ETHI Réunion de comité

    La séance est ouverte. Bienvenue à tous.

    Le comité consacrera la séance, qui a été convoquée en vertu de l'article 108 du Règlement, à la poursuite de son étude des applications d'imagerie à l'échelle de la rue.

    Le comité a le plaisir d'accueillir cet après-midi M. Jacob Glick, analyste de la politique au Canada chez Google inc. Nous avons accueilli la semaine dernière des représentants du Commissariat à la protection de la vie privée pour discuter de la question avec eux.

    Comme M. Glick n'est parmi nous qu'environ une heure, nous allons nous mettre à l'oeuvre sans tarder. Je crois savoir que le témoin a une déclaration d'ouverture à faire. Je vous cède donc la parole, monsieur Glick. De nouveau, bienvenue au comité.

    Merci beaucoup, monsieur le président et mesdames et messieurs les membres du comité.

    Merci beaucoup de me donner l'occasion de vous rencontrer pour discuter de Street View et de la collecte de données utiles transmises sur des réseaux Wi-Fi, que Google a recueillies par erreur, et de répondre à vos questions.

    Je m'appelle Jacob Glick, et je suis conseiller en matière de politique au Canada chez Google. À ce titre, je travaille avec des organismes de réglementation, des décideurs, des universitaires, des représentants de la société civile et l'industrie à des questions de politique d'intérêt public qui touchent Google et l'Internet ouvert. Au Canada, Google a des bureaux à Waterloo, à Toronto, à Montréal et à Ottawa. Nos bureaux d'ingénieurs de Waterloo et de Montréal développent des produits utilisés par des centaines de millions de personnes sur la planète, et ces bureaux connaissent une expansion marquée.

    Pour commencer, je ferai le point sur les produits Street View de Google, car la comparution de M. Lister devant le comité remonte à juin 2009. Le déploiement de Street View de Google a été un grand succès, et il a montré comment on pouvait concilier vie privée et innovation pour offrir des services de pointe aux consommateurs.

    Avant le lancement de Street View au Canada, nous avons tenu compte de toutes les préoccupations que le comité et la commissaire à la protection de la vie privée ont cernées. Nous avons appliqué la technologie de brouillage la plus perfectionnée pour masquer les visages et les plaques minéralogiques sur toutes nos images. Tous peuvent demander à Google de retirer les images d'eux-mêmes, de leur maison, de leurs enfants ou de leur voiture dans Street View. Enfin, après un an, nous intégrons ce brouillage de façon permanente.

    Les Canadiens sont de fervents utilisateurs de Street View. En chiffres absolus, ils sont au troisième rang des plus grands utilisateurs de ce produit dans le monde, derrière les États-Unis et le Royaume-Uni. Depuis le lancement, les Canadiens de tout le territoire se servent de cette cartographie de nouvelle génération pour tracer le parcours à suivre pour aller au magasin, faire la promotion de leur entreprise locale, vendre leur maison et explorer leur pays en ligne.

    Nous voulons non seulement mettre le comité au courant du déploiement réussi de Street View, mais aussi vous parler de l'incident des réseaux Wi-Fi, ce qui ne se rattache pas à proprement parler à Street View, mais les véhicules de Street View ont servi de plate-forme

    Je tiens à dire d'abord que nous sommes très peinés de cet incident. Ce qui s'est passé n'est pas conciliable avec notre engagement de servir les usagers d'Internet. À dire vrai, cela nous embarrasse.

    Je vais donner un aperçu de ce qui s'est passé et expliquer comment nous avons découvert le problème, ce que nous avons fait tout de suite et ce que nous faisons maintenant pour prévenir tout autre incident semblable. Ensuite, je me ferai un plaisir de répondre à vos questions.

    D'abord, je soulignerai quelques faits importants. Google n'a transféré aucune donnée utile transmise par réseau crypté. Google ne voulait utiliser les données d'aucune manière, et elles n'ont servi dans aucun de ses produits ou services. Aucune donnée utile canadienne n'a été cédée ni communiquée à des tiers. Les données ont été isolées et mises en sécurité.

    Que s'est-il donc passé? En 2007, comme vous le savez, Google se préparait à lancer Street View et déployait un parc de véhicules dans le monde pour recueillir des images à l'échelle de la rue. En même temps, un ingénieur de notre groupe de services géodépendants a eu l'idée d'utiliser les véhicules de Street View comme plate-forme pour faire ce que bien d'autres entreprises ont fait, c'est-à-dire déceler les points d'accès Wi-Fi pour appuyer les services géodépendants.

    C'est une pratique courante dans l'industrie que d'utiliser les points d'accès publics Wi-Fi comme points de repère pour renseigner les utilisateurs sur l'endroit où ils se trouvent. L'ingénieur a conçu le code du logiciel pour recueillir les données réseau Wi-Fi et, hélas, les données utiles également. Par données utiles, on veut désigner le contenu des transmissions.

    Google ne voulait pas de ces données utiles et croit qu'il ne sert à rien de les recueillir et qu'il est inacceptable de le faire.

    L'ingénieur aurait dû signaler aux avocats à l'interne, chez Google, ce plan de collecte des données utiles. Il ne l'a pas fait. S'il l'avait fait, Google aurait eu la possibilité de repérer et de régler le problème dès le début du programme. Le code a donc été déployé sur les véhicules de Street View. Le logiciel a fait ce qu'il était programmé pour faire et il a recueilli les données réseaux et les données utiles Wi-Fi transmises sur des réseaux non cryptés.

    En avril dernier, l'Administration de la protection des données de Hambourg a demandé à Google de vérifier les données recueillies par les véhicules de Street View. Nous avons fait la vérification et constaté que nous recueillions des données utiles en plus des données réseau. Avant d'annoncer publiquement ce que nous avions découvert, j'ai appelé moi-même la commissaire Stoddart pour l'informer du problème.

    Ensuite, Google a fait une annonce publique et présenté des excuses pour l'incident. Soyons clairs: Google ne voulait pas de ces données utiles, qui ont été recueillies par erreur. Peu après que j'eus informé la commissaire Stoddart du fait que des données utiles avaient été recueillies au Canada, elle a entrepris une enquête. Nous avons coopéré avec elle et donné à ses enquêteurs accès aux données utiles canadiennes à notre siège social.

    Pour donner une idée du sérieux de l'enquête, je dirai que les enquêteurs de la commissaire ont été les seules autorités au monde en matière de protection des données qui aient mené leur enquête sur la question au siège social de Google en Californie. La commissaire a publié une lettre préliminaire sur ses conclusions, que nous acceptons. Nous sommes déterminés à régler ce problème.

    On nous a demandé: comment ces données ont-elles pu être recueillies sans que Google le sache? Situons d'abord le contexte: les données utiles Wi-Fi représentent une quantité relativement faible de données. Toutes ces données recueillies au Canada pourraient tenir sur une clé USB qu'on achète chez Best Buy ou Costco. De plus, ce sont les données brutes qui ont été enregistrées sur les disques durs des véhicules: elles ne peuvent être ni comprises ni reconnues à moins d'un traitement qui les rendra lisibles pour l'humain. En dehors de l'ingénieur qui a rédigé le code, personne, chez Google, ne prévoyait utiliser ces données. Personne n'a donc été porté à les regarder.

    Il importe de signaler que Google ne voulait ni recueillir ni utiliser de quelque façon les données utiles, et l'entreprise ne les a utilisées dans aucun produit ou service. Malgré tout, cette collecte de données est inexcusable. Dès que Google a découvert qu'on avait par erreur recueilli des données utiles sur les réseaux Wi-Fi non cryptés, tous les véhicules de Street View dans le monde sont rentrés au garage. Toutes les données utiles Wi-Fi ont été immédiatement isolées et sécurisées. À noter que personne n'a examiné les données utiles provenant du Canada sinon les enquêteurs de la commissaire à la protection de la vie privée et ceux qui ont facilité leur travail. Elles n'ont été communiquées à aucune tierce partie.

    On a le droit de demander quelles mesures Google met en place pour éviter que l'incident ne se reproduise. D'abord, Google a entamé une enquête approfondie pour savoir comment cela s'était passé et quelles dispositions prendre pour empêcher que cela ne se reproduise. Google a commandé un examen du code à des experts indépendants, dont le rapport a été rendu public sur notre bloc et communiqué à la commissaire pendant son enquête.

    Je peux également ajouter que Google a annoncé le 22 octobre un certain nombre de modifications importantes de ses pratiques et contrôles visant à protéger la vie privée. Avant de les rendre publiques, je me suis entretenu moi-même avec la commissaire Stoddart pour l'informer de ces modifications. Elle en a également discuté plus à fond avec mes collègues la semaine dernière. Les modifications annoncées sont les suivantes. D'abord, Google a nommé Mme Alma Whitten au poste de directrice de la protection de la vie privée pour veiller à ce que nous intégrions à nos produits et à nos pratiques internes des contrôles efficaces pour protéger la vie privée. Mme Whitten est une spécialiste internationalement reconnue dans les domaines de la protection de la vie privée et de la sécurité en sciences informatiques. Deuxièmement, nous améliorons notre formation de base en matière de protection de la vie privée en mettant un accent particulier sur la collecte, la manipulation et l'utilisation responsable des données. Enfin, Google ajoute de nouvelles garanties à son système actuel d'application de la protection des renseignements en prévoyant des vérifications internes indépendantes pour protéger la vie privée des utilisateurs.

    Nous estimons que ces modifications se traduiront par une amélioration notable de nos processus et contrôles pour empêcher que des incidents semblables ne se reproduisent. Voilà où nous en sommes. Nous sommes désolés de cet incident et nous en avons tiré des leçons. Nous améliorons nos processus en conséquence.

    Je me ferai un plaisir de répondre à vos questions.

    Merci, monsieur le président.

    Merci beaucoup, monsieur Glick.

    Nous allons maintenant passer au premier tour de questions. Chacun aura sept minutes. Vous d'abord, monsieur Easter.

    Merci, monsieur le président.

    Bienvenue, monsieur Glick, et merci de votre exposé.

    J'admets volontiers que j'ai un peu de mal à comprendre certains éléments de cette technologie moderne. Pouvez-vous m'expliquer, en des termes de profane ce que sont les « données utiles » et, au fond, comment le système les recueille?

    Bien sûr. Merci beaucoup de cette question technique importante. Avant de commencer à répondre, je dois présenter des excuses: j'ai une formation de politicologue et de juriste. Je suis une sorte d'intello. Je vais essayer de répondre à votre question de mon mieux, mais s'il y a d'autres questions parce que je ne suis pas clair, je serai heureux d'apporter des précisions.

    On peut toujours interroger Google.

    J'aurais sans doute pu googler.

    Très bien. J'utilise tous les moteurs de recherche. Il y aussi Bing et Ask.com.

    Vous voulez que je cherche sur Google?

    Votre collègue va googler sur son BlackBerry, mais entre-temps, voici comment je comprends la chose.

    Lorsque des données sont transmises sur Internet, elles se composent de deux éléments: les en-têtes et les données utiles. Les premières sont l'information d'identification de base. Dans ce cas, c'est l'information identifiant le réseau que nous essayions de recueillir. Par exemple, si on se trouve chez Starbucks, il y a le nom du routeur. Voici un bon exemple: quand on allume son ordinateur portable, on cherche les réseaux Wi-Fi disponibles, car tous les portables ont une antenne Wi-Fi intégrée, et on voit qu'il y en a cinq, par exemple. C'est l'information que nous cherchions à recueillir: le nom du réseau et d'autres données techniques sur le réseau. C'est l'information que vous voyez sur votre BlackBerry lorsque vous l'allumez et cherchez les réseaux Wi-Fi disponibles.

    L'autre élément, ce sont les données transmises sur le réseau. Par exemple, si je navigue sur Internet et cherche les maisons de vacances en Floride, le contenu des pages Web qui est transmis constitue ce qu'on appelle les données utiles.

    Voilà la différence entre les « données réseau » et les « données utiles ». Dans le premier cas, il s'agit du point d'accès sans fil et dans le deuxième, du contenu transmis sur le réseau.

    J'ai répondu à votre question?

    Plus ou moins. Je devrai peut-être consulter Google...

    Non, voici.

    Je dois ajouter que nous avons un certain nombre de notes à ce sujet sur notre blogue.

    La troisième réponse. dans la recherche sur Google, ce sont vos excuses.

    Très bien.

    J'y lis: « Failed badly ».

    Exact. Cela concorde avec mon témoignage.

    Hier soir, je suis allé avec quelqu'un d'autre sur Street View. Il est vrai qu'on peut chercher des endroits très précis, même si la photo date d'un certain temps. Le brouillage masque l'identité de la personne. Mais je suppose que si on connaît la personne, on peut tout de même la reconnaître

    L'une des préoccupations initiales présentées au comité et à la commissaire à la protection de la vie privée tenait au fait qu'on n'informait pas les gens au préalable et qu'on ne leur demandait pas leur consentement. Google prétend maintenant avoir répondu à toutes ces préoccupations. Comment avez-vous fait?

    Nous avons travaillé précisément là-dessus avec la commissaire à la protection de la vie privée. Le commissariat a conclu que le fait de publier et de faire paraître dans les médias l'information sur les endroits et le moment où les véhicules circuleraient constituait un avis suffisant pour le convaincre que nos obligations aux termes de la législation sur la protection des renseignements personnels sont respectées. Je dirais que c'est confirmé par la publicité que la collecte des données de Street View a reçue. Je dis parfois, quand je discute de la question avec des gens, que c'est la collecte de données cartographiques la mieux publicisée de l'histoire du Canada. En fait, nous avons des concurrents qui offrent le même genre de service, des services d'imagerie à l'échelle de la rue au Canada, et il est possible que vous ne les connaissiez pas, même s'ils ont fait paraître le même genre d'avis dans les médias parce que la commissaire à la protection de la vie privée le leur demandait.

    Comme Google est une grande entreprise, les médias lui accordent beaucoup d'attention, mais il est vrai que la collecte des données de Street View a fait l'objet d'une attention incroyable dans les médias. Au bout du compte, si je comprends bien, la commissaire a été satisfaite.

    J'ignore si vous êtes allés dans ma région, mais on m'a dit qu'une voiture de Google avait parcouru les routes pour faire de la photographie.

    Comment empêchez-vous qu'une grande quantité d'information sur les habitations ne soit disponible, lorsque les propriétaires ne veulent pas qu'elle le soit? Quelles sont les mesures de prévention?

    Nous avons une solide procédure qui permet à n'importe qui de signaler une objection à toute image. Si quelqu'un se voit, voit sa maison, ses enfants, sa voiture, il peut demander à Google de retirer ces images. Nous répondons à ces demandes, en anglais et en français, normalement dans les 24 heures. Par conséquent, si vous voyez votre maison sur Street View et ne voulez pas...

    Désolé. Je ne veux pas vous interrompre, mais tout le monde ne va pas voir. Tout le monde ne sait pas que ces images existent. Dans le cyberespace, si j'envoyais un courriel critiquant Pierre Poilievre, ce message resterait pour toujours dans cet espace. Il serait vexé et ne me pardonnerait jamais.

    Il ne me ferait jamais ça.

    Voici ce qui me préoccupe. Oui, les images sont retirées, mais bien des gens qui risqueraient d'être offensés ne savent pas qu'elles existent. Une fois que les images sont là, elles sont là pour toujours, n'est-ce pas? C'est ce qui m'inquiète dans ce système.

    À vous, monsieur.

    La réponse brève? Lorsque nous retirons les images, elles sont retirées pour de bon.

    La réponse longue à votre question... Que font ceux qui n'ont pas accès à des ordinateurs et n'ont donc pas la possibilité de faire retirer des images? D'après les statistiques, un bon nombre de Canadiens utilisent cette application quotidiennement. Pas tous les Canadiens, bien sûr, mais c'est un produit très populaire, comme je l'ai dit dans ma déclaration d'ouverture. Il y a plus de Canadiens que de Japonais qui utilisent Street View. En chiffres absolus et non par rapport à la population. C'est un produit incroyablement populaire et utile. Bien des gens qui ne savent pas lire les cartes peuvent comprendre l'information cartographique de base. C'est donc un service utile. Mais il faut évidemment concilier l'utilité du service et les importantes questions de protection de la vie privée que le comité, la commissaire et d'autres ont soulevées. Nous croyons y être parvenus.

    Merci beaucoup, monsieur Easter.

    Nous allons maintenant passer à M. Nadeau.

    Monsieur Nadeau, vous avez sept minutes.

    Merci, monsieur le président.

    Bonjour, monsieur Glick.

    À la suite de la recommandation de la commissaire à la protection de la vie privée, pourrais-je savoir qui, chez Google, est responsable de la confidentialité?

    Mes excuses à l'avance. Je ne parle pas français. L'interprète a dit « in charge of confidentiality », mais je présume que vous voulez dire « responsable de la protection de la vie privée ».

    Monsieur Nadeau, voulez-vous répéter...

    À la suite d'une recommandation de la commissaire à la protection de la vie privée, j'aimerais savoir qui, chez Google, est maintenant responsable de la confidentialité? Y a-t-il un individu, un employé, un vice-président de la société, y a-t-il une personne responsable de la confidentialité?

    La réponse brève, c'est que Mme Whitten a accepté le poste de directrice chargée de la protection de la vie privée. Elle devra non seulement diriger, comme elle l'a déjà fait chez Google, les équipes d'ingénieurs qui travaillent aux questions de protection de la vie privée, mais aussi assumer la responsabilité accrue, chez Google, de coordonner les équipes d'ingénieurs et les équipes chargées de produits aux plus hauts échelons de la gestion. Elle relève désormais du directeur des services de génie et de notre division des produits.

    Dans une entreprise comme Google, qui met tellement l'accent sur l'innovation et le génie, il est important d'avoir quelqu'un qui a un bagage en sciences informatiques, qui a un doctorat en informatique pour pouvoir parler la même langue que les équipes chargées de produits si on veut apporter un changement réel. Cet élément de la hiérarchie, de la responsabilité, sera confié à Mme Whitten. Bien entendu, nous avons également des gens disséminés dans toute l'organisation qui ont des comptes à rendre en matière de protection de la vie privée.

    Je peux entrer dans les détails si cela vous intéresse.

    Oui, cela va m'intéresser.

    Vous pourrez glisser des réponses à cet égard, à la suite d'autres questions. Vous nous avez mentionné quelles étaient les tâches principales de Mme Whitten.

    Quels sont ses antécédents? Travaillait-elle au sein d'une société semblable auparavant ou arrive-t-elle de l'université? Quelle était sa formation, avant de travailler à ce dossier extrêmement important?

    Elle est chez Google depuis un certain nombre d'années. Je n'ai pas sa biographie sous les yeux, mais nous pourrons nous servir du Bing de Microsoft plus tard pour chercher cette information. Je peux vous dire quelle détient un doctorat en sciences informatiques et en sécurité et qu'elle a publié de nombreux articles sur l'informatique, la sécurité et la protection de la vie privée. Depuis un certain nombre d'années, elle est, dans le monde et chez Google, un chef de file en ce qui concerne la réflexion sur la protection de la vie privée et la sécurité. Elle a une compréhension intime de ces questions.

    Autre fait important à signaler, et cela ajoute de la couleur, elle travaille à Londres et non à Mountain View, en Californie. C'est important, car elle peut faire valoir un point de vue qui n'est pas uniquement américain, mais plutôt mondial. Si vous pensez qu'il y a seulement des conceptions américaines de la protection de la vie privée, par exemple, je dirai que nous voulons faire intervenir des perspectives mondiales dans la conception et l'implantation des principes, pratiques et normes qui existent déjà chez Google, qui ont déjà contribué au développement de ses produits. Elle a été un chef de file dans un certain nombre d'initiatives chez Google, et cette perspective continuera d'exercer une influence aux plus hauts niveaux.

     J'aimerais poser une autre question sur un autre sujet.

    Si j'ai bien lu, en Italie, avant que Google ne se présente pour prendre des images à l'échelle de la rue — c'est le sujet dont on parle aujourd'hui —, il y a des règles à suivre. Par exemple, sauf erreur, il doit être annoncé au moins trois jours à l'avance, sur votre site Internet, que vous serez à tel endroit en Italie afin de capter des images. Vous devez également l'annoncer dans deux journaux de la région concernée.

    Est-ce bien de cette façon que ça fonctionne en Italie?

    Je ne connais pas très bien les règles qui régissent le captage d'images en Italie. Je peux vous dire que, à propos de l'avis et de la collecte au Canada, j'ai moi-même...

    J'ai lu cela dans les documents que l'on nous a remis. Il faut également qu'une station de radio annonce que Google sera sur place pour capter des images. Il faut aussi que le ou les véhicules en question soient bien identifiés, et que des collants indiquent quand il y aura prise d'images.

    Vous dites ne pas « être au parfum ». Cela dit, seriez-vous d'accord pour qu'au Canada, dans l'ensemble du territoire, ces règles s'appliquent également?

    Nous avons cherché la commissaire à la protection de la vie privée une solution sensée en droit canadien, une solution qui lui semble acceptable et que nous pensions acceptable pour le comité et les Canadiens, afin de prévenir les Canadiens avant le captage des images. Comme vous l'avez signalé fort justement, tous nos véhicules sont clairement identifiés, et la même chose vaut sur toute la planète. Il est visible que ce sont des véhicules de Google et nous avons un site Web que nous mettons constamment à jour en fournissant de l'information sur les endroits où nous allons capter des images.

    Quant à indiquer avec précision le jour et l'heure ainsi que le quartier, il y a là un niveau de complexité qu'il faut admettre. Ce sont des véhicules qui circulent et il faut tenir compte de la météo et d'autres facteurs, si bien qu'il est difficile de prédire avec précision où et quand les véhicules se trouveront. Il reste que, en général, nous fournissons ce qui nous semble un avis complet et acceptable, aussi bien au Canada qu'ailleurs dans le monde, bien que le contenu précis de l'avis puisse varier légèrement.

    Il y a cependant un autre point important à souligner à propos de cette question. Google n'est pas la seule entreprise qui capte des images à l'échelle de la rue au Canada. Pour créer les cartes GPS qui servent dans la plupart de vos voitures et sur les sites Web qui offrent des cartes numériques, les entreprises captent de l'information numérique, et elles suivent une démarche très semblable à la nôtre et prennent des photographies de toutes les rues et de toutes les maisons. Et, que je sache, elles ne préviennent personne. Aucun organisme de réglementation n'a examiné leurs activités, que je sache, et elles n'ont pas les mêmes obligations que nous en ce qui concerne la conservation des données.

    Si nous comparons les activités de nos concurrents aux nôtres, il est important de se situer dans un contexte plus large: toutes les cartes numériques que vous utilisez sont produites à partir de photographies à l'échelle de la rue. C'est ainsi qu'on crée ces cartes.

    Merci, monsieur Nadeau.

    Monsieur Siksay, vous avez sept minutes.

    Merci, monsieur le président.

    Merci de votre présence, monsieur Glick. Je suis d'accord pour dire que c'est pour parler d'une question très sérieuse que nous vous avons invité.

    Je reviens à la nomination de Mme Whitten comme directrice de la protection de la vie privée chez Google. Vous dites qu'elle travaille à Londres et qu'elle relève directement du directeur des services de génie et du directeur de la production.

    Où travaillent ces deux directeurs?

    En Californie.

    Vous êtes probablement passés maîtres dans les télécommunications, mais Londres me semble un peu éloignée de l'endroit où se font les travaux de génie et le développement de produits.

    Comment Mme Whitten communique-t-elle avec les gens qui font le travail?

    Il y a une réponse longue, mais en bref, elle va se déplacer en avion plus souvent qu'elle ne le fait aujourd'hui. Si elle n'est pas encore dans la catégorie Super Élite aujourd'hui, elle le sera.

    Pour être plus précis, disons que Google développe des produits dans le monde entier. À 200 kilomètres d'ici, à Montréal, nous avons des ingénieurs parmi les plus talentueux au monde qui travaillent à des produits conçus non pour le Canada, mais pour tous les usagers de Google dans le monde. Il n'est donc pas vrai que toutes les décisions sur les produits et les techniques se prennent à Mountain View, en Californie. Elles se prennent dans le monde entier.

    Un des produits intéressants pour la protection de la vie privée que Google a mis sur le marché l'an dernier est le Google Dashboard, qui...

    C'est très bien, mais nous parlerons des produits une autre fois.

    D'accord.

    Je veux parler de toute la question de la protection de la vie privée et voir qui s'en occupe.

    Vous dites donc qu'il y a au Canada des gens qui développent des produits. Qui est leur supérieur? Avec qui travaillent-ils afin de tenir compte de la protection de la vie privée dans le développement de produits créés spécialement au Canada?

    Les équipes chargées de produits au Canada assument cette responsabilité comme toutes les autres équipes semblables dans le monde entier. Cela dit, tout ingénieur est responsable de la collecte, de l'utilisation et de la manipulation des données et doit en rendre compte, et nous allons étoffer cette fonction.

    De plus, il incombe à leurs gestionnaires d'établir des plans de produits exacts qui décrivent avec exactitude le fonctionnement des produits.

    Les équipes ont également des avocats affectés à chaque produit de Google. Ils examinent la conception des produits, les plans et leurs réalisations pour assurer le respect des lois, y compris en matière de protection de la vie privée.

    De surcroît, nous faisons régulièrement des vérifications de la conformité de tous les produits de Google. Nous avons terminé récemment la vérification de 200 produits. Il y a donc...

    Ce système était-il en place lorsque le produit Street View a été lancé et qu'il y a eu des ratés dans la composante des points d'accès Wi-Fi? Je présume que le produit a été développé en Californie. Est-ce que ce système est en place maintenant, avec tous les gens dont vous parlez ou est-ce un nouveau système qui a été mis en place depuis l'erreur commise?

    Ce que j'ai décrit, c'est un peu des deux. Je répondrai donc que la protection de la vie privée a toujours été un élément important dans la conception des produits, et ceux-ci reflètent cette préoccupation. L'incident a été une anomalie, mais ce n'est pas une excuse. Je n'essaie pas de le faire excuser, et c'est pourquoi nous ajoutons des garanties pour prévenir tout autre incident semblable.

    Y aura-t-il une liste de Canadiens qui seront chargés des questions de protection de la vie privée chez Google au Canada? J'ai l'impression que c'est une recommandation de la commissaire à la protection de la vie privée, soit qu'il y ait des personnes clairement désignées et identifiées qui participent activement au processus et répondent de la conformité de Google aux lois sur la protection de la vie privée. Y a-t-il déjà ou y aura-t-il une liste de personnes responsables de cet élément au Canada?

    Google ne suit pas le modèle classique des filiales, dans lequel il y aurait un président pour Google Canada, un directeur des finances pour Google Canada, etc. Ce que je peux répondre à votre question, c'est qu'il y a des gens, et il y en aura encore plus, qui sont responsables de la protection de la vie privée chez Google, à commencer par Mme Whitten, mais il n'y aura pas qu'elle. Il y aura des gens au Canada qui feront partie de cette équipe, mais c'est une équipe mondiale.

    D'accord. Une autre recommandation de la commissaire qui remonte à la mi-octobre veut que Google supprime les données utiles recueillies au Canada. Est-ce chose faite? Que prévoit-on?

    D'après mon interprétation du rapport, la commissaire nous a demandé de supprimer ces données une fois la plainte réglée. La conclusion qu'elle a livrée dans sa lettre était préliminaire. D'après le fonctionnement du commissariat, il doit y avoir une conclusion définitive à un moment donné.

    On peut présumer que cela viendra en février, après que nous lui aurons répondu. J'ai donc compris que nous devrions supprimer les données après février. Si je fais erreur, je serai heureux de discuter de nouveau avec la commissaire. Nous ne voulons pas de ces données.

    Selon moi, la commissaire dit qu'il faut les supprimer immédiatement, à moins qu'il n'y ait une raison... L'entreprise a-t-elle décidé qu'il existe une raison quelconque de ne pas les supprimer immédiatement? Vous dites que vous attendrez jusqu'après février. C'est dans des mois...

    Nous n'avons pas fait cette analyse, mais nous la ferons. Si on nous permet de supprimer les données, nous les supprimerons.

    Quand cette analyse se fera-t-elle? Quelques semaines ont passé depuis que nous avons reçu ce rapport. Je présume que vous avez reçu des rapports semblables d'autres endroits, et vous dites que vous avez sécurisé et isolé ces données. Qu'est-ce qui vous empêche de les supprimer tout de suite? Pourquoi attendre jusqu'en février?

    Je vous promets de faire un appel dès que je quitterai le comité, et je demanderai que l'analyse commence.

    D'accord.

    Je dois ajouter que, dans d'autres pays, nous avons supprimé les données à la demande du commissaire à la protection de la vie privée de ces pays, là où la loi le permettait. Dans ce cas-ci, lorsque j'ai appelé la commissaire à la protection de la vie privée à ce sujet en mai, je lui ai demandé expressément ce qu'elle voulait que nous fassions des données canadiennes, les conserver ou les supprimer. Elle m'a dit que nous devrions les supprimer. C'est ce que nous avons fait pour le Canada.

    Vous avez supprimé les données?

    Désolé, je me suis trompé.

    Oui. Je ne m'y retrouve plus.

    Elle m'a dit à ce moment-là de conserver les données, et c'est ce que nous avons fait.

    Très bien.

    Vous avez parlé de pays où les données ont déjà été supprimées. Est-ce parce que les données étaient conservées sur place au lieu d'être transférées dans un pays tiers comme ce fut le cas au Canada?

    Non.

    Donc, dans certains pays, vous avez déjà supprimé les données à la recommandation des commissaires à la protection de la vie privée, mais les données canadiennes n'ont pas été détruites — je ne comprends pas pourquoi — même si notre commissaire a recommandé qu'elles le soient immédiatement.

    J'ai compris que le mot « immédiatement », dans le rapport, voulait dire au moment de la publication du rapport final.

    Est-ce vous qui analysez le rapport, monsieur Glick, ou ce travail est-il confié à Mme Whitten?

    Un certain nombre de personnes font cette analyse et je vais certainement y participer aussi.

    À mon idée, « immédiatement » veut dire tout de suite et pas en février. Il serait bon de connaître la réponse de Google à cette question précise.

    Monsieur Siksay, votre temps de parole est terminé.

    À vous, monsieur, et répondez à la question.

    Merci, monsieur le président.

    À propos de la question du député, il doit être clair que, comme je l'ai dit dans ma déclaration d'ouverture, nous ne voulons pas avoir ces données. Si j'ai mal compris la commissaire, je présente des excuses et nous allons faire ce qu'il faut.

    Voilà ma réponse.

    Merci, monsieur Siksay.

    Monsieur Poilievre, vous avez sept minutes.

    Merci, monsieur Glick, d'être parmi nous aujourd'hui.

    Pour retracer schématiquement ce qui s'est passé, disons que vous avez découvert à la faveur d'une vérification que Google avait par inadvertance recueilli des données non recherchées.

    C'est exact.

    Lorsque cette constatation a été faite, Google a déclaré l'erreur aux commissaires à la protection de la vie privée dans les pays où l'entreprise a des activités. C'est juste?

    Nous avons déclaré l'erreur aux commissaires des pays touchés par cette collecte erronée de données.

    Pourriez-vous nommer de nouveau rapidement ces pays?

    Ce sont les pays où les services de Street View sont disponibles. Je ne pourrais pas vous donner la liste de mémoire.

    Très bien. J'imagine qu'il y a des dizaines de pays.

    Il y a les États-Unis, le Royaume-Uni, le Canada, l'Irlande, l'Australie...

    Combien de temps après les avoir avisés avez-vous rendu publique l'information? Je veux dire l'existence de l'erreur et non les données mêmes?

    Quelques jours.

    D'après la séquence des faits dont j'ai pris connaissance aux informations et dans d'autres comptes rendus, il semble qu'une erreur ait été commise par inadvertance, de façon non intentionnelle, mais que, une fois l'erreur décelée, Google ait immédiatement assumé la responsabilité et informé les autorités compétentes et le grand public.

    Exact.

    Depuis, l'entreprise s'est engagée à résoudre le problème en détruisant les données qu'elle n'avait pas l'intention d'acquérir.

    C'est juste.

    Il me semble que c'est le genre de mesures qu'une entreprise doit prendre lorsqu'elle découvre une erreur de cette nature, et je félicite Google d'avoir assumé publiquement la responsabilité et d'avoir cherché rapidement une solution au problème.

    Pour renseigner un peu mieux le grand public sur la protection de leur vie privée à l'ère du numérique, pourriez-vous dire quel genre d'information on peut trouver dans les données utiles? Par exemple, je crois comprendre que les données n'ont jamais été transformées de façon à être lisibles chez Google, mais, à supposer que quelqu'un d'autre ait ces données, pourrait-il lire des courriels privés expédiés sur le réseau?

    C'est une excellente question et une belle occasion de donner un peu plus de détails d'ordre technique. Merci.

    La réponse brève... Les commissaires et les enquêteurs en ont un peu parlé la dernière fois, mais j'y reviens. Le logiciel a été conçu pour changer de canal cinq fois à la seconde. Il y a 11 canaux Wi-Fi, et le logiciel est conçu pour passer de l'un à l'autres cinq fois à la seconde. Les véhicules passent dans la rue et, cinq fois à la seconde, le canal change et les données utiles sont échantillonnées. Les données ainsi recueillies sont très fragmentées. Par conséquent, seul un fragment de l'information envoyé à un moment donné est recueilli.

    Statistiquement...

    Cela voudrait dire par exemple que, si j'ai envoyé mon courriel au moment précis où le véhicule de Google était à portée de mon réseau, la totalité ou une partie de mon message a pu être interceptée pendant ce laps de temps d'un cinquième de seconde, n'est-ce pas?

    C'est la conclusion de l'enquête de la commissaire à la protection de la vie privée, et nous l'acceptons telle quelle. Statistiquement, on s'attend à ce que les choses puissent se passer de cette façon, et nous acceptons que les fragments de données recueillis puissent contenir des renseignements personnels.

    Très bien. Je ne veux pas tourner le fer dans la plaie, car je comprends que Google tient à régler le problème, mais j'essaie d'en arriver au problème plus large de la protection de la vie privée des Canadiens, si d'aventure des gens mal intentionnés dans le monde interceptent leurs renseignements personnels. Manifestement, Google n'avait aucune intention condamnable. Personne n'a dit que Google avait des intentions douteuses, et ce n'est pas ce que je dis non plus, mais si d'autres personnes avaient à leur disposition la technologie nécessaire pour intercepter les données échangées entre réseaux, y a-t-il là un problème dont les Canadiens doivent se préoccuper ou est-ce exagéré de dire que cela risque de se produire?

    Selon moi, les Canadiens devraient vraiment prendre des mesures pour se protéger contre cette éventualité, et il y a des mesures importantes que chacun peut prendre pour se protéger et protéger ses données. Je peux vous en donner deux.

    Je vous en prie.

    D'abord, si vous avez un routeur Wi-Fi, protégez-le par un mot de passe.

    D'accord.

    Cela a pour effet de crypter votre réseau, de sorte que les données échangées sont comme du charabia. Personne ne peut les déchiffrer à moins d'avoir un ordinateur quantique. Je blague. J'ajouterai que je ne crois pas qu'il existe un ordinateur quantique capable de déchiffrer un cryptage.

    À ce propos, et avant que vous ne passiez à la deuxième mesure que vous recommandez aux Canadiens, est-ce que les données utiles que vous avez recueillies provenaient seulement de réseaux non sécurisés? Il doit y avoir des cas où les gens ont négligé de protéger leur réseau par un mot de passe. Est-ce exact?

    C'est exact.

    Dans le cas de ceux qui ont protégé leur réseau Wi-Fi à domicile par un mot de passe, si vous étiez passés à proximité en faisant ces cinq captages à la seconde, vous n'auriez pas pu intercepter mon courriel si j'avais la protection d'un mot de passe à la maison. Est-ce exact?

    Oui.

    Très bien. C'est donc une bonne idée pratique.

    Vous avez dit que vous aviez une autre idée.

    C'est là que le marché intervient. Les Canadiens devraient opter pour des services qui ont un cryptage intégré. Il y a par exemple un certain nombre de produits différents pour le courriel. À ma connaissance, le Gmail de Google est le seul grand service de courriel qui ait des connexions cryptées intégrées. Si vous utilisez Gmail, chaque fois que vous vous branchez, le choix par défaut est une connexion cryptée. Même si vous communiquez avec un réseau non sécurisé, votre connexion par Gmail est protégée. Google a investi temps et argent pour ajouter un cryptage à ses produits. C'est là que le marché peut être utile, car les Canadiens devraient choisir des produits et services qui ont un cryptage intégré.

    Merci beaucoup, monsieur Poilievre.

    Merci, monsieur Glick.

    Chers collègues, voilà qui met fin au premier tour. Le deuxième va s'amorcer, et chacun aura cinq minutes.

    Madame Bennett, ce sera d'abord vous. Cinq minutes.

    Merci.

    Pour revenir à la question de mon collègue, si on tape « paylod.data » dans Google, la première mention qu'on obtient est la définition de Wikipédia, la deuxième renvoie à Whatis.com et la troisième, ce sont les excuses de Google: « Says Failed Badly » du 18 mai 2010.

    À en juger d'après ce que vous avez dit, il est manifeste que les données ont été recueillies par erreur. Le problème remonte à un code quelconque qui a été écrit en 2006. Le logiciel ne devait permettre de capter que les données sur l'origine des signaux Wi-Fi. Je me préoccupe de l'ingénieur qui a rédigé le code...

    Première question: cet ingénieur est-il toujours au service de Google?

    Malheureusement, il s'agit d'une question personnelle, et je ne peux rien dire.

    D'accord.

    Le fait que cet ingénieur ait décidé de son propre chef que ce n'était pas un problème important d'atteinte à la vie privée donne à penser que vous mettez maintenant en place une formation sur la protection de la vie privée, comme la commissaire l'a demandé et nommez un responsable qui est la personne... Dans la plupart des organisations, il faut savoir ce qu'on sait, ce qu'on ne sait pas et savoir à qui et quand demander de l'aide. Si n'importe quel autre ingénieur ne sait pas s'il y a un problème sérieux de protection de la vie privée, il saura immédiatement vers qui se tourner.

    C'est exact. Merci de cette question. Vous avez très bien compris. Nous voulons que les ingénieurs eux-mêmes aient les connaissances voulues et répondent des produits qu'ils créent.

    De plus, et c'est important, nous intégrons de nouveaux freins et contrepoids au système pour que, même si quelqu'un se trompe ou commet une erreur de jugement, l'erreur ne persiste pas jusqu'au lancement du produit.

    Il y avait des possibilités de déceler l'erreur, mais nous voulons offrir des possibilités plus nombreuses et plus solides. Parmi les modifications que nous avons annoncées, il y a les vérifications de conformité. Des équipes de Google auront pour tâche de vérifier les produits créés par les équipes pour s'assurer que ce qui se passe dans les faits est bien ce qui est décrit dans les documents de conception des produits.

    Est-ce qu'il s'agit de vérifications aléatoires ou bien est-ce que, dans le développement, il y aura automatiquement une vérification de conformité du nouveau produit?

    Autre élément, la commissaire à la protection de la vie privée a dit qu'elle ne considérerait la question comme réglée que lorsqu'elle aura tous les faits en main, au plus tard le 1^er février 2011. Il semble que la formation soit un dossier énorme. Le rapport que vous lui ferez parvenir — pour qu'elle puisse s'assurer que son propre rapport est complet, publier son rapport final et tirer ses conclusions — comprendra-t-il les manuels de formation sur la protection de la vie privée et les protocoles qui seront mis en place?

    Je ne compte pas nécessairement que vous communiquiez le manuel de formation de Google au comité, mais je voudrais savoir si la commissaire sera alors renseignée sur la formation offerte aux ingénieurs et à tous les autres employés de Google.

    Je ne sais pas ce qui sera communiqué à la commissaire le moment venu, mais je peux vous dire que nous travaillons fort afin de lui donner une réponse complète qui lui permettra de fermer le dossier.

    Je dois dire que j'ai discuté avec Mme Whitten de cette question précise la semaine dernière. Elle travaille d'arrache-pied afin d'implanter les changements que nous avons annoncés pour que nous puissions faire connaître à la commissaire non seulement des annonces, mais aussi des changements de fond réels.

    Si quelqu'un se fait prendre à concevoir un produit ou à écrire un code qui ne sont pas conformes aux dispositions ou à l'interprétation de ce qui constitue un problème sérieux de protection de la vie privée, ce qui a été le cas dans l'erreur dont nous discutons, prévoira-t-on, notamment dans le manuel, des conséquences pour celui qui commet une irrégularité et ne s'enquiert pas auprès de la nouvelle responsable? Pourriez-vous dire à la commissaire quelles seront les conséquences pour quelqu'un ne s'informe pas ou rédige un code qui va clairement à l'encontre de ce qu'on définit comme la protection de la vie privée?

    L'essentiel, ce ne sont pas les mesures punitives qu'on met en place pour le personnel, mais le système complet de conformité ainsi que les freins et contrepoids intégrés au système. En fin de compte, il s'agit de l'intérêt des Canadiens. Pour résoudre le problème, il faut donner satisfaction à la commissaire et, au bout du compte, aux Canadiens, qui doivent avoir l'assurance que leurs renseignements personnels restent confidentiels et sont protégés. Il faut finalement que nos clients nous fassent assez confiance pour nous confier leurs données, car nous savons qu'il suffit d'un clic pour qu'ils passent de nos services à ceux de nos concurrents.

    C'est le code de conduite qu'on devra normalement suivre désormais.

    Madame Bennett, votre temps de parole est terminé.

    Monsieur Glick, je voudrais revenir sur un point. Simple précision.

    Mme Bennett a demandé si l'ingénieur qui a conçu le programme est toujours au service de Google. Vous n'avez pas de raison de refuser cette information à un comité parlementaire. Peut-être ne le savez-vous pas, auquel cas vous pourriez nous le dire plus tard, mais je vous demande de répondre à la question.

    Je ne me sens pas à l'aise pour répondre à une question qui porte sur une personne. Puis-je prendre le temps de réfléchir?

    Elle n'a pas demandé son nom. Elle voulait seulement savoir s'il travaillait toujours chez Google. C'est une question qu'un comité parlementaire a le droit de poser.

    Selon moi...

    Monsieur le président, j'invoque le Règlement.

    Je ne crois pas que, en général, les questions de personnel, même en comité parlementaire, soient considérées comme devant être abordées à huis clos. Sauf votre respect, je ne suis pas d'accord avec vous.

    Si vous voulez contester la décision de la présidence, vous pouvez le faire.

    Je ne suis pas d'accord.

    Contestez-vous la décision? Est-ce que c'est ce que vous voulez faire?

    Monsieur le président, j'ai simplement dit que je n'étais pas d'accord avec vous pour dire qu'un témoin doit être tenu de divulguer en séance publique des renseignements privés d'une entreprise.

    La présidence s'est prononcée. Si vous voulez contester sa décision, vous en avez parfaitement le droit. Il s'agit d'un incident qui a donné lieu à un problème mondial en Italie, aux États-Unis et au Canada. Selon moi, la question était légitime.

    Vous ne connaissez peut-être pas la réponse. Nous vous laisserons le temps de nous la communiquer, mais vous n'avez certainement pas le droit, aux yeux de la loi, de refuser cette information à un comité parlementaire.

    En réalité, j'ignore la réponse.

    Très bien. Vous pourrez la communiquer plus tard.

    Nous ne voulons pas savoir qui il est ni où il travaille. Nous voulons simplement savoir s'il travaille toujours chez Google. C'était la question.

    Lorsque je...

    Il ou elle. Désolé. Ce pourrait être aussi bien une femme qu'un homme.

    Je ne suis pas tout à fait sûr.

    D'accord, mais vous assurerez le suivi et communiquerez le renseignement au greffier.

    Si un comité parlementaire me donne un ordre, je vais sans doute devoir m'exécuter. Je vais consulter nos avocats indépendants, car il pourrait y avoir toutes sortes de raisons pour pouvoir divulguer ou non ce renseignement. Mais je comprends ce que vous dites.

    Vous avez parfaitement le droit de consulter tous les avocats que vous voudrez, mais le comité vous ordonne de donner la réponse en temps et lieu.

    Compris.

    Madame Davidson, vous avez cinq minutes.

    Merci, monsieur le président.

    Merci d'être parmi nous, monsieur Glick. Nous avons eu une bonne discussion sur cette question.

    Il y a une chose que je voudrais tirer au clair avant de vous poser une question. Vous avez parlé de trois mesures que vous avez prises ou annoncées en octobre. Il y a eu d'abord la nomination de Mme Whitten. Puis, de nouvelles garanties grâce à des vérifications internes. Quelle était la troisième? Cela m'a échappé.

    La troisième mesure est une formation plus poussée en matière de protection de la vie privée pour tous les ingénieurs. Elle est destinée à tout le personnel, mais surtout aux ingénieurs. Si cela intéresse le comité, j'ai déjà eu, comme mes collègues d'ailleurs, des entretiens préliminaires avec des commissaires provinciaux à la protection de la vie privée au Canada. Ils souhaitent venir chez Google et discuter avec nos ingénieurs.

    Pour en revenir à la réponse que j'ai donnée à un de vos collègues, on ne propose pas une conception étroite de la protection de la vie privée. Un point de vue canadien sur le sens à donner à l'expression est fourni et intégré par nos ingénieurs du monde entier. Nous nous efforçons de faire de tout cela une expérience profonde et sérieuse qui a un retentissement mondial.

    Merci.

    Cette semaine, un ami abonné à Gmail a reçu de Google un message qui disait d'abord que Google communiquait rarement avec les usagers de Gmail par courriel, mais qu'on faisait exception à la règle pour les informer du règlement d'une poursuite aux États-Unis au sujet de Google Buzz, je crois. Le message disait encore que, dans le cadre du règlement, on reconnaissait telle ou telle chose et qu'il s'agissait d'une annonce obligatoire adressée à tous les usagers de Gmail aux États-Unis dans le cadre du règlement.

    Que fait-on dans le cas des utilisateurs Canadiens? Je crois savoir qu'ils ont été automatiquement abonnés à l'application Buzz et que, à moins d'intervenir physiquement et de rétablir leurs paramètres de protection des renseignements personnels, ces renseignements risquaient être vus par d'autres usagers de Google Buzz. La personne qui m'a parlé du problème avait rétabli ses paramètres, mais qu'advient-il des usagers qui ne l'ont pas fait? Y a-t-il un risque que leurs renseignements soient consultés par d'autres usagers de Google Buzz?

    Non.

    Alors pourquoi cette personne...?

    Je vous ai répondu un peu sèchement. Excusez-moi.

    Je peux donner un peu plus de détails sur Google Buzz. La meilleure description consisterait à dire que cette application prend la fonctionnalité de Twitter, les mises à jour publiques — ou même privées, du reste —, et l'intègre à Gmail. Les modalités de lancement ont provoqué des réactions fort négatives des usagers, et il y a eu des poursuites. Soit dit en passant, nous avons modifié la procédure de lancement dans les 48 heures parce que nous nous sommes aperçus que nous avions irrité des consommateurs. Mais nous n'avons pas divulgué de renseignements personnels sans le consentement des intéressés. Le produit a cependant donné une mauvaise expérience à l'usager et nous avons apporté immédiatement un correctif à cause des protestations. La réaction est similaire à ce que j'ai déjà décrit, c'est-à-dire que nous sommes attentifs à ce qui préoccupe les usagers, et nous voulons que les produits leur plaisent. Lorsqu'un produit ne leur plaît pas, nous le modifions.

    Par conséquent, un utilisateur canadien ne risquait pas que sa vie privée soit violée à cause de Google Buzz, qu'il ait rétabli ou non ses paramètres. Est-ce exact?

    En un mot, non. La réponse longue demanderait plus de temps que nous n'en avons, mais je serais heureux de vous rencontrer pour vous décrire plus en profondeur le fonctionnement de Buzz et vous expliquer quelles sont les préoccupations.

    La réponse brève, c'est non. Les renseignements personnels des Canadiens ne courent aucun risque.

    Ils n'ont donc rien à craindre et n'ont pas à rétablir les paramètres de protection de leurs renseignements personnels?

    Soyons clairs. S'ils ne veulent pas se servir de Google Buzz, ils n'ont aucune raison d'y adhérer, et il y a dans les paramètres un moyen de désactiver l'application et de s'en débarrasser. S'ils ne veulent pas s'en servir, il y a un moyen facile de l'éliminer, et si...

    J'ai compris que les usagers étaient automatiquement inscrits à l'application Buzz, qu'ils adhèrent ou non, que, s'ils avaient un compte Gmail, ils étaient automatiquement abonnés à cette nouvelle application. C'est ce qu'on m'a dit.

    Ce n'est pas exact. Ce qui s'est passé, c'est que tous les usagers de Gmail se sont fait offrir la possibilité d'adhérer à ce nouveau service, qui était intégré à Gmail, mais ce n'était en rien obligatoire.

    Une seule question brève.

    Ce n'était donc pas une inscription par défaut, si on peut dire, et il n'y avait pas obligation de se désinscrire parce qu'on était automatiquement inscrit?

    C'est exact.

    Il y avait un certain nombre d'étapes à franchir pour avoir accès à Google Buzz et commencer à s'en servir. Mais de toute façon, la procédure d'adhésion déplaisait à différents usagers, et nous l'avons modifiée.

    Merci, madame Davidson.

    Monsieur Nadeau, vous avez cinq minutes.

    Merci, monsieur le président.

    Monsieur Glick, quelle est, au Canada, l'étendue ou l'envergure de la couverture réalisée au moyen des images de rue?

    Nous avons cartographié une bonne partie du pays. La façon de savoir ce qui est fait est d'aller sur Google Maps et de trouver la petite fiche, ce que nous appelons le « peg man ». Je n'invente pas ces noms; je ne fais que les répéter au comité. Vous déplacez cette fiche sur la carte et tous les endroits cartographiés dans Street View virent au bleu.

    Nous avons cartographié la plupart des villes et localités au Canada, grandes et petites, parce que nous croyons que tous devraient avoir la possibilité d'accéder à ces cartes de la nouvelle génération.

    C'est ce que vous croyez.

    Par ailleurs, je suppose qu'une mise à jour doit être faite à un certain moment.

     Les villes étant des lieux où la population change, où les frontières s'agrandissent ou diminuent en fonction de la reconstruction et du remodelage des quartiers, avez-vous déterminé, par exemple, que les images sont valides pour cinq ans et qu'ensuite, vous devrez retourner dans ces endroits?

     Comme cela fonctionne-t-il?

    Excellente question. Merci.

    Pour donner une réponse rapide, disons qu'il n'y a pas de calendrier précis, mais, avec votre indulgence, voici une anecdote intéressante qui ajoutera un peu de pittoresque.

    Au cours de la dernière collecte de données, nous avons photographié la ville de Windsor, mais c'était malheureusement pendant la grève des éboueurs. Les dirigeants municipaux étaient un peu déçus du fait qu'ils donnaient au monde l'image d'une ville où les déchets s'empilaient partout. Ils ont écrit à Google, et leur lettre m'a été transmise. Ils disaient expressément: « S'il vous plaît, revenez à Windsor. Nous voudrions que vous photographiez la ville lorsqu'il n'y a pas des déchets qui s'accumulent partout. » Nous l'avons fait. Nous sommes retournés à Windsor prendre de nouvelles images.

    Je dirais aussi qu'une partie de Toronto a été photographiée pendant la grève des éboueurs là-bas. Si vous consultez Google Maps, vous verrez qu'il y a beaucoup de déchets entassés dans le Christie Pits Park. Toronto ne nous a pas demandé de revenir, mais nous sommes retournés à Windsor parce qu'il était important pour les habitants de cette ville que les véhicules de Google reviennent pour présenter une image propre de la ville.

    Si je comprends bien, à Toronto, il y a un nouveau maire et il n'y aura plus jamais de poubelles. Alors, c'est déjà réglé.

    M. Jacob Glick: Ah, ah!

    M. Richard Nadeau: Cela dit, un élément m'intéresse beaucoup. C'est toute la question de la technologie que vous utilisez — on en parle depuis tout à l'heure — pour la captation d'images, et la question du brouillage des visages, des plaques d'immatriculation des voitures et des numéros civiques des propriétés. Ce travail doit être un travail de bénédictin une fois que la documentation vous arrive et qu'il faut mettre en ordre toutes ces informations.

     Sur le plan technologique — on sait que cela bouge beaucoup —, faites-vous des updates de programmes pour vous assurer que la sécurité des gens ou, du moins, la vie privée des gens est bien respectée à cet égard? Comment vous y prenez-vous? Optez-vous pour les nouvelles technologies ou maintenez-vous telle quelle la technique du brouillage?

    C'est encore une excellente question.

    La technologie de reconnaissance faciale que nous utilisons est la plus perfectionnée au monde. Nous l'avons conçue précisément pour protéger la vie privée des gens.

    C'est étrange, car vous pouvez aller chez Best Buy ou Costco et vous procurer un appareil photo qui montre où se trouvent tous les visages, alors on pense qu'il s'agit d'une technologie banale. Je me fie à ce qu'on m'a dit, car ce n'est pas un de mes champs de compétence. Si je comprends bien, l'exactitude est de 90 p. 100, et c'est un problème technique banal d'arriver à ce pourcentage, pour ce qui est de trouver où sont les visages. Il est vraiment difficile de passer de 90 à 95 p. 100, et si on veut dépasser le cap des 95 p. 100, c'est l'un des plus grands défis informatique au monde. Voilà où nous en sommes pour ce qui est de l'exactitude de la reconnaissance faciale, quand on cherche à brouiller les images.

    Nos ingénieurs ont récemment publié des articles scientifiques à ce sujet. The Economist nous a récemment présentés comme l'un des meilleurs exemples de l'apprentissage machine et de la façon dont il peut servir à des fins importantes comme la protection de la vie privée. Nous innovons sans cesse dans les technologies comme celle-là.

    Merci, monsieur Nadeau.

    Monsieur Albrecht. Cinq minutes.

    Merci, monsieur le président.

    Merci, monsieur Glick, d'être ici aujourd'hui.

    Je tiens vraiment à vous féliciter de votre témoignage très honnête. Vos aveux ont eu quelque chose de rafraîchissant et je comprends que ce fut une erreur commise par inadvertance et que vous prenez toutes les mesures voulues, d'après ce que je peux voir, pour corriger le problème.

    J'ai été étonné d'apprendre qu'autant de Canadiens se servent de Street View. Cela témoigne de la valeur de l'application. Vous avez dit qu'elle était particulièrement précieuse pour ceux qui n'arrivent pas à lire les cartes. Je vous dirai qu'elle l'est également pour les habitants de Kitchener, car on y trouve une série de rues qui vont dans tous les sens. Vous le savez, puisque vous en êtes originaire. La rue King va vers l'est, l'ouest, le nord et le sud. Il est donc difficile de donner des indications. Je vous suis reconnaissant de vos efforts.

    Je suis déçu qu'il n'y ait pas beaucoup de zones rurales cartographiées sur Street View. Je représente les trois localités de Wellesley, Wilmot et Woolwich. Je suis désolé de ne pas pouvoir un dimanche après-midi me promener sur Google et voir les beaux paysages de ma circonscription. C'est une façon de vous inciter à cartographier les zones rurales également. Mon utilisation de Street View a été très limitée. Je ne sais donc pas si beaucoup de zones rurales sont cartographiées. Y en a-t-il?

    Oui, différentes zones rurales ont été cartographiées, mais je ne sais pas lesquelles. Dès que je rentrerai à la maison, j'irai voir si...

    Nous allons les faire cartographier.

    ... New Dundee, Elora, Elmira, St. Jacobs et Fergus, toutes ces localités sont là.

    Je vais vous procurer une carte Google pour que vous vous retrouviez.

    D'accord.

    Soyons plus sérieux. Vous avez parlé de la formation que vous voulez donner pour que les Canadiens aient davantage confiance, en ce qui concerne la protection de leur vie privée. L'autre préoccupation dont la commissaire à la protection de la vie privée nous a fait part tient non seulement à la formation, mais aussi à l'intégration de cette dimension au stade du développement de la technologie pour que les problèmes soient abordés de façon proactive plutôt qu'après coup. Qu'en pensez-vous?

    La deuxième partie de la question... Vous avez des bureaux à Waterloo. Je crois savoir qu'ils seront déménagés à Kitchener. Vous y avez un certain nombre d'employés. Avez-vous du mal à trouver le personnel qui a les compétences techniques voulues pour une application comme celle dont nous discutons aujourd'hui?

    Merci beaucoup de ces questions. Si cela ne vous dérange pas, je vais répondre dans l'ordre inverse, dans l'intérêt du comité.

    Nous cherchons littéralement les meilleurs ingénieurs au Canada, et nous les attirons parce que nous leur offrons un milieu de travail de qualité. À dire vrai, Google a vraiment du mal à recruter du personnel, mais comme le bureau de Waterloo fait des recherches sur toute la planète pour Google, il réussit particulièrement bien grâce à notre système d'éducation de la plus grande qualité et à la présence d'excellents ingénieurs chez nous.

    Votre autre question concernait ce que la commissaire a appelé la protection de la vie privée dès l'étape de la conception. C'est une expression que nous devons à la commissaire à la vie privée de l'Ontario, Ann Cavoukian. Nous appuyons à fond les principes que la commissaire Cavoukian préconise: il faut intégrer intimement dans l'organisation les valeurs de la protection de la vie privée, dès le début de la conception des produits.

    Pensons-y. Nous discutions un peu plus tôt de l'intégration du cryptage dans Gmail. Il s'agit d'une protection intégrée dès la conception. La commissaire Cavoukian l'a déjà dit. C'est que la notion de protection de la vie privée dès la conception est un élément clé si on veut faire en sorte que vous et Google ayez des communications privées que personne d'autre ne peut connaître.

    Nous voulons continuer à agir de la sorte. La formation que nous offrons permettra, je l'espère, d'approfondir ces efforts dans l'entreprise.

    Merci beaucoup.

    Merci, monsieur Albrecht.

    Monsieur Siksay, vous avez quatre minutes, après quoi nous devrons permettre au témoin de partir.

    Merci, monsieur le président.

    Monsieur Glick, vous savez que je suis un fervent partisan de Google et notamment de Street View. Je m'en sers constamment, et je suis très heureux de ce que Google a fait pour dissiper les préoccupations en matière de protection de la vie privée dans le déploiement et le fonctionnement de Street View. Je n'ai aucune réserve à cet égard. Cela me semble excellent.

    Voilà pourquoi je suis tellement déçu de ce qui s'est produit, de cette information supplémentaire recueillie pendant le processus et dont personne n'était au courant. Je me pose encore des questions. Nous avons discuté de la suppression des données utiles. Savez-vous si, en droit américain, quelque chose empêche de supprimer les données canadiennes.

    Je ne suis pas un juriste américain. Je n'ose pas m'avancer.

    Savez-vous si Google a décelé des obstacles?

    Je ne suis au courant de rien, mais là encore, cela fera partie de la démarche que nous allons suivre dès que je quitterai cette salle et appellerai...

    Si vous pouviez nous trouver une réponse à cette question, ce serait très utile.

    Savez-vous si...

    Si vous communiquiez cette information au comité, ce serait...

    Ce serait formidable.

    De toute évidence, le témoin n'est pas au courant.

    Je le répète, monsieur le président, si nous suivons ce processus et concluons que nous pouvons supprimer ces données le plus tôt possible, nous les supprimerons et nous le ferons savoir au comité.

    Le rapport de la commissaire parle du 1^er février ou avant. Je ne pense pas que vous ayez à attendre jusqu'au 1^er février pour agir, monsieur Glick.

    Très bien.

    Mme Whitten pourrait-elle comparaître devant le comité?

    Je n'y vois pas de problème en soi. Tout dépend de ses disponibilités. Cette fois-ci, notamment, le comité voulait entendre rapidement des représentants de Google, et il était important que nous comparaissions parce que nous voulions pouvoir répondre à vos questions.

    Je vous suis reconnaissant d'être ici. Je sais que vous avez peu de temps.

    J'aurais des questions précises à poser. À mes yeux, il y a Street View, l'imagerie à l'échelle de la rue, la cartographie, la photographie. Il y aussi le téléchargement de données utiles et la collecte des données sur les points d'accès Wi-Fi. La commissaire travaille en ce moment avec Google à la question des données utiles, mais je m'intéresse aux points d'accès Wi-Fi. Des membres du commissariat ont dit que cela pourrait être préoccupant pour la protection de la vie privée. Vous avez soulevé aujourd'hui plusieurs points sur lesquels je voudrais revenir.

    Vous avez dit que bien des entreprises avaient fait ce travail de détection des points d'accès Wi-Fi. C'est déjà fait. Il n'y a pas que Google. Savez-vous combien d'entreprises ont fait ces relevés?

    J'ignore le nom de toutes les entreprises qui font cela dans le monde ou au Canada, mais il y a certainement un nombre très élevé d'entreprises qui le font au Canada, d'après ce que je sais. Soit dit en passant, il y a moyen de faire la même chose au moyen de données anonymes. Si on demande sur Google les points d'accès Wi-Fi, l'un des premiers sites qui apparaissent est une carte que les gens ont créée eux-mêmes au moyen de logiciels disponibles pour tous qui font un travail semblable. Il suffit d'allumer son ordinateur et de se promener un peu partout pour créer et télécharger une base de données publique. Vous pouvez offrir cette information. D'autres entreprises peuvent prendre des licences pour ces données.

    Pour relever ces points d'accès Wi-Fi, est-ce que Google a utilisé une technologie de sa propre création?

    Je crois que la technologie repose sur des pratiques bien comprises dans l'industrie. Comment on s'y prend, je ne sais...

    Mais le programme qui a permis de faire le travail, est-ce un programme de Google?

    Un ingénieur de Google a écrit le programme, mais je crois qu'il l'a fait à partir d'un logiciel libre.

    Google a-t-il communiqué ce programme à d'autres entreprises? Le savez-vous? Est-ce un produit que vous avez commercialisé?

    Le logiciel libre est disponible pour tous. Vous pourriez le télécharger tout à l'heure dans votre bureau. Quant au code qui a entraîné la collecte de données utiles, il a été examiné par des vérificateurs indépendants, et leur rapport est disponible sur notre blogue. Je crois avoir dit dans ma déclaration d'ouverture que nous avions mis ce rapport à la disposition de la commissaire pour son enquête.

    Monsieur Siksay, je vais vous interrompre. Le témoin doit prendre l'avion. Nous allons donc...

    Monsieur le président, j'invoque le Règlement.

    Monsieur le président, j'ai d'autres questions à poser à Google. Pourrions-nous prendre des dispositions pour que M. Glick ou peut-être Mme Whitten comparaissent devant le comité?

    Nous pourrions aborder la question au comité de direction.

    M. Glick se trouve à Ottawa. Ce ne sera pas une lourde contrainte pour lui de comparaître de nouveau.

    Je crois savoir que vous avez un vol à prendre. Nous allons donc suspendre cette partie de la séance. Le comité a d'autres travaux au programme, mais au nom de tous les membres du comité, je vous remercie beaucoup d'avoir comparu aujourd'hui.

    Si vous avez une brève conclusion... Sinon, c'est très bien. Mais si vous avez quoi que ce soit à dire...

    Les documentalistes communiqueront peut-être avec vous au sujet de questions techniques, mais non de votre témoignage. Ils traiteront directement avec vous.

    Une conclusion?

    Je veux simplement vous remercier, monsieur le président, de m'avoir accueilli aujourd'hui et remercier les membres du comité de leurs questions mûrement réfléchies.

    Merci beaucoup d'avoir accepté de comparaître.

    Nous allons suspendre la séance 30 secondes pour la reprendre ensuite à huis clos.

     [La séance se poursuit à huis clos.]