    J'ajouterais une chose que j'aurais probablement dû signaler plus tôt, c'est-à-dire le lien avec Info Source. C'est la publication dont j'ai parlé. Je dis toujours que c'est l'un des plus importants éléments de la loi. On peut avoir tous les droits qu'on veut, mais si on ne sait pas quel type d'information le gouvernement possède sur soi, ce sont des droits assez creux. Dans Info Source, il y a ce qu'on appelle des banques de renseignements personnels. La loi exige que les dirigeants des institutions décrivent leurs banques de renseignements personnels. Voilà l'élément de transparence que le public peut observer.
    Nous allons passer à M. Allen.
    Merci, monsieur le président.
    Merci, messieurs d'être là aujourd'hui.
    Je suis depuis longtemps membre du comité, et quelques petites choses m'intriguent dans votre présentation, concernant notamment des questions d'actualité dans la protection de la vie privée.
    D'abord, monsieur Cochrane, vous êtes DPI. Ce qui m'intrigue, dans les politiques, c'est l'évaluation et l'atténuation des impacts et des risques relatifs à la vie privée. Comme nous avons une foule de systèmes gouvernementaux d'information, dont la majorité n'ont aucun lien entre eux, quelle évaluation du risque a-t-on faite dans ces systèmes? Comment cela cadre-t-il avec la nouvelle Loi sur la protection des renseignements personnels? Comment essayez-vous de d'aborder les nombreux systèmes qui recueillent des renseignements?
(1610)
    Excellente question.
    C'est l'un des défis du rôle de DPI. La direction du DPI, au Secrétariat du Conseil du Trésor, comprend un certain nombre de groupes. M. Lemieux s'occupe du personnel chargé de la protection des renseignements personnels et de l'accès à l'information. Un autre groupe s'occupe de ce que nous appelons l'architecture intégrée. Un autre de la gestion de l'information. On constate très vite qu'il y a des éléments qui se recoupent et sont complémentaires.
    Les responsables de l'architecture intégrée tracent la carte du gouvernement. Ils essaient de voir s'il y a une information commune et tentent de dresser un plan pour que, lorsque nous ajoutons de nouveaux systèmes, procédés ou programmes, nous saisissions bien les possibilités de réutilisation des renseignements existants. C'est une discipline très importante que nous observons de près. Ce groupe entretient une étroite collaboration avec celui de M. Lemieux.
    Par ailleurs, ceux qui gèrent l'information élaborent des modèles de base de ce que l'information devrait être dans l'appareil gouvernemental. Si nous possédons de l'information sur les ressources humaines dans 60 institutions, nous devrions suivre une norme. S'il s'agit d'information sur la géomatique, nous devrions aussi avoir une norme qui assure la cohérence et une compréhension globale. Cela facilite vraiment le travail de M. Lemieux lorsque l'information est modifiée. Nous pouvons avoir une optique globale.
    L'une des tâches les plus importantes de la Direction du dirigeant principal de l'information est d'établir des normes dans les opérations gouvernementales. Lorsqu'on se trouve dans un secteur d'activité à part, très bien. Mais lorsque l'information circule d'un secteur à l'autre, nous établissons des normes communes pour pouvoir comprendre l'information plus efficacement.
    Nous entendons toujours des histoires d'horreur. On croit que toute cette information est bien protégée, et voici que quelqu'un vole un ordinateur portable. On apprend qu'il contenait des renseignements personnels ou des numéros d'assurance sociale.
    Quel genre de garantie prévoyez vous mettre en place pour protéger ces actifs également? Des dispositions sont-elles prévues?
    C'est là que la protection de la vie privée commence à dériver vers la sécurité. Le gouvernement du Canada a aussi une politique de sécurité. Je dirais que, en sécurité, il faut distinguer trois grands aspects: d'abord la sécurité physique des immeubles et installations; deuxièmement, la sécurité et le contrôle du personnel, car ce sont des facteurs qui jouent dans la perte d'information; enfin, la sécurité de la TI. Cet aspect de la politique est en cause.
    Pour garantir la sécurité de la TI, il faut d'abord s'assurer que les installations sont bonnes. La politique de la sécurité des installations porte sur la façon d'empêcher qu'on aille y commettre des vols.
    Dans le cas des portables et de l'informatique mobile, la sécurité de la TI traite de la façon de stocker l'information qui sera transportée. Des règles très précises régissent ce qui doit se trouver sur le matériel portable. Si de l'information s'y trouve, elle doit être cryptée et protégée.
    Si on utilise un portable pour accéder aux réseaux du gouvernement, il y a des règles très précises à suivre pour le faire en utilisant des circuits et des réseaux sûrs. Le gouvernement a beaucoup de règlements pour contrôler ces éléments.
    Vous pourriez peut-être élucider quelque chose, car il est évident que j'ai mal compris. Vous avez dit: « Le deuxième instrument de politique de gestion dont nous sommes responsables est la Politique d'évaluation des facteurs relatifs à la vie privée, qui a été mise en œuvre en 2002. » Vous poursuivez, et le paragraphe suivant dit: « Nous examinons actuellement cette politique et nous travaillons en étroite collaboration avec le Commissariat à la protection de la vie privée du Canada sur cette question. »
    Six années ont passé et la politique a été mise en oeuvre, mais vous dites: « Nous prévoyons que notre examen sera terminé avant la fin de l'exercice financier. » Qu'est-ce que cela veut dire? Il est évident que j'ai mal compris. Pourquoi un examen six ans après la mise en oeuvre? En quoi consiste cet examen? Quel en est le contexte?
    Cela s'inscrit dans le contexte plus large du renouvellement des politiques. Avant que ce travail de renouvellement ne soit entamé, le gouvernement du Canada avait toute une série de politiques de gestion que les ministères devaient suivre. Lorsque nous avons commencé l'examen, je crois qu'il y en avait environ 180. Selon nous, cela faisait beaucoup de règles à suivre pour les ministères. Nous avons essayé de comprimer et de regrouper des choses, autant que possible, en unités logiques. Nous sommes passés de 180 politiques à environ 44.
    Dans ce cas particulier, nous avions deux politiques distinctes, l'une portait sur l'évaluation des facteurs relatifs à la vie privée et l'autre sur la protection de la vie privée. Nous les avons regroupées puisque, logiquement, elles vont ensemble. Il ne s'agit pas tant de revoir l'évaluation des facteurs relatifs à la vie privée que de la ramener dans la famille. Si tout est regroupé, la politique est plus facile à utiliser pour les ministères. Pour le faire, nous allons collaborer avec la commissaire à la protection de la vie privée pour faire en sorte que l'évaluation soit la plus logique possible.
(1615)

[Français]

    Monsieur Crête, s'il vous plaît.
    La commissaire à la protection de la vie privée veut obtenir le pouvoir de diffuser de l'information, dans l'intérêt public, sur les pratiques de gestion des institutions gouvernementales en matière de protection des renseignements personnels. En somme, selon ce que je comprends, elle veut faire des photos de l'efficacité de chacun des organismes et les rendre publiques.
    Que pensez-vous de cette recommandation? Devrait-on l'intégrer dans la loi?
    Je n'étais pas présent quand Mme Stoddart a fait ce commentaire. Je ne sais pas dans quelle circonstance elle l'a fait.
    En fait, la loi elle-même et la politique font en sorte qu'il y a des contraintes pour les ministères qui veulent divulguer... Il y a des règles, tant sur le plan politique que dans la loi elle-même, pour les ministères qui veulent divulguer des renseignements personnels.
    Si j'ai bien compris l'exemple qu'elle a donné, il s'agirait d'une photo qui...
    Je ne parle pas d'une photo, mais d'une photographie de la situation, de la gestion par un organisme. Elle voudrait qu'on puisse montrer les pratiques de gestion de telle institution gouvernementale, ou de telle autre, en matière de protection des renseignements personnels, et que ce soit intégré dans la loi afin que le public puisse juger de l'efficacité de chacun des organismes.
    Je pense avoir compris, maintenant.
    En fait, elle souhaite une meilleure compréhension des statistiques ou qu'il y ait un rapport annuel au Parlement. Une des choses que j'ai mentionnées par rapport à la Loi sur la responsabilité, c'est que le président du Conseil du Trésor a été mandaté spécifiquement pour recueillir des statistiques, ce que nous faisions de toute façon, en vertu de notre rôle.
    Évidemment, on ne s'est pas restreints à nos discussions avec le Commissariat à l'information, mais on a aussi des discussions avec la commissaire à la protection de la vie privée.
    Croyez-vous qu'il serait souhaitable que ce pouvoir soit intégré dans la loi? Il n'y est pas présentement.
    Pour l'instant, en vertu de notre rôle, on explore la possibilité de l'ajouter à la politique et de travailler avec le commissariat pour essayer de renforcer certains domaines.
    Dans un autre ordre d'idées, une directive sur les numéros d'assurance sociale couvre les organismes gouvernementaux. Cette semaine, on a eu un exemple assez extravagant: Chrysler a perdu une banque d'informations dans laquelle il y avait 250 000 noms de personnes avec leur numéro d'assurance sociale. On est toujours étonnés que le secteur privé ait les numéros d'assurance sociale des gens.
    Votre directive prévoit-elle que chacun des organismes doit protéger l'utilisation de cette information et qu'il ne peut la transmettre à des gens du secteur privé à moins de cas exceptionnels ou d'exemples précis prévus dans la réglementation?
    Ce domaine est partagé avec Service Canada. On a la responsabilité de s'assurer du contrôle des institutions gouvernementales sur les numéros d'assurance sociale.
    J'aimerais souligner qu'un numéro d'assurance sociale est aussi un renseignement personnel. Or, la Loi sur la protection des renseignements personnels ne parle aucunement du numéro d'assurance sociale. En 1988, je crois, on a établi une politique à cet effet. Le numéro d'assurance sociale est un renseignement personnel si important qu'on a établi une politique pour tenter de le contrôler.
    Votre directive prévoit-elle que pour chaque organisme, il y a un contrôle de l'utilisation et de la transmission de cette information par le privé?
    La directive elle-même prévoit que les institutions doivent restreindre cette utilisation selon leur mandat. Notre site Web donne une liste des raisons législatives pour lesquelles on peut utiliser le numéro d'assurance sociale, de même que des programmes qui sont autorisés.
(1620)
    Y parle-t-on des occasions où on peut les transmettre au secteur privé?
    Si je peux compléter, je pense que cela répondra à votre question. Dans certains cas, il peut y avoir des programmes, ou des lois, qui font en sorte qu'il peut y avoir un partage avec d'autres secteurs. C'est prévu dans les ententes entre les ministères et le...
    Serait-il pertinent d'avoir une directive semblable pour le secteur privé, quant à l'utilisation du NAS, en raison des excès que cela peut entraîner dans les différents ministères?
    Dans le secteur privé, le NAS est considéré comme étant un renseignement personnel. De ce fait, il devrait être protégé. Peu importe que ce soit l'ADN ou quoi que ce soit, c'est protégé de la même façon. Malheureusement, il peut y avoir des cas où un renseignement personnel — le NAS ou autre — peut être divulgué. Comme M. Cochrane l'a dit, le but est de le protéger, dans la mesure du possible.

[Traduction]

    Merci.
    Monsieur Harvey.

[Français]

    Je poursuivrai dans le même sens que M. Crête. Si je ne me trompe pas, le numéro d'assurance sociale est nécessaire lorsqu'on émet un chèque de paye. Oui ou non?
    Oui.
    Donc, une entreprise privée se retrouve avec un numéro d'assurance sociale si elle fait un chèque de paye à son employé. Elle n'a pas d'autre choix que d'avoir son numéro d'assurance sociale.
    Ça ne me pose pas de problème que l'entreprise ait le NAS. Mais, comment se fait-il qu'elle réussisse à le laisser échapper? Est-ce qu'elle est réglementée ou limitée quant à la capacité de monnayer cette liste de numéros d'assurance sociale? Y a-t-il des garde-fous par rapport à cela?
    J'ai mentionné qu'il y a des ententes entre les ministères et le secteur privé. C'est la même chose pour les banques. Chez Revenu Canada, pour certaines dispositions, les banques doivent avoir accès au numéro d'assurance sociale. C'est protégé dans le secteur privé par la LPRPDÉ. Ces institutions sont gouvernées au fédéral par cette loi. Il y a des lois qui sont comparables dans d'autres territoires, dans les provinces, où ce renseignement est protégé comme un renseignement personnel. D'un côté, cela se tient.
    Pour nous, le NAS est un numéro qui a été créé par le fédéral. Dans le secteur privé, à cause des ententes avec les ministères, ou à cause de programmes ou de lois, des entreprises ont ce numéro. C'est protégé au plan fédéral par la LPRPDÉ et par une loi provinciale telle que l'Ontario...
    Est-ce qu'il y a des moyens coercitifs pour empêcher l'entreprise privée de ne pas être prudente dans sa façon de protéger ces numéros d'assurance sociale ou les informations personnelles qu'elle peut détenir au sujet de ses employés?
    Voulez-vous dire en ce qui a trait au vol d'identité?
(1625)
    Supposons que quelqu'un dévoile une liste de données comprenant 250 000 numéros d'assurance sociale avec des noms et une série d'informations. Y a-t-il des amendes? Un citoyen peut-il dire que vous avez perdu ses données personnelles et qu'il y aura des frais? On parle également de plus en plus du vol d'identité. C'est ce à quoi je veux en venir, le vol d'identité. Si on n'est pas capable de protéger ceux qui ont des informations... Lorsque j'achète une auto, je n'ai pas le choix que de dire qui je suis pour avoir la clé. Je dois donner mon nom, mon adresse, mon numéro de téléphone, le nom de ma mère, mon numéro de compte bancaire et mon numéro d'assurance sociale. C'est normal, on me confie un véhicule de 30 000 $. Une fois que le concessionnaire a cette information, que je lui donne en toute confiance, s'il n'est pas suffisamment soucieux...
    Il n'y a pas de sanction criminelle prévue dans les politiques, que ce soit la nôtre ou celle de Service Canada.
    Le citoyen a-t-il un recours contre l'entreprise?
    Ce n'est pas de mon domaine, du domaine de la politique...
    Est-ce qu'il serait bon qu'il y en ait un?
    Vous parlez d'un vol, d'un crime. C'est une question pour la justice. Si on vole l'identité ou si on fait quelque chose d'illégal avec un renseignement personnel appartenant à autrui, je dirais que cela concerne davantage le Code criminel. La GRC ou la police enquêterait, s'il y avait un vol ou un abus quelconque. Cela s'éloigne un peu de ma responsabilité.
    Est-ce que vous jugez que vous avez les outils nécessaires pour contrôler le vol d'identité? En fin de compte, si vous n'avez pas assez d'informations sur un individu, vous ne savez pas si c'est lui ou si ce n'est pas lui qui est devant vous. Vous avez le droit d'avoir quelques informations qui sont relativement faciles à trouver, mais pour ce qui est du reste, vous n'êtes pas capables de savoir si c'est vraiment Luc Harvey qui vous parle au téléphone ou qui se présente devant vous pour demander un passeport. Donc, quels outils avez-vous, ou de quels outils auriez-vous besoin pour vous assurer que c'est bien le bon individu, celui à qui vous devriez avoir affaire, ou celui qui dit porter un certain nom. Je porte le nom de Luc Harvey et je suis en mesure de le prouver, mais quelqu'un d'autre pourrait arriver et s'appeler Luc Harvey aussi.
    Je pense que M. Cochrane voudrait ajouter quelque chose en ce qui concerne le vol d'identité.
    Est-ce que je peux répondre en anglais?
    Oui, il n'y a pas de problème.

[Traduction]

    À propos de ce dont vous parlez, s'il y avait des sanctions, par exemple, cela relèverait de la Loi sur la protection des renseignements personnels et les documents électroniques dans le secteur privé. Comme M. Lemieux l'a dit, le vol d'information est un acte criminel. C'est donc l'aspect pénal du processus.
    Nous nous occupons aussi de la question de l'identité pour le gouvernement du Canada. C'est un nouveau domaine. Différentes institutions établissent les éléments nécessaires à la vérification de l'identité de chacun. Nous travaillons ensemble dans le dossier des normes d'identité dans tout le Canada, avec tous les pouvoirs publics. Nous discutons aussi avec les banques des normes d'identité. Mon numéro d'assurance sociale, mon permis de conduire et mon passeport sont-ils des attestations suffisantes? Nous nous occupons beaucoup de cette question en ce moment. Je n'ai pas de réponse très arrêtée. Je ne peux pas vous dire que trois éléments nous suffiront.
    Tout cela fait partie de l'enregistrement et de l'établissement de l'identité de la personne. Cela est un peu en dehors de notre sujet, mais c'est l'élément le plus important du processus. L'institution doit acquérir la conviction que telle personne est bien M. Lemieux. Une fois que cela est acquis, nous allons mettre en place des moyens de gérer l'identité.

[Français]

    Est-ce que cela devrait être défini? C'est là ma question. Est-ce que vous avez tout ce qu'il faut? On sait que l'empreinte digitale a un taux d'efficacité d'à peu près 92 p. 100, car il y a certains problèmes. Avec la voix, on arrive à un taux d'efficacité d'à peu près 30 p. 100. L'identification par la rétine a un taux beaucoup plus élevé, et pour l'ADN, c'est encore plus haut.

[Traduction]

    Je suis d'accord. C'est un domaine nouveau pour nous tous: les Américains, les Britanniques, les banques, tout le monde. Nous sommes très actifs dans ce domaine. Il est possible que nous mettions des moyens de contrôle en place. Sur le plan de la politique, ce que cela veut dire sur le plan...
    Une voix: Vous seriez heureux si elle n'intervenait pas.
    M. Hubbard veut intervenir brièvement.
    Dans la fonction publique, il y a des dizaines de milliers d'employés qui ont accès à divers types de renseignements. Dans vos politiques, comment vous assurez-vous que les employés ne communiquent pas ces renseignements, ne les perdent pas ou ne les traitent pas avec négligence? Que se passe-t-il lorsqu'ils le font? Y a-t-il une politique? Je ne veux pas de longue description. Y a-t-il une politique qui régit ceux qui manipulent des renseignements personnels?
    Comme dans tant d'autres choses, la question touche une foule de domaines. Dans le cas des fonctionnaires fédéraux, il y a déjà des questions au niveau des ressources humaines si quelqu'un gère mal des renseignements. Les employés ont des autorisations qui leur permettent de s'occuper de renseignements d'un certain niveau: protégé A, protégé B, protégé C, secret, très secret, etc. L'employé n'a pas accès à tout. Si un employé n'a pas ou ne devrait pas avoir accès à des renseignements et en prend tout de même connaissance, il peut y avoir des sanctions au niveau de la gestion des ressources humaines.
    Il y a diverses mesures disciplinaires. S'il s'agit d'un délit, le Code criminel peut s'appliquer.
(1630)
    Il y a donc des politiques, des classifications de documents sur les gens qui ont des autorisations différentes...?
    Bien sûr. Cela concerne à la fois la sécurité et la protection de la vie privée. S'il y a un manquement, c'est une infraction au Code criminel. Il y a un certain nombre de possibilités.
    Il y a une politique sur l'utilisation des réseaux électroniques qui régit l'accès par différentes personnes, etc. Il y a des politiques très strictes.
    Vous avez des politiques strictes.
    Ma seule autre observation, monsieur le président, c'est que, si nous formulons des recommandations sur cette loi, comme M. Wallace l'a dit, nous vérifierons avec votre organisation pour éviter de causer un problème pour tout le monde.
    Monsieur le président, peut-être voudrons-nous étudier cette question avant de mettre la dernière main à notre rapport et nous assurer que MM. Cochrane et Lemieux ont au moins la possibilité de commenter nos propositions par rapport à ce que la commissaire nous a déjà présenté.
    Merci, monsieur le président.
    Merci. Très bien.
    Monsieur Wallace.
    Voici l'une des recommandations, et je ne m'attends pas à ce que vous la commentiez:
Il conviendrait de resserrer les dispositions de la loi relatives au transfert des renseignements personnels du gouvernement canadien à des États étrangers. Le Secrétariat du Conseil du Trésor (SCT) a pris d’importantes mesures en ce sens en offrant des directives sur les ententes de partage de renseignements et sur l’impartition du traitement des données personnelles.
    Et la commissaire ajoute:
Il importe, toutefois, de prévoir dans la Loi des mesures de protection des renseignements communiqués à l’étranger.
    Pourriez-vous me dire, de façon schématique, à propos des lignes directrices et de l'information sur les ententes de partage de renseignements et l'impartition, ce que vous fournissez aux ministères, à propos des renseignements qui peuvent être communiqués à l'étranger? Quelles sont les mesures en place?
    Monsieur le président, j'aurais deux ou trois choses à dire à ce sujet.
    D'abord, le Secrétariat du Conseil du Trésor a fait un certain travail il y a deux ou peut-être trois ans à propos du U.S.A. Patriot Act. Il y a eu une plainte en Colombie-Britannique au sujet de certains employés. Le gouvernement est intervenu parce qu'il s'agissait de la communication de renseignements personnels. Le secrétariat et notre division sont intervenus, en raison de leur rôle concernant la politique sur la communication des renseignements personnels, pour mettre en place des outils, des lignes directrices à l'intention des institutions gouvernementales au sujet de l'impartition et de la mise en commun de renseignements. Nous avons travaillé en étroite collaboration avec la commissaire à la protection de la vie privée et nous avons publié un rapport, il y a juste un peu plus d'un an, je crois, Protéger les renseignements personnels. Nous y avons proposé une orientation plutôt ferme sur ce qu'il faudrait faire.
    Nous travaillons également à d'autres lignes directrices et conseils sur la communication de renseignements à l'étranger. Nous avons communiqué à la commissaire un document sur la publication de lignes directrices, et nous avons toujours des échanges avec elle. La question est délicate, il va sans dire, et nous essayons d'être le plus prudents possible.
    Le document s'intitule comment?
    Protéger les renseignements personnels.
    C'est un document public? Je peux en avoir un exemplaire?
    Oui, il se trouve sur notre site Web.
    Merci beaucoup. Ce sont là mes questions.
    Il s'agit des dispositions sur les contrats. C'est exactement l'un de ces outils que les ministères trouvent utiles parce qu'il comprend des modèles, des moyens d'action. Quand on accorde un contrat et qu'on traite avec un certain niveau...
    Ce sont des conseils pratiques et détaillés sur la façon de faire les choses?
    Oui, c'est très pratique.
    En matière d'impartition, on propose la façon de libeller le contrat pour protéger les renseignements canadiens que l'impartiteur peut posséder.
    Je crois que le document a été fort bien accueilli, de ce point de vue.
    Merci.
    Merci, monsieur Wallace.
    Dans le même ordre d'idées, le comité a ses ressources, du côté du greffier, et des responsabilités, également, confiées à la Bibliothèque du Parlement, et nos attachés de recherche s'emparent de l'information et essaient de la coordonner pour nous. Il y a une requête qui s'adresse à vous. Je vais demander à notre attachée de recherche, Nancy Holmes, si elle veut bien formuler cette requête pour que vous puissiez nous aider dans la mesure du possible.
    Madame Holmes.
(1635)
    Cela fait suite à des questions qui vous ont déjà été posées par MM. Hubbard et Wallace, je crois, mais j'essaie d'en resserrer un peu les termes.
    Vous avez dit ne pas avoir eu beaucoup le loisir d'étudier le document de la commissaire à la protection de la vie privée. Ce document fixe en quelque sorte le cadre de l'étude du comité. Il serait très utile au comité que vous puissiez lui communiquer vos réactions à ces recommandations, notamment celles qui visent à intégrer à la loi des politiques existantes du Conseil du Trésor.
    Très bien.
    Si vous avez quelque chose d'utile pour le comité à dire sur ces recommandations ou en rapport avec elles, nous vous serions reconnaissants de bien nous faire connaître votre point de vue.
    Une dernière chose avant de vous laisser partir. Au début, je vous ai demandé votre évaluation de l'ensemble de la situation, dans le champ de responsabilité du Conseil du Trésor. Lorsque nous avons étudié les prévisions budgétaires du Commissariat à la protection de la vie privée, l'un des sujets de discussions les plus importants, qui est du reste lié à notre examen de la réforme de la Loi sur la protection des renseignements personnels, a été celui des ressources humaines du commissariat, de ses problèmes de capacité, de ses problèmes de formation. Nous avons dit aussi que les évaluations des facteurs relatifs à la vie privée provenant des ministères et organismes ne donnaient rien, n'étaient pas utiles.
    Il semblerait que le commissariat a un gros problème de ressources humaines, de personnel. Le roulement a été si élevé que le commissariat n'a pas respecté ses niveaux de service. Les arriérés ne sont plus gérables. La loi n'a pas été révisée depuis 25 ans. Je n'ai pas eu l'impression que vous vous en préoccupiez.
    Je vous pose de nouveau la question. Vu ces faits, pouvons-nous attendre du Conseil du Trésor qu'il fasse quelque chose pour mobiliser l'attention de la fonction publique — qui essaie de faire marcher les choses — afin que nous ayons un appui dans nos observations, qu'il y ait la plus grande collaboration possible pour régler les problèmes de ressources humaines, et pas seulement au commissariat? Ces problèmes nous ont été signalés par le commissaire à l'information et divers ministères. Peut-être allons-nous renvoyer certaines de ces questions au comité des opérations gouvernementales. La situation d'ensemble n'est pas bonne, selon moi, et de nombreux députés partagent sans doute cet avis.
    Je ne vous contrains pas à répondre tout de suite, mais je dois vous dire que nous avons la responsabilité de faire rapport de cet état de chose. Il faudra un certain temps. Nous sommes saisis de dix recommandations. Et d'autres choses pourraient surgir, des changements, un regain d'intérêt ou des innovations dans les régimes de protection des renseignements personnels chez nous et à l'étranger, et les commissaires à la protection de la vie privée pourraient avoir une activité plus intense et des responsabilités accrues. Ce qui exigera encore plus de ressources humaines. J'ignore d'où elles viendront, mais le système actuel n'arrive même pas à assumer les responsabilités que lui confie la loi actuelle.
    Nous avons là un problème sérieux. Il s'agit là d'une évaluation préliminaire, je veux que vous le sachiez. Si vous avez votre mot à dire là-dessus, je voudrais que vous nous donniez — mais pas maintenant — votre réaction à l'évaluation de la situation que fait la commissaire à la protection de vie privée, dans les domaines de responsabilité du Secrétariat du Conseil du Trésor. Vous avez énuméré ces domaines dans votre intervention: saines pratiques de gestion pour le traitement et la protection des renseignements personnels; attribution claire des responsabilités décisionnelles et opérationnelles à l'intérieur des institutions gouvernementales; des rapports publics cohérents.
    Je vous laisse donc là-dessus: il y a des sujets de préoccupation. Vous pourrez peut-être nous donner des assurances quant aux moyens de s'y attaquer — pour peu qu'on le fasse? Comment pourrait-on s'y prendre? Comment le comité pourrait-il appuyer des initiatives visant à régler de façon responsable les problèmes opérationnels fondamentaux que nous semblons observer?
    Est-ce assez clair?
(1640)
    Très bien.
    Je voudrais commenter un seul point. Nous entretenons une étroite collaboration avec les deux commissaires parce que nous tenons à ce que la loi et la politique soient bien appliquées dans les ministères. Vous avez signalé un certain nombre de points, dont le terrible arriéré, au Commissariat à la protection de la vie privée, dans l'étude des évaluations des facteurs relatifs à la vie privée. Ce sont des domaines dans lesquels, peu importe l'importance des fonds, nous essayons de travailler ensemble afin de résorber l'arriéré en nous y prenant autrement.
    Les ressources sont toujours un facteur pour nous tous, mais il faut aussi chercher à améliorer l'efficacité. Nous avons étudié des idées pour essayer d'alléger la charge de travail au départ. Nous jouerons un rôle différent. Nous confierons une plus grande responsabilité aux ministères. Il faut ménager l'équilibre entre l'ajout de ressources et l'amélioration du flux de l'information, d'une part, et, d'autre part, la modification et la simplification du processus tant pour les ministères que pour nous et les commissaires. La même chose vaut pour les deux commissaires.
    D'accord. Le comité vous serait reconnaissant de bien vouloir lui communiquer les points de vue qui lui seraient utiles. Je vous laisse le soin d'en décider.
    Messieurs Cochrane et Lemieux, merci d'avoir accepté de comparaître. Vous êtes libres de partir.
    Nous avons quelques points à voir avant de lever la séance.
    Je voudrais renseigner les membres du comité sur les témoins à venir pour qu'ils sachent à quoi s'en tenir. Le greffier peut vous donner une idée de ce qui est prévu.
    Merci, monsieur le président.
    La prochaine séance du comité aura lieu le mardi 6 mai. Nous accueillerons la Clinique d'intérêt public et de politique d'Internet du Canada. Nous attendons confirmation, mais ces témoins devraient être accompagnés de représentants de l'Agence des services frontaliers du Canada.
    Le jeudi 8 mai, nous accueillerons un homme qui a occupé de nombreuses fonctions, M. David Flaherty. Il a été le premier commissaire à la protection des renseignements personnels et à l'information de la Colombie-Britannique.
    Le lundi 13, nous avons invité des représentants de la GRC, du SCRS et du CSTC.
    Le jeudi 15, ce sera MM. Paul Comeau et Michael Geist qui, comme vous l'aurez peut-être remarqué, font partie du groupe consultatif du Commissariat à la protection de la vie privée sur la réforme de la Loi sur la protection des renseignements personnels.
    Il y a ensuite la semaine de relâche de mai, après quoi nous avons prévu, pour le mardi 27 mai, la comparution du ministre de la Justice et de ses collaborateurs. Le programme du 29 n'est pas arrêté. Nous avons prévu provisoirement, pour le 3 juin, l'Association du Barreau canadien. Ce jeudi sera peut-être la dernière journée de séance du comité, si la Chambre respecte le calendrier parlementaire.
    Voilà où nous en sommes, monsieur le président.
    Il y a aussi une ou deux provinces — le Nouveau-Brunswick et la Nouvelle-Écosse, je crois — qui ont terminé récemment un examen de leur loi. Elles sont parfaitement au fait. Les représentants d'une des deux provinces pourraient comparaître.
    Il s'agit simplement de vous prévenir. Ces renseignements vous seront communiqués par écrit, mais je voulais que vous sachiez que nous avions fait quelques progrès.
    Monsieur Wallace, vous voulez intervenir?
    Je signale au greffier que notre leader à la Chambre aime nous rappeler que la Chambre siège jusqu'au 20 juin, et non jusqu'au 6. Les cases ombrées sont celles où les heures peuvent être prolongées.
    Je comprends que vous avez beaucoup travaillé pour faire comparaître des témoins, mais je crois que nous aurons amplement de temps pendant les deux dernières semaines.
    Nous avons du temps. La rédaction du rapport prendra aussi...
    Je voulais éviter qu'ils ne se présentent pas après parce que ces cases du calendrier sont en orangé.
    Il conviendrait que la commissaire à la protection de la vie privée comparaisse de nouveau pour nous accorder un peu de temps et conclure l'étude. Nous faisons un peu de travail. Comme vous le savez, le personnel de soutien de la Bibliothèque du Parlement abat une grosse besogne au fur et à mesure que l'étude progresse.
    D'autres interventions des membres du comité?
    La séance est levée.