:
Cher collègues, nous sommes ici pour examiner la question à l'ordre du jour, qui est la réforme de la Loi sur la protection des renseignements personnels.
Nous recevons aujourd'hui quelques témoins, mais avant de commencer leur audition — certains collègues ne sont pas encore arrivés — des questions m'ont été posées au sujet des témoins que nous avons entendus.
Comme vous le savez, au départ, nous voulions consulter la Commissaire à la protection de la vie privée pour savoir ce que nous pourrions faire d'ici l'ajournement d'été. Après nous être rendu compte qu'il nous faudrait trois mois ou plus pour procéder à un examen complet de la Loi sur la protection des renseignements personnels, nous nous sommes dit qu'il vaudrait mieux employer notre temps à chercher un correctif rapide, une solution ponctuelle.
En conséquence, la commissaire nous a fait 10 suggestions — c'était un excellent document — pour nous servir de point de départ. Nous avons remis ce document aux témoins en leur demandant de nous dire ce qu'ils pensent des correctifs rapides suggérés par la commissaire et de nous faire part de toute autre suggestion qu'ils pourraient avoir.
Les autres témoins que nous avons convenu de faire comparaître sont les fonctionnaires du ministère de la Justice, le ministre et les fonctionnaires. Cela occupera toute une séance. Il y a aussi l'Association du Barreau et la commissaire. Cela représente deux séances que nous devons tenir. Pour ce qui est du reste du temps disponible, nous avons six séances en tout. Comme j'en ai déjà parlé à M. Tilson, je pense, il y a quatre autres séances au cours desquelles nous pourrions entendre des témoins. Cela devrait nous amener jusqu'à la fin de l'audition des témoins.
Puis, au cours de l'ajournement de l'été, comme j'en ai discuté avec nos attachés de recherche et le greffier, nous préparerions un résumé des solutions proposées, un résumé des témoignages concernant chacune de ces solutions ainsi que des autres suggestions et arguments. Ce résumé des témoignages nous serait distribué afin qu'à notre retour après l'ajournement d'été nous soyons en mesure de commencer à évaluer ces solutions et à en discuter.
Quand nous avons commencé, la commissaire nous a fourni une liste de témoins qui, au départ, devaient nous aider à réviser la loi dans son ensemble. C'est une liste beaucoup plus longue qui comporte de nombreux noms. La plupart de ces témoins ont déjà comparu devant le comité pour l'examen de la LPRPDE.
Notre attachée de recherche nous a également fourni une liste de témoins, non pas pour la solution rapide, mais plutôt pour l'examen complet. En fait, nous avons déjà entendu certains de ces témoins. M. Hiebert a soumis une liste d'une douzaine d'autres personnes. Je n'en ai pas d'autres à suggérer à part ceux que M. Hiebert a proposés. Je ne pense pas que quatre séances suffiront pour les entendre tous.
C'est très bien d'avoir une liste de possibilités, mais je pense que nous devrions examiner quelles sont les lacunes à combler: le point de vue opposé; les faits nouveaux; les nouvelles contributions et comment parvenir à un juste équilibre, non seulement pour ce qui est des solutions immédiates, mais également pour toute autre suggestion que les gens pourraient avoir à formuler.
Je vais demander à M. Hiebert ou aux conservateurs d'établir l'ordre de priorité si nous voulons consacrer nos quatre séances à l'audition des personnes figurant sur cette liste. Si nous voulons les entendre toutes, nous pourrions constituer des groupes. Cela réduira le temps dont elles disposeront, mais par souci de justice envers les témoins, nous voulons qu'ils disposent de tout le temps voulu pour faire leur travail. Certains témoins nous seront peut-être plus utiles que d'autres.
Voilà ce qui est prévu. Ensuite, à notre retour, nous pourrons examiner l'ensemble des recommandations et des observations des différents témoins. Nous pourrons alors procéder à une évaluation critique pour voir quelles suggestions sont les mieux appropriées et pourquoi, celles qu'il vaut mieux laisser de côté pour le moment ou réserver pour un examen futur et celles qui vont commencer à nous fournir la trame d'un rapport. Voilà ce que j'envisage pour le moment.
Je vais donner la parole à M. Tilson, M. Wallace, puis M. Van Kesteren.
:
Vous avez bien fait le tour des questions qui m'intéressent. Je ne connais pas la liste dont vous parlez et je me demande si le sous-comité ou le comité ne devrait pas l'obtenir. Jusqu'ici, à l'exception du policier, en général, tout le monde était assez d'accord avec les recommandations de la commissaire.
Il doit bien y avoir quelqu'un qui a des opinions divergentes. Quel que soit le sujet, il y a toujours des gens qui ont une opinion contraire. Sans voir toute la liste, je ne sais pas de qui il pourrait s'agir. Le greffier et Mme Holmes pourront peut-être dire ce qu'ils en pensent, mais la possibilité de recevoir des groupes plutôt qu'une personne à la fois m'intéresse. Nous disposons de deux heures dans une journée, ce qui permet de recevoir des groupes pour la totalité des deux heures ou deux groupes différents, selon de qui il s'agit.
Je ferais remarquer que plusieurs témoins qui sont venus ici ne semblaient pas bien préparés. Ils ne semblaient pas savoir pourquoi ils étaient là. Ils n'avaient rien à dire à propos de quoi que ce soit. Ils étaient seulement prêts à répondre à nos questions. C'est très bien, mais normalement les gens ont des observations à formuler. Ils ont examiné les recommandations. C'est simplement est une idée que je lance au greffier pour l'avenir. Je ne sais pas s'ils ont reçu des instructions, mais j'espère qu'à l'avenir les groupes qui viendront nous diront ce sur quoi ils sont d'accord ou pas et nous feront part de leurs propres observations. S'ils avaient quelque chose à nous soumettre par écrit, cela pourrait également nous être utile.
Je dirais donc que certains témoins — pas tous — sont venus sans être suffisamment préparés. Je suis certain que le groupe qui est ici aujourd'hui sera très bien préparé.
Je ne sais pas qui figure sur votre liste, mais j'ai le nom de Ann Cavoukian, la Commissaire à l'information et à la protection de la vie privée de l'Ontario. Je sais qu'elle jouit d'une bonne réputation un peu partout dans le pays. Si elle figure sur votre liste et si elle vient, très bien. Dans le cas contraire, j'espère que nous penserons à elle.
Il y a un groupe dont Mme Lavallée se souviendra peut-être. Je ne me souviens pas de son nom. C'était une guilde de la presse écrite. Quelqu'un s'en souvient-il? Il s'agissait surtout d'un groupe d'information, mais il aurait peut-être quelques idées à exprimer sur la protection des renseignements personnels. Ce groupe représentait la presse écrite d'un peu partout au pays.
Ce sont les seuls noms que j'ai à proposer et ils sont peut-être déjà sur votre liste. Je doute que les gens de la presse y soient, mais j'espère que Mme Cavoukian y figure.
:
Merci, monsieur le président.
C'est moi qui ai suggéré la plupart des noms qui figurent sur la liste que vous a remise notre secrétaire parlementaire. Je ne vois pas d'inconvénient à ce que ces personnes soient entendues en groupe. Je ferai quand même une petite exception. La Commissaire à la protection de la vie privée nous a fourni une liste de correctifs rapides, mais cela fait 25 ans que les parlementaires ne se sont pas penchés sur le sujet. Nous avons pensé qu'il serait plus facile de commencer par ces questions, mais cela ne nous empêche pas de regarder plus en profondeur.
Je me suis dit que la plupart de ces correctifs rapides concernent les organismes gouvernementaux qui ont un lien avec la Loi sur la protection des renseignements personnels et pas nécessairement des tierces parties. Il y a toutefois un certain nombre de tierces parties qui ont des rapports avec le gouvernement et que j'aimerais entendre. Par exemple, j'avais sur ma liste l'Association canadienne des chefs de police; la GRC que nous avons entendue et le Centre canadien de ressources pour les victimes de crimes. Voilà le genre de choses… Je ne sais pas exactement de quels renseignements gouvernementaux ces organismes disposent et si la Loi sur la protection des renseignements personnels influe sur leur capacité à remplir leurs fonctions ou les aide à faire leur travail.
Il y a deux autres domaines qui m'intéressent. Nous avons un secteur bancaire très réglementé au Canada. Si j'y pense, c'est peut-être parce que je siège au comité des finances. Je n'en suis pas certain. Nous pourrions entendre le témoignage de quelqu'un du secteur des banques et de l'assurance — il n'est pas nécessaire d'avoir une réunion pour chacun — pour être sûrs de bien comprendre si ce que nous faisons ici, pour les renseignements personnels, a des répercussions pour ce secteur et pour le secteur privé. Cela pourrait être un groupe de témoins. À moins que nous ne les invitions, nous ne saurons pas s'ils sont prêts à venir ou non. N'est-ce pas? Ils pourraient répondre: « Comme cela ne nous touche pas, nous ne sommes pas intéressés », ce qui serait normal.
J'ai quelques autres suggestions, mais l'autre groupe qui m'intéresse particulièrement est l'Association médicale canadienne en ce qui concerne les dossiers médicaux et tous les renseignements personnels concernant les gens… Les hôpitaux ne font partie ni du secteur privé ni du secteur public. Le domaine médical est un peu… Je ne sais pas exactement comment le formuler.
Voilà les trois domaines qui m'intéressent, monsieur le président. Je n'ai peut-être pas une liste complète à proposer pour ce qui est de nos témoins. D'autres listes nous fourniront peut-être de meilleurs noms, mais le domaine médical, le secteur des banques et des institutions financières ainsi que le domaine du crime et de la criminalité sont les trois domaines que nous devrions envisager, selon moi, avant de prendre une décision.
Bien entendu, nous n'en avons pas débattu en groupe. Nous pouvons être d'accord ou non avec les solutions rapides que la commissaire a recommandées ou nous pourrions estimer que c'est un projet de plus grande envergure que prévu et qu'il nous faut plus de temps pour le mener à bien. Je voulais seulement le dire.
Merci.
:
Merci, monsieur le président.
Le groupe dont je veux parler est celui des gardiens de prison et des services correctionnels.
La plupart des recommandations me semblent valides. Je pense que nous avons eu des bons témoins qui ont bien présenté leurs points de vue. Néanmoins, certains défauts du système actuel m'inquiètent. Bien que nous puissions améliorer la loi — comme M. Flaherty l'a souligné la semaine dernière, il y a certainement des améliorations à apporter — il est également possible de corriger certains défauts. Il semble que ce soit de très graves défauts.
Je voudrais savoir aussi — je ne sais pas si c'est une chose que nous avons étudiée ou sur laquelle nous avons posé suffisamment de questions — s'il y a ou non d'autres défauts dans le système. Il semble toutefois qu'il y ait là un problème évident et qu'il faut faire en sorte que cela n'arrive plus si nous modifions la loi. Je veux savoir, tout d'abord, ce qui se passe. Je veux vraiment aller au fond des choses. Nous pourrions sans doute consacrer entièrement une de nos séances aux services correctionnels.
D'autre part — j'ai mentionné son nom et je ne formule aucune critique contre les témoins — M. Flaherty a été une grande source d'informations. Lorsque nous allons résumer tout cela, j'aimerais bien que nous l'invitions une fois de plus. Je ne sais pas si nous sommes allés jusqu'au bout. Ce jour-là, nous avons siégé jusqu'à 17 h 30 et je pense que la plupart d'entre nous avons été bombardés d'informations pendant deux heures. C'est le jour où vous êtes parti. Il nous a inondés de renseignements pendant deux heures. Je pense que nous étions mentalement épuisés. M. Tilson, qui présidait alors le comité, a dit que nous en avions entendu assez pour le moment, mais je ne suis pas certain que nous ayons entendu tout ce que M. Flaherty avait à nous dire. Son témoignage a été excellent. Ce sont donc les deux témoins que je suggère.
Nous devons certainement approfondir le problème que nous connaissons au sein des services correctionnels.
:
Je suis d'accord. Je voulais simplement des certitudes, car il faut que les choses soient claires.
J'ai pris note de ce que vous avez dit. Cela concerne en partie la LPRPDE plus que la Loi sur la protection des renseignements personnels, mais je crois que cela nous met sur la voie. Nous allons communiquer avec certaines personnes. Je pense que les membres nous ont fait de bonnes suggestions et rien n'empêche le comité d'ajouter d'autres témoins à la liste si nous en avons besoin pour bien faire notre travail. Il n'y a pas de délai ou d'échéance pour ce projet, mais nous voulons que chaque séance soit constructive et augmente nos connaissances. Tel sera donc notre objectif. J'ai pris note de vos suggestions et nous allons faire de notre mieux pour vous présenter des témoins de qualité.
Le ministre de la Justice et ses fonctionnaires viennent la semaine du 27 et ces témoins ne comparaîtront donc pas avant le mois de juin. À notre retour, nous vous informerons des témoins qui sont disponibles et que nous aurons réservés provisoirement, pour être sûrs que cela convient à tout le monde.
Est-ce d'accord? Merveilleux.
[Français]
Monsieur Comeau, je suis désolé.
[Traduction]
Nous allons partager le temps équitablement entre vous-même et le témoin suivant. Je tiens à ce que vous disposiez de tout le temps dont vous avez besoin. Je pensais qu'il était également important que vous entendiez cette discussion, car nous avons déjà reçu des témoins qui avaient tendance à vouloir couvrir toute la Loi sur la protection des renseignements personnels de façon très générale. Nous avons compris, je pense, que nous ne pouvons pas faire un examen complet de la loi. Néanmoins, la commissaire estime que si certaines questions urgentes exigent un correctif, il serait utile d'opter pour une solution ponctuelle ou immédiate jusqu'à ce que nous puissions faire un examen approfondi de la Loi sur la protection des renseignements personnels qui, comme vous le savez, est restée inchangée depuis 25 ans. Bien entendu, il y a beaucoup à faire.
Je n'en suis pas certain, mais avez-vous vu la liste de la commissaire? Vous l'avez vue. Par conséquent, vous en avez une bonne idée.
Vous nous avez également remis le texte de votre déclaration préliminaire. Ne vous sentez pas obligé de le lire en entier si vous ne voulez pas le faire. Si vous voulez simplement en souligner les principaux points, ce sera très bien, mais faites comme vous voulez. Je vous invite donc à faire votre déclaration préliminaire au comité. Néanmoins, la partie la meilleure et la plus productive de la réunion est celle des questions et nous voudrions donc y arriver le plus rapidement possible.
Merci. La parole est à vous.
:
Monsieur le président, mesdames et messieurs les députés, merci de votre invitation. Je suis heureux de me trouver parmi vous. J'ai été, pendant 10 ans, habitué à me retrouver devant les commissions de l'Assemblée nationale. Je ne suis venu qu'une seule fois ici; c'est donc avec une certaine appréhension que je reviens. Je ne lirai pas l'ensemble de mes remarques, mais je voudrais simplement faire un double aveu au départ: je fais partie du comité consultatif de la commissaire à la protection de la vie privée et j'ai également fait, pour le compte de la commissaire, une étude sur les organismes de contrôle au sein de la francophonie. Alors, je voulais éviter toute notion de conflit d'intérêts.
Je voudrais également dire que je ne suis pas un théoricien. Je vais jeter sur votre projet un regard de praticien, le praticien que j'ai été pendant 10 ans, lors de mon mandat à titre de président de la Commission d'accès à l'information du Québec, qui chapeaute à la fois l'accès à l'information et la protection des renseignements personnels.
Il y a trois points sur lesquels je voudrais attirer votre attention. Ces points rejoignent d'ailleurs assez directement les 10 propositions soumises par la commissaire, Mme Stoddart. Le premier, c'est la réaffirmation du fait qu'il s'agit-là, à l'égard de vos travaux, de l'étude d'un droit fondamental, d'un droit qui est réaffirmé de façon constitutionnelle, ou presque, par les députés, la Cour suprême et la doctrine sur le sujet. La conséquence est très claire: il ne peut pas y avoir, à l'égard d'un droit fondamental, deux standards, l'un dans le secteur privé et l'autre dans le secteur public. Les citoyens ont droit au même respect de ce droit fondamental, quel que soit le côté de la clôture où ils se trouvent. C'est pourquoi j'ai une suggestion concrète à faire à ce sujet, qui est celle de tricher avec le modèle classique d'ombudsman et de conférer, dans certains domaines, des pouvoirs de décision, des pouvoirs concrets à la commissaire pour répondre à des besoins et pour s'inscrire dans une tendance universelle à ce sujet. Si vous avez des questions là-dessus, je pourrai y répondre.
Mon deuxième point, c'est le rôle exemplaire que doit jouer l'administration publique en matière de mise en oeuvre et de respect d'un droit fondamental. À mon avis, il est impensable que l'administration publique n'ait pas les mêmes obligations, ne soit pas soumise aux mêmes contraintes que le secteur privé. C'est pourtant le cas actuellement, quand on examine bien les deux lois, soit celle sur le secteur privé et celle sur le secteur public. En ce sens, certaines recommandations de la commissaire me semblent s'inscrire précisément dans ce rééquilibrage entre les deux lois qui régissent un même droit.
Troisièmement, je voudrais aussi vous amener à jeter un regard prospectif ou extérieur au problème qui nous réunit aujourd'hui. De façon très simple, les travaux, les recherches et les pistes de solution en matière de protection de la vie privée se font maintenant massivement en Europe et non plus aux États-Unis. Les États-Unis avaient le lead — pardonnez l'expression — dans ce domaine. Ils ont innové. Ils ont lancé le Privacy Act, qui a servi de modèle partout dans le monde, mais ils sont maintenant en net retard et décalage par rapport à un certain nombre de pays.
Je suggérerais que le gouvernement canadien profite de ses liens avec l'Union européenne pour faire en sorte que la commissaire à la protection de la vie privée soit associée, d'une façon ou de l'autre, aux travaux de ce qu'on appelle dans le language de Bruxelles le groupe de l'article 29, qui réunit tous les commissaires européens dans le domaine et qui est le lieu de recherche, d'innovation et surtout de dialogue avec les États-Unis. Les Européens ont des problèmes face aux États-Unis en ce qui concerne les transactions de renseignements personnels et ils ont structuré un dialogue qui, je pense, pourrait nous être utile et qui n'amènerait pas le Canada à être isolé dans son dialogue avec les États-Unis. Il y aura un Sommet Canada-Union européenne à Québec au mois d'octobre. Je pense que cela pourrait être un objet inscrit à l'ordre du jour: comment associer la commissaire aux travaux de ce groupe? C'est actuellement le groupe fondamental, à l'échelle mondiale, en matière de protection des renseignements personnels, et surtout en matière de prise en considération de l'impact des nouvelles technologies et des inventions qui se déploient un peu partout et qui peuvent constituer des menaces à la vie privée.
Ce sont les trois points que je voudrais soulever. Je pense les avoir bien résumés. De toute façon, mon texte est là, si vous voulez vous en servir.
Je suis prêt à engager le dialogue et à répondre à vos questions, à votre convenance.
:
Merci, monsieur le président.
Bienvenue, monsieur Comeau. Je me réjouis de votre présence ici.
Vous avez mentionné la différence évidente entre le secteur privé et le secteur public en ce qui concerne la protection des renseignements personnels. Ceux d'entre nous qui ont travaillé sur la LPRPDE il y a un an, en sont certainement conscients. Nous comprenons les difficultés que cela pose.
Néanmoins, en ce qui concerne certaines pratiques du secteur public, des témoins, par exemple de la GRC ou du Conseil du Trésor, pensaient que la loi actuelle était satisfaisante. Elle pourrait être remaniée légèrement, mais ils la trouvent satisfaisante dans l'ensemble. Par conséquent, quand je leur ai demandé précisément pourquoi ils s'opposeraient à des modifications législatives à cette loi et si c'était parce qu'ils désiraient pouvoir agir avec plus de latitude, ils ont répondu par l'affirmative.
Je voudrais savoir quelles sont, à votre avis, les raisons pour lesquelles le Conseil du Trésor, la GRC ou d'autres éléments du secteur public ont des objections à ce que la loi soit modifiée. Pourquoi hésitent-ils à l'égard du changement que la commissaire à la protection de la vie privée a recommandé?
:
Vous me permettrez d'utiliser mon expérience antérieure dans le domaine. Je pense que les fonctionnaires, les administrateurs d'État, sont les mêmes partout, quel que soit le type de gouvernement. Il est évident qu'une loi comme celle-ci n'est pas quelque chose de très agréable qui leur facilite la vie. Elle confère des droits aux citoyens uniquement, et elle leur impose des obligations. Déjà, c'est quelque chose de décourageant, surtout lorsque ces droits sont encadrés. Il faut quand même être, à mon point de vue, très réaliste.
Le Secrétariat du Conseil du Trésor a déjà mis au point toute cette technique et ces formulaires de privacy assessment, qui font partie des directives. Je serais très surpris de voir que ces directives sont appliquées uniformément et partout dans l'ensemble de l'appareil gouvernemental. Que le privacy assessment devienne une obligation en vertu de la loi, à mon point de vue, c'est éviter des dérapages et éviter également des erreurs. Quand on lance une réforme administrative, quand on a besoin de renseignements personnels pour administrer ce projet, que fait-on? On va toujours chercher des ingénieurs informaticiens qui ont toutes les bonnes réponses du monde en matière de sécurité mais qui, neuf fois sur dix, n'ont aucune notion de ce que peut être la protection des renseignements personnels. C'est là, au départ, que les problèmes naissent et qu'ensuite, il devient extrêmement difficile de faire des corrections. Lorsqu'on s'est rendu compte qu'il y avait un problème, revenir en arrière est coûteux et extrêmement difficile.
Je vous donnerai l'exemple d'une société québécoise qui, pour remettre son système informatique en accord avec la Loi sur la protection des renseignements personnels, a dû consacrer plus d'argent à la mise à niveau que le prix initial de la construction du système. Vous me direz qu'il s'est passé quelques années.
Dans les guides publiés par le Secrétariat du Conseil du Trésor, c'est extrêmement bien fait. Je ne vois pas pourquoi des organismes comme la Gendarmerie royale du Canada, le SCRS et les autres ne se soumettraient pas à cela. C'est quelque chose de prudent et qui évite des dérapages. Cette directive existe. Que ce soit devenu une loi, c'est, à mon point de vue, de la sagesse.
:
J'offrirai deux éléments de réponse à votre question. Premièrement, et de façon très pratique, lui confier des pouvoirs de décision dans des secteurs très précis permettrait, au contraire, d'éviter de se constituer des
backlogs simplement pour éliminer les demandes frivoles, les demandes répétitives, les demandes inutiles et tout cela. Cela permettrait d'éviter de voir s'accumuler le
backlog en question, j'en suis convaincu. Et c'est le même problème partout.
Il faut aussi se rendre compte que dans les provinces canadiennes, le pouvoir de décision, decision making power, existe et on n'en a jamais abusé. Il constitue un élément de règlement — c'est la deuxième partie de ma réponse — et c'est un élément extrêmement dissuasif. Je vais vous donner un exemple précis.
La Loi sur la protection des renseignements personnels dans le secteur privé au Québec est entrée en vigueur le 1er janvier 1993. Lorsque je suis entré au bureau le 2 janvier, c'était la panique. On avait une communication du vice-président d'une des six grandes banques du Canada. J'étais complètement suffoqué de voir que pendant le temps des Fêtes, le vice-président ait tenté de me joindre — j'étais en Europe —, et c'était simplement parce qu'il avait appris qu'un client allait déposer une plainte en vertu de la nouvelle loi qui entrait en vigueur et il craignait qu'il y ait une utilisation des pouvoirs quasi judiciaires dans ce domaine. Dois-je vous dire qu'en l'espace de deux heures tout a été réglé? Le client était satisfait et il n'y a jamais eu d'audience sur le sujet.
Il y avait un élément dissuasif, c'est l'élément théorique. Les commissaires dans les provinces l'utilisent avec beaucoup de prudence, mais c'est un pouvoir qui évite des dérapages et des dérives. Il permettrait, dans un cas concret, d'empêcher de se constituer des backlogs, ce qui est devenu la caractéristique de beaucoup d'organismes analogues à celui du bureau de la commissaire.
Je vais présenter mon mémoire rapidement. Excusez-moi de ne pas vous l'avoir remis à l'avance, mais je vais me faire un plaisir de vous le remettre maintenant. Je vais simplement lire ce texte rapidement.
Je m'appelle Michael Geist. Comme vous le savez, je suis professeur de droit à l'Université d'Ottawa où je suis titulaire de la Chaire de recherche du Canada sur le droit d'Internet et du commerce électronique. J'ai également une chronique sur le droit et la technologie dans un certain nombre de journaux dont le Toronto Star, le Ottawa Citizen et le Vancouver Sun. J'ai fait partie du groupe de travail canadien sur le pourriel qui a été constitué par le ministre de l'Industrie en 2004. Comme le témoin précédent, je siège actuellement au groupe consultatif d'experts de la commissaire à la protection de la vie privée du Canada. Je suis le rédacteur en chef de la Canadian Privacy Law Review et, le mois dernier, j'ai lancé un site Web baptisé iOptOut.ca, que des dizaines de milliers de Canadiens ont déjà utilisé pour refuser de recevoir les sollicitations du télémarketing indésirable.
Je parle aujourd'hui en mon propre nom. Je dois mentionner que je suis surtout expert en droit de la technologie et d'Internet. Mon intérêt pour la protection de la vie privée porte principalement sur le secteur privé, sur la LPRPDE et son efficacité compte tenu des technologies Internet et émergentes mondialisées. Toutefois, je dois dire que depuis ma nomination au conseil consultatif de la commissaire à la protection de la vie privée, j'ai pu constater l'importance et l'insuffisance de la Loi sur la protection des renseignements personnels. Ces limitations ont été une source constante de discussions entre les commissaires et un grand nombre des membres du groupe de travail.
Comme vous le savez peut-être, je fais beaucoup de recherche et je prends souvent la parole sur les questions reliées au droit d'auteur. Hier soir, j'ai comparu devant le caucus parlementaire sur la propriété intellectuelle où nous avons notamment discuté quant à savoir si la Loi sur le droit d'auteur était périmée comme certains critiques le disent, ou non. Un projet de loi sur le droit d'auteur semble imminent, mais depuis la publication de la toute première série de recommandations sur la réforme de la Loi sur la protection des renseignements personnels, en 1987, les gouvernements canadiens ont adopté deux grands projets de loi modifiant la Loi sur le droit d'auteur et une multitude de petits projets de loi. Par conséquent, si la Loi sur le droit d'auteur est périmée, par comparaison, la Loi sur la protection des renseignements personnels est antédiluvienne.
Je voudrais surtout parler de cinq grands sujets de préoccupation et je vais revenir sur les recommandations de la commissaire à la protection à la vie privée que j'ai trouvées les plus importantes.
Premièrement, il y a la question de la sensibilisation du public et de la capacité d'intervention de la commissaire. Je pense que si l'on n'a pas pu entreprendre une véritable réforme de la Loi sur la protection des renseignements personnels, c'est peut-être parce que le public n'est pas vraiment au courant de la loi et de son importance. Le Commissaire à la protection de la vie privée a joué un rôle important et, je dois le dire, de plus en plus novateur pour essayer de mieux sensibiliser et éduquer le public au sujet de la LPRPDE et des questions plus vastes concernant la protection de la vie privée. Je crois que la Loi sur la protection de la vie privée ne mérite pas moins pour ce qui est du rôle éducatif qui pourrait être joué. De plus, l'idée de prévoir simplement un rapport annuel reflète clairement une époque révolue. L'information nous est diffusée 24 heures sur 24 et toute limitation de la capacité de diffuser l'information, surtout celle qui pourrait toucher la vie privée de millions de Canadiens, tant qu'un rapport annuel n'est pas déposé, doit être révisée afin qu'il soit possible de divulguer l'information en temps opportun.
Je voudrais également parler du renforcement des protections. Comme on vous l'a déjà dit, rares sont les experts qui diraient que la loi actuellement en vigueur pour protéger les renseignements personnels répond aux normes d'une loi moderne. Alors que le gouvernement a un rôle exemplaire à jouer dans ce domaine, en réalité, il fait beaucoup moins que le secteur privé.
Vous avez également entendu parler de plusieurs domaines dans lesquels des réformes s'imposent. J'en aborderai seulement un ou deux. Le premier est le principe de la limitation de la collecte de renseignements, la disposition dont on a parlé concernant la « nécessité ». C'est, je pense, ce qui caractérise les règles s'appliquant au secteur privé pour la protection des renseignements personnels. Le gouvernement ne devrait, lui aussi, recueillir que les renseignements strictement nécessaires pour ses programmes et ses activités. Cela pourrait contribuer à résoudre de nombreux problèmes, le vol d'identité, par exemple, qui a pris davantage d'importance et qui préoccupe de plus en plus le public. Si nous limitions la quantité de renseignements recueillis et diffusés, cela aurait un effet positif sur ce plan.
Je dirais aussi qu'il faudrait envisager une réforme de la Cour fédérale, comme il en a été question, afin que son mandat ne se limite plus aux plaintes concernant le refus de fournir des renseignements et pour lui accorder le pouvoir d'ordonner le paiement de dommages-intérêts, ce qui nous ramène également à la question du pouvoir d'ordonnance.
Je crois que le commissaire devrait avoir ce pouvoir. Elle estime peut-être qu'elle n'en a pas besoin. En ce qui concerne la réforme de la LPRPDE, j'estime que la commissaire a besoin du pouvoir de rendre des ordonnances. Telle est ma position et je pense que le pouvoir d'ordonnance est également approprié même si, pour le moment, la commissaire ne croit pas ce pouvoir nécessaire. Je pense que cela serait utile.
La troisième question concerne la divulgation par un tiers. Dans le « monde plat » d'aujourd'hui, pour employer l'expression de Friedman, comme chacun sait, les données voyagent facilement d'un gouvernement à l'autre. Tant au niveau fédéral que provincial, les gouvernements vont, de plus en plus, se servir de données fournies par un tiers pour souci d'efficacité.
Notre législation sur la protection de la vie privée doit suivre le rythme. Un principe de responsabilisation exige que lorsque le gouvernement collecte des données, il en reste comptable, quel que soit l'endroit où ces données peuvent être envoyées.
De plus, je suis d'accord avec ceux qui ont recommandé d'officialiser les ententes d'échange d'information entre les pays. C'est nécessaire. Il existe peut-être déjà certaines ententes informelles, mais je pense qu'il serait utile d'adopter une approche semblable à celle qui existe dans l'Union européenne, ainsi que des normes, et de rendre cela plus officiel.
La quatrième question que le comité a déjà soulevée, je crois, est l'obligation de divulguer les atteintes à la sécurité. On a déjà pu constater que c'était nécessaire dans le secteur privé. Comme vous le savez bien, on cherche actuellement à régler cette question dans le cadre de la LPRPDE. Je pense qu'il serait utile d'inclure une disposition similaire dans la Loi sur la protection des renseignements personnels. En fait, on pourrait faire valoir que c'est d'autant plus essentiel que cette loi ne contient pas de normes de sécurité rigoureuses.
Enfin, il y a la question de l'évaluation des facteurs relatifs à la vie privée. Bien entendu, la vie privée se manifeste sous de nombreuses formes et elle est touchée par de nombreux éléments de la législation, parfois, là où on s'y attend le moins. Le Commissaire à la protection de la vie privée a comparu régulièrement devant les comités, mais si on demande au commissaire ce qu'il en pense lorsqu'une loi est déjà devant un comité, on risque de faire de la protection de la vie privée un élément secondaire des projets de loi. Je crois plus important de veiller à ce qu'il y ait une évaluation des facteurs relatifs à vie privée avant même qu'un projet de loi ne soit déposé.
Pour revenir à mes préoccupations concernant le droit d'auteur, la commissaire à la protection de la vie privée, ainsi que plusieurs de ses collègues des provinces, se sont déjà prononcés au sujet des effets d'une réforme potentielle du droit d'auteur sur la vie privée. Le dépôt d'un projet de loi est imminent et il ne semble pas qu'on ait tenu compte de ces questions. Je pense qu'il vaudrait mieux régler ce genre de choses en les abordant au départ plutôt qu'ultérieurement.
Je vais m'arrêter là, je pense. Je suis prêt à répondre à vos questions.
:
Pour répondre brièvement — et certains trouveront cette réponse plutôt décourageante — c'est qu'il n'y a aucune garantie absolue. Le fait que nos données personnelles traversent facilement les frontières à tel point qu'elles se retrouvent dans différents pays du monde, souvent sans qu'on le sache, est une réalité de la mondialisation actuelle.
Néanmoins, cela ne veut pas dire qu'il faut faire comme Scott McNealy. C'est l'ancien PDG de Sun Microsystems qui a dit que la vie privée n'existait pas, un point c'est tout. Il y a des gens qui peuvent refuser que ces renseignements soient communiqués, mais dans un certain sens, ils renoncent ou ils sont forcés de renoncer à certains des avantages qu'apporte la mondialisation.
La plupart des Canadiens sont prêts, je pense, à accepter un certain risque. Ils en sont parfois conscients, mais bien souvent ils ne le sont pas. Ils reconnaissent toutefois qu'il y a certains avantages, même à obtenir certains services extérieurs comme ceux dont vous venez de parler. Ils savent que cela crée un certain risque. Mais je pense que cela crée l'obligation, du point de vue de la réglementation, de créer le maximum de garanties pour que nous puissions profiter de ce gain d'efficacité.
La loi ne devient pas inutile dans le scénario que vous venez de décrire. Elle est plus importante que jamais. La Loi sur la protection des renseignements personnels ne peut pas nous garantir de façon absolue que notre vie privée sera protégée, mais il est plus important que jamais qu'elle nous donne au moins l'assurance que ceux qui respectent les règles du jeu sachent qu'ils ont certaines obligations pour se conformer à la loi. Et nous devons veiller à ce que la loi établisse la bonne sorte d'obligations.
:
Je ne le crois pas. Je ne pensais pas que nous allions parler du droit d'auteur, mais je serais heureux de le faire. J'ai eu un long débat avec votre collègue, Gord Brown, au sujet de certaines de ces questions.
Je pense qu'en fait il y a un lien entre le souci de protéger comme il faut les renseignements personnels et les préoccupations au sujet de la direction que pourrait prendre la Loi sur le droit d'auteur. Pour prendre un bon exemple, certaines technologies — pour revenir à la question concernant les différents types de technologies — peuvent servir non seulement à bloquer certains types de contenu, mais également à extraire des renseignements personnels à l'insu de l'intéressé.
Il y a eu le cas de la protection anticopie de Sony dans lequel des centaines de milliers de Canadiens se sont aperçus qu'ils étaient victimes d'une atteinte à la sécurité et ont craint qu'on puisse obtenir des renseignements personnels à leur insu. Le problème vient notamment du fait que pour assurer une protection efficace, vous devez fournir à quelqu'un la possibilité de passer outre à des droits pour pouvoir vraiment protéger ces renseignements personnels.
Par conséquent, lorsque je vous fais valoir qu'il est absolument essentiel d'avoir une culture solide de la protection de la vie privée, tant dans le cadre de la Loi sur la protection des renseignements personnels que dans le cadre de la LPRPDE, c'est en parfait accord avec mes arguments en faveur d'une loi sur le droit d'auteur qui reflète un juste équilibre entre les intérêts des utilisateurs et ceux des créateurs.
Je me ferais un plaisir d'en parler avec vous à une autre occasion.
:
Vous avez mis le doigt sur ce qui constitue sans doute un des plus gros problèmes, sinon le plus gros, auquel sont confrontées les entreprises du secteur privé, les entreprises internationales et notre gouvernement. C'est la question de la sous-traitance, surtout en ce qui concerne les données sensibles. C'est une question particulièrement épineuse dans le contexte gouvernemental quand vous avez recours à la sous-traitance. Lorsque le gouvernement était seul à avoir l'information entre ses mains, sous réserve de dispositions comme la Loi sur la protection des renseignements personnels, la question de savoir ce qui se passe lorsque les données se trouvent en Inde ou ailleurs entre les mains du secteur privé ne se posait tout simplement pas.
Comme vous le savez sans doute, dans le contexte de la Colombie-Britannique, nous parlons de renseignements de la nature la plus délicate qui soit, puisqu'il s'agit de renseignements sur la santé. On a craint très sérieusement qu'avec la sous-traitance — dans ce cas-ci, le gouvernement a eu le choix entre deux organismes établis aux États-Unis — ces renseignements puissent se retrouver tout à coup entre les mains des autorités policières américaines ou d'autres instances. Jusque-là, cela n'aurait tout simplement pas été le cas.
Cela pose un énorme défi. D'une part, il y a le gain d'efficacité qu'apporte la sous-traitance et la valeur que cela représente pour les contribuables dans certaines circonstances. D'autre part, il y a de véritables inquiétudes au sujet du prix à payer, non pas sur le plan financier, mais sur le plan de la protection de la vie privée et des autres questions que cela soulève.
Le gouvernement de la Colombie-Britannique, et maintenant d'autres gouvernements provinciaux, ont essayé d'établir un juste équilibre et se sont demandé s'il fallait établir une loi à cet égard ou au moins renforcer la responsabilisation afin d'assurer une certaine protection dans le cadre d'un contrat. C'est une autre possibilité.
C'est un problème auquel il faut vraiment penser lorsqu'on envisage certaines possibilités de sous-traitance. Cela semble merveilleux sur le papier jusqu'à ce que vous vous rendiez compte qu'il y a un prix à payer quand vous y regardez d'un peu plus près.
:
Merci, monsieur le président.
Je voudrais poursuivre sur le sujet de la sous-traitance. Je ne sais pas si vous avez eu l'occasion d'examiner les recommandations, mais la recommandation 10 pourrait résoudre en partie le problème de la sous-traitance.
Dans la brochure que la commissaire nous a remise, il y a un paragraphe que je trouve stupéfiant. C'est à la page 29:
Cependant, la Loi sur la protection des renseignements personnels ne reflète pas cette augmentation de la communication internationale des renseignements. Elle ne prévoit que deux restrictions à la communication de renseignements personnels aux gouvernements étrangers: une entente ou un arrangement doit exister, et les renseignements personnels doivent être utilisés à des fins d'administration ou d'application d'une loi ou d'exécution d'une enquête. La Loi sur la protection des renseignements personnels n'exige même pas que l'entente soit écrite. Elle n'impose pas aux institutions qui communiquent des renseignements l'obligation d'établir l'utilisation précise pour laquelle les données seront communiquées, de limiter son utilisation subséquente par le gouvernement étranger à cette fin, de limiter la quantité de renseignements personnels communiqués et de restreindre la communication à des tierces parties. De plus, la Loi sur la protection des renseignements personnels n'impose même pas à l'institution du gouvernement canadien elle-même l'obligation de base de sauvegarder de façon appropriée les renseignements personnels.
Je trouve cette déclaration incroyable. La recommandation dit simplement que nous devons renforcer les dispositions régissant la divulgation de renseignements personnels.
Je voudrais savoir comment résoudre ce problème.
J'ai lu un livre dont je ne me souviens pas du titre, mais je pense qu'il s'appelait The World Is Flat écrit par un certain Friedman, qui m'a également fait très peur. Il portait sur les questions dont M. Pearson a parlé.
On commence alors à se demander quels abus le gouvernement pourrait commettre. Il peut y en avoir de toutes sortes. Il peut abuser de la sous-traitance. Nous ne savons même pas ce qui pourrait être fait. Il y a l'impôt sur le revenu. Il y en aurait toute une liste, les abus de la part de la police, les abus sur le plan de la sécurité, les listes de personnes interdites de vol. Les gens commencent à s'inquiéter sérieusement de cette question, parce que tout à coup, lorsqu'ils veulent prendre l'avion, ils s'aperçoivent qu'ils ne peuvent pas le faire.
Par conséquent, en ce qui concerne la recommandation 10 — je ne sais pas si vous l'avez examinée ou non — comment pouvons-nous rassurer le public à ce sujet? Le libellé qui figure sur cette page ou sur deux pages pour la recommandation 10 et qui parle de resserrer les dispositions de la loi, n'a pas de quoi rassurer le Canadien moyen.
Comment allons-nous régler tous ces problèmes?
:
Dans un certain sens, c'est la question qu'on m'a tout de suite posée. Devons-nous accepter que nous n'avons aucune vie privée ou y a-t-il des solutions?
Contrairement à la situation qui était la nôtre lorsque la Loi sur la protection des renseignements personnels a été mise en place, où nos renseignements personnels étaient sans doute bien protégés parce qu'ils étaient dans l'ombre ou en grande partie inaccessibles étant donné qu'ils se trouvaient surtout sur papier, dans le contexte actuel — Friedman en parle dans son livre et je pense que cela saute aux yeux de tout le monde autour de cette table — les données voyagent instantanément autour de la planète.
Il y a l'histoire de la personne avec la carte de crédit en Inde. Récemment, j'étais dans un hôtel de Montréal où je ne pouvais pas avoir accès à Internet. J'ai donc appelé la réception de l'hôtel qui a essayé de m'aider, mais sans résultat. Les employés de la réception m'ont dit qu'ils allaient alors me brancher sur leur service de soutien technique. J'ai passé cinq minutes avec une personne qui regardait littéralement dans mon ordinateur, mon adresse IP et le reste. À la fin, je lui ai demandé si elle voulait bien me dire où elle était. Elle se trouvait à Varsovie, mais elle pouvait regarder dans mon PC, en temps réel, dans un autre pays du monde. C'est donc un environnement qui est très inquiétant à bien des égards, mais en même temps il est certain que cela nous offre beaucoup de possibilités.
Ce que la commissaire recommande et ce que bien des gens disent, je pense, c'est que nous n'allons pas simplement fermer nos systèmes et ne pas profiter de ces technologies, ne pas envoyer de données au-delà de nos frontières. Ce n'est pas possible pour le secteur privé ni pour le secteur public. Cela n'est même pas possible pour ce qui est des échanges de gouvernement à gouvernement. Et si c'est ce qu'on considère comme des correctifs rapides, il n'y a pas de correctif rapide pour ce genre de chose. C'est toutefois un point de départ vers un environnement où il y aura davantage de responsabilisation, plus de transparence au sujet de certaines de ces règles afin que lorsque nous transmettrons ces renseignements ou nous reconnaîtrons que l'information peut être exposée à un risque, dans certaines circonstances, nous prendrons toutes les précautions possibles même si rien ne peut fournir une garantie absolue.
Quand vous dites que ce genre de choses fait peur, cela répond exactement à la question que M. Pearson a soulevée en Colombie-Britannique. Quand on a su que des renseignements sur la santé des gens allaient soudainement se trouver ailleurs et qu'ils seraient assujettis au Patriot Act des États-Unis, dans des circonstances extrêmes, beaucoup de gens se sont dit qu'il valait mieux faire marche arrière pour vérifier si toutes les précautions nécessaires avaient été prises. En Colombie-Britannique, la réponse était que non, ces précautions n'avaient pas été prises et qu'il fallait y remédier. Si les gens se posaient les mêmes questions dans le contexte fédéral, je pense que la réponse serait également non et qu'il est temps d'agir.
:
Merci, monsieur le président.
De toute évidence, mes renseignements personnels n'ont pas été divulgués, car M. Tilson a demandé « Qui c'est? ». Je n'ai donc pas lieu de m'inquiéter. Je suis en sécurité.
Vous avez fait quelques remarques au sujet de la divulgation des atteintes à la sécurité et du fait que les rapports doivent être faits en temps opportun. Je voudrais donner quelques exemples à ce sujet.
Il y a un mois environ, nous avons reçu une lettre d'une entreprise pour laquelle ma femme avait travaillé aux États-Unis. Elle disait qu'un ordinateur contenant beaucoup de renseignements personnels sur un certain nombre d'employés avait été volé. La lettre expliquait dans tous les détails ce qui s'était passé, ce que les dirigeants de l'entreprise avaient pensé quand c'est arrivé et toutes les mesures que nous devions prendre pour nous protéger. Cette nouvelle était assez traumatisante, mais nous avons pu savoir ce qu'il y avait lieu de faire.
Par conséquent, ma question est la suivante. Si ce genre d'incident se produisait dans une grande bureaucratie gouvernementale, d'après votre expérience, combien de temps faudrait-il pour exiger la divulgation d'une atteinte à la sécurité? J'ai l'impression que ce ne serait pas facile.