ETHI Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
CANADA
Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique
|
l |
|
l |
|
TÉMOIGNAGES
Le lundi 11 mai 2009
[Enregistrement électronique]
[Traduction]
La séance est ouverte.
Nous tenons la 20e séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique. Comme de prévoir l'ordre du jour, nous effectuons, conformément au paragraphe 108(2) du Règlement, l'étude de la réforme de la Loi sur la protection des renseignements personnels, plus précisément les correctifs rapides proposés dans un rapport de la commissaire à la protection de la vie privée.
Après avoir entendu un certain nombre de témoins sur la question, nous accueillons aujourd'hui nulle autre que Jennifer Stoddart, commissaire à la protection de la vie privée. Elle est accompagnée de Chantal Bernier, commissaire adjointe à la protection de la vie privée, et Hedy Kirby, conseillère juridique principale intermédiaire.
Nous vous souhaitons la bienvenue à toutes.
Il a été fort intéressant d'entendre nos témoins et de discuter avec vous par le passé. Je crois comprendre que vous avez un exposé à faire concernant les propos que nous avons entendus. Le comité a préparé à huis clos une ébauche de rapport afin de consigner certaines des opinions exprimées par les témoins et d'avoir un aperçu préliminaire de ses conclusions. Maintenant que nous avons fait le tour de la question, nous revenons à la commission elle-même; nous sommes très intéressés d'entendre votre réaction, le cas échéant, aux questions qui ont été soulevées par certains des témoins ou même des membres afin de nous aider à mettre la dernière main à notre rapport.
Sur ce, je vous laisse la parole, madame la commissaire.
Je vous remercie beaucoup, monsieur le président et distingués membres du comité. C'est un plaisir d'être de retour parmi vous pour terminer un voyage que nous faisons ensemble depuis plus d'un an maintenant. Nous discutons de la question depuis un an et demi.
Je vais aujourd'hui mettre en lumière certaines des préoccupations importantes et des raisons pour lesquelles je vous encouragerais à formuler des recommandations pour apporter des modifications substantielles à la loi.
Nos recommandations figurent dans ce dernier document. Vous vous rappellerez qu'il y a environ un an, en avril, je crois, le premier document que nous vous avons remis contenait huit recommandations, qui sont passées à dix le mois suivant. Après avoir entendu des témoins et des débats, nous considérons que ce sont maintenant douze choses importantes qui devraient être modifiées; à notre avis, cela ne devrait toutefois pas changer radicalement les structures de la loi.
Je commencerai en nous rappelant à tous que la Cour suprême du Canada, à qui il revient d'interpréter notre loi sur la protection des renseignements personnels, a affirmé à plusieurs reprises l'importance cruciale de la relation informationnelle entre l'État canadien et ses citoyens.
J'ai eu le plaisir de participer à une journée de formation destinée aux employés gouvernementaux chargés de l'accès à l'information et à la protection des renseignements personnels, qui a eu lieu la semaine dernière à Ottawa. Madame le juge est venue et a donné elle-même un discours sur l'heure du dîner, au cours duquel elle a réaffirmé l'importance du travail effectué par les responsables de l'AIPRP et de l'encadrement de la protection des renseignements personnels.
La Loi sur la protection des renseignements personnels que vous avez sous les yeux aujourd'hui a reçu le statut de loi quasi constitutionnelle en raison des valeurs fondamentales qu'elle vise à protéger. Cependant, comme vous l'avez constaté au cours de la dernière année et demie, cette loi demeure tristement inadéquate pour la protection des droits fondamentaux compte tenu des nouvelles technologies, des nouveaux modes de prestation de services, des nouveaux impératifs et des nouvelles conceptions de la protection de la vie privée.
[Français]
Alors qu'on a progressivement modernisé d'autres lois quasi constitutionnelles, telles la Loi canadienne sur les droits de la personne et la Loi sur les langues officielles, pour y consacrer les valeurs canadiennes, fondamentales et contemporaines, la Loi sur la protection des renseignements personnels est restée pratiquement inchangée depuis son entrée en vigueur en 1983.
Dans le quart de siècle qui s'en est suivi, nous avons remarqué une croissance...
[Traduction]
Nous éprouvons des problèmes avec la traduction du français vers l'anglais. Il y a de la friture.
Nous allons suspendre la séance le temps que le technicien règle le problème.
Bien. Nous reprenons la séance.
Mes chers collègues, un technicien est en route pour nous aider à régler le problème de traduction du français vers l'anglais. La commissaire peut poursuivre son discours, qu'elle donne en anglais. La traduction vers le français fonctionne, et tout le monde pourra entendre l'exposé dans la langue de son choix, que ce soit directement sur le canal un ou sur le canal deux. Une fois l'exposé terminé, à moins que le technicien ait résolu le problème, nous suspendrons de nouveau la séance, car nous passerons alors aux questions et réponses.
Nous laisserons la commissaire terminer son exposé, puis nous verrons où nous en sommes.
D'accord. Monsieur le président, si cela peut vous aider, je pourrais répéter la question dans l'autre langue et répondre dans les deux langues.
Oui. Je suis vraiment désolée. Je vais continuer en anglais.
En attendant une révision complète de la loi, j'ai proposé par le passé que le gouvernement envisage certains correctifs rapides — une sorte de surnom, je suppose — qui pourraient aider à remédier à certaines lacunes importantes de la loi. Toutefois, je continue à penser qu'une Loi sur la protection des renseignements personnels entièrement modernisée renforcerait l'importance cruciale du droit à la vie privée et garantirait que les institutions gouvernementales restent responsables et transparentes en ce qui concerne le traitement des renseignements personnels. Cela permettrait également au commissariat de s'acquitter de son mandat.
J'aimerais poursuivre et parler de l'écart de plus en plus inexplicable entre les normes des secteurs public et privé en matière de protection des renseignements personnels. Je ne laisse pas entendre, pas plus que je ne l'ai fait pendant l'examen de cette loi, que la Loi sur la protection des renseignements personnels modernisée devrait refléter tous les aspects de la Loi sur la protection des renseignements personnels et des documents électroniques. Je crois toutefois qu'il serait logique en 2009 d'harmoniser la Loi sur la protection des renseignements personnels avec certains éléments de la LPRPDE. Par exemple, des modifications telles que l'inclusion des renseignements non consignés dans la définition des renseignements personnels, l'attribution au commissariat d'un mandat clair en matière de sensibilisation du public, ainsi qu'un examen obligatoire par le Parlement tous les cinq ans permettraient une protection plus uniforme du droit à la vie privée.
La proposition qui vise à étendre les motifs de révisions judiciaires permettrait aussi d'assurer l'uniformité en matière de protection de la vie privée. Je tiens à ajouter qu'il n'y a aucune contradiction, selon moi, entre le fait de permettre aux plaignants de demander une audience à un tribunal après une enquête et le fait de m'attribuer le pouvoir discrétionnaire restreint et déterminé de refuser certaines plaintes.
De fait, le ministre de l'Industrie a récemment indiqué comment je pourrais disposer d'un tel pouvoir discrétionnaire. En vertu du projet de loi C-27, qui crée la nouvelle Loi sur la protection du commerce électronique et modifie entre autres la LPRPDE — une mesure législative déposée il y a environ trois semaines —, je pourrais, dans certaines circonstances précises, refuser d'enquêter sur des plaintes ou encore cesser de traiter des plaintes déposées en vertu de la LPRPDE. Par exemple, je pourrais refuser d'enquêter lorsqu'il existe une autre procédure d'examen plus adéquate, mieux adaptée au traitement de la plainte. Je pourrais aussi cesser de traiter une plainte, dans certaines circonstances, par exemple lorsque la question en cause a déjà fait l'objet d'une enquête au commissariat. Le projet de loi C-27 permettrait toujours à des personnes de demander une révision judiciaire, même lorsque mon enquête a été abandonnée, ce qui protégerait leur droit de recours en cour fédérale. Si ces mesures ont été adoptées dans le projet de loi C-17, je vous ferais respectivement remarquer qu'il n'y a aucune raison pour que la même approche ne puisse pas être adoptée en vertu d'une Loi sur la protection des renseignements personnels révisée.
J'ai aussi recommandé qu'on accorde au commissariat une plus grande latitude pour communiquer de l'information d'intérêt public sur les pratiques de gestion des renseignements personnels au sein des institutions gouvernementales. Cela nous permettrait d'afficher sur le site Web du commissariat des renseignements sur les vérifications et sur certaines enquêtes, et ce, en temps opportun, à mesure que les situations se présentent.
Comme je l'ai indiqué il y a un an, les dispositions de la Loi sur la protection des renseignements personnels relatives aux mesures de sécurité sont moins contraignantes que celles de la LPRPDE et l'on devrait envisager d'y inclure l'avis obligatoire en cas d'atteinte à la sécurité des données, comme on l'envisage pour la LPRPDE. Il n'y a aucune raison de ne pas accorder aux Canadiennes et aux Canadiens un certain degré d'uniformité en matière de protection du droit à la vie privée, quelle que soit l'organisation ou l'institution en question. En fait, les principes de responsabilité et de transparence exigent un degré plus élevé de protection des renseignements personnels au sein du gouvernement, surtout lorsqu'on considère la confiance que les citoyens accordent à l'imposant appareil de l'État.
Certains des témoins que vous avez entendus au cours de la dernière année vous ont dit qu'il n'était pas nécessaire de moderniser la Loi sur la protection des renseignements personnels parce qu'il existe des politiques à cet effet. J'aimerais traiter de cette question en particulier.
Plusieurs modifications à la Loi sur la protection des renseignements personnels que nous avons proposées incluent la nécessité d'y inclure des politiques gouvernementales actuelles en la matière. Je félicite le Secrétariat du Conseil du Trésor d'avoir adopté une politique d'évaluation des facteurs relatifs à la vie privée, d'avoir fourni aux ministères une orientation au sujet de l'échange des renseignements avec les États étrangers et de l'impartition du traitement des données personnelles et d'avoir amélioré les exigences de déclarations des ministères en vertu de l'article 72 de la Loi sur la protection des renseignements personnels. Néanmoins, il importe d'encadrer de telles pratiques de la loi pour s'assurer que le gouvernement reste responsable et transparent en ce qui concerne ses pratiques de traitement des renseignements personnels.
Malheureusement, les vérifications, enquêtes et examens effectués par le commissariat ont montré que les institutions ne tiennent pas toujours leurs engagements découlant des politiques gouvernementales et que les normes actuelles fournissent très peu de garanties ou d'information aux Canadiennes et aux Canadiens ou même aux parlementaires, qui cherchent à comprendre les incidences des services et des programmes gouvernementaux sur la protection des renseignements personnels.
Les évaluations des facteurs relatifs à la vie privée permettent d'atténuer les risques en matière de protection des renseignements personnels liés aux programmes gouvernementaux. Par exemple, le commissariat a collaboré avec l'Agence des services frontaliers du Canada pendant le projet pilote du permis de conduire amélioré en Colombie-Britannique. À la suite des préoccupations que nous avons formulées au sujet de la conservation et du contrôle de renseignements portant sur les Canadiennes et Canadiens en voyage aux États-Unis, l'agence a accepté de relocaliser des États-Unis vers le Canada la banque de données contenant les renseignements personnels des voyageurs. Nous obtiendrions plus de succès de ce genre si la nécessité d'effectuer des évaluations des facteurs relatifs à la vie privée était consacrée dans la loi, de telle sorte que les Canadiennes et Canadiens de même que les parlementaires puissent faire part de leurs préoccupations et être assurés qu'on s'occupe des enjeux liés à la protection des renseignements personnels.
Il est certainement plus facile d'ignorer une politique qu'une exigence prescrite par la loi. Dans les faits, certains ministères continuent à recueillir trop de renseignements personnels, alors que la politique du Conseil du Trésor exige que la nécessité soit prouvée. Par exemple, dans le cadre d'une récente vérification d'Élections Canada, nous avons constaté que cet organisme recevait des renseignements personnels sur les jeunes qui n'avaient pas encore atteint l'âge de voter, ce qui n'est évidemment pas nécessaire dans une liste électorale.
Les parlementaires devraient être mieux informés sur la manière dont les ministères et organismes fédéraux gèrent nos renseignements personnels. On ne va pas s'en remettre simplement aux fluctuations des politiques et à la bonne volonté des fonctionnaires.
J'aimerais simplement rappeler aux membres du comité certains événements récents qui laissent entendre que nous avons effectivement besoin de meilleures mesures de protection de la vie privée.
Les leçons de ces dernières années nous montrent qu'il faudra renforcer la protection de la vie privée si on veut qu'elle ait le moindre sens dans le contexte des défis contemporains. Selon un récent sondage EKOS commandé par le commissariat, 60 p. 100 des Canadiennes et Canadiens estiment que leurs renseignements personnels sont moins protégés aujourd'hui qu'il y a 10 ans, alors que de 71 p. 100 d'entre eux accordent beaucoup d'importance au renforcement des lois en la matière. Environ une personne sur sept seulement estime que les autorités canadiennes d'application de la loi et de sécurité nationale respectent les lois sur la protection des renseignements personnels de la population.Selon moi, ces chiffres en disent long sur le profond attachement des Canadiennes et Canadiens à l'égard du droit à la vie privée.
Les récents événements liés aux commissions d'enquête O'Connor et Iacobucci font la lumière sur les pratiques des organismes responsables de l'application de la loi et de la sécurité nationale en ce qui concerne l'échange de renseignements, et montrent la nécessité d'exiger des institutions gouvernementales qu'elles appliquent des normes plus rigoureuses en matière de protection de la vie privée, de traitement de l'information et de protection des données. Étant donné le degré considérable de confiance qui est accordé au gouvernement et à ses institutions en ce qui a trait à l'application de la loi, à la sécurité nationale et à leurs répercussions mondiales, nous avons besoin d'un cadre juridique plus précis en ce qui concerne l'échange de renseignements dans un contexte national.
Pour terminer, en 1982, le Canada a tracé le chemin en devenant l'un des premiers pays à adopter une loi distincte en matière de protection des renseignements personnels applicable à son propre gouvernement. Toutefois, une évolution inévitable a affaibli la Loi sur la protection des renseignements personnels, dans la mesure où celle-ci ne reflète plus notre conception moderne de la protection des renseignements personnels et est mal adaptée aux réalités d'un gouvernement contemporain.
L'examen de la loi par le comité est certainement opportun. Il rejoint une tendance internationale axée sur la modernisation des lois en matière de protection de la vie privée et leur adaptation aux réalités du XXIe siècle. Par exemple, la Law Reform Commission de l'Australie a reconnu qu'il faudra apporter de nombreuses modifications à la loi australienne sur la protection de la vie privée, adoptée il y a 20 ans. Ces modifications sont actuellement envisagées par le gouvernement australien.
Merci encore, monsieur le président, de m'avoir invitée à m'adresser à vous au sujet de cette question. Je serai maintenant heureuse de répondre aux questions des membres du comité.
Je vous remercie beaucoup.
Je crois que nous passerons directement aux questions. Nous commencerons par M. Wrzesnewskyj.
Je demanderais à M. Siksay de bien vouloir occuper le fauteuil. Je viens de recevoir un message et je dois m'occuper de quelque chose. Cela ne prendre que quelques minutes.
Nous pouvons poursuivre avec les questions. Je serai de retour dès que possible.
Je vous remercie, mes chers collègues.
Nous laisserons la parole à M. Wrzesnewskyj pour le premier tour de sept minutes.
Je vous remercie, monsieur le président.
Bienvenue de nouveau parmi nous, madame la commissaire.
Commissaire, est-ce exact que le plus grand nombre de plaintes en matière de renseignements personnels que votre bureau reçoit dans une année concernent la GRC?
Je crois que oui.
Je dois consulter mon dernier rapport annuel. La Gendarmerie royale du Canada se classe au quatrième rang concernant le nombre de plaintes; sur un total de 52 plaintes, trois se sont révélées fondées, deux étaient fondées et ont été résolues, neuf ont été réglées en cours d'enquête et une a été résolue.
Trois étaient fondées et deux étaient fondées et ont été réglées après s'être révélées fondées. C'est simplement une nuance sur le moment de l'entente ou de la résolution...
Maintenant, selon ces statistiques, comment cet organisme se compare-t-il aux autres ministères en ce qui concerne le nombre de plaintes fondées et réglées, etc.?
D'accord. Nous pourrions vous donner l'information. Je peux dire que la GRC fait invariablement l'objet de nombreuses plaintes, ce que je peux comprendre, compte tenu de ses activités.
Je dégage une corrélation intéressante. La GRC semble faire partie des organismes qui suscitent le plus grand nombre de plaintes, tout en étant celui qui oppose le plus de résistance aux recommandations, étant presque intransigeant dans certains cas lorsqu'il s'agit d'accepter d'apporter les changements nécessaires.
Je suppose que l'organisme a essayé de rassurer le comité. Il a utilisé le terme — qui figure entre guillemets, en fait — « approche fondée sur des principes » concernant certaines des préoccupations relatives à la communication de renseignements, particulièrement à d'autres gouvernements et organismes d'application de la loi étrangers. J'avoue trouver curieux que l'organisme même qui fait apparemment l'objet du plus grand nombre de plaintes ne semble pas favorable aux changements visant de protéger la vie privée des citoyens, un droit pourtant quasi constitutionnel.
Regardons ce qu'il en est de la communication de renseignements à les gouvernements étrangers. L'organisme a indiqué que chaque année, il répond à 4 000 demandes de renseignements d'Interpol et à 3 000 demandes d'information d'autres gouvernements étrangers, ce qui totalise environ 7 000 demandes.
Pour ce qui est des 3 000 demandes parvenant de divers endroits dans le monde, avons-nous une idée, si nous faisons la ventilation, des pays avec qui nous échangeons des renseignements? Je suppose que la plupart des demandes viennent des États-Unis. Est-ce que des pays qui non démocratiques ou n'assurant pas la même protection que nous relativement aux droits de la personne ou même aux renseignements personnels figurent dans la liste des 3 000 demandes par année?
Je supposerais que oui, mais cette croyance ne s'appuie pas sur une connaissance directe ou institutionnelle. Cela vient plus du fait que la commissaire adjointe et moi-même avons comparu jeudi dernier devant le Comité de la sécurité publique, en compagnie de l'ancien conseiller ayant fait partie de la commission d'enquête O'Connor, et nous avons entendu dire que la communication de renseignements personnels de Canadiens à des pays étrangers dont les pratiques en matière des droits de la personne ne sont pas satisfaisantes aurait été l'un des faits saillants de cette enquête.
Il faut dire que le monde est très différent maintenant. Nous disposons de données biométriques, de la capacité de partager des informations génétiques, des GPS et de la vidéosurveillance et de la micro-surveillance en temps réel. Mais il ne semble pas y avoir de protection de ces renseignements extrêmement personnels, même ici.
Il semble de plus qu'il n'y a pas de mesure de sécurité en place concernant la communication de ces renseignements, exception faite de cet énoncé de la GRC. L'organisme n'est pas disposé à mettre en œuvre des règles pour garantir la sécurité des renseignements, et nous sommes supposés de croire qu'une « approche fondée sur les principes » suffit. Croyez-vous que ce soit le cas?
Non. Je n'approuve pas cette approche, pas seulement ici, mais également au sein du Comité de la sécurité publique, devant lequel nous avons comparu la semaine dernière. Cela concerne au moins deux de nos recommandations. L'une d'elles consiste à éliminer le mot « consigné » pour ne conserver que « renseignements », ce qui constitue la norme dans la LPRPDE. La protection des renseignements personnels s'appliquerait ainsi des informations comme des données génétiques ou des locations GPS, qu'elles soient ou non consignées. Une autre recommandation, qui concerne une mesure que nous jugeons maintenant nécessaire et pas tellement difficile à mettre en oeuvre, est d'implanter ce que l'on appelle dans notre jargon un « cadre de gestion des renseignements personnels » assorti de normes.
Sur quelles normes la GRC s'appuie-t-elle pour communiquer des renseignements à l'étranger? À quelles conditions le fait-elle? Combien de temps l'information sera conservée? Nous avons proposé un test de nécessité — je crois que cela rejoint les recommandations que nous avons faites à l'autre comité — et une sorte de surveillance publique. La GRC est maintenant le seul organisme qui n'est pas soumis à un important mécanisme de surveillance. Et je crois que cela pourra expliquer le manque de compréhension et d'empathie que certaines de nos propositions ont recueilli, parce qu'elles pourraient avoir pour conséquences de soumettre la GRC à un mécanisme ou un comité de surveillance.
Je vous remercie, monsieur Wrzesnewskyj. Votre temps est écoulé.
[Français]
Madame Thi Lac, la parole est à vous. Vous disposez de sept minutes.
Bonjour, madame la commissaire.
J'ai trois petites questions. Lors de votre présentation, vous avez mentionné que vous considérez qu'il n'y a pas de contradiction entre le fait que les plaignants... Vous refusez de faire enquête, car votre pouvoir discrétionnaire vous permet de ne pas faire enquête, et les plaignants pourraient s'adresser directement à la Cour fédérale si votre bureau refusait d'enquêter. Toutefois, ce droit de recours pour les personnes qui en font la demande ne sera pas sans coût.
Oui, c'est une autre question. Il y a des coûts lorsqu'on s'adresse à la Cour fédérale. Il y a des coûts, et cette cour n'est accessible que dans quelques grandes villes canadiennes et non pas dans toutes les communautés. Toutefois, cela n'est pas du ressort de la Loi sur la protection des renseignements personnels, alors je n'ai pas fait de commentaires sur ce sujet.
Ne risquons-nous pas de créer une certaine dichotomie? Certaines personnes se verraient refuser le traitement de leur plainte, et elles devraient débourser des frais pour obtenir, par le biais de la cour, des informations qui, si vous enquêtiez, ne seraient pas à la charge du plaignant?
Nous courons ce danger, mais le problème actuel est, à mon avis, l'absence de pouvoir discrétionnaire. Notre bureau doit se concentrer sur les plaintes où il peut véritablement avoir un impact, où il peut faire du bien et éliminer les plaintes qui ne constituent pas vraiment des questions de renseignements personnels, mais plutôt d'autres problèmes déguisés en plaintes.
Je pense donc qu'en un sens, nous desservons mal les gens qui ont de vrais problèmes, à l'heure actuelle, puisque nous sommes obligés de toucher à un vaste éventail de problèmes. Je pense que les Canadiens, comme groupe, seraient mieux servis si nous pouvions utiliser une approche un peu plus sélective et miser sur les nouveaux problèmes auxquels nous cherchons un remède. Cependant, puisque tout organisme gouvernemental peut faire des erreurs, en toute justice, nous avons dit que si nous refusons de nous occuper d'une plainte, nous recommandons que les gens s'adressent à la Cour fédérale, au cas où on aurait erré. Ils pourraient réclamer justice, mais cela devrait être un minimum. Il s'agit de cas où nous voyons qu'il n'y a rien à faire et que nous pouvons écarter.
Vous avez également dit que les vérifications d'enquêtes et d'examens effectuées par votre commissariat ont démontré que des institutions ne respectent pas toujours les engagements découlant des politiques gouvernementales et des normes actuelles.
En début d'exposé, vous avez parlé de mesures de changement qui pourraient être adoptées rapidement. Par contre, vous ne les avez pas énumérées. J'aimerais que vous énumériez les mesures de changement qui pourraient être adoptées rapidement. Pouvez-vous nous dire comment faire pour que les institutions respectent leurs engagements relativement à vos attentes?
Je crois qu'il faut surtout s'intéresser aux recommandations 8 et 12 de la liste. Cela permettrait de rehausser le statut de ce qui, présentement, ne sont que des directives du Conseil du Trésor. En effet, au sein de l'appareil d'État, on prête une importance beaucoup plus grande à ce qui est inscrit dans la loi qu'à ce qui est contenu dans une directive, qui est parfois appliquée de façon aléatoire. Par exemple, les évaluations des effets sur la vie privée ne sont pas toujours là. On recommande que vous intégriez cela à une loi modifiée, afin que ces dispositions reçoivent l'attention qu'elles méritent.
Plus tôt, mon collègue vous a posé une question au sujet des pays qui ne respectent pas les droits de l'homme et qui pourraient faire une demande, des pays avec lesquels on ne voudrait peut-être pas partager de l'information.
Comment s'assurer que ces informations sont réellement protégées face aux demandeurs? Est-ce grâce à votre pouvoir discrétionnaire? Comment détecter ces demandes et comment est-on en mesure de les traiter actuellement?
Il faut plutôt renforcer, dans la loi actuelle, l'obligation qu'ont les ministères et les agences — on a parlé de la GRC, tout à l'heure — d'être plus soigneux, plus rigoureux, en mettant cela par écrit. Cela n'a pas besoin d'être public, si c'est une question de sécurité nationale. Quels sont les renseignements qui seront partagés avec tel pays, à telle fin et qu'est-ce qui sera fait avec ces renseignements? Il faudrait faire une liste exhaustive des pays et des organismes avec lesquels on échange les renseignements personnels. Éventuellement, si le gouvernement met sur pied un organisme de surveillance, cet organisme pourrait voir à ce que la GRC respecte ces ententes ou ces listes d'échange, ces mémorandums.
[Traduction]
M. Dreeshen a la parole pour sept minutes. Espérons que nous pourrons revenir ensuite à mon intervention si M. Szabo est de retour.
Je vous remercie beaucoup, monsieur le président.
Madame Stoddart, je veux vous souhaiter de nouveau la bienvenue parmi nous afin de discuter de la réforme des lois sur la protection des renseignements personnels et l'éthique. Je vous remercie personnellement du leadership dont vous faites constamment preuve à une époque où le public se préoccupe de plus en plus des questions de sécurité des renseignements personnels. Vous avez évoqué les nouvelles technologies, les nouveaux modes de prestation de services et l'autoroute de l'information, toutes des questions importantes à nos yeux.
En votre qualité de commissaire, vous avez conclu qu'on aurait avantage à harmoniser la Loi sur la protection des renseignements personnels et la LPRPDE. D'autres réformes semblent s'inspirer des approches provinciales en matière de loi sur l'accès à l'information et la protection des renseignements personnels. Ces facteurs, qu'ils concernent la Loi sur la protection des renseignements personnels ou la LPRPDE, ou la question des champs de compétences provinciales ou fédérales, devraient selon moi être pris en compte lorsque nous envisageons ces réformes de la Loi sur la protection des renseignements personnels. Je vous demanderais de bien vouloir garder ces points en tête et d'en parler lorsque vous répondrez à nos questions.
Votre première recommandation concerne l'instauration d'un test de nécessité pour les institutions gouvernementales qui recueillent des renseignements personnels afin de les obliger à démontrer la nécessité de recueillir ces renseignements. L'article 4 de la Loi sur la protection des renseignements personnels ne prévoit-il pas déjà un tel test concernant la collecte de renseignements personnels?
Je crois que le test actuel prévoit simplement l'utilisation conforme de l'information une fois qu'elle a été recueillie. Il est, selon moi, très important que la Loi sur la protection des renseignements personnels reflète non seulement la LPRPDE, mais également une bonne partie des lois provinciales et prévoit un test. On ne peut pas tout simplement recueillir n'importe quel renseignement, puis affirmer qu'on est en droit de le faire. Il n'y a qu'une restriction: l'information doit être utilisée de manière conforme.
Il existe un test initial: on doit recueillir l'information pour un motif ou une nécessité quelconque. De façon générale, les provinces parlent de nécessité ou de mesures spécifiques pour l'application de la loi. Je ne parlerais par d'exemption, mais d'admission du rôle particulier des forces de sécurité publique comme la police ou de mesures législatives, que la législature a adoptées pour indiquer que le gouvernement recueillera de l'information à une fin prescrite. La Loi sur la protection des renseignements personnels ne comprend pas de pareille disposition; pour ce qui est de la LPRPDE, il existe certains renseignements qu'une personne raisonnable pourrait considérer justifiés dans certaines circonstances ou à certaines fins. J'observe donc une différence notable entre les lois provinciales et la LPRPDE et le laxisme général de la Loi sur la protection des renseignements personnels.
Ne vaudrait-il pas mieux modifier les politiques plutôt que les lois afin de permettre une certaine marge de manoeuvre, comme le ministre l'a recommandé l'an dernier?
Je reviendrai à mes remarques sur les politiques. Après avoir observé la situation pendant 25 ans, nous considérons que la série de rapports annuels que moi et mes prédécesseurs avons préparés montre que ce qui est simplement inscrit dans les politiques n'est pas pris avec suffisamment de sérieux. Peut-être qu'en 1987, par exemple, les conséquences n'étaient pas les mêmes qu'aujourd'hui, mais nous croyons qu'il est maintenant temps de les consacrer dans une loi. De plus, la Loi sur la protection des renseignements personnels comprend de nombreuses exemptions. Je crois qu'il faudrait également les soumettre à un test de nécessité.
Le ministre a parlé d'un conflit potentiel entre les recommandations numéro deux et six. D'un côté, vous élargissez les possibilités de recours aux tribunaux, mais de l'autre, vous vous conférez un plus grand pouvoir discrétionnaire de refuser ou d'abandonner une plainte. Ce faisant, on multiplie les motifs d'appel devant les tribunaux. En notre qualité de gardiens du trésor public, nous nous préoccupons de ces deux recommandations, qui non seulement sont conflictuelles, mais, si elles sont mises en oeuvre, pourraient imposer aux tribunaux un fardeau indu et des frais découlant de ces appels. Je me demandais si vous pourriez commenter.
Oui. Je vous suggérerais peut-être d'examiner l'expérience du commissariat aux termes de la LPRPDE, qui nous accorde un peu plus de pouvoirs afin d'agir plus sommairement que nous ne le pouvons en vertu de la Loi sur la protection des renseignements personnels, ainsi que la relation entre ces pouvoirs et le nombre de plaintes déposées en Cour fédérale. Il y en a très peu. De mémoire, il y a devant ce tribunal peut-être cinq ou six plaintes où nous ne sommes pas intervenus. Les plaignants ont poursuivi leurs démarches jusqu'en Cour fédérale. Ces dernières années — et j'espère ne pas me tromper — je crois que presque toutes ces personnes ont perdu ou ont abandonné leur cause, le tribunal l'ayant jugée sans fondement. Je ne crois pas que ce soit un gros fardeau pour le trésor public. De ces six cas, disons qu'il y en a trois où nous intervenons. La plupart de ces gens agissent seul, ce qui n'entraîne aucun frais pour le commissariat.
Si on revient aux propos de M. Wrzesnewskyj, vous parliez de la GRC et du nombre de plaintes qu'elle suscite. Bien sûr, nous nous attardons aux cinq principaux cas. Je suppose que les plaintes de ces personnes étaient légitimes. Essentiellement, vous dites que votre ministère considère que plus de 90 p. 100 des plaintes ne sont pas fondées. Vu de cet angle, se pourrait-il que la GRC considère qu'une majorité des plaintes qui la concernent ne sont pas des cas majeurs?
Si j'examine les 52 plaintes, je constate que seulement trois étaient fondées, deux étaient fondées et ont été réglées, toutes les autres étant résolues, réglées, non fondées ou abandonnées.
Je suppose que je me demande si le tableau est si sombre, considérant qu'il ne s'agit que de cinq cas sur 52. Je ne prétends pas qu'il n'y a pas de problème, mais il ne fait aucun doute que parfois, tout est une question de perception du degré d'inquiétude que le problème suscite.
Oui, mais si je puis me permettre, l'expérience nous a montré que la perspective d'aller en Cour fédérale pousse habituellement les deux parties à chercher à s'entendre.
S'il me reste suffisamment de temps, je poserais une autre question. Que seraient, selon vous, les répercussions financières de la recommandation numéro trois, qui n'a pu être mise en oeuvre par des modifications de politique, mais bien par une évaluation des facteurs relatifs à la vie privée? Je crois que vous avez parlé de la question plus tôt.
C'est une question intéressante, car selon les directives, il doit y avoir une évaluation des facteurs relatifs à la vie privée pour chaque programme. Donc, théoriquement, les ministères ont les fonds nécessaires. Je crois donc qu'il n'y a pas matière à s'inquiéter.
Les ministères sont supposés suivre les directives pour obtenir de nouvelles affectations, comme le prévoit maintenant la loi. Nous avons simplement dit que d'une certaine manière, ces directives ne sont pas respectées, mais que les ministères devraient disposer des fonds pour se conformer. Je crois donc que la mise en oeuvre de la recommandation no 3 n'entraînerait pas de frais.
Les organismes provinciaux ne seraient pas touchés, seulement les organismes fédéraux. Ces derniers sont supposés se conformer. Je fais simplement remarquer que ce n'est pas le cas. C'est pourquoi je voudrais que la mesure soit prévue dans la loi. Mais je crois comprendre que les organismes ont déjà obtenu des ressources à cette fin, parce que c'est une directive qu'ils sont supposés suivre.
L'évaluation des facteurs relatifs à la vie privée serait certainement utile aux législateurs également en leur permettant de comprendre les répercussions des changements de politiques.
Monsieur Siksay, vous avez la parole. Et je vous remercie d'avoir assuré la présidence.
Merci, monsieur le président.
Je vous remercie, madame la commissaire, d'être revenue témoigner avec vos collègues.
Je remarque que vous avez ajouté deux nouvelles recommandations cette fois-ci. Nous allons bien finir par nous retrouver avec 14 ou même 16 recommandations. J'espère que nous n'en arriverons pas là et réussirons à adopter certaines de celles que nous examinons aujourd'hui.
Je me demande si vous pourriez nous en dire un peu plus sur les nouvelles recommandations, soit la onzième et la douzième. Je crois que nous avons entendu parler de la recommandation no 11 dans le contexte du devoir de protéger et je me demande si vous pourriez nous en dire un peu plus à ce sujet. En ce qui concerne la recommandation no 12, certains témoins nous ont dit qu'il s'agissait du devoir de publier des avis. Pourriez-vous nous en dire un peu plus sur ces deux recommandations?
Oui. Toutes deux ont un lien avec ce que je disais précédemment à votre collègue: c'est qu'en fait, ce sont des politiques. De toute évidence, le gouvernement du Canada a instauré une politique en matière de sécurité, et le Conseil du Trésor a imposé des lignes directrices sur la publication d'avis en cas d'atteinte à la protection des données. Ici encore, nous n'entendons pas souvent parler de problèmes concernant la perte ou l'utilisation abusive de données au sein du secteur public, mais nous savons qu'il y a certains problèmes. Nous l'apprenons souvent par l'entremise des médias, parfois du gouvernement lui-même. Mais ici encore, c'est une question d'effet, comme je vous l'expliquais au sujet des recours intentés devant la Cour fédérale. Si la loi prévoit des dispositions selon lesquelles il faut aviser le ministre responsable de la protection de la vie privée en cas d'atteinte à la protection des données, j'espère que ces affaires seront prises plus sérieusement et qu'il sera moins question de vols d'ordinateurs portables contenant des renseignements personnels sur les citoyens, qui sont trouvés sous les ponts, dont nous avons fait état il y a quelques années.
Nous avons également entendu parler de la recommandation visant à investir le commissariat du pouvoir de rendre des ordonnances. Je sais que vous n'avez pas avalisé cette recommandation, mais je crois que vous approfondissez la question. Pourriez-vous nous en dire un peu plus à ce sujet?
Oui. Vous remarquerez que je n'ai pas demandé qu'on me confère le pouvoir de rendre des ordonnances, car ce serait un processus trop laborieux. Il faudrait en effet revoir toute la structure de mon bureau. En fait, j'ai demandé à des universitaires d'examiner les éléments qui ont peut-être été négligés lorsque la LPRPDE a été introduite. Beaucoup estiment aujourd'hui que nous devrions détenir le pouvoir de rendre des ordonnances; le commissaire à l'information a d'ailleurs indiqué qu'il devrait lui-même être investi d'un pouvoir limité de rendre des ordonnances. C'est pourquoi j'ai commandé une étude à ce sujet qui devrait paraître cette année. Mais encore là, aucune directive n'aborde la question. Dans les faits, la plupart de ces mesures sont déjà appliquées ou elles nous ont été recommandées, notamment dans le cadre de la Commission O'Connor. Les recommandations en question ne révolutionneront pas complètement nos pratiques actuelles.
Il n'existe donc pas de solution rapide, mais il vaut tout de même la peine d'examiner la question de plus près?
Pourriez-vous nous expliquer en quoi consiste encore la cinquième recommandation? Je m'interroge à propos de ce que vous réclamez. Pouvez-vous nous dire quels sont les pouvoirs que vous détenez actuellement en matière de présentation de rapports? Qu'est-ce que cette simple solution viendrait changer?
Vous dites que les dispositions actuelles permettent le dépôt de rapports annuels et spéciaux. Est-ce que le but de cette recommandation est de vous donner le pouvoir de faire rapport plus souvent, un peu comme la vérificatrice générale, qui a toute la latitude voulue pour déposer des rapports dès que c'est nécessaire? Est-ce bien ce que vous réclamez, pour ne pas avoir à attendre à la fin de l'année? Pouvez-vous nous dire précisément ce que vous souhaitez obtenir?
Vous avez bien compris. Nous voulons avoir la souplesse nécessaire pour suivre les médias modernes.
Hedy Kirkby pourrait vous expliquer les problèmes que pose la Loi sur la protection des renseignements personnels dans sa forme actuelle.
Mentionnons d'abord qu'une disposition spéciale de la LPRPDE, une loi qui s'applique au secteur privé, permet à la commissaire de publier, à sa discrétion, de l'information sur les pratiques de gestion des renseignements personnels appliquées par des organisations du secteur privé. Si la commissaire juge qu'une affaire doit être portée à l'attention du public, elle peut le faire. Le nom du plaignant n'est jamais dévoilé, mais celui de l'organisation visée est rendu public.
Il serait indiqué d'inclure une disposition de ce genre dans la Loi sur la protection des renseignements personnels, car les dispositions actuelles ne prévoient que le dépôt de rapports annuels et spéciaux au Parlement. Juridiquement parlant, il n'est pas clair dans quelle mesure la commissaire a le pouvoir de rendre publiques les conclusions d'une enquête dans laquelle, par exemple, l'institution gouvernementale serait identifiée.
En ce moment, il est possible de faire un rapport annuel, ainsi que des rapports spéciaux. En quoi consiste un rapport spécial? Comment se présenterait un rapport spécial en vertu du régime actuel?
Nous avons récemment publié un rapport spécial à la suite de la vérification des fichiers inconsultables de la GRC. Je crois qu'un rapport spécial a aussi été déposé tout récemment en regard à une vérification menée conjointement avec la vérificatrice générale. Nous avons cru bon informer la population canadienne rapidement des enjeux importants dont il était question dans ces deux rapports.
Les rapports spéciaux sont de volumineux documents produits à l'intention du Parlement. Ils sont déposés devant le Parlement, tout comme les rapports annuels. Nous envisageons de présenter périodiquement des rapports sous forme de résumés, donc moins longs, sur des développements intéressants et des décisions prises par notre bureau.
Ils s'adresseraient à la population canadienne et seraient affichés sur notre site Web. C'est ainsi que nous fonctionnons actuellement pour la loi régissant le secteur privé. Nous publions simplement un résumé du dossier.
Merci.
J'aimerais poursuivre dans la même veine. Les membres du comité craignaient qu'on ne contourne ainsi l'autorité du Parlement. Nous savons que vous avez la responsabilité de faire rapport directement au Parlement avant de rendre une information publique. Est-ce que l'identité des personnes visées est gardée confidentielle? Dévoilons-nous des renseignements qui pourraient être un peu trop précis, ou encore s'agit-il de données génériques ou de développements généraux relatifs à l'examen d'un dossier?
Nous n'avons certainement pas l'intention d'agir à l'insu du Parlement. Nous voulons simplement adapter le libellé de la Loi sur la protection des renseignements personnels de 1983 à la façon dont le public est habitué à recevoir de l'information en 2009-2010. Comment pouvez-vous faire passer un message aux Canadiens, particulièrement aux jeunes générations, si votre principal moyen de communication est un rapport annuel? Compte tenu du temps nécessaire pour produire un rapport, la population est informée un an et demi après la tenue des événements.
Nous aimerions bénéficier de plus de souplesse. Nous pourrions par exemple rendre compte au Parlement à intervalles plus réguliers. Nous pourrions afficher des renseignements rendus anonymes sur notre site Web, ce que nous faisons déjà d'ailleurs. Il y a aussi la possibilité de rendre publiques certaines de nos vérifications, afin que les Canadiens sachent à quoi s'en tenir et que le traitement des renseignements personnels au gouvernement soit plus transparent. Nous voulons en gros reproduire ce qui se fait déjà dans le cadre de la LPRDPE.
Il suffit de jeter un coup d'oeil aux pratiques actuelles de la vérificatrice générale. Elle peut faire rapport au Parlement aussi souvent qu'elle le désire, mais elle doit aussi participer, comme vous le faites, à des conférences, à des allocutions, à des visites et à des entrevues sur demande, je présume.
Est-ce que les mesures que vous proposez ont pour but de divulguer davantage d'information que le ferait la vérificatrice générale?
Non, nous ne voulons absolument pas mettre en péril la protection des renseignements personnels, ni notre relation avec le Parlement.
En ayant la possibilité de faire rapport au Parlement à notre guise, si nous jugions bon de le mettre au courant d'une vérification en particulier, par exemple, nous pourrions faire les choses beaucoup plus rapidement et déposer le document en question sans délai, plutôt que de prendre 18 mois pour produire un rapport spécial. Il faut que ce soit une très importante vérification pour mériter un rapport spécial. Nous avons besoin d'un juste milieu.
Merci, monsieur le président, et merci, madame Stoddart, de témoigner de nouveau devant le comité. Ce fut très instructif.
J'aimerais en savoir plus sur la recommandation quatre, qui consiste à confier à votre bureau un mandat clair en matière de sensibilisation du public. Cette recommandation a d'ailleurs été appuyée par différents témoins. Elle n'a toutefois pas l'appui du ministre de la Justice, ni de son ministère. Il a invoqué comme argument que ce pouvoir était implicite dans le cadre de la loi actuelle.
J'examine la formulation. Vous voulez avoir un mandat clair, alors qu'il parle d'un mandat implicite. Comment pensez-vous que l'on pourrait clarifier ce mandat et voir à ce qu'il soit garanti par la loi?
Il est intéressant que vous citiez le ministre de la Justice, qui a affirmé que ce pouvoir était déjà implicite, parce que mon équipe a en fait noté que le ministre avait utilisé cette recommandation pour démontrer que certains des changements que nous proposons sont plausibles. Je ne sais pas quoi en penser. Je crois qu'il est venu témoigner devant vous plusieurs fois. Je n'interprète pas cette citation de la même façon que vous.
J'ai consulté le résumé qui nous a été soumis. Certains témoins ont appuyé vos solutions, et d'autres se sont objectés à votre recommandation ou ne l'ont pas appuyée. C'est étrange.
Oui, nous arrivons à une conclusion légèrement différente, mais je vais répondre à votre question.
La Loi sur la protection des renseignements personnels ne prévoit pas précisément le mandat d'informer le public, contrairement à la LPRPDE, une loi beaucoup plus moderne. Par conséquent, je ne crois pas nous ayons les ressources nécessaires pour mener une campagne de sensibilisation afin d'informer les Canadiens de leurs droits en matière de protection des renseignements personnels qu'ils fournissent au gouvernement.
Par exemple, aucune ressource n'est spécialement allouée à la recherche sur les enjeux nationaux en matière de sécurité et de protection des renseignements personnels. À l'opposé, la LPRPDE nous permet de le faire, car elle prévoit des programmes de contributions particuliers. J'accorde des subventions chaque année pour permettre à des gens de faire des recherches sur les répercussions de la LPRPDE sur la protection des renseignements personnels de la population. Je crois que c'est un aspect qui serait très utile à l'élaboration de politiques publiques.
Nous serions ainsi en bien meilleure position pour défendre le grand public.
Excellent.
M. Siksay a noté que vous aviez proposé deux nouvelles mesures immédiates. En avez-vous d'autres à nous recommander? Nous avons beaucoup entendu parler dernièrement de Google Street View. Ce logiciel semble susciter beaucoup d'inquiétude. D'après ce que j'ai lu dans les journaux, il me semble que votre bureau a surtout des réserves à l'égard du stockage des images.
J'ai été satisfaite de constater à la lecture de votre rapport que vous vous préoccupiez énormément du stockage des données, qui pourrait avoir des répercussions sur la protection de la vie privée des citoyens. Est-ce que ces solutions immédiates, si nous les adoptions toutes, permettraient de s'assurer de la conformité de choses comme Street View, ou faudrait-il appliquer des mesures particulières? C'est un projet qui semble beaucoup inquiéter la population, et que vous prenez également très au sérieux, si j'en crois ce qui a été rapporté dans les journaux.
Ces changements ne toucheraient pas la question de Google Street View, car celle-ci est couverte par l'autre loi, alors c'est elle que nous appliquons dans ce cas-ci. Permettez-moi de vous dire que c'est tout un défi. Le défi ne réside pas dans l'exécution de la loi elle-même, mais dans la nouveauté de la collecte d'information que propose Street View. Je pense que vous tiendrez d'ailleurs des audiences à ce sujet.
Je vous assure que nous aurions d'autres recommandations à vous faire. Au départ, nous avions soumis à votre comité un document d'environ 50 pages. Nous tentons depuis d'affiner nos suggestions.
Les commissaires adjointes et moi-même serions très heureuses si vous adoptiez ces 12 recommandations. Elles permettraient de remédier rapidement à la situation. Nos autres recommandations impliqueraient plutôt une réforme majeure. Nous voulons être pragmatiques: nous tentons de proposer des choses qui sont déjà en pratique, qui occasionnent peu de frais et qui viennent renforcer les directives du Conseil du Trésor.
Évidemment, si vous voulez d'autres recommandations, nous pouvons vous en faire. Nous serions toutefois très satisfaites si vous adoptiez ces propositions.
Merci.
Pour ce qui est de la huitième recommandation, c'est-à-dire de renforcer les exigences touchant les rapports annuels pour couvrir un plus large éventail de pratiques en matière de protection des renseignements personnels, pouvez-vous nous dire quelles pratiques seraient touchées et pourquoi vous recommandez qu'elles le soient? Autrement dit, quels sont les éléments essentiels qui sont actuellement négligés?
Nous avons remarqué au fil des ans que les ministères ne font pas d'effort, ou très peu, pour rendre compte de leur conformité à la Loi sur la protection des renseignements personnels. C'est pourquoi nous voulons que cette exigence soit prévue par la loi, plutôt que de faire l'objet d'une simple directive.
Nous aimerions également pouvoir orienter quelque peu le contenu de ces rapports. On pourrait demander des évaluations des facteurs relatifs à la vie privée, des initiatives pouvant avoir des répercussions sur la protection des renseignements personnels, ou encore des ententes sur l'échange de renseignements avec d'autres ministères et organismes ou d'autres provinces et administrations au Canada. Ce sont là quelques exemples de couplage ou d'échange de données.
Ce sont des pratiques courantes, et il est difficile d'en suivre la trace. Les rares rapports produits à ce sujet sont quelque peu obscurs. Ainsi, le Parlement et les Canadiens sauraient davantage ce qui se passe avec leurs renseignements personnels.
J'ai une dernière question.
En répondant aux questions d'un de mes collègues, vous avez mentionné que la loi datait de 1982. Je suis d'accord pour dire qu'il est probablement temps d'y apporter des révisions majeures, mais je voulais savoir si vous aviez touché aux exemptions qui sont actuellement prévues par la loi. Pouvez-vous me donner quelques exemples des exemptions qui sont prévues dans la loi actuelle et que nous devrions peut-être inclure dans toute nouvelle législation?
Les documents que nous avons présentés au comité se concentrent davantage sur la protection des renseignements personnels que sur l'accès à l'information, qui est le droit corollaire du droit à la protection des renseignements personnels. La Loi sur la protection des renseignements personnels couvre les deux droits.
La seule recommandation que nous ayons faite au sujet du droit à l'accès à l'information, c'est que l'on ne doit plus se contenter du statu quo, qui se limite aux personnes présentes au Canada. C'est une position de plus en plus difficile à défendre, compte tenu des tendances internationales à faire de ce droit un droit universel.
Je ne parlerai pas en détail d'exemptions précises, parce qu'elles fonctionnent généralement très bien. Les exemptions prévues par la Loi sur la protection des renseignements personnels sont presque identiques à celles prévues par la Loi sur l'accès à l'information; comme la Loi sur l'accès à l'information se concentre précisément sur l'accès à l'information, c'est là-dessus que portent les recommandations formulées par le commissaire à l'information.
Nous allons devoir nous arrêter ici. Nous pourrons peut-être revenir sur le sujet plus tard.
Madame Block, nous vous écoutons.
Merci beaucoup, monsieur le président.
Je souhaite la bienvenue à Mme Stoddart et ses collègues.
J'aimerais revenir à la recommandation quatre et aux questions que vous a posées Mme Simson. Vous avez indiqué que la loi ne vous conférait pas le mandat de sensibiliser le public, et que si c'était le cas, vous pourriez fort probablement allouer des ressources à la sensibilisation de la population. Pouvez-vous expliquer au comité quel but vous voulez atteindre en proposant de vous conférez un mandat clair en matière de sensibilisation du public? Quels sont les éléments qui composeraient ce mandat et quels en seraient les coûts?
Permettez-moi d'abord de vous dire, madame la députée, que nous n'avons pas établi les coûts, car nous espérions d'abord que notre proposition serait recommandée par ce comité. Si c'est le cas, nous allons bien sûr faire l'exercice. Si les membres du comité le souhaitent, nous pouvons vous fournir le montant du budget alloué à la sensibilisation du public dans le cadre de la LPRPDE pour vous donner une idée. Cela s'applique par contre à des organisations de partout au Canada, alors il est possible que ce ne soit pas exactement la même chose.
J'ai aussi parlé de financer la recherche à l'échelle du pays dans les universités, les petites entreprises et les organisations de citoyens, de même que d'informer les intervenants intéressés, pour reprendre le terme employé dans la LPRPDE. Ce sont des organisations qui utilisent cette loi et qui ont besoin d'aide pour l'interpréter. Si vous transposez le tout à la Loi sur la protection des renseignements personnels, il pourrait s'agir de campagnes auprès d'organisations chargées de la sécurité nationale en vue de remédier aux difficultés que pourrait leur poser l'application de la loi, ainsi que de trouver une façon de travailler plus efficacement avec elles. Cela pourrait également se traduire par du travail auprès des citoyens qui se demandent quels sont leurs droits dans une époque où nos frontières rendent de plus en plus difficile la protection des renseignements personnels, ou encore par une collaboration avec l'Agence des services frontaliers du Canada.
Pour être en mesure de mener à bien ces activités, il faut investir dans les communications avec les médias pour que les données les plus récentes soient transmises plus rapidement, et surtout pour que les jeunes s'intéressent davantage à l'utilisation que fait le gouvernement de leurs renseignements personnels et de problèmes qui pourraient en découler.
C'est un peu bizarre de croire que nous allons recommander une mesure sans savoir quel en est le coût.
Si le comité en fait la demande, nous pouvons certainement lui fournir de l'information à cet égard très bientôt.
On semble dire que vous détenez implicitement les pouvoirs requis pour voir à la sensibilisation du public. Croyez-vous que vous pourriez bénéficier des mêmes avantages sans un changement législatif?
Ma collègue, la commissaire adjointe, croit qu'une petite erreur s'est glissée dans les notes, car c'est un porte-parole du ministère de la Justice qui a affirmé que le pouvoir était implicite.
Il est difficile de répondre à cette question. Nous estimons que nous devrions informer le public plus rapidement et lui transmettre des renseignements à jour à l'aide des moyens modernes, mais la loi qui nous régit ne le précise pas. Honnêtement, je suis un peu déchirée entre le désir de faire mon devoir et la volonté de demeurer dans les limites de mon mandat. Dans les faits, je ne dispose d'aucune ressource vouée à la sensibilisation. J'ai le sentiment que je dois informer les Canadiens des éléments qui peuvent compromettre la protection de leurs renseignements personnels — les fichiers inconsultables de la GRC, par exemple —, mais il faut de l'argent pour faire des vérifications et présenter des rapports spéciaux au Parlement. Et ce n'est qu'un exemple parmi tant d'autres.
Je souhaite enrichir les activités de sensibilisation du public que je mène déjà dans le cadre de la LPRPDE, en ciblant aussi les données personnelles que la population canadienne fournit au gouvernement fédéral.
J'aimerais jeter un coup d'oeil à la cinquième recommandation. Elle vise à donner au Commissariat à la protection de la vie privée du Canada une plus grande souplesse pour faire rapport publiquement sur les pratiques de gestion des renseignements personnels des institutions gouvernementales. J'ai l'impression que cela rejoint un peu l'idée d'un mandat en matière de sensibilisation du public.
À quelle fréquence souhaiteriez-vous publier ces rapports?
L'exemple de la vérificatrice générale illustre très bien ce que l'on propose.
Si je ne me trompe pas, elle dépose un rapport au Parlement quatre fois par année. Ce serait certainement plus opportun qu'une seule fois par année, parce qu'on finit par présenter notre rapport un an et demi après la tenue des événements. De nos jours, particulièrement aux yeux de la génération de l'ère électronique, vous perdez toute crédibilité si vous publiez un rapport sur quelque chose qui a eu lieu un an et demi plus tôt. Les gens reçoivent les nouvelles instantanément aujourd'hui, alors je crois qu'il est important pour moi, afin de respecter mon mandat, d'informer le public plus rapidement des événements dignes de mention.
De quelles autres ressources auriez-vous besoin pour produire ces rapports? En produisez-vous déjà? En avez-vous la responsabilité exclusive?
Non, ce n'est pas le cas. Nous avons présenté deux rapports spéciaux au Parlement, portant tous les deux sur le secteur public. C'est ce que couvre mon mandat actuel.
Si nous accélérions le processus, nous aurions besoin de plus de ressources. Je dispose d'une équipe restreinte, alors il nous faudrait peut-être deux ou trois personnes supplémentaires. Il n'est pas question de montants faramineux, puisque nous fonctionnons à petite échelle de toute façon.
[Français]
Merci, monsieur le président.
Bonjour, mesdames.
La recommandation 11 se lit comme suit: « Incorporer une disposition exigeant des mesures de sécurité adéquates visant la protection des renseignements personnels ». Cela veut-il dire que ces mesures n'existent pas présentement?
En effet, c'est encore un de ces curieux états de faits. Il existe une directive du Conseil du Trésor sur la sécurité et la protection des renseignements personnels, mais selon notre expérience et celle de mes prédécesseurs, une directive du Conseil du Trésor ne semble pas recevoir l'attention requise du ministère, et certainement beaucoup moins que si c'était inscrit dans une loi. Je ne veux pas dire qu'il n'existe aucune mesure de sécurité. Le gouvernement élabore présentement une politique sur la sécurité cybernétique, ce qui est très important. Je suis très contente qu'il aille de l'avant, mais il s'agit des gens qui administrent la loi au jour le jour. Je pense que le Parlement envoie un message beaucoup plus fort s'il inscrit le minimum dans une loi, s'il y consigne la base de ce qui devrait être fait. On pense que ces 12 recommandations constituent cette base.
Ensuite, l'interprétation et les détails peuvent être contenus dans les politiques du Conseil du Trésor. Cependant, comme il n'y a pas eu de réforme depuis très longtemps, l'essentiel se trouve maintenant dans les directives. Une directive n'est qu'une directive et est moins lourde de conséquences qu'une loi.
Êtes-vous d'avis, comme nous, qu'une loi qui contribuerait à corriger la situation présentement serait tout à fait appropriée et que le gouvernement devrait répondre à cette demande?
C'est le cas. À l'heure actuelle, ces dispositions sont contenues dans la loi que vous avez adoptée en 1999, soit la Loi sur la protection des renseignements personnels et les documents électroniques. Ma collègue m'a montré les paragraphes en question. Encore une fois, ces choses ont déjà été essayées au Canada. C'est contenu dans l'autre loi sur le secteur privé. Nous disons que si le gouvernement légifère à l'égard du secteur privé, il devrait au moins s'imposer les mêmes normes.
C'est ce qu'on appelle prêcher par l'exemple, n'est-ce pas?
La recommandation 9 se lit comme suit: « Incorporer une disposition exigeant des examens réguliers de la Loi sur la protection des renseignements personnels par le Parlement tous les cinq ans ». Selon vous, cet examen permettrait-il de faire des recommandations visant à mettre la loi à jour, puisque la société évolue à un rythme effarant en ce qui a trait à l'information personnelle. Est-ce dans ce contexte que vous pensez à la période de cinq ans?
Cela existe-t-il ailleurs? Y a-t-il des modèles que vous pouvez citer au gouvernement canadien, peu importe la couleur de la cravate? Pouvez-vous lui dire qu'à tel endroit, dans telle province, dans tel pays, il y a de tels exemples et que nous sommes dans un pays arriéré à cet égard. Pouvez-vous fournir des exemples?
Notre pays n'est pas arriéré, mais peut-être un peu contradictoire. Encore une fois, la loi adoptée par ce même Parlement en 1999, qui s'applique au secteur privé, exige — cela a été étudié par ce comité — une révision de la législation tous les cinq ans. La loi provinciale du Québec exige aussi une révision tous les cinq ans. Bien d'autres provinces — je pense à l'Alberta et à la Colombie-Britannique — ont la même disposition. C'est assez courant, c'est même dans notre loi sur le secteur privé.
Quels éléments recommanderiez-vous au comité de mettre en oeuvre au plus vite? J'imagine que vous souhaitez qu'on le fasse pour les 12 recommandations. Je suis d'accord avec vous.
Faut-il vraiment mettre en oeuvre les 12 recommandations, ou certaines choses devraient-elles être faites en priorité?
Je pense que c'est peut-être là le rôle du comité. Parmi toutes sortes de choses qui auraient pu être modifiées, j'ai choisi 12 recommandations minimales. Toutes ces dispositions se voient ailleurs, dans une loi ou dans une directive. Je pense que je vous laisse le choix.
Vous nous laissez le bon soin de promouvoir les 12 recommandations.
Merci beaucoup, monsieur le président.
Merci, madame.
[Traduction]
Merci, monsieur le président.
J'aimerais qu'on en revienne à la sensibilisation du public. Je reconnais que c'est nécessaire. Pour appuyer votre quatrième recommandation, vous nous avez indiqué que la LPRPDE conférait au CPVP le mandat de sensibiliser le public, alors que la Loi sur la protection des renseignements personnels ne prévoyait aucun mandat clair à cet égard. Que prévoit-elle, exactement?
Le problème qui se pose, à mon avis, c'est que dans ma circonscription, notamment, les citoyens savent en général qu'il existe une loi sur la protection des renseignements personnels et qu'il y en a d'autres, mais ils ne les connaissent pas. Je vous jure qu'ils n'en ont aucune idée. Ils croient qu'ils peuvent réclamer toutes sortes d'information du gouvernement. Mais ce n'est pas le cas, car il existe des lois qui protègent la vie privée.
Dans le cadre de cette recommandation, vous proposez de publier un recueil de cas importants; d'émettre des avis publics et de produire des documents d'information; de tenter de répondre aux besoins des professionnels; ainsi que de publier des recherches. Envisagez-vous des mesures précises à l'intention du grand public?
Nous avons constaté qu'il faut sensibiliser le public, mais les intérêts sont différents par groupe d'âges. Cependant, je dirais qu'il faut effectivement prendre des mesures en ce sens. Nous mettons notamment à la disposition des écoles les trousses d'information que nous avons constituées sur la LPRPDE, de concert avec les commissaires provinciaux, et il faut faire preuve de prudence à cet égard parce qu'il s'agit d'un domaine de compétence provinciale.
Les lois canadiennes sur la protection des renseignements personnels se ressemblent dans bien des cas. Notre campagne de sensibilisation pourrait porter sur cet aspect. Nous pourrions sensibiliser davantage les aînés sur l'utilisation du numéro d'assurance sociale et sur les renseignements personnels figurant dans les documents relatifs à leur pension. Il s'agit de programmes...
Nous avons mis en oeuvre des campagnes de sensibilisation régionales, et nous travaillons de concert avec nos collègues des Maritimes et des Prairies. Ce mandat est prévu dans la LPRPDE. Les commissaires de la Colombie-Britannique et du Québec s'inquiètent des problèmes que pose le permis de conduire amélioré par rapport à la Loi sur la protection des renseignements personnels. À ce chapitre, nous pourrions certes travailler de concert, mais nous nous sommes concentrés sur la LPRPDE.
J'estime que cela est admirable. Nous sommes aux prises avec une récession et l'argent est rare. C'est ce qui m'inquiète. C'est magnifique d'avoir de grandes idées, mais certaines des mesures que vous avez évoquées sont mises en oeuvre par l'intermédiaire des provinces, en ce qui concerne la LPRPDE. C'est déjà chose faite.
Ça ne m'inquiète pas de vous entendre dire qu'il faut intervenir à propos de la Loi sur la protection des renseignements personnels, mais vous ignorez, dites-vous, quel en serait le coût. Avant que nous présentions notre rapport au Parlement, il nous faut connaître, je pense, vos plans précis à cet égard et leur coût. C'est excellent tout ce que vous proposez dans vos recommandations que j'ai lues et que je ne répéterai pas, notamment publier un recueil des enquêtes importantes, mais quel en sera le coût? Et qu'est-ce qu'il nous en coûtera pour mettre en oeuvre les mesures des provinces et les initiatives à l'égard de la LPRPDE, parce qu'il faudra alors augmenter vos moyens pour sensibiliser le public? C'est ce que le comité doit savoir avant de formuler ses recommandations au Parlement.
Je comprends l'inquiétude du député à propos de l'argent des contribuables et des possibilités de chevauchement. Je peux vous garantir qu'il n'y aura aucun chevauchement et que nous ne répéterons pas ce que les provinces ont fait ni les mesures que nous prenons en vertu de la LPRPDE. Cependant, je peux peut-être vous rappeler que nous nous retrouvons dans une situation légèrement inhabituelle. Dans le cas d'un projet de loi ou de toute autre mesure législative, c'est habituellement un ministère qui en établit le coût de concert avec le Conseil du Trésor. Dans le cas qui nous intéresse, il s'agit d'une proposition d'une agente du Parlement qui ne dispose pas des moyens du Conseil du Trésor pour en établir le coût, même si nous pouvons vous fournir cette information.
Voici où je veux en venir: si vous estimez que le principe est valable, je vous conseillerais vivement de soumettre le tout au Conseil du Trésor qui déterminera s'il est opportun d'engager des fonds publics à cet égard. Ne rejetez pas le principe. Laissez simplement le Conseil du Trésor et le Secrétariat du Conseil du Trésor trancher la question.
C'est ce que je proposerais à l'honorable député.
Toutes les fois que vous comparaissez devant le comité, vous évoquez sans cesse le retard dans vos enquêtes. Il y a une limite aux fonds publics qui peuvent être affectés, particulièrement lorsque les temps sont durs. Voici la question qu'il faut vraiment se poser si nous décidons d'augmenter les fonds affectés à la sensibilisation dans le cadre d'une réaffectation de vos crédits: lesquels de vos autres programmes subiraient une diminution? Dans les deux cas, nous devons connaître les chiffres ou nous devons déterminer les autres programmes qui subiront une diminution.
Dans les deux cas, j'estime que nous aurons de la difficulté à formuler des recommandations.
Je vous ferais valoir que cette tâche incombe au Secrétariat du Conseil du Trésor. Je ne comparais pas devant le comité pour lui demander davantage de fonds. Telle n'est pas mon intention. Si je suis ici, c'est parce que j'estime que les principes de la Loi sur la protection des renseignements personnels doivent être actualisés. Si vous partagez mon avis, je vous demanderais alors de mettre à jour la loi.
Il y a un groupe parlementaire spécial auquel certains d'entre vous siègent et auquel je peux m'adresser lorsque je dois faire face à des besoins. Le Conseil du Trésor examine la demande et accorde les crédits nécessaires. Je n'en suis pas encore rendue à cette étape. Je comparais devant vous pour aborder les principes et je vous ferais valoir que la réforme de la Loi sur la protection des renseignements personnels ne vous engage pas nécessairement à fournir des fonds pour tout ce qui est proposé.
Tout a un prix. Je peux être d'accord sur la question de la sensibilisation, tout simplement parce que, comme je l'ai répété au début de mon intervention, la plupart de mes électeurs connaissent mal les lois. Ils savent qu'ils ont des droits, mais ils ignorent lesquels. Il y a un coût à cette sensibilisation. Je peux être d'accord sur le principe, mais nous devons savoir quel en est le coût.
Je peux convenir que le gouvernement doit mieux informer, mais il faut avoir une idée de ce que cela implique, car vous demanderez précisément une augmentation de vos effectifs.
J'en resterai là, monsieur le président.
Tout cela est utile à mon avis. N'y aurait-il pas une solution de compromis? La sensibilisation du public semble être une question très vaste, qui est susceptible de coûter très cher. Cependant, c'est légèrement différent lorsqu'il faut mettre en garde le public, par exemple si les problèmes se multiplient à propos des renseignements bancaires — fraude par Internet ou vol d'identité. J'estime qu'il est alors important d'intervenir et que cela peut être utile.
Je pense que mes collègues ont parlé des coûts. Cependant, lorsqu'il n'y aura plus de retard par rapport aux enquêtes et aux plaintes, j'espère qu'il sera alors possible de remanier l'affectation des ressources sans dépassement de l'enveloppe budgétaire.
Je céderai d'abord la parole à M. Siksay de nouveau, puis à M. Wrzesnewskyj et à M. Kamp.
Je m'excuse, monsieur le président, mais je ne prendrai pas la parole. J'ai posé toutes mes questions.
Merci, monsieur le président.
Je voudrais poursuivre dans la foulée des questions de M. Dreeshen.
La GRC compte parmi les ministères ou organismes qui font l'objet du plus grand nombre de plaintes. D'après la réponse à la question de M. Dreeshen, il semblerait que trois plaintes étaient fondées, deux étaient fondées-résolues et neuf autres avaient été réglées en cours d'enquête, même si des doutes légitimes pouvaient persister. C'est donc 14 des 52 plaintes, ce qui équivaut à 27 p. 100, soit plus d'une sur quatre.
Lorsqu'un ministère ou organisme a autant de plaintes, j'en arrive à la conclusion opposée, c'est-à-dire que c'est un chiffre inquiétant, surtout si l'on tient compte de la nature des plaintes. La GRC mène des enquêtes criminelles. Les renseignements qu'elle collecte ainsi peuvent se révéler extrêmement préjudiciables s'ils sont divulgués au public ou à des personnes non autorisées, ne serait-ce qu'une seule fois. Une telle divulgation à des gouvernements étrangers peut être extrêmement préjudiciable à l'avenir d'une personne. Rappelons-nous ce qui est arrivé dans l'affaire Arar. Pourtant, la GRC nous affirme qu'aucun contrôle n'est nécessaire parce qu'elle a adopté une approche fondée sur des principes.
Nous avons constaté que, à plus de 3 000 reprises, la GRC a divulgué des renseignements à des gouvernements et organismes étrangers autres qu'Interpol. Nous savons que l'un de ces gouvernements est celui du Soudan. Juste ciel! Le président soudanais a été mis en accusation par la Cour pénale internationale pour crimes contre l'humanité. Nous savons que des renseignements ont été transmis à des régimes criminels.
La GRC peut recueillir des renseignements d'une nature particulière, ce qu'aucun autre ministère n'est vraiment en mesure de faire, à l'exception peut-être du SCRS. Je le répète, on parle d'information génétique, de biométrie, de GPS et de vidéosurveillance en temps réel, dont personne n'est au courant. Ce n'est pas tout à fait comme Street View, mais vous n'avez pas idée des moyens dont elle dispose. La GRC affirme cependant qu'elle a adopté une approche fondée sur les principes. Ne pas réglementer ces questions a coûté cher aux Canadiens.
Elle divulgue des renseignements à des gouvernements étrangers. Cependant, qu'en est-il de la situation au pays, ici au Canada? Un livre vient de paraître, qui a fait naître en moi beaucoup d'inquiétudes. Son auteur est un ancien sergent d'état-major de la GRC. Il cite dans son livre qu'un de nos anciens commissaires aurait affirmé qu'environ 30 parlementaires ont fait l'objet d'une enquête.
L'automne dernier, nous avons vu que la vie privée de M. Casey a été perturbée lorsque les résultats d'une demande d'accès à l'information ont été divulgués: tous les noms avaient été rayés, sauf le sien à un endroit particulier. Il peut être très préjudiciable de laisser entendre qu'un politicien a peut-être fait l'objet d'une enquête criminelle, alors que dans le cas de M. Casey, il n'y avait aucun fondement en ce sens. Mais la GRC nous affirme que ces recommandations sont inutiles parce qu'elle a adopté une approche fondée sur les principes.
Prenons l'exemple de Glen Clark, ancien premier ministre de la Colombie-Britannique. Les journalistes avaient été avertis que la GRC interviendrait. On le voit ouvrir la porte de sa maison et être saisi comme un animal piégé sur la route par les phares d'une voiture. Sa carrière venait de prendre fin, même s'il a été innocenté ultérieurement.
Qu'en penseriez-vous si la GRC était assujettie à des règlements pour qu'une telle situation ne se reproduise plus, notamment pendant une campagne électorale? Recommanderiez-vous...
Très bien.
Recommanderiez-vous de tenir compte des antécédents de la GRC, de sa capacité de recueillir des renseignements particuliers, ce dont sont incapables la plupart des autres ministères et organismes, et de sa nature — un organisme paramilitaire censé être voué à l'application de la loi —, ou ne préconiseriez-vous pas des recommandations supplémentaires visant la GRC pour garantir que notre démocratie et les droits de la personne des Canadiens voyageant à l'étranger ne sont pas en danger?
Puis-je demander à Mme Bernier de répondre à cette question? Elle était auparavant sous-ministre adjointe à Sécurité publique Canada. C'est un domaine qu'elle connaît bien.
Je dirais que vos propos mettent vraiment en évidence notre position sur les ententes de communication des renseignements et les précisions qu'il faudrait apporter à la Loi sur la protection des renseignements personnels à cet égard. De plus, le rapport du juge O'Connor exige précisément que ces ententes soient assujetties à des règles beaucoup plus rigoureuses pour garantir la protection des renseignements personnels ainsi que pour s'assurer que l'information échangée est exacte et veiller à ce que les renseignements ne soient pas divulgués à des États qui ne respectent pas les droits de la personne, et c'est ce que nous essayons de mettre en oeuvre. Pour que les lois et les politiques soient conformes, le Secrétariat du Conseil du Trésor, comme l'a signalé la commissaire, a établi des lignes de conduite qui prennent vraiment en considération ces recommandations. Pourtant, notre rapport de 2003-2004 fait état de quelques lacunes que nous avons décelées dans les ententes de communication des renseignements.
Par exemple, ces ententes décrivaient beaucoup trop généralement les renseignements susceptibles d'être communiqués. Le libellé des clauses régissant la protection des renseignements communiqués était très vague. Nous avons également constaté que seulement la moitié de ces ententes contiennent une mise en garde contre les tiers, c'est-à-dire que les renseignements reçus ne peuvent être communiqués à une tierce partie.
La majorité des ententes ne précisaient pas que les renseignements ne pouvaient pas servir à une fin autre que celle pour laquelle ils ont été communiqués. Enfin, la très grande majorité n'avait aucune clause en matière de vérification. Par conséquent, nous convenons d'emblée que la Loi sur la protection des renseignements personnels doit avoir des dispositions plus rigoureuses sur les ententes de communication des renseignements.
Très bien. Je vous remercie. Nous revenons ainsi au projet de loi C-6.
Monsieur Kamp, je vous en prie.
Merci, monsieur le président.
Je vous souhaite la bienvenue et je vous remercie des efforts que vous déployez pour maintenir le respect des droits individuels tout en nous aidant à nous acquitter de nos responsabilités de parlementaires, surtout lorsqu'il s'agit de trouver un compromis entre les droits individuels et les exigences en matière de sécurité nationale.
À la recommandation 9, vous préconisez d'incorporer une disposition exigeant des examens réguliers de la loi par le Parlement tous les cinq ans. Malheureusement, je siège depuis fort peu de temps au comité, mais je me demande d'où émane cette disposition. Est-ce un chiffre arbitraire? Cet examen ne devrait-il pas se faire d'une façon continue? Ne devrait-il pas être exécuter tous les ans plutôt que tous les cinq ans? Le monde évolue à une vitesse folle. Nous sommes aux prises avec une foule de circonstances qui pourraient ne pas être visées par les dispositions actuelles. Je pense notamment au cyberterrorisme. Pourquoi préconisez-vous cinq ans? Quelle devrait être, selon vous, l'exhaustivité de cet examen? Qui devrait l'effectuer? Quelle force exécutoire devrait-elle avoir?
Il y a un précédent à cet examen quinquennal. Nous avons la témérité d'appeler cela une solution rapide — nous savons qu'il n'existe pas de solution rapide dans un processus parlementaire mettant en cause de si nombreux intervenants, entre autres. C'est pourquoi nous nous sommes attaqués à des aspects peut-être facilement abordables à cause de l'existence d'un précédent. Nous nous sommes donc penchés sur l'autre loi que nous administrons, celle s'appliquant au secteur privé, notamment aux banques et aux transporteurs aériens, ainsi qu'aux provinces dépourvues de lois régissant le secteur privé à ce chapitre, et nous nous sommes retrouvés avec cet examen quinquennal.
Cet examen quinquennal systématique est également prévu dans certaines lois provinciales: la Colombie-Britannique, l'Alberta, l'Ontario mais je n'en suis pas sûre, et certes le Québec. La portée de l'examen est fonction du comité parlementaire l'effectuant. En vertu des différentes lois, le comité peut procéder à un examen exhaustif ou plus sommaire, et il formule ensuite des recommandations qui n'ont pas force obligatoire. L'examen fait partie du processus parlementaire habituel.
Je n'en suis pas très souvent informée directement. Certains de nos enquêteurs ont une habilitation de sécurité de niveau supérieur leur permettant de traiter les plaintes portant sur des renseignements classifiés dans la mesure de leurs compétences, mais c'est assez exceptionnel.
Naturellement, il y a parfois de très graves enjeux sur le plan de la sécurité, et je me demande comment vous parvenez à trouver un juste milieu entre votre mandat consistant à examiner les cas possibles de violation de la vie privée et, bien sûr, la protection nécessaire des droits individuels par le gouvernement et l'État. J'ignore quelle est votre marge de manoeuvre à cet égard et qui prend la décision finale sur ce que vous êtes autorisés à faire et à ne pas faire. Pourriez-vous mous donner des explications?
Naturellement, si un ministère refuse de communiquer les renseignements demandés, nous nous retrouvons dans une impasse, si je puis m'exprimer ainsi. Cependant, je dirais que nous jouissons de la confiance du gouvernement en vertu de notre loi pour examiner passablement de questions relevant de la sécurité nationale.
Nous venons de terminer une vérification prescrite par la loi sur le CANAFE, dans le cadre de laquelle nous devions notamment comprendre les mesures législatives sur le recyclage de l'argent. Nous avons examiné les dossiers du SCRS l'an dernier, je crois. Et, comme je l'ai mentionné, nous avons eu accès aux banques de données inconsultables de la GRC.
Il arrive donc que nous soyons au courant de certains enjeux de sécurité nationale, dans des cas bien précis.
Ayant travaillé dans le domaine de la sécurité à un moment donné, je sais que c'est également un problème si vous avez mis 20 ans et consacré des millions de dollars pour obtenir des renseignements d'une source particulière, et que vous vous retrouvez avec des renseignements qui ne peuvent pas, ne doivent pas ou ne devraient pas être communiqués au motif de la protection de la vie privée d'une personne. Comment trouvez-vous alors un juste milieu? Je me demande quelles mesures vous prenez dans ces cas là.
Ma collègue qui a travaillé dans ce domaine pendant longtemps pourrait peut-être apporter des précisions.
La Cour suprême du Canada a trouvé un juste milieu entre la vie privée et la sécurité, le critère de la nécessité. Les renseignements susceptibles d'être recueillis doivent être nécessaires afin d'assurer la sécurité publique, compte tenu des attentes raisonnables en matière de protection des renseignements personnels, ce qu'il faut examiner cas par cas.
En matière de sécurité nationale, nous devons exercer une certaine retenue pour les motifs que vous avez évoqués. Les tribunaux ont ainsi tranché. Nous appliquons, estimons-nous, les principes établis par la Cour suprême du Canada et d'autres tribunaux canadiens.
Merci, monsieur le président.
Je pourrais peut-être céder un peu de mon temps de parole à M. Kramp, s'il le souhaite.
Je voudrais aborder les recommandations deux et six. Outre que ces deux recommandations semblent être contradictoires, le demandeur n'a-t-il pas déjà un recours en vertu de la Loi sur la protection des renseignements personnels, si la commissaire refuse ou abandonne une plainte?
Oui. La contradiction apparente entre les recommandations deux et six permet encore une fois d'essayer de trouver le juste milieu entre l'affectation de fonds publics aux enquêtes qui nécessitent beaucoup de main-d'oeuvre et la justice à laquelle les Canadiens ont droit lorsqu'ils présentent une plainte concernant la protection de la vie privée.
En fait, la commissaire et le plaignant peuvent se présenter devant la Cour fédérale dans des cas très restreints lorsque l'accès aux renseignements a été refusé. Si des corrections doivent être apportées au dossier d'une personne, aucun recours n'existe lorsque le ministère en cause ne veut pas les effectuer. Il y a également toute la question des dommages-intérêts, ce que viennent d'aborder, je crois, certains membres du comité. Si l'organisme gouvernemental a utilisé vos renseignements personnels d'une façon qui vous porte préjudice, il n'existe aucun recours. C'est l'une des raisons pour lesquelles, à mon avis, accorder le droit de recourir à la Cour fédérale constituerait une modification opportune. Dans le secteur privé, ce recours est possible, si un organisme — une banque, notamment — utilise à mauvais escient vos renseignements personnels et vous porte ainsi préjudice. Actuellement, les Canadiens n'ont aucun recours efficace si le gouvernement utilise à mauvais escient les renseignements personnels les concernant. Ils ne peuvent que consulter leur dossier. Voilà pour la recommandation deux.
La recommandation six vise à moderniser la loi, à la rendre plus efficace et à accorder à mon bureau le pouvoir de se concentrer sur les plaintes qui n'ont pas encore fait l'objet d'une décision et pour lesquelles nous pouvons vraiment aider la personne en cause. Des plaintes peuvent notamment porter sur un même sujet. Par exemple, pourquoi l'Agence du revenu du Canada a-t-elle besoin d'autant de renseignements personnels? C'est peut-être contraire à la Loi sur la protection des renseignements personnels. Si nos pouvoirs étaient modifiés, nous pourrions alors déterminer que nous ne traiterons pas cette plainte parce que nous l'avons déjà fait chaque année à de nombreuses reprises et donner tous les exemples pertinents. Nous dirions simplement qu'il n'y aura pas d'enquête parce qu'il faut essentiellement donner ces renseignements personnels à l'agence. C'est une plainte fréquente. Nous pourrions alors nous concentrer sur d'autres dossiers, notamment sur les plaintes récentes selon lesquelles l'Agence du revenu du Canada utiliserait à mauvais escient les renseignements personnels et certains de ses employés outrepasseraient leurs attributions, notamment en examinant les déclarations de revenu sans autorisation.
Les deux recommandations peuvent sembler contradictoires, mais elles s'intègrent pour constituer une solution mieux adaptée aux problèmes avec lesquels nous prévoyons être aux prises.
J'ai une dernière question. Elle porte sur recommandation huit: renforcer les exigences touchant les rapports annuels des ministères et organismes gouvernementaux. Si l'on obligeait ces institutions à rendre compte au Parlement d’un plus large éventail de pratiques en matière de protection des renseignements personnels, cela voudrait-il dire qu'il faudrait faire une loi des lignes de conduite du Conseil du Trésor?
Non. En fait, je pense que c'est le contraire. Il s'agirait de prendre une bonne partie du contenu des lignes de conduite du Conseil du Trésor pour en faire une loi. Le Conseil du Trésor pourrait par la suite publier une nouvelle directive d'interprétation de la loi. Encore une fois, c'est parce que nous essayons de traduire en pratique ce qui existe déjà, mais nous voulons simplement accroître la conformité.
Je voudrais aborder très rapidement les recommandations 11 et 12.
Il s'agit de politiques déjà en vigueur. Si vous voulez intégrer aux lois la politique actuelle du Conseil du Trésor, je crains qu'il ne faille modifier une foule de lois en raison des écarts dans leur application et leur force exécutoire. Est-ce nécessaire? Ne devrait-on pas plutôt se servir des règlements ou ne faudrait-il pas plutôt indiquer dans la loi que celle-ci tiendra compte de toutes les lignes de conduite que le Conseil du Trésor établira au fil du temps? Quelle en est l'importance? Dans ces deux cas-là, vous avez dû franchement déployer beaucoup d'efforts. Une solution provisoire rendra-t-elle la loi plus efficace ou, en passant, l'objectif visé n'est-il pas d'apporter ici un amendement mineur?
Non. C'est à mon avis essentiel.
Un aspect que je n'ai pas abordé aujourd'hui, c'est la dimension internationale du Canada, qui est devenu l'un des rares pays modernes du monde réseauté qui n'a pas encore actualisé sa loi sur la protection des renseignements personnels. Actuellement, vos collègues du Parlement européen modifient les dispositions portant sur la notification des atteintes à la protection des données dans leurs lois.
Parce que bon nombre de ces dispositions sont absentes de nos lois et parce que nous avons opter pour des directives afin de régir ces questions, l'image du Canada dans ce domaine pâlit, alors que nous avons déjà été un chef de file sur la scène internationale .
Très bien. Je saisis votre message.
Je pense, commissaire, que c'est ce que nous avons constaté pour le projet de loi C-6, celui du ministère de la Santé sur les agents pathogènes humains et les toxines: les renseignements pouvaient être échangés avec des gouvernements étrangers, mais les conditions étaient vagues, comme dans le cas qui nous intéresse, et rien ne régissait les délais de conservation de l'information. Tout cela complique un peu les choses.
Nous nous pencherons certainement sur les recommandations 11 et 12, même si nous n'avons pas entendu l'avis de témoins à cet égard. Comme toujours, je pense que vous vous êtes très bien acquittée de votre tâche aujourd'hui, tout comme vos collègues, en nous faisant part de votre opinion sur ces questions pour nous aider à mieux saisir l'objectif que vous poursuivez à ce chapitre.
Vous êtes une agente du Parlement et vous assumez des responsabilités importantes pour le compte des Canadiens. Nous savons que vous avez les intérêts des Canadiens à coeur, et nous vous en remercions.
Le comité souhaiterait se réunir brièvement à huis clos. Vous pouvez donc disposer.
Explorateur de la publication
Explorateur de la publication