ETHI Réunion de comité

    La séance est ouverte. Bienvenue à tous.

    Chers collègues, il s'agit d'une réunion ordinaire du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique. Nous poursuivons notre étude sur les applications d'imagerie à l'échelle de la rue et en particulier sur la situation de Google et de Canpages, entre autres.

    Nous aurions aimé recevoir des représentants du Commissariat à la protection de la vie privée du Canada en même temps que des représentants de Google et de Canpages, mais ça n'a pas été possible. Les gens de Google seront ici jeudi prochain. Nous recevrons M. Jacob Glick pour la première heure de la réunion jeudi prochain, le 4 novembre.

    Nous avons cependant le grand plaisir de recevoir aujourd'hui trois représentants du Commissariat à la protection de la vie privée du Canada qui sont venus discuter avec nous de ce sujet précis. Le comité aimerait d'abord accueillir Patricia Kosseim, avocate générale. Elle est accompagnée de Daniel Caron, conseiller juridique, Direction des services juridiques, des politiques et des affaires parlementaires et, ainsi que d'Andrew Patrick, analyste de recherche en technologie de l'information.

    Je crois que c'est Mme Kosseim qui va faire la déclaration préliminaire du commissariat. Je l'invite donc à le faire maintenant.

    Encore une fois, bienvenue.

    Merci beaucoup. C'est en effet un privilège d'être ici. Nous vous remercions de nous inviter à comparaître devant le comité au moment où vous concluez, je crois, votre étude sur l'imagerie à l'échelle de la rue. Nous sommes ici pour vous aider du mieux que nous pouvons.

    Je m'appelle Patricia Kosseim, et je suis avocate générale. Comme le président l'a déjà mentionné, je suis accompagnée de Dan Caron et d'Andrew Patrick, de nos services de consultation en matière de technologie de l'information. Au nom de la commissaire à la protection de la vie privée, je tiens à exprimer aux membres du comité tous ses regrets de ne pouvoir être ici aujourd'hui étant donné qu'elle se trouve actuellement à l'étranger.

    J'aimerais vous donner un bref aperçu de certains des développements dans ce domaine depuis la comparution de l'ancienne commissaire adjointe, Elizabeth Denham, devant ce même comité en octobre 2009.

    L'année dernière, avant le lancement de Google Street View au Canada le 7 octobre 2009, le Commissariat à la protection de la vie privée du Canada, de concert avec ses homologues provinciaux de la Colombie-Britannique, de l'Alberta et du Québec, a émis une fiche d'information intitulée « Vous êtes photographiés: La technologie de l’imagerie à l’échelle de la rue, Internet et vous ». Cette fiche a pour but de présenter aux Canadiennes et aux Canadiens de plus amples informations relatives aux incidences sur la vie privée que peut avoir l'utilisation des technologies de l'imagerie à l'échelle de la rue.

    Nous soulignons nos attentes générales envers les entreprises qui déploient de telles technologies. Nous demandons qu'elles entreprennent les démarches suivantes.

     Elles doivent être proactives et créatives afin de s'assurer que les citoyens sont au courant du fait qu'ils sont susceptibles d'être photographiés.

     Ces entreprises doivent, de plus, utiliser des technologies de brouillage efficaces et éprouvées des visages et des plaques d'immatriculation.

     En troisième lieu, elles doivent offrir des mécanismes rapides et accessibles permettant à ceux qui le veulent de bloquer ou de retirer les images sur demande.

     En dernier lieu, elles doivent avoir une bonne raison pour conserver les images originales et non brouillées et doivent, d'une part, limiter la période durant laquelle elles les gardent et, d'autre part, les protéger par des mesures de sécurité appropriées.

    Depuis notre dernière comparution devant ce comité sur ce même sujet en octobre 2009, le Commissariat à la protection de la vie privée du Canada n'a cessé de souligner l'importance de s'assurer que le respect de la vie privée demeure un facteur primordial dans la conception de nouveaux produits et services. Cependant, les événements récents démontrent que les entreprises doivent intégrer encore de meilleurs mécanismes de protection des renseignements personnels dans leurs produits au moment même où elles les conçoivent. La collecte de données transmises sur des réseaux Wi-Fi par les véhicules d'imagerie à l'échelle de la rue de Google constitue un exemple édifiant à cet égard.

    En mai 2010, Google a découvert que, en recueillant de l'information sur les points d'accès de réseau Wi-Fi afin d'améliorer ses services géodépendants, ses voitures-caméras Street View avaient recueilli par inadvertance des données utiles sur des réseaux sans fil non sécurisés. Essentiellement, ces données utiles sont l'information concernant les communications effectuées sur ces réseaux. Google a promptement immobilisé ses voitures-caméras Street View, arrêté de recueillir des données sur les réseaux Wi-Fi et isolé et stocké toutes les données recueillies.

    En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques — la LPRPDE —, comme vous le savez, la commissaire peut déposer une plainte relativement aux pratiques de gestion des renseignements personnels d'une entreprise si elle est d'avis qu'il y a des motifs raisonnables de faire enquête sur la situation. Le 1^er juin 2010, le commissariat a envoyé une lettre à Google concernant le fait que la commissaire, en vertu du pouvoir discrétionnaire qui lui est conféré par la loi, avait déposé trois plaintes à l'encontre de la société.

    Les plaintes déposées par la commissaire étaient les suivantes: premièrement, Google aurait recueilli, utilisé ou communiqué des données utiles sans que les personnes concernées n'en ait eu connaissance et sans leur consentement; deuxièmement, Google aurait procédé à la collecte de données utiles sans avoir défini au préalable les fins pour lesquelles des renseignements personnels ont été recueillis; et, troisièmement, la collecte de données utiles par Google n'aurait pas été limitée à ce qui était nécessaire pour répondre aux points déterminés.

    Au cours de notre enquête, des représentants du commissariat, dont M. Patrick, se sont rendus dans les locaux de Google à Mountain View le 19 juillet 2010 afin d'examiner les échantillons des données recueillies par Google. À la suite de cette enquête, au cours de laquelle nous avons eu plusieurs échanges avec Google, la commissaire a émis sa lettre de conclusions préliminaire le 19 octobre 2010.

    Comme l'a indiqué la commissaire lors de sa comparution devant le comité le 19 octobre, son enquête a révélé que Google avait recueilli des renseignements personnels de manière inappropriée à partir de réseaux sans fil non sécurisés. Dans certains cas, ces renseignements personnels étaient de nature très délicate, notamment des courriels au complet, des noms d'utilisateur et mots de passe, ainsi que des renseignements sur les troubles médicaux de personnes particulières. Malheureusement, cette collecte de données par inadvertance est le fruit d'une erreur qui aurait pu être facilement évitée si Google avait respecté ses propres procédures.

    Essentiellement, ce qui est arrivé, c'est que l'ingénieur qui a élaboré le code en vue d'échantillonner des catégories de données Wi-Fi diffusées publiquement a inclus également un code permettant la collecte de données utiles, croyant que ce type de renseignements pourrait servir un jour à Google. L'ingénieur a déterminé des préoccupations à son avis « superficielles » en matière de vie privée, mais, contrairement à la procédure de la société, il a omis de porter ses préoccupations à l'attention du conseil juridique en matière de produits, dont la responsabilité aurait été de les traiter et de les résoudre avant le lancement du produit.

    L'enquête a révélé qu'un certain nombre de principes de protection de la vie privée compris dans la LPRPDE avaient été violés. En conséquence, dans sa lettre de conclusions préliminaire, la commissaire recommandait que Google réexamine et améliore la formation en matière de protection de la vie privée qu'elle offre à tous ses employés afin de conscientiser davantage le personnel et de mieux faire comprendre les obligations de Google en vertu des lois relatives à la protection des renseignements personnels. Elle a également recommandé que Google s'assure d'avoir un modèle de gouvernance en place qui comprend des mesures de contrôle efficaces visant à garantir que toutes les procédures nécessaires pour protéger la vie privée ont été suivies avant le lancement de tout produit ainsi que les noms de personnes clairement désignées qui participent au processus et sont responsables de la conformité quant aux obligations de Google en vertu des lois sur la protection des renseignements personnels. Enfin, elle a recommandé que Google supprime les données utiles canadiennes qu'elle a recueillies dans la mesure où elle est autorisée à le faire en vertu des lois canadiennes et américaines. Si les données utiles canadiennes ne peuvent être supprimées immédiatement pour des motifs juridiques ou autres, elles doivent être sauvegardées adéquatement, et l'accès à ces dernières doit être limité.

    À l'heure actuelle, la commissaire considère que l'affaire n'est pas encore réglée. L'affaire sera considérée comme réglée sur réception, au plus tard le 1^er février 2011, de la confirmation que la société a mis en oeuvre les recommandations ci-dessus. La commissaire émettra alors son rapport et ses conclusions finales en conséquence.

    Nous nous attendons à ce que Google mette en oeuvre nos recommandations, et nous espérons qu'elle s'assurera dorénavant, au chapitre de la procédure comme à celui de la pratique, que des mesures efficaces pour la protection des renseignements personnels sont intégrées dans ses nouvelles technologies liées à la conception des produits. Le commissariat continuera de s'assurer que les entreprises tiennent compte de la protection des renseignements personnels avant le lancement de nouveaux produits ou services, afin que les Canadiennes et les Canadiens puissent tirer avantage de produits innovateurs qui ont été conçus dans le respect de leur droit à la vie privée et de leurs droits en tant que consommateurs.

    Merci.

    Merci, madame Kosseim.

    Nous allons maintenant commencer le premier tour. Vous avez sept minutes chacun. Nous allons commencer par Mme Fry. Vous avez sept minutes.

    Merci beaucoup. Je comprends ce que vous avez dit, et je comprends que vous attendiez jusqu'en janvier. Dans l'intervalle, dois-je comprendre que Google a nié avoir fait quoi que ce soit intentionnellement? Tout ce que nous avons entendu dire, c'est: Désolés, nous avons fait une erreur, les gens n'ont pas été formés adéquatement, et ainsi de suite.

    Dans l'intervalle, pensez-vous pouvoir croire en la parole des gens de Google concernant le fait qu'ils vont agir dans le sens des intentions qu'ils ont exprimées, au moins, s'ils ne font pas tout ce qu'ils ont dit être disposés à faire? Et y a-t-il des préoccupations réelles quant au fait que des employés de Google, s'ils ont accès à cette information, pourraient l'utiliser à des fins personnelles dans certains cas, lorsqu'ils connaissent certaines des personnes concernées, et qu'ils pourraient soit psychologiquement soit d'une autre façon faire du chantage et utiliser cette information pour nuire à une personne qu'ils connaissent personnellement dans le cadre de conversations en privé. Êtes-vous convaincue que ce n'est pas ce qui est en train de se passer? C'est ma première question.

    Ensuite, vous savez que, en Europe, on a pris des mesures beaucoup plus strictes que ce que, je crois, la commissaire à la protection de la vie privée propose à Google ici, c'est-à-dire que Google se prenne en mains et fasse ce qu'elle est censée faire. Il semble que ce n'est pas la façon dont on voit les choses en Italie et en Europe en général. Ce qu'ils demandent, c'est que Google appose des autocollants sur ses camions pour indiquer qu'elle recueille des données utiles et qu'elle avise les collectivités qu'elle visite trois jours à l'avance, par une quelconque forme de communiqué, d'affiche ou d'autres choses, et aussi à la radio et dans les journaux, pour que les gens puissent interrompre leurs activités au moment de la visite. Parce qu'il s'agit réellement d'une atteinte à la vie privée. Ça pourrait être sérieux dans bien des cas. Ça pourrait entraîner toutes sortes de conséquences fâcheuses pour les gens, pas seulement parce qu'ils pourraient se retrouver dans une situation embarrassante, mais aussi parce qu'il pourrait y avoir des vols. Des gens pourront très bien savoir quand d'autres seront chez eux, quand ils prennent leurs vacances, et pourraient donc savoir quel moment choisir pour vider leur maison. Il pourrait également y avoir des situations où une personne ne fait que discuter avec quelqu'un, mais où c'est interprété comme étant une activité criminelle, alors que ce n'est pas le cas.

    Je pense donc qu'il s'agit d'un enjeu extrêmement important et j'aimerais que vous répondiez à ces deux questions. Un, êtes-vous convaincue? Avez-vous confiance en Google en ce moment? Et deux, que pensez-vous de la réglementation européenne?

    Merci de votre question.

    Monsieur le président, je vais y répondre en trois temps.

    La première question concernait le fait que nous soyons convaincus ou non que Google va appliquer les recommandations. Nous n'avons pas reçu de réponse officielle de la part de Google. Nous avons lu les journaux, comme vous tous, c'est-à-dire que nous avons lu les déclarations que les gens de Google ont faites dans la presse et selon lesquelles ils se sont engagés à prendre d'importantes mesures pour régler le problème, mais nous attendons toujours la réponse officielle de Google.

    La raison pour laquelle la commissaire a envoyé une lettre de conclusions préliminaire, c'est qu'elle ne se contentera pas d'engagements: avant de clore le dossier et de déterminer si tout est bien réglé ou non, elle veut des preuves que les recommandations ont bel et bien été appliquées. Elle attend la mise en oeuvre concrète, et pas de simples engagements. Voilà la première question.

    La deuxième question concernait le fait que nous soyons préoccupés ou non par les données qui ont été recueillies de façon inappropriée. Je crois que c'est l'un des éléments qui ont fait l'objet de l'enquête. Les mesures de sécurité que Google a prises pour protéger et isoler les données qui ont été recueillies de façon inappropriée ont été jugées adéquates. Les gens de Google ont placé les données en lieu sûr. Ils ont limité le nombre de copies. Ils ont placé l'information dans un endroit sûr, et je pense que les responsables de l'enquête ont conclu à cet égard que la protection est suffisante en attendant la destruction des données qui aura lieu au bout du compte.

    La troisième question concernait les mesures plus strictes qui sont prises en Europe. Je vais y répondre relativement à deux choses. La première, c'est la collecte inappropriée de données à partir de réseaux Wi-Fi, qui est la question qui n'a pas encore été réglée à l'heure actuelle.

    Les commissaires à la protection des données n'ont pas les mêmes pouvoirs, comme vous le savez, selon les pays. Il y en a qui ont le pouvoir d'imposer des amendes ou des sanctions pénales. Ils ont tous des pouvoirs différents. Pour ce qui est des différences de réaction, je dirais que, dans une grande mesure, elles ne reflètent pas des différences d'interprétation de la situation sur le plan de la sécurité, mais elles varient plutôt en raison du fait que les pouvoirs des commissaires varient selon le pays.

    Notre commissaire a exercé tous les pouvoirs que lui confère la LPRPDE pour mener enquête et pour faire en sorte, dans le cadre de son rôle d'ombudsman, que Google applique ses recommandations avant qu'elle ne puisse clore le dossier et envisager les autres possibilités qui s'offrent à elle dans le cadre de la loi.

    Voilà mes commentaires en ce qui a trait aux différentes réactions en Europe et ailleurs dans le monde à l'égard de la question de Google et des réseaux Wi-Fi ainsi que de la collecte inappropriée de données utiles.

    En ce qui concerne la technologie d'imagerie à l'échelle de la rue et le déploiement de cette technologie en général, je dirais qu'il y a davantage d'accord et d'harmonie à l'égard des pratiques admises. Vous avez tout à fait raison de dire que nos pratiques exemplaires, établies conjointement avec nos homologues provinciaux, indiquent qu'une pratique exemplaire pour le déploiement de cette technologie consiste à aviser les habitants d'un quartier avant d'y envoyer des voitures Google ou d'autres voitures. L'avis peut se faire soit au moyen d'une annonce publique, soit en marquant les voitures de façon adéquate, et ainsi de suite. Des pratiques exemplaires ont été recommandées et suivies.

    Merci.

    Je crois qu'on m'a signalé qu'il me reste encore une minute.

    Pensez-vous que le pouvoir de la commissaire à l'égard de certaines sanctions, que ce soit des amendes ou des sanctions pénales, est le même que celui dont disposent les commissaires européens? Est-il plus restreint qu'en Europe?

    Eh bien, ça varie. Même en Europe, ça varie d'un pays à l'autre. Les pouvoirs que confère la LPRPDE à la commissaire sont différents de ceux des commissaires qui ont le pouvoir d'imposer des amendes, par exemple.

    Le modèle découlant de la LPRPDE a bien fonctionné jusqu'à maintenant. La commissaire a exercé tous les pouvoirs qui lui sont conférés dans le cas qui nous intéresse et dans d'autres, et il reste à espérer que la conclusion sera productive. Ses pouvoirs...

    Est-ce que son pouvoir est plus limité que celui des commissaires de beaucoup de pays européens?

    Il est plus restreint que celui des commissaires d'autres pays, oui.

    Merci beaucoup, madame Fry.

    Madame Freeman, vous avez sept minutes.

    Maître Kosseim, monsieur Caron et monsieur Patrick, je veux vous remercier d'être ici aujourd'hui.

    J'aimerais parler de Google. J'ai un peu de difficulté à accepter ce qui se passe avec cette entreprise internationale. Elle est partout, elle s'installe partout et je dois dire qu'elle agit un peu cavalièrement. En effet, dire que c'était une erreur est une explication, à mon sens, complètement farfelue. Quand on a les pouvoirs, la technologie et la structure de Google, si on est une entreprise socialement responsable, on fait en sorte que la formation ait été donnée et que ce soit sérieux. Google recueille de l'information sur la vie privée des gens de façon... En fait, mes renseignements personnels et les vôtres deviennent des produits sur le marché.

    Cette multinationale s'installe dans tous les pays. Un commissaire protège les renseignements personnels en Allemagne, un autre fait la même chose en Australie, il y en a un au Canada et un autre au Québec. Ne pouvez-vous pas vous concerter pour essayer d'uniformiser les demandes faites à Google? Actuellement, c'est David contre Goliath, selon moi. Chaque fois que vous faites un mouvement, Google développe une nouvelle technologie, et il y aura peut-être une erreur. C'est ma première question.

    Je voudrais poser la deuxième à M. Patrick. Est-il allé avec Mme Stoddart visiter Google cet été? A-t-il fait le voyage?

    Oui.

    J'aurais aimé savoir comment cela s'est passé et ce qu'il a vu. Quelles sont les nouvelles technologies qu'on peut attendre de Google ou d'autres qui pourraient, encore une fois, faire en sorte qu'on ne respecte pas la vie privée des gens? Quelqu'un peut-il répondre?

    Je vais répondre à la première question, si vous me le permettez, monsieur le président, et ensuite je demanderai à mon collègue de répondre à la deuxième question de Mme la députée.

    Premièrement, était-il farfelu de parler d'erreur? Oui. Cette erreur aurait-elle pu être prévenue? Oui. Google avait-elle adopté des procédures permettant de s'assurer qu'une telle erreur ne se produirait pas? Oui. Est-ce que les procédures ont été suivies? Non, et c'est à cet égard que la commissaire a réagi plus fortement, pour le Wi-Fi, comme dans le cas de Google Buzz et de celui de Google Street View. Le message clé de la commissaire a été que quand ces nouvelles technologies sont développées, les procédures pour assurer la protection doivent être mises en place et suivies dès la conception et le développement du produit, et non pas juste quand une erreur se produit. C'est le message clé. Il faut que ces mesures soient suivies immédiatement et qu'il y ait des mécanismes de contrôle pour s'assurer qu'ils ont été suivis dans chaque cas.

    Serait-il préférable d'harmoniser les réactions face aux différentes technologies développées par Google? C'est en effet le souhait de beaucoup de commissaires de partout dans le monde ayant des pouvoirs dans le domaine de la protection de la vie privée. De plus en plus, ils veulent travailler ensemble pour faire face à de grandes entreprises mondiales comme Google. Maintenant, la possibilité de le faire varie de commissaire à commissaire étant donné qu'ils n'ont pas tous les mêmes pouvoirs sur le plan de l'échange d'information avec leurs homologues d'ailleurs dans le monde.

    Ainsi, en ce qui a trait au projet de loi C-28 qui est devant vous, soit la Loi visant l'élimination des pourriels sur les réseaux Internet et sans fil, il apporterait un amendement clé à la Loi sur la protection des renseignements personnels et les documents électroniques qui permettrait dorénavant à notre commissaire d'échanger librement les informations qu'elle reçoit dans le cadre de ses enquêtes avec ses homologues d'ailleurs dans le monde, pour pouvoir réagir de façon plus concertée et harmonisée, et faire face à de grandes entreprises comme Google.

    Si vous me le permettez, je demanderai au Dr Patrick de répondre à votre prochaine question.

    Merci de votre question.

    La commissaire Stoddart n'était pas avec moi en Californie. J'étais avec M. Whalen, qui est aussi analyste technique. Ce que nous avons vu là-bas, c'est ce qui est décrit dans le rapport et dans la déclaration que nous avons lue. Nous avons vu des exemples — et nous en avons cherché — de courriels personnels, de communications personnelles, de noms, d'adresses, de demandes et de réponses relatives au trafic Web, de messages instantanés et autres choses du genre. Notre stratégie, c'était simplement de nous faire une idée du volume et de la nature des données, de voir des exemples de renseignements personnels, puis d'arrêter. C'est exactement ce que nous avons fait.

    Quel genre d'accueil avez-vous reçu? Avez-vous eu accès à tout ce que vouliez?

    Oui. Nous avons eu un très bon accueil. Nous avons pu voir comment les données étaient stockées, comment elles étaient chiffrées. Nous avons obtenu un soutien technique complet, comme nous le souhaitions. Nous étions là-bas pour effectuer une analyse technique. Nous avons été pleinement soutenus. Nous avons reçu des instructions quant à la façon dont les données sont stockées dans le format propriétaire de Google, dont il est possible de les décoder, la façon de chercher. La collaboration a été très bonne.

    Selon ce que vous avez pu voir, à quelles nouvelles technologies peut-on s'attendre de Google? Cela ne se crée pas du jour au lendemain.

    Ça ne s'est pas fait du jour au lendemain. Nous savons que Google et bien d'autres entreprises travaillent dans plusieurs domaines. L'accent est vraiment mis sur les services personnalisés, différents types de services, des services dont on peut bénéficier partout où l'on se trouve. Il s'agit donc de services géodépendants qui sauront où l'utilisateur se trouve, quels sont ses intérêts et qui formuleront des recommandations. Il s'agit d'un domaine important qui est abordé par beaucoup d'entreprises.

    Nous savons aussi, par exemple, que Google s'intéresse à l'industrie du divertissement et est en train de lancer un service de télévision à domicile. Dans ce cas-ci aussi, il va être possible de personnaliser le service en fonction des habitudes des téléspectateurs et de ce qu'ils désirent. Dans les deux cas, il pourrait y avoir des répercussions sur la vie privée, puisque ce sont deux choses que nous surveillons de près.

    En ce qui a trait à la géolocalisation, c'est déjà en marche. Retrouver des gens est possible et constitue déjà un problème.

    Pourriez-vous nous décrire les dangers potentiels relatifs à la protection de la vie privée que posent les autres technologies que vous venez de décrire?

    Merci.

    Il y a toutes sortes de dangers différents. Il y a évidemment des dangers pour la sécurité personnelle. Si une personne peut utiliser des technologies de localisation pour retracer quelqu'un et qu'elle lui veut du mal, et si ces données ne sont pas contrôlées de façon adéquate, alors c'est là qu'il y a danger. Il y a aussi la question de l'expansion des services commerciaux, de l'utilisation commerciale des données. Un exemple à cet égard, c'est la question de savoir si les données concernant l'endroit où une personne se trouve pourraient être utilisées pour en faire la cible d'une publicité de plus en plus abondante.

    Merci, madame Freeman.

    Nous allons maintenant passer à M. Siksay. Vous avez sept minutes.

    Merci, monsieur le président.

    Madame Kosseim, Canpages a également utilisé une technologie semblable, avait également un processus lui permettant de faire à peu près la même chose pour ce qui est de l'imagerie à l'échelle de la rue. Savons-nous si les gens de Campagne ont recueilli des données utiles eux aussi lorsqu'ils ont pris les photographies pour leur application?

    Non, nous n'avons aucunement entendu parler d'une collecte de renseignements du genre ni d'une quelconque intention de recueillir des signaux radio Wi-Fi ou des données utiles. Nous n'en avons pas entendu parler.

    D'après l'introduction que vous avez faite aujourd'hui et d'après les commentaires des gens, de la commissaire et d'autres personnes, il semble que ce que nous pensions que Google faisait, c'était un processus photographique qui était lié à un quelconque processus de cartographie. D'après la description que vous faites aujourd'hui de ce que nous pensions que l'entreprise faisait, il semble que tout ça ait trait à la photographie. Étions-nous au courant avant mai, avant que les Allemands ne découvrent le Wi-Fi, qu'ils cherchaient des points d'accès au réseau Wi-Fi? Savions-nous que cela faisait partie de ce qu'ils faisaient avant mai 2010 ou est-ce que la commissaire pensait qu'il s'agissait d'un processus photographique?

    Monsieur le président, nous avons reçu, comme toutes les autorités de protection des données, un avis de Google en avril 2010 auquel l'entreprise avait l'intention de recueillir des signaux radio diffusés publiquement par des réseaux Wi-Fi et qu'elle le faisait. L'objectif était d'améliorer ses services géodépendants de façon à capter des signaux radio et à déterminer les endroits où les signaux radio étaient émis dans la région avoisinante ainsi que leur distance relativement à ses voitures.

    Pour des raisons pratiques, les gens de Google allaient recueillir ces données en même temps qu'ils prenaient les photographies à l'échelle de la rue, puisqu'ils envoyaient déjà des voitures de toute façon. Ils ont donc annoncé qu'ils étaient en train d'installer des antennes sur le toit des voitures pour recueillir et capter en même temps des signaux radio Wi-Fi dans les quartiers où leurs voitures se rendaient.

    Ce qu'ils n'ont pas dit, parce qu'il ne l'ont pas su avant mai, à la suite des demandes de renseignements supplémentaires présentés par les autorités de protection des données allemandes... Ils se sont aperçus en mai et ont annoncé publiquement que, sans le savoir, l'organisation ne captait pas que les signaux radio et ne recueillait pas seulement de l'information sur la présence de ces signaux, mais qu'elle captait également les messages et le contenu de ceux-ci, qui passaient par ces signaux, si je puis dire. Ça, nous l'avons appris en mai 2010

    Vous dites qu'en avril 2010, ils vous ont avisé du fait qu'ils faisaient ça en plus. Ils avaient lancé le service en octobre 2009. Ont-ils recueilli cette information avant avril 2010 ou est-ce que c'est à ce moment-là qu'ils ont commencé à le faire? Est-ce qu'ils ont simplement confirmé le fait qu'ils faisaient cela depuis le début et que cela faisait partie du travail de photographie qu'ils avaient réalisé auparavant?

    Ce qu'ils avaient commencé à faire auparavant, c'était la prise de photographies à l'échelle de la rue, dont ils avaient annoncé le déploiement au Canada. Ce qu'ils ont annoncé en avril 2010, c'est l'ajout d'antennes sur leurs voitures dans le but — éventuel, je crois — de capter également des signaux radio Wi-Fi.

    Il semble donc qu'ils ne le faisaient pas au départ, lorsqu'ils ont commencé à faire le travail de photographie pour lancer leur service, c'est-à-dire qu'ils ne recueillaient pas de données sur les points d'accès à des réseaux Wi-Fi au départ.

    D'après ce que je sais, lorsqu'ils ont déployé le produit au début et qu'ils ont annoncé qu'ils le déployaient au Canada, comme il l'avait fait aux États-Unis, c'était pour l'imagerie photographique à l'échelle de la rue...

    Seulement?

    Oui, au début.

    Et dans leur correspondance avec les autorités de protection des données en avril 2010, ils ont annoncé cette nouvelle fonction qu'ils allaient ajouter en installant des antennes sur le toit de leurs voitures pour éventuellement capter aussi les signaux Wi-Fi et les diffuser publiquement.

    Par contre, je ne sais pas à quand remonte le début de cette activité, sauf pour ce qui est de la date à laquelle ils ont annoncé qu'ils le feraient.

    D'accord.

    Y a-t-il un lien intrinsèque entre la prise d'images photographiques à l'échelle de la rue et la collecte de données aux points d'accès à des réseaux Wi-Fi? Est-ce que c'est nécessairement lié? Faut-il recueillir de l'information sur les points d'accès au réseau Wi-Fi pour pouvoir utiliser la technologie d'imagerie à l'échelle de la rue adéquatement?

    Non. D'après ce que je sais, monsieur le président, la technologie d'imagerie à l'échelle de la rue consiste à recueillir des images photographiques des quartiers que vous pouvez tous voir dans Google Maps lorsque vous entrez le nom de votre quartier dans Google, comme vous l'avez déjà fait, j'en suis sûre — comme je l'ai déjà fait moi-même. C'est un produit en soi.

    Cette nouvelle amélioration est une idée supplémentaire qui a été élaborée par l'un de leurs ingénieurs, c'est-à-dire d'inclure dans le code en même temps non seulement les images, mais aussi les signaux radio de réseaux Wi-Fi. Et cette nouvelle idée ou cette amélioration de plus, c'était pour améliorer leurs services géodépendants.

    Si vous voulez qu'on vous explique ce qui justifie cette amélioration sur le plan commercial, je pourrais demander à mon collègue de vous expliquer en quoi il s'agit d'une amélioration des services géodépendants.

    J'aimerais bien le savoir, oui.

    Si je comprends bien, c'est de vous qu'il s'agit, monsieur Patrick.

    Oui.

    Souvent, les appareils comme les téléphones cellulaires ou les BlackBerry peuvent permettre de localiser l'utilisateur. La plupart des appareils modernes peuvent aujourd'hui utiliser trois technologies en même temps: le GPS, si les satellites GPS sont accessibles, l'information de la tour de téléphone cellulaire qui est à portée de l'appareil et aussi ces données Wi-Fi. Lorsque vous marchez dans une rue que vous ne connaissez pas, vous pouvez déterminer quels satellites sont accessibles, mais également les endroits où il y a un réseau Wi-Fi, dans les cafés ou chez les particuliers qui habitent dans le quartier, et cette information peut être utilisée pour déterminer où vous vous trouvez.

    Je ne comprends pas encore très bien à quel moment ils ont commencé à utiliser les données Wi-Fi. Je crois comprendre qu'il est possible de les utiliser pour améliorer le processus d'imagerie à l'échelle de la rue, mais que ce n'est pas nécessaire. Le processus s'est amélioré au fur et à mesure, ou quelque chose du genre. Est-ce possible?

    Dans la déclaration qu'ils ont faite à notre intention et à l'intention de toutes les autorités de protection des données en avril, ils ont dit en gros qu'ils tiraient parti du fait qu'ils envoyaient des voitures un peu partout de toute façon...

    D'accord...

    ... mais il s'agit en réalité d'une technologie et d'un service distincts.

    D'accord.

    Est-ce que la collecte de renseignements sur les points d'accès à des réseaux Wi-Fi soulève de quelconques préoccupations quant à la protection de la vie privée? Je sais qu'il y a clairement une préoccupation au sujet des données utiles, mais qu'en est-il de la collecte de données au sujet des points d'accès à des réseaux Wi-Fi? Vous avez parlé du fait qu'il s'agit d'une diffusion publique, sans protection, et vous avez dit que les gens n'ont pas pris de mesures pour protéger leur réseau sans fil, mais y a-t-il une préoccupation relative à la vie privée en ce qui concerne précisément la collecte de données au sujet de points d'accès à des réseaux Wi-Fi?

    Merci, monsieur Siksay.

    Puis-je demander à M. Patrick d'aborder cette question aussi?

    Oui, je vous en prie.

    Il pourrait y avoir matière à préoccupation. Si l'information au sujet de la présence d'un point d'accès à un réseau Wi-Fi peut être liée à une personne, en soi ou en rapprochant cette information d'autres éléments d'information, alors cela pourrait devenir de l'information personnelle et pourrait donc être source de préoccupation pour nous.

    Merci beaucoup, monsieur Siksay.

    Nous allons maintenant passer à Mme Bennett. Madame Bennett, vous avez sept minutes.

    Une voix: Vous voulez dire Mme Davidson?

    Le président: Désolé, il s'agit de Mme Davidson.

    Nous allons passer à Mme Davidson. Vous avez sept minutes. Ensuite nous céderons la parole à Mme Bennett.

    Merci, monsieur le président.

    Merci beaucoup d'être ici avec nous cet après-midi.

    Comme vous pouvez le constater, nous avons beaucoup de questions. Je pense que nous en sommes pratiquement rendus au point — je sais à tout le moins que moi j'ai atteint ce degré de frustration — où la justification de ce qui s'est passé par inadvertance commence à ne plus être très crédible. Nous avons besoin de garanties fermes. Nous avons besoin de savoir vers quoi nous nous dirigeons. Le rythme et la diversité de l'évolution technologique font en sorte qu'il devient aujourd'hui impératif pour nous de mettre en place de meilleurs mécanismes de réglementation et de montrer que nous assurons la sécurité.

    Pour en revenir à la question de Mme Fry au sujet de l'information délicate non sécurisée qui a été recueillie par inadvertance, le fait qu'elle ait été recueillie par inadvertance ou non n'importe plus à ce moment-ci; comment pouvons-nous savoir s'il n'y a pas eu d'infraction au moment où elle a été recueillie? Comment être certains que l'information n'a pas été utilisée à des fins inappropriées? Avons-nous un moyen de le vérifier?

    Monsieur le président, l'annonce que Google a faite lorsque l'entreprise s'est aperçue de l'inadvertance, comme vous dites, est une annonce publique qui a été faite en mai 2010, et les gens de Google ont dit au monde entier qu'ils avaient recueilli des données utiles par inadvertance. Ils ont tout de suite immobilisé leurs voitures et tout de suite interrompu la collecte de données Wi-Fi.

    Dans le cadre de notre enquête, à ma connaissance, rien ne nous a porté à croire que les données qui avaient été recueillies par inadvertance avaient été utilisées à des fins inappropriées. Les enquêteurs sont convaincus que, dès que ça s'est su, comme je l'ai dit tout à l'heure, des mesures de sécurité appropriées ont été prises, et les données ont été isolées et sécurisées de façon adéquate.

    Nous ne sommes pas au courant ou n'avons aucune raison de croire, d'après l'enquête, que les données recueillies ont été utilisées à des fins inappropriées.

    D'accord.

    Nous avons aussi entendu parler cet après-midi de nouvelles technologies auxquelles Google s'intéresse en ce moment. Pouvez-vous nous en parler un peu plus? J'ai lu un peu sur la question, et ce que j'ai lu n'était pas rassurant, à moins que nous ne soyons en mesure de mettre en place certaines restrictions ou une certaine réglementation. Est-ce que l'un d'entre vous peut nous parler un peu de ces nouvelles technologies que Google envisage de mettre au point?

    Je vais faire quelques remarques d'ordre général, puis je vais demander à mon collègue de vous donner des précisions.

    Au moment de l'adoption de tout nouvel outil technologique, ainsi que dans d'autres domaines scientifiques — et de plus en plus dans le cas de la technologie de l'information — nous avons généralement pris dans le passé des mesures pour adopter ce qui est connu habituellement sous le nom de « principe de précaution ». Lorsqu'il s'agit d'adopter et de déployer de nouveaux outils technologiques, en l'absence de preuves scientifiques montrant avec une certitude absolue qu'aucun mal n'est fait, le principe de précaution s'applique. Selon celui-ci, il faut prendre des mesures proactives — les mesures de « suivi préalables », pour parler comme les Allemands — de façon à éviter le risque. Il faut prendre les mesures nécessaires pour prévenir un préjudice éventuel. C'est le message clé que la commissaire et ses collègues de partout dans le monde envoient aux organisations, surtout celles qui, comme Google, sont des organisations modèles et qui donnent le ton: adopter l'esprit du principe de précaution avant de déployer de nouvelles technologies de l'information.

    Je vais demander à M. Patrick d'aborder avec vous les détails de ce nouvel outil technologique.

    Merci de votre question. J'espère que vous la poserez aux gens de Google la semaine prochaine.

    Nous ne connaissons pas précisément le genre de choses qu'ils sont en train de mettre au point. Nous consultons régulièrement la presse spécialisée et assistons aux conférences techniques. Nous savons le genre de choses que Google et d'autres entreprises envisagent. La publicité géodépendante va être une tendance importante; envoyer de la publicité sur votre téléphone cellulaire ou votre système de cinéma maison, en fonction de vous et de vos profils, ce sont des choses dont nous connaissons très bien l'existence, et nous gardons un oeil là-dessus. Au-delà de ces détails, je n'ai pas de connaissance particulière.

    Merci.

    La commissaire assiste à une conférence internationale en ce moment, non?

    Oui.

    Vous attendez-vous à ce qu'elle en revienne avec des recommandations, des pratiques exemplaires, des possibilités d'amélioration ou des choses dont nous pourrons discuter ici en ce qui a trait à la scène internationale?

    Oui.

    Chaque année à l'occasion de cette conférence internationale des commissaires à la protection des données, les autorités de protection des données partout dans le monde, y compris la FTC des États-Unis se réunissent et rédigent et adoptent habituellement des résolutions ensemble. Des résolutions vont être adoptées à l'issue de cette rencontre internationale. Je suis sûre que la commissaire sera heureuse de venir parler avec les membres du comité des résolutions 2010 qui auront été adoptées par ses homologues et elle afin de leur permettre de s'attaquer à ces enjeux mondiaux. Je suis sûre qu'elle sera heureuse de le faire.

    Merci.

    Me reste-t-il du temps?

    Il vous reste 40 secondes.

    La question du Wi-Fi demeure en suspens, et vous attendez d'entendre quelque chose à ce sujet d'ici le 1^er février. Êtes-vous assez sûre que nous allons avoir quelque chose, vu le degré de collaboration? Vous avez mentionné le fait qu'il n'y a pas eu manque de collaboration. Êtes-vous convaincue que vous allez obtenir ce dont vous avez besoin d'ici là?

    Je pense que nous avons toutes les raisons de le croire. Même si Google ne nous a pas donné de réponses officielles, nous avons pris connaissance des réponses dans la presse, comme vous tous, réponses qui portaient sur les mesures concrètes que les gens de Google ont déjà prises. Dans le cadre de notre enquête, nous avons pris connaissance des mesures qui avaient déjà été prises pour entamer le processus de mise en place de structures de gouvernance adéquates au sein de l'organisation, qui est un géant mondial, comme vous le savez. La date du 1^er février a été choisie avec soin, compte tenu du délai raisonnable non seulement pour apporter ces changements, mais également pour obtenir des preuves concrètes du fait qu'ils auront été apportés à l'échelle mondiale. C'est la raison pour laquelle cette date a été choisie.

    Nous avons très bon espoir d'obtenir une réponse positive plus tôt, et nous en serions très heureux. Nous sommes assez persuadés que tout cela va bien se terminer.

    Merci beaucoup, madame Davidson.

    Puis-je vous poser une question avant que nous passions au second tour, madame Kosseim?

    Il s'agit d'une question hypothétique. Selon vous, que serait-il arrivé si Google ne s'était pas fait prendre par les Allemands il y a six mois?

    À ma connaissance, et pour être juste, je ne pense pas qu'ils se sont faits prendre par les Allemands. Je crois que, incités par les questions, ils se sont essentiellement pris eux-mêmes, ont repéré l'infraction et l'ont annoncée immédiatement. Je n'ai aucune connaissance directe de la chose, mais c'est ce que j'ai compris.

    Je pense que, si le danger n'avait pas été cerné au moment où il l'a été, il aurait continué d'exister simplement en raison de la complaisance des responsables, parce qu'on pensait qu'il s'agissait, pour reprendre l'expression utilisée par l'ingénieur, de « préoccupations superficielles concernant la vie privée ». Ce qu'on croyait, c'est que les données recueillies seraient de toute façon très embrouillées en raison de la vitesse à laquelle les voitures passaient devant la source, ce qui les rendrait impossibles à interpréter. On pensait que ce ne serait pas des données ayant un sens. Je pense que le danger qu'aurait posé le fait de ne pas cerner et régler immédiatement le problème, ça aurait été la complaisance avec laquelle on aurait continué de ne pas chercher à comprendre les répercussions sur la vie privée, et, bien entendu, plus on recueille de données, plus le risque est grand qu'il y ait une atteinte à la vie privée des citoyens.

    Voilà essentiellement quels sont les risques, et, comme nous l'avons constaté dans d'autres cas, plus on recueille de données, plus grand est le risque que ces données soient utilisées à des fins inappropriées. Le risque de fuite ou d'un autre type d'infraction devient plus important. Il ne fait que s'accroître à partir de là.

    Merci beaucoup.

    Nous allons commencer le deuxième tour.

    Nous allons passer à Mme Bennett. Madame Bennett, vous avez cinq minutes.

    Merci beaucoup.

    Plutôt que de continuer dans la même veine que tout le monde, je vais vous poser des questions sur ce que nous devons faire.

    Dans le cadre d'une rencontre internationale, il est évident que les gens comme la commissaire se réunissent pour envisager ce qu'il faut faire. Nous avons certainement tiré des leçons de l'affaire Google Street View. J'ai été un peu étonnée d'apprendre qu'un ingénieur peut décider seul qu'il s'agit d'une préoccupation « superficielle » à l'égard de la vie privée et continuer son travail. Il me semble n'y avoir aucune formation sur la vie privée. Ils ont nommé Alma Whitten au poste de directrice de la vie privée; savons-nous qui est cette personne ou si elle a quelconque idée de ce qu'est le respect de la vie privée? Est-ce que les personnes qui occupent le même genre de poste au sein de plein d'autres entreprises qui sont de toute évidence à l'origine de nos progrès sur le plan technologique participeraient à la réunion des commissaires à la protection de la vie privée? Où pouvons-nous trouver les critères de base pour ce qui est de déterminer ce qui constitue une vraie préoccupation concernant la vie privée ou une préoccupation d'importance moyenne, ou encore ce qu'on a appelé une préoccupation « superficielle »? Nous sommes toujours en terrain nouveau, et je pense que, même en médecine, nous avons appris à la dure que les lois suivent vraiment difficilement le rythme de l'évolution technologique.

    Avez-vous des observations quant à ce que vous aimeriez nous voir écrire dans un rapport concernant ce qu'il faut faire? Est-ce que ça pourrait être que la commissaire a besoin de pouvoirs s'approchant davantage de ceux de ses homologues étrangers? En même temps, le NHS est en mesure d'indiquer aux gens où se trouve l'endroit le plus proche où ils peuvent suivre un cours pour arrêter de fumer, et c'est probablement une bonne chose, alors où trouvons-nous l'équilibre entre la nécessité d'aider les citoyens à trouver les choses qui sont pertinentes par rapport à leurs besoins et qui répondent à leurs besoins et le respect de leur vie privée?

    Je pense que l'exemple était assez flagrant. Tout à coup, Google commençait à recueillir toutes ces données sans aucune autorisation préalable, sans préavis et sans respect. Une personne plus éclairée au sujet du respect de la vie privée qu'une entreprise privée devrait en fait procéder comme nous le ferions, c'est-à-dire au moyen d'une contestation juridique et d'une contestation fondée sur la Charte. Nous chercherions à savoir si ça passerait ou non avant de commencer à recueillir tout ça.

    Si vous aviez à rédiger les recommandations du comité quant à ce que nous avons appris et les mesures à prendre de façon plus proactive, quelles seraient ces recommandations? Si vous ne les avez pas devant vous, pourriez-vous les envoyer au comité?

    C'est une très bonne question. Merci.

    Nous allons peut-être faire comme vous dites et y réfléchir davantage puis vous envoyer les recommandations plus tard. Je suis certaine que les gens de notre commissariat seraient heureux de le faire, mais permettez-moi de vous donner quelques suggestions dès maintenant.

    Je pourrais commencer par répéter le message clé de la commissaire et de ses homologues des autres pays, c'est-à-dire de faire savoir à toutes les organisations — mais surtout aux organisations modèles comme Google, qui donnent le ton à l'échelle internationale — qu'elles doivent prendre des mesures proactives pour éviter les risques avant le déploiement de produits et de services. Il s'agit d'un message clé; si vous pouviez le répéter, je pense que ce serait très utile.

    Il y a d'autres choses que le Parlement envisage en ce moment et qui pourraient beaucoup nous aider par rapport à ce que nous devons faire à partir de maintenant. L'une de ces choses, c'est de conférer à la commissaire les pouvoirs et l'autorité nécessaires pour échanger de l'information au sujet des enquêtes en cours avec ses homologues des autres pays, de façon à ce qu'elle puisse comparer les renseignements dont elle dispose avec ses collègues allemands, britanniques, irlandais et australiens et discuter de ce que nous avons constaté, de ce qu'ils ont constaté et de ce que nous devons faire ensemble pour agir avant que ne surviennent les problèmes.

    À l'heure actuelle, la commissaire ne peut pas faire cela, mais le projet de loi C-28 lui conférerait les pouvoirs voulus pour échanger l'information et collaborer de façon encore plus étroite qu'à l'heure actuelle avec ses homologues étrangers dans le but de régler ces problèmes qui touchent l'ensemble du monde.

    Un autre changement auquel pourrait procéder le Parlement, ce serait de lui accorder le pouvoir de choisir à quelles plaintes elle donne suite. En ce moment, elle est tenue d'enquêter sur toutes les plaintes, ce qui prend vraiment beaucoup de ressources, comme vous le savez. Si elle avait le pouvoir d'établir les priorités et de décider quels sont les vrais risques, de recevoir certaines plaintes et de ne pas mener d'enquêtes sur d'autres, alors elle pourrait affecter les ressources de façon plus stratégique pour cibler les risques les plus importants — comme le cas de Google de notre exemple — et affecter les ressources dont elle dispose en conséquence. Ce pouvoir serait utile.

    Enfin, un autre changement qui est proposé au Parlement, c'est le projet de loi C-29, les modifications de la LPRPDE. Comme vous le savez, ces modifications feraient en sorte qu'il serait obligatoire pour les organisations de signaler une infraction. Voilà qui serait très utile pour faire en sorte que les cas d'infraction soient connus et qu'on puisse les régler.

    Merci beaucoup.

    Monsieur Albrecht, vous avez cinq minutes.

    Merci, monsieur le président.

    Merci d'être ici aujourd'hui.

    Je veux poursuivre sur le projet de loi C-28 et le projet de loi C-29. Je comprends d'après vos commentaires que vous êtes très en faveur des mesures proposées dans ces projets de loi qui sont devant le Parlement à l'heure actuelle.

    Je sais que la commissaire a déclaré officiellement qu'elle est en faveur surtout des dispositions dont je viens de parler. Je sais qu'il y a beaucoup de choses dans le projet de loi qu'elle accueille favorablement, et, si on lui demandait de le faire, je suis sûre qu'elle serait disposée à préciser sa position sur d'autres questions.

    Merci. Je n'avais pas l'intention de poser cette question, mais vous avez vous-même abordé la question des projets de loi C-28 et C-29.

    Je suis le premier à admettre que je ne suis pas expert dans le domaine des TI, et vous allez probablement le constater assez rapidement par mes questions.

    Si Google peut recueillir par inadvertance des données utiles sur un réseau Wi-Fi en envoyant une voiture dans une rue, comment puis-je être certain, comme simple citoyen, qu'aucun expert des TI mal intentionné ne va pas passer dans ma rue, faire une enquête personnelle concernant mes données et les utiliser à des fins autres que des fins appropriées?

    Monsieur le président, l'une des principales conclusions de l'enquête et l'un des principaux messages, c'est que, même si Google doit assumer une grande part de la responsabilité, il y a l'autre côté de la médaille, c'est-à-dire que les personnes et les organisations qui utilisent un réseau sans fil doivent prendre les mesures de protection nécessaires pour chiffrer les données pour que vous, moi ou qui que ce soit d'autre qui passe dans votre rue ne puisse recueillir de l'information sur leurs communications.

    C'est une grande responsabilité qui incombe aussi aux personnes et aux organisations.

    C'est donc de l'information non chiffrée qui provient de gens qui donnent négligemment accès à leur réseau Wi-Fi aux gens de l'appartement à côté qui est à l'origine de tout le problème.

    Je veux donner suite à une question que Mme Fry a posée au sujet de l'information confidentielle. Elle a fait allusion à la possibilité qu'on puisse même déterminer à partir des photographies qu'une personne était en vacances. Je veux poursuivre là-dessus.

    Google ne recueille pas de l'information et ne prend pas de photos tous les jours pour Street View. Ce n'est qu'une fois par année, une fois tous les six mois ou encore une fois par mois. À quelle fréquence se font les mises à jour? La probabilité que quelqu'un puisse déterminer que je suis chez moi est plutôt faible, non?

    D'après ce que je comprends, il s'agit de photographies prises à un moment précis. Ce sont des instantanés faits à un moment précis. Il se peut que d'autres informations compromettantes soient recueillies, mais il s'agit d'instantanés.

    D'accord. Disons que je suis un simple citoyen qui n'utilise pas Google tous les jours et qu'une image sur Google Street View révélait quelque chose de ma vie privée, comment en serais-je avisé? Comment pourrais-je m'apercevoir qu'une image est affichée dans Street View depuis six mois sans même que je sache qu'elle existe? Y a-t-il un moyen de trouver ce genre d'information?

    La première chose que vous pouvez faire, comme citoyen, c'est de chercher votre quartier dans Google Maps. C'est un point de départ.

    Pour ça, il faut avoir un ordinateur, il faut accéder à Google et il faut se soucier du fait que sa photo soit affichée dans Street View avant de pouvoir découvrir le problème.

    Oui, vous avez tout à fait raison.

    La réponse n'est pas évidente, mais, lorsque vous cernez un problème, d'après ce que nous savons, les mesures de retrait des images sont beaucoup plus efficaces et beaucoup plus claires. Elles sont accessibles et fonctionnent bien dans Google comme dans Canpages, c'est-à-dire les exemples d'organisations dont nous avons parlé. Ces mesures de retrait des images peuvent être prises, et on obtient une réaction assez prompte.

    Pour les personnes qui ont un ordinateur et qui utilisent Google, il s'agit tout simplement d'envoyer un message à Google, mais pour les gens qui ne savent pas comment utiliser un ordinateur ou qui n'en ont pas, faut-il qu'ils téléphonent à Google? Peut-on téléphoner pour faire enlever de l'information personnelle?

    Je ne suis pas sûre. Je ne connais pas d'autres méthodes que celle qui passe par l'ordinateur.

    Je pourrai poser cette question la semaine prochaine.

    Me reste-t-il du temps?

    Il vous reste à peu près une minute, monsieur Albrecht.

    D'accord.

    Avons-nous une idée de la proportion des rues du Canada qui figurent actuellement dans Google Street View? Est-ce que c'est 80 p. 100 des rues, ou 50 p. 100 ou encore plus près de 100 p. 100?

    Je ne sais pas. C'est peut-être une autre question que vous pourriez poser aux gens de Google. Je ne suis pas certaine.

    Je crois que je vais probablement m'en tenir à ça.

    Est-ce que j'ai encore 30 secondes?

    Oui, allez-y.

    Je poserais peut-être une question à notre conseiller juridique.

    Dans votre déclaration préliminaire, Mme Kosseim, vous mentionnez à la page 5 que l'une des choses que vous recommandez, c'est que « Google supprime les données utiles canadiennes qu'elle a recueillies dans la mesure où elle est autorisée à le faire... »

    Qu'est-ce qui l'empêcherait? Dans quelles circonstances est-ce que Google ne serait pas autorisée à supprimer les données qu'elle a recueillies illégalement de toute façon? Je me demandais si M. Caron pourrait...

    Je pense que la question s'adressait au conseiller juridique.

    Répondriez-vous à la question, M. Caron?

    Merci de votre question.

    La recommandation a été formulée ainsi parce qu'il y a des procédures judiciaires en cours aux États-Unis. Un certain nombre de poursuites au civil ont été intentées contre Google à cet égard, et la commissaire ne voulait pas laisser entendre que Google devait détruire des preuves pouvant être pertinentes dans le cadre de ces procédures. C'est ça, la raison.

    Merci beaucoup, monsieur Albrecht.

    Madame Thi Lac, vous disposez de cinq minutes.

    Madame Kosseim, monsieur Patrick et monsieur Caron, bonjour.

    Ma question fait suite à celle de mon collègue M. Albrecht. Elle porte justement sur les données stockées. Vous avez parlé de la procédure pour retirer les images. Quels sont les délais pour le retrait de ces images, généralement?

    J'aimerais d'abord clarifier une chose. Depuis un certain temps maintenant, les visages et les plaques d'immatriculation sont brouillés. On ne parle donc pas de cela, mais d'autres images qui constituent quand même une préoccupation pour l'individu en question.

     Je ne sais pas exactement combien de temps cela prendrait. Je ne sais pas si nous avons fait l'essai, mais je pense que oui. Je ne peux pas vous dire avec exactitude le temps que cela prend, mais je crois que ce processus est assez efficace.

    Oui, mais vous n'avez pas de données précises sur le temps qu'il faut.

    Je vais demander au Dr Patrick, il le sait peut-être.

    Vous devriez demander à Google quelle est sa politique ou quel est son objectif. D'après ce que nous avons pu constater, ça se passe dans les 24 heures.

    C'est bien.

     Malgré le fait que vous parliez de brouiller les plaques et les visages, je voudrais savoir ce qui est fait pour l'intérêt public. Pensons à la protection de certaines femmes victimes de violence conjugale. Que se passe-t-il si on retrouve des images de maisons ou de centres de femmes, d'écoles primaires ou d'écoles secondaires? Malgré le fait qu'on brouille certaines images, j'ai quand même un peu de difficulté à accepter cela.

    L'intérêt public et, surtout, la protection des jeunes enfants, des mineurs et des personnes victimes de violence est primordiale. Que peut-on faire pour assurer la protection de ces personnes par le système de Google Maps?

    Je vais répondre à cette question en deux parties.

    Nous avons connaissance des pratiques de deux compagnies, soit Google et Canpages. Pour vous donner un exemple, ces deux compagnies ont réagi à ce même problème de façon très différente. Google a entrepris de discuter au préalable avec certains groupes vulnérables pour leur demander quelles étaient leurs préférences et voir comment gérer ce problème. On sait qu'elle a entrepris de le faire et, à notre connaissance, elle a bel et bien poursuivi cette démarche.

    Dans le cas de Canpages, je crois que c'est l'inverse. Cette compagnie a comme politique de ne pas brouiller les images d'immeubles, parce que, ce faisant, cela attire davantage l'attention sur des édifices qui ne sont pas identifiés et que, pour les raisons que vous avez mentionnées, on ne veut pas identifier. Je parle plus précisément d'immeubles pour femmes victimes de violence, par exemple.

    J'ai parlé des enfants et des femmes victimes de violence. Je comprends que lorsque l'on retire certaines images, on va davantage attirer l'attention.

    Une politique pourrait-elle être adoptée pour l'ensemble des institutions scolaires? Cette politique pourrait viser les personnes mineures, que ce soit des étudiants du primaire ou des étudiants du secondaire. Une politique sera-t-elle établie afin que toutes ces images soient retirées?

    Comme meilleure pratique, nous avons recommandé aux organisations qui font usage de ces technologies d'entreprendre un dialogue avec les organismes du quartier pour déterminer comment on peut gérer, ensemble, ce problème. Notre proposition de meilleure pratique est que cette conversation ait lieu avec les communautés en question.

    Merci.

    Merci, madame Thi Lac.

    Monsieur Shipley, vous avez cinq minutes.

    Merci beaucoup.

    Je ne siège habituellement pas au comité, alors si certaines de mes questions ne sont pas tout à fait pertinentes, c'est peut-être la raison.

    Madame Kosseim, je trouve tout cela très inquiétant. Il semble que vous en parliez de façon plutôt subtile, au Commissariat à la protection de la vie privée du Canada. Je ne connais pas le contexte. D'après ce que j'ai lu, l'entreprise compte 23 000 employés. La technologie ne fait pas partie de l'information principale pour elle. Je lis ici — corrigez-moi si je me trompe — que Google a dit vendredi que son objectif est de s'assurer que les travailleurs respectent les règles. L'entreprise instaure également des mesures de protection de la vie privée plus strictes, et elle va s'assurer qu'à partir de maintenant, ses employés comprennent ce qu'est le respect de la vie privée. Je trouve cela révoltant

    Les gens de Google ont dit ça il y a quelques jours seulement, en octobre, et ça dure depuis un an. Il s'agit d'une entreprise qui s'immisce dans la vie privée des gens. Les gens de Google passent dans votre rue, prennent des photos de votre maison, des photos de votre voiture, des photos des gens qui se trouvent dans votre cour, et ainsi de suite, et ils disent: « Oh, on va rendre tout ça flou ».

    Selon la partie concernant la plainte du 1^er juin, Google a recueilli et utilisé des données sans en aviser la personne concernée au préalable. Les gens de Google ne se sont bel et bien pas demandé si, avant de s'immiscer dans la vie privée d'une personne, il fallait peut-être la prévenir. Ils ont dit qu'ils l'ont fait sans identifier la personne avant, ce qui veut dire qu'ils n'ont même jamais pensé à identifier les gens et à leur parler.

    Le pire, c'est qu'ils recueillaient des données sans aucun but précis. Je sais que vous avez dit tout à l'heure qu'ils ne le savaient pas. Pour eux, ils allaient passer dans les rues, et les images seraient rendues floues, peu importe le mot employé, et ils n'ont pas réfléchi. Je pense que la chose la plus importante, en fait, c'est qu'ils n'ont tout simplement pas réfléchi.

    Je ne veux pas être cruel, mais ça me pousserait à croire que ça amènerait vraiment les gens à penser à la corruption. Ça m'amène vraiment à croire que nous sommes maintenant en présence d'une énorme multinationale qui a l'intention de trouver une façon de faire de l'argent. L'un de mes collègues a mentionné que les gens de Google s'intéressent au cinéma et qu'ils font le tour des collectivités pour prendre des photos des propriétés des gens sans que ceux-ci ne le sachent. Ça fait un moment qu'ils le font.

    J'ai une question. Pendant combien de temps ont-ils fait ça avant de se faire prendre? Je sais que vous avez dit qu'ils ne se sont pas fait prendre, mais c'était bien le cas. Combien de temps cela a-t-il pris avant que quelqu'un se rende compte que l'entreprise prenait des photos de choses concernant la vie privée des gens et qu'il fallait peut-être arrêter, parce qu'on s'en était rendu compte? Pendant combien de temps est-ce que ça a duré avant que ça ne finisse pour vrai?

    J'ai deux ou trois réponses à vous donner.

    Je veux simplement préciser que la commissaire était extrêmement préoccupée, alors permettez-moi d'insister là-dessus. Elle était extrêmement préoccupée, et c'est pourquoi elle a lancé le processus de plainte dès le départ.

    Je ne voulais pas m'en prendre à la commissaire. Je ne faisais que m'en prendre au conseil scolaire.

    Non, je veux simplement être claire et juste dans les observations que je fais en son nom.

    Elle a immédiatement lancé le processus de plainte, elle a mené l'enquête avec diligence pour cerner le noeud du problème et elle a créé un précédent en disant: « Je ne veux pas de simples engagements de votre part à faire quelque chose. Je veux que vous me montriez que ça a été fait avant que je n'accepte de dire que le problème est réglé. » Je crois que que ça aussi, c'est important, pour indiquer la gravité de la situation.

    L'autre chose que je tiens à préciser, c'est qu'il s'agit de deux technologies différentes ou de deux déploiements différents. Dans un cas, il s'agit de prendre des photos, ce qui se fait depuis beaucoup plus longtemps et qui a fait l'objet d'une lettre envoyée par la commissaire à l'organisation en 2007 pour lui signaler le fait que cela posait certains problèmes pour elle. Le dialogue visant à faire en sorte que l'entreprise adapte ses pratiques pour qu'elles soient conformes aux lois canadiennes en matière de protection de la vie privée dure donc depuis longtemps. Voilà la première chose.

    Ensuite, l'innovation la plus récente, c'est le fait de capter des signaux radio émis par des réseaux Wi-Fi ou des signaux Wi-Fi diffusés publiquement. C'est quelque chose de très récent. Comme je l'ai dit, je sais seulement que le 27 avril, nous avons été informés du fait que Google faisait cela et qu'en mai, il y a eu un problème. La commissaire a réagi le 30 mai.

    Excusez-moi, j'ai raté cette partie. Depuis combien de temps les gens de Google captent-ils des signaux Wi-Fi? Ce n'est pas seulement au Canada? Est-ce qu'ils l'ont fait aux États-Unis?

    D'après ce que je sais, ils captent des signaux Wi-Fi depuis environ un an.

    Savez-vous s'ils étaient au courant du fait qu'ils recueillaient de l'information personnelle à partir de ces signaux?

    D'après ce que nous savons, ils n'étaient aucunement au courant du fait qu'ils recueillaient des données utiles, et encore moins des données personnelles, d'après ce qu'a révélé notre enquête.

    Et vous croyez vraiment que c'est le cas?

    C'est dans le rapport d'enquête. Une partie du travail de l'enquêteur consiste à procéder à une évaluation de la crédibilité, et c'est la conclusion qui a été tirée.

    Merci beaucoup, monsieur Shipley.

    J'ai juste une question qui découle de la présente question et de la réponse à celle-ci.

    Vous dites qu'ils ne savaient pas qu'ils recueillaient ces données, mais tout porte à croire non seulement qu'ils les recueillaient, mais aussi qu'ils les stockaient. Ils ont soigneusement stocké tout ça, et il s'agit de 600 gigaoctets. Comment pouvons-nous donc affirmer qu'ils ne savaient pas qu'ils recueillaient les données s'ils les ont stockées?

    Je vais vous répéter ce que je comprends, puis je vais demander à M. Patrick de vous répondre en des termes plus précis.

    Il y a deux choses. Il y a les signaux Wi-Fi diffusés publiquement qu'ils savaient qu'ils captaient et qu'ils avaient l'intention de capter. Ce qu'ils ne savaient pas, c'est qu'en les captant, ils recueillaient également des données utiles et importantes, ce qui veut dire non seulement des signaux en soi, mais aussi les communications, le contenu des messages qui étaient transmis à l'aide de ces signaux. Je ne peux pas mieux vous l'expliquer.

    Monsieur Patrick.

    Je vais simplement vous donner quelques précisions là-dessus.

    Lorsque nous avons examiné les données, il y avait 18 gigaoctets. C'est l'équivalent d'à peu près quatre DVD. Ces données étaient mélangées avec des centaines et peut-être des milliers de gigaoctets de photographies prises au même moment. Les voitures de Google sont équipées d'un mécanisme de stockage en format propriétaire qui comprime toute l'information au maximum sur quelques disques durs pendant le trajet. Toute cette information est extrêmement compressée et stockée sur des disques durs dans les voitures, alors il est possible que les gens de Google n'aient simplement pas vu ces données à travers toutes celles qui étaient sur les disques.

    Merci de votre explication.

    Merci, monsieur Shipley.

    Nous allons revenir à M. Siksay. Vous avez cinq minutes.

    Merci, monsieur le président.

    Je crois qu'il y a trois éléments, et je comprends maintenant quels sont ces éléments. Il y a la prise de photographies, au sujet de laquelle nous avons posé des questions et la commissaire aussi, il y a la collecte de données utiles, au sujet de laquelle nous attendons des nouvelles de Google, je crois, puis il y a l'accès à des réseaux Wi-Fi.

    En réponse à mes dernières questions, monsieur Patrick, vous nous avez dit que la collecte de données à des points d'accès à des réseaux Wi-Fi a certaines conséquences sur le plan du respect de la vie privée. Y a-t-il une enquête qui se poursuit en ce moment pour déterminer s'il y a eu atteinte à la vie privée de Canadiens par la collecte de ces données en particulier?

    Merci de votre question. C'est une très bonne question. On ne nous a pas demandé d'enquêter sur cet aspect précis de la collecte de données, alors nous ne l'avons pas examiné en détail.

    Ça ne faisait pas partie de l'enquête, parce que nous nous penchions précisément sur la question de l'interception du contenu. Ce que nous avons dit correspond donc à ce que nous savons jusqu'à maintenant.

    Savez-vous s'il y a quelqu'un ailleurs dans le monde qui se penche sur cet aspect précis du processus?

    On a exprimé des préoccupations en Europe au sujet de la collecte d'informations à des points d'accès à des réseaux Wi-Fi.

    D'accord. Cependant, nous ne savons pas si on a tiré quelque conclusions que ce soit jusqu'à maintenant?

    Au pied levé, je ne saurais pas vous le dire. Je pense qu'on en est à peu près au même point que nous en Europe, c'est-à-dire qu'on essaie de comprendre de quoi il s'agit et de déterminer les mesures à prendre.

    Mme Kosseim a dit tout à l'heure que les gens de Google s'attendaient en quelque sorte à ce que l'information utile qu'ils recueillaient lorsqu'ils passaient dans les rues soit si embrouillée qu'elle serait inutile, et il s'avère que ce n'est pas le cas.

    Je ne sais pas si c'est vraiment une question importante, mais elle vient de me venir à l'esprit. Est-ce que ça veut dire que si une voiture de Google équipée d'une caméra s'arrête à une intersection, alors les gens qui vivent près de cette intersection courent un risque plus grand que leurs données soient transférées directement, vu que la voiture est immobile? Est-ce que ce serait vrai aussi si les personnes dans la voiture étaient en train de faire leur pause du midi et laissaient le système fonctionner ou étaient arrêtés à un feu de circulation, par exemple?

    Merci de votre question.

    Oui, si la voiture est immobile, la quantité de données recueillies sera plus grande. Le logiciel installé dans les voitures était réglé de façon à changer de fréquences. Il y a à peu près 11 fréquences Wi-Fi. Le logiciel changeait de fréquences cinq fois par seconde, alors ce n'était pas comme s'il obtenait un flux continu de données provenant de la maison devant laquelle la voiture se trouvait, mais le logiciel obtenait de plus en plus d'échantillons d'information, si la voiture était stationnée à cet endroit-là.

    Il serait donc plus probable qu'un échantillon complet d'informations soit transféré dans des circonstances du genre?

    Oui.

    D'accord.

    Madame Kosseim, pouvez-vous nous dire avec quels représentants de Google le commissariat est en contact?

    J'ai entendu dire que nous allons recevoir M. Glick la semaine prochaine. Est-ce que c'est avec lui que vous communiquez, ou est-ce qu'il y a d'autres personnes chez Google qui sont des spécialistes de la protection de la vie privée avec qui vous communiquez pour obtenir des réponses à vos questions?

    Je vais demander à Me Caron de confirmer ce que je vous dis, mais, d'après ce que je sais, la personne-ressource avec laquelle nous communiquions dans le cadre de l'enquête, surtout de la dernière partie de l'enquête, c'était le conseil juridique de Google, David Fraser.

    Est-ce qu'il travaille au Canada? Est-il canadien?

    Oui, il travaille dans la région de l'Atlantique, chez McInnes Cooper.

    D'accord. A-t-il des responsabilités précises chez Google en ce qui a trait aux préoccupations relatives à la vie privée, ou est-il conseiller juridique?

    Je ne sais pas.

    Je sais que l'une des choses que la commissaire a demandées, c'est que, d'ici février, les personnes responsables soient clairement désignées et identifiées. En ce moment, y a-t-il une personne désignée au Canada, mis à part le conseiller juridique, à l'égard des préoccupations relatives à la vie privée?

    Simplement pour que ce soit clair, David Fraser est le conseil juridique externe de Google. Peut-être est-ce une question que vous pourriez tirer au clair avec les gens de Google. Je ne voudrais pas me tromper.

    D'accord. Je voulais simplement savoir si nous allions entendre le témoignage de la bonne personne. Vous n'êtes pas en mesure de nous donner d'autres conseils à cet égard pour l'instant?

    Non, désolée.

    D'accord.

    La commissaire a mené l'enquête, elle a formulé des recommandations et elle a fixé des échéances, et elle veut la preuve que Google a réglé les préoccupations qu'elle a soulevées. Dans un cas comme celui-ci, c'est-à-dire où une enquête a été menée et où des recommandations ont été formulées, en général, quelle est la prochaine étape? Si Google ne se conforme pas, qu'arrive-t-il à ce moment-ci? Quelles sont les conséquences de la non-conformité à ce moment-ci de l'enquête?

    Monsieur le président, l'un des pouvoirs que la LPRPDE confère à la commissaire, c'est que, à l'issue de son enquête, surtout si elle recommande quelque chose et que l'organisation ne donne pas suite à sa recommandation, elle a la possibilité de s'adresser à la Cour fédérale aux termes de l'article 15 de la Loi et de traîner l'organisation devant les tribunaux, de demander au tribunal de se prononcer sur ses recommandations et de les faire appliquer par l'intermédiaire d'un juge.

    Ce serait donc la prochaine étape en cas de non-conformité?

    Ce serait la prochaine étape dans tous les cas.

    D'accord. Merci.

    Merci, monsieur le président.

    Merci, monsieur Siksay.

    Nous revenons à Mme Fry. Vous avez cinq minutes.

    Merci beaucoup.

    Je veux reprendre un point que ma collègue, Mme Bennett, a abordé. Elle a parlé du fait que des secteurs de la technologie évoluent très rapidement en parallèle — nous sommes tous les deux médecins — et en médecine, c'est ainsi que ça se passe. Cependant, les gens qui utilisent les outils technologiques en question, par exemple les médecins, ont automatiquement un code d'éthique. Notre code d'éthique, c'est de ne pas causer de préjudice. Ce que je veux dire, c'est que le principe de précaution est inhérent à notre domaine.

    Comme la technologie des communications, entre autres, évolue si rapidement — nous parlons de ce que les gens de Google ont fait — nous devrions réfléchir à ce qu'ils pourraient faire. Ce n'est que très récemment qu'ils ont été en mesure d'élaborer les outils technologiques leur permettant de recueillir de l'information personnelle à partir d'un réseau Wi-Fi.

    S'il existe des entreprises qui ont les moyens techniques de recueillir des données ou de l'information ou de faire des choses qui pourraient causer préjudice, comment faire pour mettre au point un règlement ou une loi? Il est clair que les entreprises ne le font pas. Je ne veux pas m'apesantir sur le cas de Google, mais le fait que les gens de Google n'aient pas pris le temps de réfléchir et qu'ils jugeaient que c'était quelque chose de superficiel m'indique qu'ils ne croyaient pas que ça valait la peine, que la question du respect de la vie privée est une question superficielle et qu'on s'en balance.

    Comment nous y prendre pour mettre au point une loi qui garantisse l'existence de règles éthiques et l'application du principe de précaution visant les entreprises qui ont accès à des outils technologiques préjudiciables? Et Mme Bennett a parlé des avantages de la technologie, et il faut trouver l'équilibre. Comment intégrer cela à une loi ou un règlement qui pourrait prévoir l'obligation de tenir compte des principes de précaution? Lorsque vos outils technologiques évoluent si rapidement, vous devez toujours envisager le mal qu'ils peuvent faire. Je suis ici pour vous dire qu'un médecin ou un radiologiste qui blesserait un patient en utilisant une toute nouvelle technologie et qui serait traîné devant les tribunaux ne pourrait pas dire qu'il ne savait pas ce qui arriverait. Je suis désolée, mais c'est inacceptable. Il faut toujours peser le pour et le contre. Il y a beaucoup d'éléments positifs dans cette technologie, mais il faut tenir compte du mal qu'elle peut faire.

    Est-il important d'intégrer ce genre de règle ou ce libellé dans la loi, et pas seulement dans le contexte de la Loi sur la protection des renseignements personnels? Je veux dire: ça touche aussi la loi sur les communications.

    Votre conseiller juridique est peut-être mieux placé pour répondre à cette question. Que pouvons-nous faire, comme législateurs, lorsque nous constatons l'existence d'une échappatoire, d'une ouverture que nous n'avions pas remarquée, pour assurer une protection et prévenir tout préjudice dans l'avenir?

    Cette technologie évolue trop vite. Nous sommes en train de discuter... et, demain, nous parlerons peut-être de quelque chose de totalement différent. Il faut donc faire intervenir le principe de précaution.

    Je vais laisser M. Caron répondre à cette question.

    Je crois que le commissariat partage vos préoccupations en ce qui concerne l'évolution rapide de la technologie et les répercussions sur la vie privée des nouvelles technologies.

    Je ne suis pas sûr de pouvoir répondre précisément à la question de l'honorable députée, mais je pense que l'une des choses positives qui ressortent de notre expérience de la Loi sur la protection des renseignements personnels et les documents électroniques, la LPRPDE, c'est que nous avons constaté qu'elle offre suffisamment de marge de manoeuvre pour que nous puissions nous occuper de ces nouvelles technologies.

    La loi est entrée en vigueur avant Facebook, Google Street View et les autres applications du genre. Mais comme elle est fondée sur des principes, la loi offre une assez grande marge de manoeuvre pour aborder les nouvelles technologies et trouver le juste équilibre à l'égard du fait de permettre aux entreprises d'offrir des produits novateurs, mais d'une manière qui permet aussi de protéger l'information personnelle — le droit à la vie privée.

    Mais c'est une loi réactive; ce n'est pas une loi proactive. Je parle ici de l'opposition entre la proactivité et la réactivité, c'est-à-dire entre le fait d'être traîné devant les tribunaux lorsqu'on fait quelque chose et le fait de pouvoir faire ce qu'on veut.

    Encore une fois, je n'essaie pas de discréditer Google. Cependant, vous avez envoyé une lettre en juin 2010, et vous n'avez toujours pas obtenu réponse — le mois de novembre arrive dans deux jours — mais les gens de Google trouvent qu'il est approprié d'aborder la question dans les médias. Je trouve que c'est un manque de respect. L'entreprise a eu amplement le temps d'au moins vous envoyer une lettre préliminaire pour vous dire qu'elle a ce que vous voulez, qu'elle y travaille et qu'elle vous enverra une autre lettre deux jours plus tard. Il y a eu cette discussion dans les médias et l'acte de faire fi d'un commissariat à la protection de la vie privée qui a adressé une lettre à une entreprise... c'était il y a quoi, quatre mois? Ce sont les médias qui reçoivent toutes les réponses. Je trouve ça déconcertant sur le plan éthique.

    Simplement pour que ça soit clair, la lettre envoyée en juin avisait Google que la commissaire avait lancé une enquête. Il y a eu une correspondance suivie entre le commissariat et les représentants de Google pendant tout le processus d'enquête. C'est tout récemment que la commissaire a envoyé à Google sa lettre de conclusions préliminaire. Je pense que c'était le 14 octobre.

    Si je peux ajouter quelque chose à la réponse de M. Caron à votre question au sujet de la LPRPDE, l'un des moyens par lesquels les commissaires, ensemble, encouragent les organisations à être davantage proactives, c'est en prenant tous ces principes énoncés dans la LPRPDE et en les appliquant dans le cadre des évaluations des risques concernant la vie privée qu'elles devraient effectuer avant de déployer des technologies. Nous appelons ça une évaluation des facteurs relatifs à la vie privée.

     La LPRPDE offre à toute organisation les outils et les principes dont elle a besoin pour être proactive dans le repérage de la gestion des risques avant le déploiement, si les responsables de l'organisation suivent les principes qui sous-tendent la loi et effectuent une évaluation adéquate des risques en suivant le processus d'évaluation des facteurs relatifs à la vie privée. Ça ressemble beaucoup à une étude d'impact environnemental. Il s'agit des outils nécessaires pour éviter les risques liés aux nouvelles technologies de l'information, que la commissaire est la première à envisager comme des percées importantes et nouvelles, pour autant que les risques relatifs à la vie privée soient gérés de façon adéquate dans le cas du processus.

    Merci beaucoup, madame Fry.

    Madame Freeman.

    Merci, monsieur le président.

    On remarque qu'il y a un consensus chez les parlementaires. Mme Davidson, Mme Fry, M. Albrecht et M. Siksay l'ont mentionné. Nous sommes vraiment inquiets de la situation, de ce qui se passe avec Google Street View et en raison de toutes les dérogations qu'ils ont eues.

    J'ai entre les mains tout un dossier. L'Allemagne et la France songent même à interdire Google parce qu'ils trouvent que cela va vraiment trop loin. Je regarde tous les pays. Nous sommes tous à regarder et à laisser Google continuer à agir. Quel est notre intérêt? Je me pose la question. Pourquoi n'importe quelle technologie peut-elle surgir ainsi sans que nous fassions autre chose que de nous regarder bêtement et de laisser les gens faire les choses à leur manière, cavalièrement?

    Ma deuxième question est la suivante. À la suite de tout ce brouhaha, Google a décidé de nommer Mme Alma Whitten au poste de responsable de la politique en matière de vie privée. En fait, cette femme sera, je pense, le bouc émissaire. Elle va tenter de gérer l'espèce de monstre qu'est Google avec toutes ses tentacules. A-t-elle une formation? Travaille-t-elle avec les commissaires des différents pays? Que fait cette dame?

     Par après, j'aurais une troisième question. Je ne sais pas si je vais avoir le temps.

    Je vais tenter de répondre rapidement à vos deux questions.

    Je vais commencer par la deuxième. Je ne connais pas Mme Whitten. Je ne peux donc pas m'étendre à ce sujet. Je ne sais pas si c'est quelque chose de nouveau pour elle ou si elle a déjà été nommée auparavant. Je peux vous contacter de nouveau pour vous transmettre cette information, ou vous pouvez peut-être poser directement la question aux représentants de Google lors de leur comparution. Une fois qu'on aura la réponse de Google à notre recommandation de mettre en place un système de gouvernance, la commissaire va probablement pousser plus loin son analyse et poser ce genre de question pour s'assurer que le système de gouvernance est assez efficace pour gérer ces grands risques à la protection de la vie privée.

    En réponse à votre première question...

    En fait, ce n'était pas une question, mais un commentaire. Vous n'avez pas besoin de répondre. Nous nous sentons tous dépassés par la situation. On ne sait plus où ils vont s'arrêter. On a l'impression que l'on n'arrivera jamais à colmater les brèches qui vont être créées. Nous avons tous l'air impuissants, que ce soit en Europe, en Australie ou ailleurs. Ils sont tous impuissants. On est impuissant et on les laisse aller. Je pense que cette situation n'a plus de sens. C'est partout pareil.

    J'aimerais revenir sur la situation que l'on vit au Canada. Je sais que le Québec, l'Alberta et la Colombie-Britannique ne sont pas régis par la Loi sur la protection des renseignements personnels et les documents électroniques. Hier, mon collègue Bill Siksay me posait une question à la Chambre. Il voulait savoir quels étaient les avantages de la loi québécoise par rapport à celle du Canada. Travaillez-vous conjointement avec les trois provinces pour avoir exactement la même harmonisation?

    Les provinces que vous avez nommées ont une loi qui a été jugée équivalente.

    Voulez-vous dire qu'elles ont été harmonisées?

    Elles ont été jugées équivalentes — pas pareilles, mais équivalentes en matière de protection. Avec cette certification, ces provinces sont exemptées de l'application de la LPRPDE dans leur territoire. La loi provinciale est reconnue par un processus officiel.

    Je ne veux pas aborder les choses sous l'angle juridique, parce que, de notre côté, on ne reconnaît pas... On trouve que le fédéral fait de l'ingérence dans ce domaine. On considère que les renseignements personnels relèvent des provinces.

    Je ne retiens pas l'information que vous venez de formuler, parce qu'elle est contraire à la Constitution. Je suis avocate. On va donc s'entendre à cet égard. On n'entrera pas dans un débat légal.

    Je voudrais savoir simplement, en ce qui a trait au contenu, de quelle façon on protège les citoyens. Vous dites que c'est équivalent.

    En effet, il y a une collaboration étroite entre les provinces et notre commissariat. Nous tenons des conférences téléphoniques mensuelles pour discuter d'enjeux communs.

    Me reste-t-il du temps, monsieur le président?

    Vous avez le temps de poser une toute petite question.

    La compagnie Canpages a été vendue à la compagnie Pages Jaunes, je pense. Y a-t-il eu une transaction?

    Je l'ignore.

    Ça va, merci.

    Merci, madame Freeman.

    Monsieur Siksay, vous avez cinq minutes.

    Merci, monsieur le président.

    Je veux revenir... probablement à Me Caron. En réponse à une question posée tout à l'heure au sujet de la recommandation concernant la suppression de l'information qui était détenue, vous avez expliqué que la suppression était reportée parce qu'il y a aux États-Unis des poursuites au civil intentées relativement à la collecte des données en question.

    Je veux que ce soit clair. Les données utiles et les données provenant de points d'accès à des réseaux Wi-Fi que Google a recueillies au Canada sont maintenant stockées aux États-Unis, et pas du tout au Canada. Est-ce que j'ai raison de dire cela.

    C'est exact. Les données sont stockées aux États-Unis.

    Savez-vous s'il y a des poursuites au Canada qui ont trait précisément à la collecte de ces données?

    À ma connaissance, il n'y a aucune poursuite au civil à cet égard.

    Et les données canadiennes sont séparées des données américaines. Elles ne sont pas toutes mélangées ensemble? Les données recueillies au Canada sont repérables, comme celles recueillies aux États-Unis? Est-ce que j'ai raison de dire ça aussi?

    Vous avez raison, sauf pour ce qui est de quelques petits problèmes qui se posent du fait que les voitures de Google circulaient près de la frontière.

    D'accord.

    Je me demande simplement pourquoi il y a un retard. Si la recommandation de la commissaire était de supprimer l'information et que, à notre connaissance, il n'y a aucune poursuite au Canada, alors pourquoi devons-nous attendre avant de faire supprimer les données canadiennes ou pourquoi y a-t-il un retard dans ce processus?

    Je crois que ça a peut-être à voir avec les données dont ma collègue vient juste de parler. Certaines de ces données pourraient être pertinentes dans le cadre de certaines des poursuites au civil qui sont en cours et qui ont été regroupées aux États-Unis. Par excès de prudence, donc, nous ne voulions pas recommander à Google de détruire les données qui pourraient être pertinentes par rapport à des procédures en cours.

    Bon, mais qu'en est-il des données en lien précisément avec la zone frontalière?

    Il pourrait y avoir de l'information liée à l'incident des réseaux Wi-Fi qui soit pertinente dans le cadre de procédures en cours aux États-Unis.

    Je pense que ça a à voir avec la frontière, mais aussi avec les communications entre Américains et Canadiens qui peuvent être des courriels ou des communications entre les personnes se trouvant de chaque côté de la frontière. Il peut donc être difficile, dans les messages envoyés par courriel, par exemple, ou dans les communications entre les Canadiens et les Américains, de distinguer parfaitement les données américaines des données canadiennes. C'est le genre de choses complexes qu'il faut démêler.

    Mais si les données canadiennes n'avaient été stockées qu'au Canada et n'avaient pas été transférées en dehors du pays et stockées aux États-Unis, serions-nous aux prises avec ce problème? Si Google avait gardé toutes ces données ici, au Canada, nous pourrions déterminer quelles sont les données canadiennes et les supprimer dès maintenant une fois établi le fait qu'il n'y a aucune poursuite en cours. Est-ce exact? Est-ce que c'est un problème qui découle du fait que nous permettons le transfert et le stockage des données personnelles sur les Canadiens, les données recueillies ici, au Canada, à l'extérieur du pays?

    Je ne peux pas vous répondre avec certitude, mais je pense qu'il faudrait tenir compte des règles de droit sur la preuve. Ainsi, peu importe où les données sont stockées, si elles contiennent des éléments de preuve qui sont pertinents par rapport aux recours collectifs actuels aux États-Unis, il y a une obligation de conservation des données, qu'elles soient stockées au Canada ou aux États-Unis. Je pense que c'est à ce genre de subtilités que la commissaire voulait être attentive.

    Les Canadiens auraient donc cette obligation dans le cadre d'un recours aux États-Unis? C'est ce qui me rend confus. Ce sont des données canadiennes. Elles ont été recueillies au Canada. Serions-nous responsables de préserver des éléments de preuve dont les Américains pensent qu'ils pourraient en avoir besoin à un moment donné, même si tous ces éléments de preuve ont trait à des Canadiens et ont été recueillis ici? Je ne pense pas que ce soit normalement le cas, dans le cadre d'une poursuite normale. Je ne suis pas juriste.

    Je ne peux pas vous répondre avec certitude, mais ça a trait aux cas transfrontaliers où il peut y avoir un mélange de données et de correspondance entre Américains et Canadiens de façon qu'il devient impossible de distinguer le contenu américain du contenu canadien. C'est lié à ça.

    Est-ce que d'autres organismes américains, par exemple Homeland Security, le FBI ou la CIA, ont accès à ces données, maintenant qu'elles sont stockées aux États-Unis? Y ont-ils accès, vu que ces données ne se trouvent plus au Canada? Je sais que nous avons soulevé des préoccupations au sujet du fait que les photographies étaient stockées aux États-Unis et que cela posait un problème sur le plan du respect de la vie privée. J'ai l'impression que nous avons franchi un pas de plus en ce qui concerne la correspondance privée, les courriels, ce genre de choses, maintenant que ce à quoi nous accédons sur Internet sort du pays et est stocké là-bas. Je pense pour ma part que nous avons haussé de beaucoup le degré de préoccupations relativement à la protection de la vie privée. Donc, est-ce que l'un ou l'autre de ces organismes a accès à ces données, maintenant qu'elles se trouvent aux États-Unis?

    Je vais laisser M. Caron répondre à cette question.

    J'imagine que les renseignements personnels sont visés par les lois du pays où ils sont stockés. Il serait donc possible dans certaines circonstances que certains organismes américains aient accès à cette information.

    Ce qui n'aurait pas été le cas si cette information ait été conservée et stockée ici, au Canada.

    Ils y auraient accès par l'entremise du président des États-Unis, par exemple.

    Donc, si les données recueillies au Canada n'avaient jamais été transférées aux États-Unis, ils n'y auraient peut-être pas eu accès ici.

    Je ne peux pas répondre pleinement à cette question.

    Merci, monsieur Siksay.

    Il y a deux ou trois choses que je souhaite aborder, madame Kosseim.

    Premièrement, mercredi, le Federal Trade Council des États-Unis a rendu une décision de deux pages sur la question dans laquelle elle condamne Google, mais sans lui imposer de sanctions. D'après ce que vous savez, est-ce que le problème de réglementation est ainsi réglé aux États-Unis?

    Je crois qu'il s'agit plutôt d'une lettre de la Federal Trade Commission.

    Oui.

    Fait intéressant, la lettre contenait les mêmes messages que ceux que la commissaire a transmis à Google et elle affirme que, vu la réaction récente de Google aux recommandations, que la commissaire avait aussi formulées, la Federal Trade Commission trouvait approprié d'interrompre l'enquête.

    Pour résumer ce que vous venez de dire, je crois que vous avez témoigné du fait qu'un certain nombre de poursuites au civil contre Google sont en cours, mais que, en ce qui concerne le problème réglementaire, l'enquête avait commencé, mais elle a été conclue.

    Il ne s'agit que d'un organisme de réglementation, la Federal Trade Commission. La FCC, la Federal Communications Commission pourrait aussi intervenir. D'après ce que je sais, il pourrait aussi y avoir l'intervention des procureurs généraux de 38 États au moins qui se sont réunis et qui sont en train d'approfondir l'enquête sur l'incident en question pour déterminer s'il leur faut prendre des mesures, et, le cas échéant, lesquelles. Il ne s'agit donc que d'un seul organisme de réglementation.

    Monsieur Caron, savez-vous si d'autres affaires relatives à la réglementation sont en cours?

    Je sais que la Federal Communications Commission a formulé une demande et que, comme Mme Kosseim l'a mentionné, 38 procureurs généraux se penchent sur la question.

    Le dernier point que je voudrais aborder pour le compte rendu, c'est la question de savoir si la commissaire à la protection de la vie privée est convaincue que l'application Street View de Google ainsi que l'équivalent de Canpages, Street Scene, respectent d'ores et déjà suffisamment les droits des Canadiens en ce qui a trait à la vie privée et quelles sont les préoccupations qui restent, si vous en avez.

    En ce qui concerne la technologie d'imagerie à l'échelle de la rue de Google et de Canpages, je veux simplement préciser que, dans un cas comme dans l'autre, les applications n'ont jamais fait l'objet d'une enquête de la commissaire. La question a été réglée par un échange de lettres entre la commissaire et les organisations. Nos connaissances ne sont donc pas aussi approfondies qu'elles l'auraient été s'il y avait eu une enquête à cet égard.

    Cependant, d'après la correspondance et la réponse des organisations, les deux ont fait beaucoup de choses pour se plier aux recommandations de la commissaire ou pour poursuivre leurs activités en harmonie avec celles-ci, et elles ont notamment avisé les habitants des quartiers avant de les visiter, discuter avec les intervenants et les groupes vulnérables, mis au point des procédures de retrait des images ainsi que des mécanismes de conservation et de suppression et d'autres mécanismes de la protection du genre. Ainsi, d'après cette correspondance, il se fait beaucoup de choses. Évidemment, les avis pourraient toujours être améliorés, comme la technologie qui permet de rendre les images floues peut toujours être améliorée, mais, jusqu'à maintenant, il y a eu énormément d'améliorations et de mesures qui ont été prises qui vont dans le sens de ce que la commissaire souhaitait.

    Chers collègues, je pense que c'est la fin des tours. Je crois que c'est la fin des questions.

    Je vais vous demander, madame Kosseim, si vous avez des observations finales à faire devant le comité. Y a-t-il quelque chose que vous souhaitiez nous dire avant de partir?

    Pour résumer, je pense que le point important a déjà été soulevé. Et je remercie tous les députés de nous avoir offert à plusieurs reprises l'occasion de répéter le message clé, c'est-à-dire que nous espérons que les organisations qui conçoivent, élaborent et déploient des technologies de l'information dont tous les Canadiens bénéficient prennent des mesures proactives dès le départ pour cerner les risques, les évaluer et les gérer avant le déploiement à grande échelle de ces technologies. Je vous remercie de m'avoir permis de le mentionner.

    Au nom de tous les membres du comité, je tiens à vous remercier. Je pense que tous les membres du comité sont probablement confus et en même temps très préoccupés par ce qui se passe. Je soupçonne que le monde de la technologie bouge plus rapidement que nous. Mais, encore une fois, c'est peut-être à nous de le rattraper.

    Cela dit, je tiens à vous remercier encore une fois de votre excellent travail. Je tiens à vous remercier d'être venus témoigner ici aujourd'hui.

    La prochaine réunion a lieu mardi à 15 h 30.

    La séance est levée. Merci.