ETHI Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
CANADA
Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique
|
l |
|
l |
|
TÉMOIGNAGES
Le jeudi 25 novembre 2010
[Enregistrement électronique]
[Traduction]
Comme il est 15 h 30, je déclare la séance ouverte et souhaite la bienvenue à tout le monde.
Cette réunion est tenue conformément au Règlement. C'est la dernière que nous consacrons à l'audition de témoins dans le cadre de notre étude des applications d'imagerie à l'échelle de la rue de Google, Canpages, etc. Le comité accueille aujourd'hui quatre témoins, dont deux par vidéoconférence.
Nous avons M. Jacob Glick, conseiller en matière de politique au Canada chez Google Inc., qui se joint à nous de Toronto. Nous avons aussi Mme Alma Whitten, ingénieure en chef responsable de la protection de la vie privée pour l'organisation mondiale Google, qui se joint à nous par téléconférence de Londres, en Angleterre.
Nous avons en outre deux responsables du Groupe Pages Jaunes qui, si j'ai bien compris, a récemment racheté la société Canpages. Nous accueillons donc François Ramsay, premier vice-président, conseiller juridique principal et secrétaire responsable du respect de la vie privée, ainsi que Martin Aubut, premier directeur, Commerce social.
Je voudrais souhaiter à tout le monde la bienvenue à la réunion. Avant de donner la parole aux témoins pour leur permettre de présenter leurs exposés, je voudrais m'assurer que nos liaisons fonctionnent bien.
Monsieur Glick, êtes-vous en ligne? Pouvez-vous m'entendre?
Nous vous entendons raisonnablement bien. Pouvez-vous me voir? Je vais essayer de ne pas bouger la tête. Il sera peut-être possible de mieux cadrer l'image.
Madame Whitten, pouvez-vous me voir et m'entendre?
C'est la même chose que pour M. Glick. Je vous entends parfaitement, mais l'image saute beaucoup sur l'écran.
Oui, nous pouvons le voir. Nous avons un problème technique, mais nous allons poursuivre en espérant que cela ne vous ennuiera pas trop. Si vous regardez l'ensemble de l'image, je sais que cela peut être agaçant.
En premier, je vais inviter M. Ramsay à nous présenter son exposé préliminaire. Je passerai ensuite à Mme Whitten ou à M. Glick, s'ils ont un exposé à présenter.
Monsieur Ramsay.
Je vous remercie de nous avoir invités au comité. C'est un plaisir de comparaître devant vous.
Je suis accompagné cet après-midi par Martin Aubut, qui est premier directeur, Commerce social, du Groupe Pages Jaunes. Martin est un expert d'Internet. J'ai cru bon de l'inviter pour le cas où vous auriez des questions à poser sur des sujets que je ne connais pas très bien.
À part mes responsabilités de conseiller juridique général de Yellow Media Inc., ultime société mère de Canpages et du Groupe Pages Jaunes, je suis aussi agent intérimaire à la protection de la vie privée de la société.
Je voudrais commencer par vous présenter brièvement le Groupe Pages Jaunes, ou GPJ, qui a fait l'acquisition de Canpages en juin 2010.
Yellow Media Inc. est la principale société s'occupant d'Internet dans notre réseau d'entreprises, qui comprend le GPJ, la Trader Corporation et Canpages. Yellow Media possède et exploite quelques importantes entreprises et publications canadiennes, dont Yellow Pages Directories, YellowPages.ca, Canada411.ca, AutoHebdo.net, CanadianDriver.com, RedFlagDeals.com et LesPAC.com.
Nos destinations en ligne reçoivent tous les mois plus de 11,5 millions de visites, et nos applications mobiles servant à trouver des entreprises locales, de bonnes affaires et des véhicules ont été téléchargées plus de 2 millions de fois. Notre société est en outre un chef de file national en matière de publicité numérique par l'entremise de Mediactive, fournisseur de publicité numérique et d'initiatives de marketing desservant des organismes et des annonceurs nationaux.
Les prédécesseurs du GPJ ont publié leurs premiers répertoires en 1908. Nous avons des activités dans toutes les provinces et tous les territoires du Canada et employons environ 2 500 personnes au GPJ, 530 à Canpages et 1 200 à chez Trader.
Grâce à l'acquisition de Canpages, nous espérons être en meilleure position pour faire la concurrence à d'autres grands intervenants en ligne comme Google. Nous croyons que le rachat de Canpages renforcera notre compétitivité en développant notre effectif de ventes, nos capacités et nos produits, et en accélérant ainsi nos progrès en ligne.
En tenant compte des professionnels de la vente qui travaillent pour nous dans le GPJ ainsi qu'à Trader et Canpages, notre organisation de ventes compte au total quelque 2 000 personnes. Nous cherchons des moyens de mieux utiliser cette formidable force de vente qui cible les PME canadiennes.
Vous savez sans doute que le service Street View/Vue de rues est offert sur Canpages.ca sous licence de deux sociétés tierces, dont MapJack, pour certaines parties des villes de Vancouver, Toronto et Montréal. Ce service fonctionne depuis 2008. Nous avons recours au service Street View de Google pour le reste du Canada.
Selon l'endroit où on se trouve dans notre univers de sites Web, on utilisera la technologie Street View de Google et de Microsoft, à part celle de MapJack, fournisseur traditionnel de Canpages.
Je suis heureux de confirmer au comité que MapJack, fournisseur du service Street Scene/Scènes de rue de Canpages, n'a pas été utilisé pour recueillir des donnés réseaux ou des données utiles Wi-Fi. Par conséquent, nous n'avons jamais été en possession de telles données.
Les sociétés Yellow Media Inc., GPJ, Trader et Canpages sont déterminées à se conformer à la législation de protection de la vie privée qui s'applique dans notre secteur.
Nous serons heureux de répondre maintenant à toute question que les membres du comité voudront nous poser.
Je vous remercie.
Non, monsieur le président. Je veux simplement remercier le comité de nous avoir invités une autre fois. Je cède la parole à Mme Whitten qui, je crois, a quelques observations à présenter.
Madame Whitten, si vous avez un exposé préliminaire à présenter, je vous invite à le faire maintenant.
Je remercie le président et tous les membres du comité de m'avoir donné cette occasion de m'adresser à eux aujourd'hui.
J'ai consacré ma carrière, comme universitaire et maintenant comme directrice de la protection de la vie privée chez Google, à un seul grand objectif: permettre aux utilisateurs d'Internet d'assumer le contrôle de leur vie privée et de leur sécurité par des moyens intuitifs, simples et utiles.
C'est en fait le défi central de l'ingénierie de la vie privée. Les produits et les services, particulièrement sur Internet, évoluent constamment. De précieux nouveaux services, allant des réseaux sociaux aux vidéos en ligne en passant par l'informatique mobile, modifient sans cesse la façon dont nous réagissons les uns aux autres et utilisons l'information.
Ces services, qui se fondent en partie sur l'information que les fournisseurs tiennent de leurs utilisateurs, ont une valeur extraordinaire. Notre but est d'offrir à nos utilisateurs des produits innovants pouvant les aider à voir le monde sous des aspects nouveaux et passionnants.
Pour le faire et pour permettre aux utilisateurs de vivre des expériences agréables, nous comptons sur leur confiance. C'est notre plus grand atout. L'information que nos utilisateurs nous confient nous donne la possibilité de mieux apparier les chercheurs à l'information recherchée, de combattre ceux qui veulent escroquer nos utilisateurs ou compromettre l'utilité des résultats que nous leur offrons et de créer de nouveaux services tels que la traduction, la reconnaissance vocale, etc.
Nous essayons d'intégrer dans nos produits la transparence, le contrôle de l'utilisateur et la sécurité. Nous sommes constamment en train de revoir, d'innover et de recommencer pour nous assurer de répondre aux attentes des utilisateurs en matière de protection de la vie privée et de satisfaire leurs besoins de sécurité. Parce que la confiance des utilisateurs revêt pour nous une importance critique, nous croyons qu'il est très important de signaler que nous ne vendons pas les renseignements personnels de nos utilisateurs.
Google Dashboard constitue la pierre angulaire de nos efforts. Si vous n'avez pas vu cet outil, je vous invite à y jeter un coup d'œil à www.google.com/dashboard. Nous l'avons conçu pour offrir aux utilisateurs une sorte de guichet unique ou de panneau de commande leur donnant accès aux renseignements personnels liés à leur compte Google, de Gmail à Picasa et à l'outil de recherche ainsi qu'à plus d'une vingtaine d'autres produits Google.
À l'aide de Google Dashboard, un utilisateur peut voir, modifier et supprimer les données stockées dans son compte individuel Google. Il ou elle peut changer les paramètres régissant ses renseignements personnels, voir ce qui est partagé et ce qui est privé et vérifier les paramètres de n'importe quel produit.
Lorsque nous avons créé Google Dashboard, j'ai dit catégoriquement que je ne voulais pas qu'il s'agisse strictement d'un outil de protection de la vie privée. Par-dessus tout, je voulais que ce soit un outil utile auquel nos utilisateurs recourent souvent même s'ils ne pensent pas consciemment à la protection de leurs renseignements personnels.
Nous avons adopté une approche semblable dans le cas de notre réseau publicitaire. Notre gestionnaire des préférences publicitaires, qui est relié à chacune des annonces de notre réseau, permet aux utilisateurs de choisir de ne pas être ciblés et de se renseigner sur nos pratiques touchant la vie privée. Il est également important de savoir qu'il permet aux utilisateurs de voir les catégories d'annonces qui leur seront présentées, de choisir de nouvelles catégories d'intérêt et de désélectionner celles qui ne les intéressent pas.
En offrant ce service utile, nous espérons amener plus de gens à comprendre et à confirmer les paramètres régissant leurs renseignements personnels. Chose intéressante, nous avons noté que pour chaque utilisateur qui visite ce site pour se soustraire à la publicité, il y en a quatre qui choisissent de réviser leurs préférences et dix autres qui regardent la page et décident de ne rien faire.
Ce sont là d'excellents exemples des facteurs de transparence et de contrôle intégré dans les produits de façon à inciter les utilisateurs à en apprendre davantage sur le contrôle de leur information. Nous sommes fiers de ce que nous avons réalisé à cet égard.
Toutefois, malgré tous nos efforts, il arrive à l'occasion que nous fassions des erreurs. Comme le comité le sait, Google a découvert en mai qu'il avait, par erreur, inclus dans le logiciel des véhicules Street View des instructions qui recueillaient des échantillons des données utiles Wi-Fi, c'est-à-dire des renseignements transmis sur des réseaux Wi-Fi ouverts et non protégés. Soyons clairs. Google n'a jamais utilisé ces données recueillies par erreur dans un produit ou un service quelconque. Il n'y a pas eu de violation ni de communication de renseignements personnels à des tiers. Aussitôt que nous en avons eu connaissance, nous avons reconnu les faits et notre erreur.
Google travaille fort pour remédier de façon pleine et entière à cet incident. Nous admettons que nous devons faire mieux.
Mon collègue Jacob Glick vous a parlé en novembre de certains de nos plans destinés à renforcer nos pratiques internes de sécurité et de protection de la vie privée. Ces plans comprennent des responsabilités supplémentaires pour moi, dont je voudrais vous parler brièvement aujourd'hui.
Je suis enchantée d'avoir l'occasion, dans mon nouveau rôle, de rendre plus rigoureuses nos pratiques de sécurité et de protection de la vie privée. Dans le cadre de mes responsabilités étendues, j'aurai la possibilité de superviser les équipes d'ingénierie et de produits et de collaborer avec elles pour veiller à ce que les considérations de sécurité et de protection de la vie privée soient intégrées dans la totalité de nos produits.
Même si les fonctions qui correspondent à ce rôle sont lourdes, je suis sûre que je pourrai compter sur les ressources et le soutien interne nécessaires pour aider Google à faire mieux. De plus, je crois que l'engagement de Google à redoubler d'efforts pour former le personnel aura des effets très sensibles.
M. Glick en a parlé lorsqu'il a comparu devant vous le 4 novembre et je suis heureuse de vous en dire un peu plus à ce sujet. Nous voulons donner des pouvoirs à cet égard à chacun de nos employés. Nous voulons être sûrs que chacun des nouveaux produits que nous mettons en service répond aux normes élevées de sécurité et de protection des renseignements personnels que nos utilisateurs attendent de nous.
Nous sommes une entreprise innovatrice. Nous créons tous les ans de nouveaux produits qui contribuent à transformer la façon d'organiser l'information et d'interagir les uns avec les autres comme personnes. La confiance de nos utilisateurs est le fondement de l'entreprise Google, et nous nous sommes engagés à ne pas tenir cette confiance pour acquise.
Je suis maintenant disposée à répondre à vos questions.
Je vous remercie.
Merci beaucoup, madame Whitten.
Nous allons maintenant commencer le premier tour.
Monsieur Easter, vous avez sept minutes.
Monsieur le président, le greffier a distribué avant la réunion une note de M. Glick disant qu'il ferait le point avec nous sur la question de la suppression des données canadiennes et de l'analyse de cette information. Je me demande si cela pourrait faire partie de l'exposé des représentants de Google avant que nous passions aux questions, puisqu'on nous a promis ces renseignements pour aujourd'hui.
Pour donner suite à cette question, nous avons fait circuler un message dont je vais donner lecture pour les fins du compte rendu. Le message nous a été transmis dans les deux langues officielles.
Voici le passage qui nous intéresse: « Pour ce qui est des lois américaines qui pourraient faire obstacle à la suppression de données concernant le Canada, Google est en train d'analyser l'information et Jacob fera le point devant le Comité jeudi prochain. » Monsieur Siksay, vous voulez qu'on fasse le point sur cette question avant de passer aux questions? D'accord.
Je m'adresse encore à vous, monsieur Glick. J'espère que vous m'entendez. Le comité souhaite que vous abordiez cette question. Pour être parfaitement clair, je vous dirai que nous nous attendons à ce que vous fassiez le point au sujet — et je cite — « des lois américaines qui pourraient faire obstacle à la suppression de données concernant le Canada ».
Nous croyons savoir que Google est en train d'analyser l'information et que vous devez faire le point devant le comité aujourd'hui. Je vous prie de nous en parler maintenant.
Très volontiers. Merci beaucoup, monsieur le président. J'espère que les membres du comité peuvent m'entendre.
Comme vous le savez, lorsque nous avons comparu devant le comité la dernière fois, nous n'avions pas commencé notre analyse des mesures à prendre pour supprimer les données conformément aux instructions de la commissaire à la protection de la vie privée. À ce moment, j'avais promis que nous commencerions immédiatement l'analyse. Nous l'avons fait. Le processus est en cours, mais il n'est pas terminé. Nous espérons avoir une meilleure compréhension de la façon de procéder à mesure que le travail avance.
Je peux vous dire que la situation est la même que celle que je vous ai décrite lors de la dernière comparution. Nous voulons être en mesure de supprimer les données, mais il s'agit d'une série de questions difficiles, et nous n'aurons qu'une seule possibilité d'agir, c'est-à-dire de supprimer les données. Nous voulons donc être sûrs de bien le faire. Le processus d'analyse est en cours, mais il n'est pas encore terminé.
Je ne peux pas le dire avec certitude, mais je m'attends à ce que, d'ici le nouvel an, nous ayons des réponses beaucoup plus fermes au sujet des données que nous pouvons supprimer, s'il en existe.
Dans le cadre du processus déclenché par la commissaire à la protection de la vie privée, nous lui adresserons un rapport conformément à ses conclusions préliminaires. Comme le processus est en cours, je n'ai pas de réponse très précise à vous donner, mais les choses avancent assez rapidement. Le fait est que c'est un travail difficile.
Je suis sûr que les membres du comité auront des questions à poser à ce sujet.
Je vais maintenant céder la parole à M. Easter pour sept minutes.
Merci, monsieur le président.
Je voudrais commencer par vous remercier tous d'avoir comparu devant le comité aujourd'hui. La technologie nous permet de faire des choses extraordinaires. Quand on est en mesure de voir et d'entendre une personne qui se trouve en Angleterre, il n'y a pas de doute que les choses évoluent.
Je m'adresse aux représentants des Pages Jaunes. Comme vous le savez, nous avons fait comparaître devant le comité des représentants de Google au sujet de la collecte accidentelle de données qui ont suscité des préoccupations touchant la protection de la vie privée, du moins à cette étape. Vous avez clairement dit, dans votre exposé, que vous n'avez jamais été dans une situation vous permettant de recueillir des données personnelles à cause de votre façon de faire la collecte des données et la représentation cartographique. Est-ce exact?
La première chose que vous devez comprendre c'est qu'à strictement parler, Canpages ou le GPJ ne s'occupent pas vraiment de l'imagerie à l'échelle de la rue comme le font d'autres fournisseurs. Nous avons recours à des tiers pour ce service. Lorsque Canpages a lancé le service en 2008, elle a fait appel à la société MapJack. Avant de venir aujourd'hui, nous avons reçu de cette entreprise l'assurance qu'elle n'a pas recueilli cette information. Nous n'en disposons donc pas.
Au cours de la discussion que nous avons eue avec les représentants de Google, nous avons cru comprendre que c'est après la collecte qu'ils ont appris qu'il y avait eu violation de la vie privée. Comme vous avez pu vous en rendre compte au cours de la discussion avec M. Glick, Google essaie encore de déterminer s'il est possible de détruire l'information. Comment pouvez-vous être absolument sûr de ce que vous avancez si c'est une autre entreprise qui fait le travail pour vous?
Je ne peux que répéter ce que les responsables de MapJack nous ont affirmé. Cela étant dit, cette société a son siège social à Hong Kong, et ce n'est pas une très grande entreprise. À ma connaissance, elle se servait d'une technologie — Martin pourra peut-être le confirmer — qui était beaucoup moins perfectionnée que celles de Google et de Microsoft.
Je répète encore que nous avons reçu des assurances des responsables de cette société. L'hébergement du service de cartographie lié à cette technologie est basé au Canada. Nous l'utilisons sous licence, mais nous ne donnons accès, sur nos sites Web, à rien d'autre que les services de cartographie et les vues de rue.
J'ai une autre question que les membres du comité ont posée à d'autres témoins. Elle concerne les contrôles mis en place par les différentes entreprises pour veiller à la protection de la vie privée. La seconde partie de la question concerne les mesures que votre société — Yellow Pages, ses différentes filiales ainsi que les autres entreprises que vous avez rachetées — a prises pour s'assurer que les membres de votre personnel se conforment aux règles aujourd'hui ainsi qu'à l'avenir, au fur et à mesure que les choses évoluent.
Nous avons adopté des politiques de protection de la vie privée et des renseignements personnels qui sont affichées sur nos sites Web et que les utilisateurs peuvent voir et examiner. Nous révisons actuellement ces politiques pour les rendre plus uniformes partout dans la société, parce que celle-ci a grandi par suite des acquisitions faites ces dernières années. Nous sommes persuadés que nos activités sont conformes à la législation actuelle régissant les renseignements personnels et la vie privée.
Quant aux politiques et aux systèmes que nous avons mis en place à cette fin — si la discussion devient plus technique, je vais devoir céder la parole à Martin —, je crois savoir que nos services informatiques ont établi des systèmes conformes aux normes de l'industrie. Quant à la réception et à l'étude des plaintes relatives à la vie privée, toutes les plaintes passent par mon bureau. Je dois vous dire en toute franchise qu'il est très rare que des plaintes à ce sujet aient été déposées, qu'elles aient atteint mon bureau et que nous ayons eu à nous en occuper.
Merci, monsieur Ramsay.
J'ai une dernière question à poser à Mme Whitten.
Vous avez beaucoup parlé de ce que vous avez appelé le Google Dashboard. Vous avez dit que ce n'était pas strictement un outil de protection de la vie privée et que, lors de sa conception, vous n'aviez pas voulu qu'il soit limité à cet usage. J'ai écouté vos explications, mais pourriez-vous me dire, peut-être en donnant davantage de détails, de quelle façon Google Dashboard constitue un outil de protection de la vie privée? De quelle façon protège-t-il les renseignements personnels?
Très volontiers. Je serai heureuse de vous l'expliquer.
Permettez-moi d'abord de donner quelques précisions sur ce que j'entendais quand j'ai dit que je ne voulais pas que ce soit uniquement un outil de protection de la vie privée. Tandis que mon équipe de protection de la vie privée cherche à créer des outils et à mettre en place des moyens de contrôle et de transparence dans tous les produits Google, nous restons très conscients de certaines critiques, souvent justifiées, d'après lesquelles les options et les paramètres mis à la disposition des utilisateurs sont enterrés derrière un lien ou une option de protection de la vie privée que personne ne consulte jamais.
Nous avons voulu être ambitieux en nous attaquant à ce problème. Nous avons donc conçu Google Dashboard, dans la mesure du possible, comme un endroit où les gens vont simplement pour voir tous les renseignements qui figurent dans leurs comptes pour toutes sortes de raisons, peut-être parce qu'ils cherchent quelque chose ou que c'est utile pour eux d'une façon ou d'une autre. En procédant ainsi, ils sont au courant des données et des renseignements conservés dans les différents services Google auxquels ils ont eu recours à un moment ou à un autre.
Ils savent ainsi quels services ils ont utilisé un jour, même s'ils l'ont oublié par la suite, et quelles données sont restées là. Ils sont ainsi mis au courant même s'ils n'ont jamais pensé à vérifier leurs renseignements personnels. Nous avons pensé que c'était un moyen pour nous de toucher, de protéger et de mieux servir un plus grand nombre de nos utilisateurs qui ne sont pas nécessairement très conscients des questions qui se posent au sujet de la protection de la vie privée.
Merci, monsieur Easter.
Merci, madame Whitten.
C'est maintenant au tour de Mme Thi Lac.
Madame Thi Lac, vous disposez de sept minutes.
[Français]
Bonjour, madame Whitten, monsieur Ramsay, monsieur Aubut et monsieur Glick. Ce dernier témoigne aujourd'hui grâce à la technologie de la vidéoconférence.
Ma première question s'adresse à l'entreprise Canpages.
Vous avez dit à mon collègue libéral avoir confié à un sous-traitant votre service MapJack, mais avoir obtenu comme seule garantie celle que votre sous-traitant a bien voulu vous donner. En tant que responsable de ce service, quelles sont vos certitudes? Vous a-t-on donné uniquement des garanties verbales ou des garanties qui vous permettent vraiment d'affirmer aujourd'hui au comité que ce service est sécuritaire?
Votre question est excellente et j'espère être en mesure de réconforter le comité en donnant certaines assurances.
Ce que je peux vous dire, c'est que Canpages ou Groupe Pages Jaunes, en fait, n'est pas une compagnie de technologie très développée. On ne possède, ni chez Canpages ni chez Groupe Pages Jaunes, la technologie interne qui permette de produire un service comme Street Scene ou Street View.
Dans le contexte où M. Olivier Vincent était venu faire des interventions au comité en juin 2009, sauf erreur, il avait expliqué qu'on en était au tout début de la prestation de services de nature dite « Street Scene ».
Dans ce contexte, Canpages avait quand même eu la vision d'exiger de son fournisseur des assurances concernant la confidentialité. À moins que je ne me trompe, M. Vincent avait témoigné devant le comité en indiquant que la compagnie s'était engagée à détruire et à ne conserver aucune image qui n'aurait pas été brouillée, telle que celles de plaques d'automobile ou, sauf erreur, de visages.
M. Ramsay, quand vous nous dites que vous avez exigé des assurances, ce sont celles que nous avons déjà reçues au comité, ce ne sont pas des informations supplémentaires qui ont déjà été fournies au...
Depuis notre invitation à participer aux travaux du comité, quand on a pris connaissance du témoignage de Google au cours du mois de novembre dernier, on a communiqué avec le fournisseur et on lui a demandé des clarifications quant aux incidents survenus lorsque Google avait pris des photos. On s'est alors informés pour savoir si des situations comparables étaient survenues. Les assurances que nous avons reçues de notre fournisseur établissent qu'il n'y avait pas eu de détection de zones Wi-Fi et qu'il n'y avait pas eu non plus, dans ce contexte, d'interception de data diffusées par ces mêmes zones. Il n'y avait pas la technologie, à la base même, pour identifier les zones Wi-Fi dans les rues au moment où les photos étaient prises.
Merci. J'ai une dernière question, mais j'aimerais que vous me répondiez rapidement, parce que je voudrais avoir le temps de poser des questions aux gens de Google.
Pouvez-vous nous dire quelle est la technologie qu'utilise MapJack pour la cueillette de ses informations?
Bonjour. Je n'ai pas l'information à savoir quelle technologie exacte utilise le fournisseur. Ce que je veux ajouter à la suite de votre première question, c'est que nous n'utilisons que le service d'imagerie; on n'utilise rien d'autre à côté de MapJack, qui pourrait composer d'autres data. Nous, c'est vraiment l'image, un commerce précis à un endroit précis.
Merci beaucoup.
Je vais maintenant m'adresser à Mme Whitten. Vous avez dit que vous vous étiez engagée auprès de vos 23 000 employés à donner de la formation concernant la protection de renseignements personnels et de la vie privée. Pouvez-vous nous décrire en quoi consistera cette formation?
[Traduction]
Bien sûr. La formation améliorée que nous mettons en place a un certain nombre d'aspects.
Tout d'abord, nous avons l'intention de donner à tous nos employés une formation générale sur la conformité aux règles de sécurité et de protection de la vie privée ainsi qu'une formation sur la conformité à un code de conduite. Les deux formations seront données partout dans la société.
Ensuite, nous donnerons une formation plus ciblée et plus approfondie aux titulaires d'emplois particuliers. Nous avons entrepris d'élaborer des cours spécialisés pour les ingénieurs et les gestionnaires de produits, qui seront adaptés aux différents emplois en cause. Nous comptons également le faire pour d'autres emplois, comme les postes de nature juridique, le service à la clientèle et les ventes, de façon à donner une formation adaptée et approfondie spécialement conçue pour chacun des rôles à remplir.
[Français]
En ce moment, vous ne pouvez pas affirmer que les informations et données stockées par accident sur le site Google Street concernant le Canada sont toutes supprimées. Toutefois, je vois que Google a effacé les données recueillies accidentellement en Grande-Bretagne. J'ai un article à ce sujet daté du 19 novembre dernier, c'est quand même assez récent.
Je voudrais savoir pourquoi on a pu procéder à cette destruction en Grande-Bretagne, mais qu'on n'a pas pu encore faire de même en ce qui concerne les données au sujet du Canada. Je pose la question à M. Glick.
[Traduction]
Je vais répondre à une partie de la question, puis j'inviterai M. Glick à aborder plus particulièrement les données recueillies au Canada.
Depuis que nous avons découvert que ces données avaient été recueillies par erreur, Google a toujours voulu les supprimer le plus rapidement possible dans chacun des pays où nous en avions. Nous avons collaboré très étroitement avec les autorités compétentes de chacun de ces pays lorsqu'elles ont ouvert des enquêtes pour déterminer de quelle façon ces données avaient été recueillies. Dans chaque pays où nous avons pu établir que nous n'étions pas légalement tenus de conserver les données, nous avons immédiatement pris des mesures pour les détruire.
Je vais maintenant demander à M. Glick d'intervenir pour répondre à votre question parce qu'il est le spécialiste du Canada.
Merci beaucoup.
Tout d'abord, je crois avoir dit au comité, lors de ma comparution le 4 novembre, que nous avions détruit les données recueillies au Royaume-Uni. En fait, je ne suis pas vraiment sûr que ce soit le cas. J'ai fait une erreur quand je l'ai dit parce que je pensais alors que l'enquête était terminée. Toutefois, elle ne s'est terminée qu'après ma comparution.
Je ne suis pas sûr que les données ont été supprimées. Je ne le sais vraiment pas. Toutefois, l'analyse qui sera entreprise au Royaume-Uni sera semblable à celle qui est faite au Canada et ailleurs dans le monde. Nous voulons confirmer toutes les obligations qui nous imposent de conserver les données aux termes de la loi afin de nous assurer que leur destruction n'est pas contraire à d'autres dispositions.
Encore une fois, c'est ce que j'ai mentionné en réponse à la question du comité et au point soulevé par M. Siksay: nous n'avons qu'une seule chance de détruire les données. L'analyste doit être extrêmement poussée si nous voulons être sûrs de bien faire les choses.
[Français]
[Traduction]
Merci, monsieur le président.
Je voudrais remercier les représentants de Canpages et du Groupe Pages Jaunes de leur présence au comité aujourd'hui. Je remercie également M. Glick et Mme Whitten.
Madame Whitten, nous vous sommes reconnaissants d'être restée debout si tard pour pouvoir nous parler.
Je crois que mes questions s'adressent à M. Glick et à Mme Whitten.
Monsieur Glick, pouvez-vous nous dire où se trouvent actuellement les données utiles recueillies au Canada?
Elles sont stockées dans une installation sécurisée de Californie. Elles y sont depuis que les enquêteurs du Commissariat à la protection de la vie privée les ont examinées.
Pouvez-vous confirmer que les données se trouvent actuellement en Californie? En effet, je crois que les représentants du Commissariat n'étaient pas sûrs que les données se trouvaient au siège californien de Google et se demandaient si elles n'étaient pas gardées ailleurs. D'après les informations que vous détenez, ces données sont stockées en Californie.
À ma connaissance, elles sont là-bas dans une installation sécurisée. Je ne sais pas si cette installation fait partie du siège de Google. Je crois que les données sont détenues par une tierce partie, mais je n'en suis pas absolument sûr. Mme Whitten a peut-être des renseignements plus précis à ce sujet.
Les données sont conservées en toute sécurité au même endroit où les enquêteurs du Commissariat à la protection de la vie privée les ont examinées. Elles sont gardées à l'écart du réseau Google et de toutes les autres données, dans une zone à accès limité. Toutes les mesures de sécurité qui étaient en place lors de la visite des enquêteurs demeurent en vigueur aujourd'hui.
Pouvez-vous confirmer qu'elles ne sont pas stockées au Canada? Les données ont quitté le Canada et se trouvent actuellement aux États-Unis?
Elles ont quitté le Canada après avoir été recueillies dans les véhicules. Elles ne sont pas sorties du Canada au cours de cette enquête.
D'accord. Je comprends. Monsieur Glick, vous allez peut-être pouvoir me l'expliquer: quelles sont les questions juridiques qui nécessitent d'être analysées dans ce cas? S'agit-il pour vous de vous conformer aux lois américaines? Si ces données canadiennes ou ces données relatives à des Canadiens sont gardées à l'étranger, aux États-Unis, est-ce que votre analyse a pour but de déterminer quelles lois américaines nous devons respecter?
Je pose cette question parce que la commissaire à la protection de la vie privée du Canada a recommandé que les données soient immédiatement détruites. Est-ce que Google analyse actuellement des questions juridiques? Pouvez-vous nous dire quelles sont ces questions? Sont-elles liées au fait que des renseignements concernant des Canadiens sont gardés aux États-Unis?
La commissaire à la protection de la vie privée soulève cette question à deux reprises dans son rapport, une fois au paragraphe 69, puis dans les recommandations du paragraphe 72. Au paragraphe 69, elle dit ce qui suit: « Je tiens à ajouter ici que l'on doit tenir compte non seulement des lois sur la protection des renseignements personnels, mais aussi d'autres lois canadiennes et américaines, y compris les règles de droit sur la preuve, afin de déterminer le moment opportun pour supprimer les données utiles canadiennes recueillies. »
Elle ajoute ensuite — c'est le point soulevé par le député, monsieur le président — dans ses recommandations:
Que Google supprime les données utiles canadiennes recueillies, dans la mesure où elle est habilitée à le faire aux termes des lois canadiennes et américaines. Si les données utiles canadiennes ne pouvaient pas être supprimes sur-le-champ, elles devraient être conservées de manière sécuritaire et l'accès à ces données devrait être restreint.
Nous faisons précisément ce que la commissaire a demandé. Nous avons entrepris une analyse de la législation tant canadienne qu'américaine liée au droit de la preuve et à d'autres questions pour déterminer la mesure dans laquelle les données peuvent être supprimées. Entre-temps, nous faisons exactement ce qu'elle a demandé en protégeant les données et en mettant en place les mesures de sécurité nécessaires.
Monsieur Glick, quelles sont ces autres lois américaines qui s'appliquent dans des situations de ce genre?
Je ne voudrais pas me lancer dans des conjectures à ce sujet parce que je ne suis pas un spécialiste du droit américain.
M. Bill Siksay: Êtes-vous...
M. Jacob Glick: Il n'y a cependant pas de mystère. Je ne voudrais vraiment pas vous donner l'impression qu'il y a une loi secrète dont on n'a pas parlé. C'est précisément ce que la commissaire a dit au paragraphe 69. Il s'agit simplement « d'autres lois canadiennes et américaines, y compris les règles de droit sur la preuve ».
Monsieur le président, les membres du comité savent probablement qu'il y a des procès en cours aux États-Unis sur cette question. Nous devons donc nous assurer que le droit de la preuve est respecté. Cela ne veut pas dire que des décisions ont été prises dans un sens ou dans l'autre. Comme je l'ai dit dans mon exposé, je crois que chacun ici recherche exactement le même résultat, à savoir la suppression de toutes ces données.
Si vous me permettez une observation personnelle...
Je vous remercie. Je m'excuse, mais j'ai une question à poser à Mme Whitten.
Madame Whitten, pouvez-vous nous dire dans quel pays les données utiles recueillies par Google ont été supprimées jusqu'ici?
Je regrette, mais je n'ai pas une liste complète devant moi. Je sais que nous avons détruit les données dans plusieurs pays. Je crois que l'Irlande est l'un des pays dans lesquels nous avons été en mesure de supprimer les données rapidement et simplement.
Dans les cas où les données ont été détruites sur-le-champ, est-ce que les données étaient gardées à l'intérieur des frontières du pays en cause ou bien étaient-elles stockées dans un autre pays? Est-ce que ce facteur a influé sur le délai dans lequel Google a pu détruire les données?
Je ne crois pas que ce facteur ait joué, mais je préférerais que M. Glick réponde à la question. Je suis ingénieure et non avocate. C'est une question juridique.
Très bien. Dans le cas de l'Irlande, savez-vous si l'information était gardée en Irlande ou ailleurs?
Par conséquent, monsieur Glick, si toutes les données sont gardées aux États-Unis, mais que celles de certains pays ont été détruites, ne peut-on pas supposer que Google a déjà procédé à une analyse des lois américaines applicables?
Il ne faut pas perdre de vue que les données irlandaises ont été supprimées sur avis du commissaire irlandais à la protection de la vie privée en mai ou aux alentours du mois de mai, puisque je ne connais pas la date exacte. On ne nous a pas demandé de conserver les données, ce qui a aussi une influence sur l'analyse, car aucun de ces recours collectifs, par exemple, n'était alors en cours. Je ne suis pas un spécialiste du droit américain. Il serait donc irresponsable de ma part de me livrer à des conjectures...
Vous êtes cependant l'avocat canadien de Google, n'est-ce pas? Vous vous occupez de l'analyse des données canadiennes pour Google, non?
Je remplis, chez Google, les fonctions de conseiller en matière de politique au Canada. Dans ce rôle, je m'occupe des questions de politique publique touchant Google ici, au Canada. Pour être précis, je dirais que je ne suis pas celui qui conseille Google sur les ramifications juridiques de ce qui se fait au Canada, même si je suis consulté à ce sujet.
Monsieur le président, avant de commencer, je voudrais invoquer le Règlement pour obtenir une précision. M. Glick a mentionné, dans ses observations, qu'il est important d'être prudent parce qu'il est possible que ces questions fassent l'objet de procès. Je crois qu'il a même parlé d'un recours collectif possible.
Pouvez-vous confirmer que rien de ce qui se dit ici ne peut être utilisé devant un tribunal? Pouvez-vous préciser de plus que même si M. Glick et Mme Whitten ne sont pas physiquement présents dans cette salle, leurs propos sont réputés avoir été faits dans le contexte de travaux parlementaires et bénéficient donc de l'immunité parlementaire?
Permettez-moi de vérifier quelque chose d'abord.
Sur ce point précis, je peux vous donner mon interprétation du droit parlementaire. Il est évident que, dans ce genre de situation internationale, les choses deviennent plutôt compliquées. Toutefois, M. Poilievre a dit à juste titre qu'une déclaration faite devant un comité parlementaire, y compris celui-ci, est soumise au privilège parlementaire et, partant, ne peut pas être utilisée devant un tribunal ou un organisme d'enquête du Canada. Toutefois, la présidence n'est pas tout à fait certaine que le privilège parlementaire, qui est bien connu, s'étend à des organismes étrangers tels que la Cour suprême des États-Unis. Je n'ai pas de réponse définitive à donner à ce sujet.
Je ne connais pas la réponse, mais je peux vous donner l'assurance que rien de ce qui se dit ici — et cela s'applique aux témoignages reçus par téléconférence — ne peut être utilisé devant un tribunal ou un autre organisme.
Au Canada.
Le président: Oui, au Canada.
M. Pierre Poilievre: Et nous ne savons pas si une telle déclaration est admissible ou non devant des tribunaux étrangers.
Très bien.
Je vais donc poser des questions en m'appuyant sur l'hypothèse que le témoin est au courant de cette ambiguïté.
Monsieur Glick, je vous remercie d'avoir accepté de comparaître à nouveau devant le comité. Au sujet de l'élimination des données, vous avez dit que les données recueillies par erreur en Irlande ont été détruites. Est-ce bien le cas?
Cela a-t-il été fait par suite de contacts entre Google et le commissaire irlandais à la protection de la vie privée?
Et la raison pour laquelle les données recueillies par erreur au Canada n'ont pas été détruites, c'est qu'il y a des discussions en cours avec les autorités canadiennes sur la meilleure façon de procéder. Est-ce exact?
Je vous remercie de votre question.
Je vais essayer de préciser ce que j'ai dit. Lorsque j'ai appelé la commissaire à la protection de la vie privée en mai pour l'informer de ce regrettable incident, je lui ai demandé ce qu'elle voulait que nous fassions de ces données. Elle a alors dit qu'elle souhaitait que nous les conservions parce qu'elle voudrait peut-être ouvrir une enquête ou faire une étude quelconque. En fait, le Commissariat a ouvert une enquête et a examiné les données. Nous les avons donc gardées à ce moment.
En même temps, des conversations du même genre avaient lieu ailleurs dans le monde, et certaines analyses ont été faites. Là où les autorités locales responsables de la protection de la vie privée l'ont jugé utile et là où nous l'avons jugé indiqué en fonction des différents systèmes juridiques, les données ont été détruites.
Aujourd'hui, un certain nombre de mois ont passé. Nous devons faire l'analyse en question en fonction des circonstances actuelles et non de celles du mois de mai.
J'ai peut-être manqué quelque chose, mais n'avez-vous pas dit que certaines des données canadiennes ont été détruites?
J'ai peut-être mal entendu. Ainsi, les données ont été conservées à l'origine sur instruction de la commissaire canadienne à la protection de la vie privée. Est-ce bien ce que vous dites?
Nous avons reçu de la commissaire à la protection de la vie privée une lettre de conclusions préliminaire, que le comité a en main et qu'elle a rendue publique en octobre. Cette lettre nous demandait de détruire les données aussitôt que nous aurions la certitude de pouvoir le faire en conformité avec les lois canadiennes et américaines.
Vous pouvez vous abstenir de répondre si ma question vous impose de vous livrer à des conjectures déplacées. Y a-t-il des dispositions quelconques dans les lois canadiennes et américaines qui puissent vous obliger à garder ces données pendant une période prolongée?
Je ne voudrais pas conjecturer à ce sujet. En fin de compte, notre objectif est de détruire toutes les données. Nous n'en voulions pas au départ et nous n'en voulons pas aujourd'hui. Toutefois, nous voulons éviter de les détruire prématurément en suscitant encore plus de problèmes.
Je ne voudrais pas porter préjudice à des mesures qui pourraient être prises dans le cadre de recours collectifs, mais si des gens dont les renseignements ont été accidentellement recueillis par Google vous intentaient des procès, est-ce que les données qui sont en votre possession pourraient être requises en vue d'une évaluation des renseignements existants et des préjudices subis?
Je ne ferai pas de conjectures sur le résultat d'éventuels procès.
Je peux vous dire que nous nous opposerions à la production de ces données dans le cadre d'un procès, justement pour protéger la vie privée des gens dont les données ont été recueillies par erreur. Ce serait vraiment ironique que des plaideurs, dans le cadre d'un recours collectif, exigent la production de données qui, en fonction de leurs allégations, contiennent des renseignements personnels. Je ne me prononcerai cependant pas sur les tactiques d'une personne, d'un plaideur ou d'un organisme de réglementation.
Le fait est que nous nous opposerions certainement à la production de telles données devant un tribunal. Je peux vous l'affirmer.
C'est exact, monsieur Poilievre. Je vous remercie.
Nous allons maintenant commencer notre deuxième tour avec cinq minutes chacun.
Docteur Bennett, vous avez cinq minutes.
Merci beaucoup.
Je suis encore un peu inquiète au sujet des mesures prises pour s'assurer que cet incident ne se reproduira plus jamais. J'ai été surprise d'apprendre que l'ingénieur qui a supposé que ce n'était pas une violation importante de la vie privée travaille encore pour Google.
Comme les différentes organisations essaient de déléguer la responsabilité des décisions aussi bas que possible dans la hiérarchie, j'aimerais que vous me donniez une idée de la nature de la formation spéciale que vous comptez dispenser en matière de protection de la vie privée. Est-ce que l'ingénieur en cause sera condamné à donner cette formation, un peu comme si c'était un service communautaire? Je ne comprends pas comment cette personne peut justifier ce qu'elle a fait. Et je ne comprends pas plus comment elle fait encore partie de l'effectif de Google.
Dans toutes les sortes de formation que j'ai connues, que ce soit pour la résidence en médecine familiale ou pour les nouveaux candidats, le principe fondamental était le suivant: connaître ce qu'on sait, connaître ce qu'on ne sait pas et savoir à qui s'adresser, et quand, pour obtenir de l'aide. S'il y a des gens capables de faire des hypothèses aussi grossières au sujet de ce qui constitue ou ne constitue pas des renseignements personnels, j'aimerais savoir quel genre de cours vous avez l'intention de donner. Que signifie l'expression « formation intensive » quand une personne de ce niveau peut se rendre coupable d'une violation aussi flagrante de la vie privée malgré la formation qu'elle a pu recevoir auparavant?
Je vous remercie. C'est une excellente question. Je suis très heureuse d'avoir l'occasion d'y répondre en détail.
La députée vient de dire qu'il faut être conscient de ce qu'on ne sait et savoir à qui s'adresser pour obtenir de l'aide. Ces deux éléments jouent un rôle essentiel dans la formation et les mesures d'amélioration des procédures que nous mettons en place. Il est très important pour nous de sensibiliser l'ensemble de nos ingénieurs et de nos gestionnaires de produits. Toutefois, nous n'arriverons jamais en faire des experts internationaux de tous les aspects de la protection de la vie privée. Tenter de le faire serait courir à l'échec.
D'abord et avant tout, nous voulons sensibiliser nos gens à la nécessité de ne pas essayer de prendre eux-mêmes ce genre de décision. La vie privée est un sujet complexe qui nécessite, aussi bien chez Google que n'importe où ailleurs, l'intervention de personnes ayant une vaste gamme de compétences. De toute évidence, on a besoin pour cela de juristes. On a également besoin de techniciens experts qui comprennent parfaitement les possibilités de la technologie en cause. On a aussi besoin de spécialistes de la psychologie des utilisateurs qui puissent comprendre comment les utilisateurs d'un produit réagiront aux options qui leur sont offertes. Il faudra en outre des experts en politiques et en communications.
Le point le plus important sur lequel nous insisterons constamment dans le cadre de la formation, c'est que les ingénieurs ne doivent jamais faire eux-mêmes ce genre de jugement de valeur. Nous voulons les sensibiliser à l'environnement de la vie privée et aux préoccupations qu'elle soulève.
Nous sommes également déterminés à leur faire comprendre les principes Google de protection de la vie privée, qui sont fondés sur la transparence, le contrôle et l'administration responsable. Nous voulons surtout leur apprendre à ne jamais perdre de vue les processus améliorés que nous mettons en place pour nous assurer d'avoir des mesures à sécurité intégrée et des procédures d'examen réfléchies et pour veiller à ce que les ingénieurs n'essaient pas de se substituer aux avocats pour régler certaines questions.
Combien de temps un ingénieur nouvellement engagé passerait-il aujourd'hui en formation sur la protection de la vie privée? Et que faites-vous dans le cas des gens qui travaillent déjà pour vous? Recourez-vous aux méthodes modernes de création de scénarios et d'apprentissage fondé sur les problèmes?
Nous avons l'intention de faire suivre aux ingénieurs nouvellement engagés une session assez importante de formation en protection de la vie privée dans les deux premières semaines qu'ils passent chez Google, avant qu'ils ne soient chargés d'écrire des programmes ou de développer des produits. Grâce à cette formation initiale, nous espérons jeter les fondations nécessaires pour qu'ils apprennent à qui ils doivent s'adresser et où se trouvent les ressources internes pouvant les aider à comprendre la vie privée et les processus que nous avons mis en place dans ce domaine. Nous espérons leur donner ainsi les éléments de base pour qu'ils trouvent rapidement et facilement des personnes à qui parler en cas de besoin.
Pour ce qui est des autres ingénieurs qui ne seront pas passés par cette formation initiale donnée juste après l'embauche, nous organiserons une formation de suivi. Par-dessus tout, le processus que nous sommes en train d'améliorer et d'optimiser en ce moment permettra d'intégrer les deux volets de la formation pour qu'ils se renforcent mutuellement et fonctionnent bien ensemble.
Le processus obligera les ingénieurs à passer par la formation à différentes étapes du cycle de vie de leurs projets. Comme on s'attend à ce qu'ils participent au processus, la formation leur permettra de savoir comment faire et les aidera à agir. L'objectif consiste très certainement à faire en sorte que les deux volets se renforcent l'un l'autre pour rendre le processus aussi efficace que possible.
Merci beaucoup, monsieur le président.
Je remercie les témoins de leur présence aujourd'hui, tant en personne que par vidéoconférence. C'est une question que nous prenons tous très au sérieux. Nous avons donc beaucoup d'autres questions à poser.
Ma première question s'adresse à M. Glick. Elle concerne la lettre que nous avons reçue et dont le président a donné lecture. Je vais simplement lire le passage que je ne trouve pas très clair: « Pour ce qui est des lois américaines qui pourraient faire obstacle à la suppression de données concernant le Canada, Google est en train d'analyser l'information et Jacob fera le point devant le Comité jeudi prochain. »
J'aimerais bien que vous m'expliquiez ce que signifie « en train d'analyser l'information ». Je ne sais pas ce que vous entendez par « analyser ». Quand vous parlez d'« information », s'agit-il des données?
Je vous remercie d'avoir demandé ces précisions. Non, nous ne parlons pas d'analyser les données. Comme nous l'avons dit dès le départ, Google n'a aucun intérêt à fouiller dans ces données. Je voudrais donc vous remercier de me donner l'occasion de faire cette mise au point.
Je crois qu'il s'agit simplement d'une phrase qui est mal exprimée et que vous devez prendre telle quelle: nous sommes en train de faire l'analyse que la commissaire à la protection de la vie privée et notre propre obligation de prudence nous demandent de faire pour nous assurer que nous sommes juridiquement en mesure de détruire les données, comme je l'ai dit à plusieurs membres du comité.
Merci beaucoup, monsieur Glick. Je prends note de cette information.
J'aimerais maintenant poser une question à M. Ramsay.
Combien d'employés avez-vous dans votre groupe?
D'accord. Que faites-vous au chapitre de la formation à la protection de la vie privée? Avez-vous un agent responsable de la protection de la vie privée ou quelqu'un qui joue un rôle comparable? Donnez-vous de la formation dans ce domaine? Si oui, pouvez-vous nous en donner un aperçu?
Comme je l'ai déjà dit, je suis l'agent responsable de la protection de la vie privée à la société. À ce titre, j'assume la responsabilité de ce rôle. Ayant écouté les réponses données par Mme Whitten, j'ai pris bonne note du fait que nous devrions donner à nos employés une formation dans ce domaine. En fait, j'ai l'intention de soulever la question au bureau pour voir de quelle façon nous pouvons nous y attaquer.
Parlons un peu de Street View ou vue des rues. Pouvez-vous me dire à quel point cette technologie est répandue au Canada? Quel est le principal auditoire cible? Sera-t-il développé? Si oui, comment ferez-vous pour informer les gens? Êtes-vous tenus d'avertir les gens en cas d'expansion?
Je vais peut-être vous dire tout simplement que MapJack, service initial que nous avons créé en 2009 à Canpages, ne couvre que les secteurs commerciaux des villes de Vancouver, Toronto et Montréal. En dehors de ces secteurs et dans le reste du pays, Martin voudra peut-être...
Dans les autres villes, nous nous servons du service Street View de Google. C'était le second service que nous avions essayé avant d'avoir MapJack.
Il est dans les villes qui ne sont pas desservies par MapJack. Je dirais que, par défaut, le Québec est couvert par le service Street View de Google.
Il se trouve dans tous ces endroits. Existe-t-il aussi bien dans les petites localités que dans les grandes villes? Le trouve-t-on, par exemple, dans la ville de Sarnia, dans ma circonscription? Dans les régions rurales?
Non. Au début, c'était une question de marketing. Par conséquent, MapJack a été lancé dans le centre des grandes villes, là où la population est assez dense. Notre stratégie ne prévoyait pas d'aller dans d'autres villes. Elle se limitait aux grandes agglomérations.
D'une façon générale, nous projetons de donner le service dans la mesure où nous pouvons l'obtenir de Google ou de Microsoft.
À ma connaissance, Google met le service à la disposition de sites Web tels que les Pages Jaunes, ou encore là où des renseignements sont donnés sur les commerces.
Nous ne faisons ni de la cartographie ni de la collecte d'information. Nous achèterons le service à une tierce partie s'il est à vendre ou nous le fournirons sous licence.
Le prendriez-vous à une tierce partie qui l'a déjà? Votre petite société de Hong Kong qui a fait la collecte de renseignements a dû venir ici pour couvrir les secteurs que vous avez demandés. Elle n'aurait pas pu disposer de ces données.
C'est bien cela. À l'avenir, nous aurons plutôt recours à des services comme ceux de Google ou de Microsoft. Ce sont des entreprises que les gens connaissent bien.
Merci beaucoup.
Monsieur Glick, ma question s'adresse à vous. Un peu plus tôt, vous avez peut-être mal compris la question de ma collègue. Je vais vous lire le compte rendu d'un article du Daily Mail de vendredi dernier:
« Après avoir admis le mois dernier avoir récupéré bien plus que des informations relatives aux réseaux Wi-Fi “accidentellement” avec ses voitures Street View, Google vient de consentir à effacer les données privées récoltées en Grande-Bretagne », a annoncé aujourd'hui le Commissaire à l'information du Royaume-Uni (ICO), Christopher Graham. « Je salue le fait que les données récupérées sur les réseaux Wi-Fi puissent finalement être détruites », a-t-il commenté.
Cela veut dire que Google, en Grande-Bretagne, a accepté de détruire les données recueillies. Si je vous ai bien compris, vous ne l'avez pas fait au Canada parce que la commissaire à la protection de la vie privée vous a demandé de conserver les données. Est-ce exact?
[Traduction]
Permettez-moi de revenir en arrière d'un pas. Tout d'abord, je crois que nous avons accepté le rapport produit par l'homologue britannique de la commissaire à la protection de la vie privée. Il avait lui-même pris note de notre désir de détruire les données au Royaume-Uni. Je ne crois pas que nous l'ayons déjà fait. Je ne le sais pas vraiment. Je me pose moi-même la question.
Il en est de même dans le contexte canadien: nous souhaitons détruire les données recueillies au Canada. La seule question qui se pose est de savoir si nous pouvons le faire légalement. Nous procédons donc à une analyse pour déterminer si c'est le cas.
J'ai dit tout à l'heure qu'au départ, lorsque j'avais pris contact avec le bureau de la commissaire à la protection de la vie privée, elle nous avait demandé de conserver les données pour que le Commissariat puisse les examiner s'il décidait de faire enquête. Le Commissariat a effectivement mené une enquête et l'a terminée. Il nous dit maintenant que nous sommes libres de détruire les données. Nous acceptons cette conclusion et nous souhaitons les détruire. Toutefois, nous avons une obligation de prudence.
[Français]
Vous dites que vous voulez vérifier si la loi le permet. De quelle loi parlez-vous, la loi canadienne ou la loi américaine? Sauf erreur, vos données sont conservées aux États-Unis.
[Traduction]
Encore une fois, nous faisons l'analyse telle que la commissaire à la protection de la vie privée l'a envisagée dans son rapport, c'est-à-dire en fonction des lois canadiennes et américaines qui pourraient s'appliquer.
[Français]
Ma prochaine question s'adresse à M. Aubut. Vous comprenez la complexité du dossier Google. Un peu plus tôt, vous avez dit que vous ne connaissiez pas la technologie de votre sous-traitant.
Qu'est-ce qui vous garantit qu'il respecte les lois, dont celles du Canada, si vous ne contrôlez pas la technologie? Comment peut-on être rassurés, monsieur Aubut?
Je peux vous mentionner qu'on a demandé clairement à MapJack, qui est le tiers, si cette compagnie recueillait d'autres informations. Elle nous a dit qu'elle ne le faisait pas parce que ce n'était pas son activité de base, qui est de capter les images.
On ne croit pas qu'elle ait la technologie pour obtenir des données. D'ailleurs, je me demanderais pourquoi elle ferait cela. Je ne veux pas vous garantir, noir sur blanc, qu'elle...
Présentement, on sait une chose. Je connais la partie liée aux images, donc la collecte d'images. Après cela, nous offrons ce service à nos usagers. Par contre, en ce qui a trait aux données que MapJack aurait pu recueillir, tout comme Google, je ne peux pas vous le dire.
Cela ne nous rassure pas. Vous n'êtes pas au courant de ce que vous transférez et vous ne connaissez pas la technologie utilisée.
Je connais la technologie qu'on utilise pour notre service. Pour nous, on ne va pas chercher de l'information avec MapJack. Par exemple, grâce à MapJack, on peut voir une adresse précise, car on voit une image de l'endroit. C'est tout ce qu'on utilise dans MapJack.
Il n'empêche que MapJack travaille pour vous. Vous lui offrez un contrat pour qu'elle récupère des images pour vous.
Vous donnez du travail. Si, en récupérant les images, elle contrevient à la Loi sur l'accès à l'information, vous savez que vous êtes aussi responsable sur le plan juridique.
Monsieur Ramsay, si j'ai bien compris, vous êtes avocat. Êtes-vous conscient que vous êtes responsable parce que vous engagez un sous-traitant qui pourrait utiliser des données pour lesquelles vous avez signé un contrat?
Nous en sommes conscients, évidemment. J'ai demandé ce matin à un collègue de Martin de me parler un peu de la technologie de MapJack et de la comparer à celle qui était utilisée par Google. On m'a expliqué aujourd'hui, que c'était une technologie beaucoup moins sophistiquée, beaucoup moins pointue que celle de Google ou de Microsoft.
En fait, c'est une technologie « rudimentaire ». Ce terme est peut-être plus approprié pour définir le type de produit qui avait été développé par MapJack. Si je peux m'exprimer ainsi, on a obtenu la permission d'avoir recours au volet technologique de MapJack.
Vous avez raison. Tout comme n'importe quel fournisseur de Groupe Pages Jaunes, on fait des interventions auprès de notre groupe. On se fie à celles-ci quand on n'a aucune raison de croire qu'on nous dit autre chose que la vérité. Bien sincèrement, on a été très clair sur cette question. On ne croyait pas, à la base, qu'il y avait déjà eu un problème à ce sujet. Cela n'avait jamais été porté à notre attention au cours de nos échanges avec MapJack.
Toutefois, compte tenu des travaux du comité et des questions qui avaient été posées à Google, on a, de manière proactive, demandé à MapJack d'obtenir cette confirmation, qu'on nous a donnée sans hésiter.
Votre temps est écoulé, monsieur Laframboise.
[Traduction]
Monsieur Albrecht, vous avez cinq minutes.
Merci, monsieur le président.
Je remercie nos témoins de leur présence en personne et en ligne.
Je crois qu'il est important de prendre un peu de recul pour nous rappeler pourquoi nous avons entrepris cette étude. Nous l'avons fait à cause de l'inquiétude suscitée par le service Street View et la collecte d'images. Toutefois, si j'ai bien compris où nous en sommes actuellement, je crois que nous convenons qu'il s'agit d'un moyen très utile et d'un projet valable. Les préoccupations relatives à la protection de la vie privée qui étaient initialement au premier plan semblent avoir été réglées dans une grande mesure grâce au floutage des visages et des plaques d'immatriculation et à la suppression rapide des images à la demande des utilisateurs. Cette partie de la solution adoptée me satisfait.
Pour ce qui est de la collecte accidentelle de données, nous avons tous des préoccupations parce que cela n'aurait pas dû se produire. Google a cependant agi d'une manière très responsable dans ce dossier. Nous avons des préoccupations légitimes autour de cette table, de même que tous les Canadiens qui se soucient de la protection de leurs renseignements personnels. Toutefois, comme je l'ai dit, Google a pris des mesures positives pour remédier à cette erreur, ce que j'apprécie personnellement.
Vous avez présenté des excuses pour l'erreur commise. Vous avez pris des mesures concrètes pour que cette situation ne se reproduise plus. De plus, si j'ai bien compris, vous collaborez étroitement avec le Commissariat à la protection de la vie privée pour être sûrs de vous conformer à la législation canadienne.
Ma question s'adresse à Mme Whitten. Elle concerne l'aspect international de la vie privée. Est-ce que Google a des experts en protection de la vie privée dans chaque pays? Ou bien les efforts déployés par les commissaires à la protection de la vie privée des différents pays, lorsqu'ils se retrouvent dans le cadre de conférences internationales et s'entendent sur certains arrangements internationaux, suffisent-ils pour établir des règles du jeu assez équitables pour qu'il ne soit plus nécessaire d'avoir un expert dans chaque pays?
Je vous remercie de votre question.
Je dirais que c'est un peu des deux. Nous avons des experts locaux sur le terrain dans autant de pays que possible... en fait, dans la plupart des pays. En réponse à une question posée plus tôt, j'ai parlé de la nécessité de recourir à toutes sortes d'experts juridiques, techniques, etc.
Nous en sommes aussi très conscients sur le plan interculturel. Nous voulons donc que notre examen de vie privée nous donne des perspectives venant de tous les coins de la planète où nos produits sont vus et utilisés. C'est en partie la raison pour laquelle je suis maintenant basée en Europe: je peux ainsi veiller personnellement à apporter un petit peu plus d'équilibre grâce à l'expérience que j'ai acquise aux États-Unis.
Le Canada est certainement l'un des pays auxquels nous prêtons une très grande attention par suite des travaux de votre commissaire à la protection de la vie privée et de son influence sur la scène internationale. Nous comptons beaucoup sur les relations et les contacts étroits de Jacob avec le Commissariat. Nous faisons la même chose dans tous les pays où nous sommes présents.
Je vous remercie de cette réponse.
J'ai une autre petite question à poser. À titre de responsable de l'ensemble des questions touchant la vie privée chez Google, trouvez-vous utile que les commissaires à la protection de la vie privée des différents pays se retrouvent pour discuter de ces questions?
C'est extrêmement utile. Je vous remercie d'être revenu sur ce point. Pour une société internationale ayant des activités dans le monde entier, il est certainement très utile que les autorités responsables de la protection de la vie privée des pays les plus avancés dans ce domaine se retrouvent pour essayer d'en arriver à un consensus sur la façon d'aborder ces questions. De toute évidence, si nous pouvons bien faire les choses pour l'ensemble de nos produits et services et ce, d'une manière uniforme, cela est très avantageux pour l'innovation et pour nos utilisateurs.
Je trouve que l'approche proactive consistant à prévenir les problèmes avant qu'ils ne se produisent vaut certainement la peine d'être essayée.
Si je peux disposer d'une minute de plus, j'aimerais poser une question à M. Ramsay.
Vous avez dit tout à l'heure que vous n'avez jusqu'ici organisé aucune formation particulière en matière de protection de la vie privée. Avez-vous quand même des contacts réguliers avec la commissaire à la protection de la vie privée pour la consulter et prendre les mesures nécessaires au sujet des questions qui nous touchent?
Nous n'avons pas eu jusqu'ici des relations et des contacts de ce genre. Je peux vous dire cependant que je suis déterminé, avec un certain nombre de mes collègues, à explorer ce domaine et à adopter une approche proactive. Nous comprenons qu'en présence d'un monde de plus en plus numérique, beaucoup de ces questions vont passer au premier plan. Il est donc important pour nous d'être bien préparés et de nous montrer sensibles aux préoccupations légitimes des institutions canadiennes au chapitre de la protection de la vie privée.
D'accord. Toutefois, vous n'avez jusqu'ici eu aucun contact direct avec la commissaire à la protection de la vie privée?
Merci, monsieur le président.
Je voudrais revenir à Mme Whitten. Pour que les choses soient bien claires pour moi, je voudrais savoir si la collecte des données relatives aux points d'accès Wi-Fi était intrinsèquement liée à la prise des images à l'échelle de la rue. Ai-je raison de croire que cette collecte n'était pas nécessaire à l'ensemble du processus Street View de Google?
Est-ce que Google a examiné toute la question des effets sur la vie privée de la collecte relative aux points d'accès Wi-Fi? Je sais que nous avons discuté des données utiles et de la prise des images à l'échelle de la rue, mais je parle ici des incidences sur la vie privée de la collecte des données relatives aux points d'accès Wi-Fi. Est-ce quelque chose que Google a étudié?
Oui. Il y a un certain nombre de points que je voudrais établir pour répondre à votre question.
Le premier, c'est que la collecte de données de base sur les points d'accès Wi-Fi à des fins de géolocalisation — je donnerai des explications ce sujet dans un instant — n'a rien de neuf. En fait, nous avons tardé à aborder ce domaine.
Je sais qu'un certain nombre de sociétés des États-Unis, d'Allemagne et d'ailleurs le faisaient déjà: elles recueillaient des renseignements de base sur les points d'accès Wi-Fi en vue de donner des services de géolocalisation. Lorsque nous avons envisagé ce service, nous avons probablement observé ce qui se passait dans le monde et avons constaté que c'était déjà une norme de l'industrie et que nous ne ferions rien de neuf ou de différent en recueillant nous-mêmes des renseignements de base.
Pour vous donner une idée de la nature de ces renseignements et du but que nous poursuivions en les recueillant, l'exemple le plus simple que je peux vous présenter est le suivant: Vous êtes debout ou assis dans un taxi au coin d'une rue. Vous sortez votre téléphone intelligent ou votre BlackBerry, qui affiche pour vous les réseaux sans fil qu'il peut voir afin que vous puissiez vous brancher s'ils sont ouverts ou si vous êtes un abonné. C'est exactement les mêmes renseignements que nous recueillons. Ce sont les informations diffusées par tous les services Wi-Fi pour permettre aux gens de les voir et de les utiliser d'une façon légitime.
Examinons maintenant le but de la collecte de ces renseignements. Si je suis debout au coin d'une rue et que je veux consulter Google Maps, par exemple, pour savoir comment atteindre ma destination, mon téléphone portable, qui fait partie de ce service de géolocalisation, peut utiliser trois réseaux Wi-Fi qu'il peut voir pour obtenir ma position et me donner les instructions nécessaires.
La raison pour laquelle on a recours aux réseaux Wi-Fi au lieu du modèle traditionnel fondé sur le GPS, c'est tout d'abord que la réception de l'information à partir d'un satellite consomme beaucoup plus d'énergie, sans compter que le GPS fonctionne mal à l'intérieur d'un bâtiment. Par conséquent, on peut utiliser les renseignements de base diffusés par les services Wi-Fi pour obtenir une position par triangulation et donner aux gens les instructions nécessaires pour atteindre leur destination. C'est une méthode qui marche très bien. On peut donc comprendre que beaucoup de sociétés l'aient adoptée.
Je vous remercie. C'est une explication très utile.
Vous ne savez peut-être pas que lorsque les représentants du Commissariat à la protection de la vie privée ont comparu devant le comité pour la dernière fois, M. Andrew Patrick, analyste de recherche en technologie de l'information du Commissariat, exprimé des préoccupations au sujet de la collecte de renseignements sur les points d'accès Wi-Fi. Il a dit qu'il avait besoin d'être rassuré à ce sujet. Voici un passage de sa déclaration:
Il pourrait y avoir matière à préoccupation. Si l'information au sujet de la présence d'un point d'accès à un réseau Wi-Fi peut être liée à une personne, en soi ou en rapprochant cette information d'autres éléments d'information, alors cela pourrait devenir de l'information personnelle et pourrait donc être source de préoccupation pour nous.
Est-ce là une chose à laquelle Google a pensé particulièrement dans le contexte de la collecte des points d'accès Wi-Fi et est-ce que ce genre de renseignements personnels...
Mme Alma Whitten: Oui. La façon dont...
M. Bill Siksay: Continuez, je vous prie.
La façon dont nous recueillons ces informations ne permet pas de les relier à des renseignements personnels quelconques. Je vais prendre mon cas, par exemple, à titre de titulaire d'un compte Google. Si le véhicule Google passe devant ma maison et relève mon point d'accès Wi-Fi, il n'y a aucun lien entre ce renseignement et mon compte. Aucune donnée ne relie les deux, qui sont totalement indépendants l'un de l'autre.
Est-ce une chose que Google a vérifiée depuis que toute cette affaire a attiré l'attention des commissaires à la protection de la vie privée et de ses utilisateurs?
Y a-t-il un pays, un commissaire à la protection de la vie privée ou un bureau du même genre qui enquête sur cette question en Europe ou qui examine les répercussions sur la vie privée de la collecte des données relatives aux points d'accès Wi-Fi?
Monsieur Siksay, votre temps de parole est écoulé. Nous devons poursuivre. Merci beaucoup.
Monsieur Easter, vous avez cinq minutes.
Je n'utiliserai pas cinq minutes, monsieur le président.
Je suis un peu intrigué par ce qui est passé en Irlande. Les réponses données m'incitent à croire que la collecte d'informations en violation des règles de protection de la vie privée... Ces données ont été détruites à la demande du commissaire à la protection de la vie privée. C'est exact, n'est-ce pas?
Oui, mais je tiens à préciser ceci. À ma connaissance, la suppression des données s'est produite au moment où nous avons informé les commissaires à la protection de la vie privée à l'échelle mondiale. C'était donc vers la fin du printemps.
C'est très bien, monsieur Glick.
Ainsi, le commissaire irlandais à la protection de la vie privée a ordonné la destruction des données, destruction qui a effectivement eu lieu. La commissaire canadienne à la protection de la vie privée a également ordonné la destruction des données, mais les données n'ont pas été détruites.
La commissaire canadienne à la protection de la vie privée a dit que les données pouvaient être détruites à condition que nous n'ayons aucune obligation légale nous imposant de les conserver.
La commissaire à la protection de la vie privée du Canada a dit, dans sa lettre de conclusions, que les données pouvaient être détruites si aucune autre obligation légale ne nous imposait de les conserver. Elle l'a explicitement dit dans son rapport. En fait, si je m'en souviens bien, elle avait précisé, dans son témoignage devant le comité, que des raisons indépendantes de sa volonté et de la volonté de Google pourraient imposer de garder les données et qu'il fallait donc procéder à une analyse pour s'assurer de satisfaire aux autres obligations que nous pourrions avoir.
Lorsque les données ont été détruites en Irlande, nous avions fait une analyse qui nous a permis de conclure que rien ne s'opposait à la destruction des données. La même analyse est actuellement en cours en ce qui concerne les données utiles canadiennes. C'est juste que ces analyses sont faites à des moments différents et que la situation a évolué entre le mois de mai et aujourd'hui. La destruction des données pourrait être plus compliquée à cause de toutes sortes d'enquêtes et de procédures légales. Encore une fois, je ne suis pas un expert des règles en cause. Je ne peux donc pas me prononcer sur ces considérations.
Je trouve difficile de comprendre pourquoi les données ont été détruites dans une région, mais pas dans l'autre. Les effets sur la vie privée sont les mêmes, que les données soient recueillies en Irlande ou au Canada. Où ont été stockées les données irlandaises? Était-ce aussi aux États-Unis? Je peux comprendre que certaines règles américaines puissent s'appliquer, mais où donc étaient gardées les données irlandaises?
À ma connaissance — si je me trompe, j'écrirai au comité pour corriger mon erreur —, toutes les données étaient gardées à peu près au même endroit aux États-Unis. Par conséquent, les données détruites concernant l'Irlande se trouvaient aux États-Unis avant leur destruction. Encore une fois, elles ont été détruites à un moment différent, ce qui signifie que l'analyse se fondait sur des facteurs différents...
Je suppose que c'est ma réponse.
Merci, monsieur le président.
Monsieur Glick, pouvez-vous me dire à qui nous pouvons nous adresser, chez Google, pour savoir quelles lois américaines sont examinées dans le cadre de l'analyse qu'il faut faire avant de détruire les données canadiennes conservées aux États-Unis?
Je peux le faire, mais je dois dire que si le comité veut en savoir davantage sur l'analyse de la législation américaine, il y aura toutes sortes de... Il y a beaucoup d'aspects compliqués et de choses mouvantes dans tout ceci. Il conviendrait peut-être, si le comité est encore intéressé, de nous laisser entreprendre l'analyse pour déterminer ce que nous pouvons et ne pouvons pas faire. Nous pourrons alors écrit au comité, en même temps que nous écrirons à la commissaire à la protection de la vie privée pour l'informer des conclusions de l'analyse...
Merci, monsieur Glick.
Je soupçonne cependant que Google a déjà fait une partie de cette analyse s'il a été possible de détruire les données provenant de certains pays, par opposition à d'autres, puisque toutes les données étaient gardées aux États-Unis. J'ai bien compris votre point de vue à ce sujet, mais je voudrais savoir qui, chez Google, peut nous expliquer quelles lois américaines s'appliquent dans ce cas.
J'ai une autre question concernant la technologie précise que Google a déployée dans les véhicules. Je sais qu'un programme particulier, mis au point par un ingénieur de Google, est responsable de la collecte des données utiles. Je voudrais simplement savoir si Google a vendu, loué ou prêté ce programme à une autre société ou organisation ou à un particulier. Est-ce que quelqu'un d'autre peut avoir utilisé le programme de la même façon sans savoir qu'il recueillait en même temps des données utiles?
À ma connaissance — et je serais bien surprise si je me trompais —, ce programme est entièrement interne et n'a jamais été sorti à l'extérieur par Google.
D'accord.
Je voudrais poser une autre question. Elle concerne encore l'imagerie à l'échelle de la rue. Je sais que, lorsque nous avons abordé cette question pour la première fois, Google s'est engagé à détruire les images non floutées, qu'il jugeait nécessaire de conserver pendant un an, je crois. Si je me trompe, je vous prie de me corriger. J'ai également cru comprendre que ces images seraient aussi conservées à l'extérieur du Canada, mais qu'elles seraient détruites après un an. Est-ce que certaines de ces images ont déjà été détruites?
J'aurais peut-être dû poser la question autrement: À quel moment Google a-t-il commencé le processus d'imagerie à l'échelle de la rue? Le délai d'un an après la collecte est-il écoulé dans le cas de certaines images et, si oui, les images correspondantes non floutées ont-elles été détruites?
Monsieur, nous avions en fait dit que le floutage serait « cuit » dans les images un an après la publication. À ma connaissance, cela a été fait avec succès.
Vous avez donc « cuit » le floutage, mais qu'en est-il des images prises à l'origine, celles qui ne sont pas floutées? Ont-elles été détruites?
C'est donc par cuisson. Peut-on supposer qu'il n'y a pas des banques de données distinctes d'images floutées et non floutées?
Non. Le mot « cuisson » fait partie du jargon. Il est bien possible que je l'aie moi-même inventé. Je vais en réclamer la paternité, même si je ne l'ai pas fait. Quoi qu'il en soit, pendant un an, il y aurait, comme vous l'avez dit, deux ensembles de données, l'ensemble public aux images floutées et les données internes. À la fin de l'année, après publication, il ne resterait plus de données contenant des images non floutées. Les données conservées par Google seraient les mêmes que les données publiques, le floutage y étant intégré. Je crois savoir que cela a été fait dans le cas des images canadiennes.
Monsieur le président, je voudrais que notre témoin de Google nous fournisse quelques renseignements. Pouvons-nous avoir une liste des pays dans lesquels des données utiles ont été recueillies, avec indication des endroits dont les données ont été détruites, de la date de destruction et du lieu où les données étaient conservées. Cela nous permettrait donc de savoir si des données ont été recueillies dans un pays, à quel endroit ces données ont été conservées et si elles ont déjà été détruites.
J'ai entendu, monsieur le président. Je suis heureux de m'engager à répondre par écrit à la question du député.
Je dois cependant dire que le processus engagé au Canada est le même que celui qui est en cours dans d'autres pays du monde. À mesure que les enquêtes se termineront et qu'une analyse du même genre est entreprise, les réponses peuvent changer. Par conséquent, tout ce que je vous dirai sera exact à une date précise, mais d'autres données pourraient être détruites par la suite. Quoi qu'il en soit, je fournirai au comité, par écrit, les réponses les plus récentes que je trouverai à ces questions.
Puis-je poser deux autres petites questions, monsieur le président? Je vais essayer de le faire rapidement. Je ne sais pas si vous avez d'autres noms sur votre liste.
Je vous donnerai peut-être la parole un peu plus tard, monsieur Siksay.
Il y a une question que nous devons aborder, monsieur Ramsay. Il s'agit de toute l'affaire du lancement du service Canada Eye. Votre société a publié un communiqué en mars. Si j'ai bien compris le contenu, vous combinez des renseignements tirés simultanément de la boussole, du GPS et de la caméra vidéo de l'iPhone 3GS pour déterminer la position de la personne tenant l'appareil. Vous identifiez ensuite les commerces voisins et donnez des instructions en temps réel permettant d'y aller, y compris la direction et la distance.
Cela fait suite à quelques-unes des questions soulevées par Mme Bennett. Croyez-vous que tous ces systèmes fonctionnant simultanément satisfont aux exigences de la législation canadienne sur la protection de la vie privée?
À ma connaissance, oui. Dans le cas des téléphones intelligents en particulier, nous donnons aux gens des itinéraires à suivre en nous fondant, encore une fois, sur des services offerts par des sociétés telles que Google et Microsoft.
Vous obtenez cependant la position de l'utilisateur en accédant à sa propre caméra vidéo et à son GPS?
Dans le système Canada Eye, si je marche dans la rue en l'utilisant, n'a-t-il pas recours à une caméra vidéo et à un GPS pour déterminer ma position?
Je me fonde sur les notes de l'analyse et sur votre propre communiqué. Je vais en citer des extraits.
Le 10 mars 2010, Canpages a lancé une application iPhone gratuite de « réalité augmentée ». Voici un extrait du texte:
L'application Canpages permet à l'utilisateur de chercher une catégorie particulière d'entreprises, allant de la charcuterie locale à la boulangerie familiale, en passant par une succursale Starbucks ou Tim Hortons, puis montre l'itinéraire et la distance à parcourir pour se rendre à toutes les entreprises de la catégorie choisie dans la zone locale. Bref, Canada Eye sert à trouver n'importe quoi aux alentours et à recevoir en temps réel des instructions pour s'y rendre.
On peut également lire ce qui suit:
La réalité augmentée est la technologie la plus récente utilisée dans les applications qui exploitent simultanément la boussole, le GPS et la caméra vidéo de l'iPhone 3GS.
Ne me demandez surtout pas de vous expliquer tout cela.
Des voix: Oh, oh!
Non, non. Ça va. Je m'excuse. Ce contexte supplémentaire est extrêmement utile. Je vous en remercie.
Je ne sais pas s'il y a des membres du comité qui ont sur eux un iPhone, mais il y a un bouton à pousser sur l'application Canpages. Je connais mieux l'application du GPJ, qui est un concurrent de Canpages. Il s'agit essentiellement de pointer la caméra de l'iPhone dans une certaine direction, ce qui permet d'afficher des noms d'entreprises au moyen du GPS de l'iPhone ou d'un autre téléphone intelligent. En gros, tout cela... Je suppose que l'image est en quelque sorte un trucage, dans le sens que ce n'est pas vraiment ce que l'œil voit. C'est simplement que l'iPhone détecte la direction dans laquelle il est pointé et détermine en conséquence les commerces qui se trouvent dans cette direction.
Je confirme donc qu'à strictement parler, la caméra n'identifie pas vraiment un commerce. Celui-ci est simplement géocodé, ce qui permet au téléphone pointé dans la bonne direction de présenter un affichage correspondant.
Merci beaucoup. C'est parfaitement clair maintenant. La brume est complètement dissipée.
Des voix: Oh, oh!
Le président: Madame Thi Lac, vous avez cinq minutes.
[Français]
Bonjour, monsieur Glick, j'aimerais obtenir plus d'information sur certaines choses que vous nous avez dites un peu plus tôt. À la question de mon collègue M. Laframboise concernant les lois canadienne et américaine, vous avez dit qu'il y avait des obligations juridiques. J'aimerais donc savoir qui a préséance relativement aux vérifications que vous allez faire.
Sera-ce la loi américaine ou la loi canadienne lorsque vous aurez à comparer les deux données? L'une va-t-elle à l'encontre de l'autre? Si la loi américaine n'est pas aussi précise que celle du Canada, laquelle aura préséance?
[Traduction]
Je crois qu'il serait irresponsable de ma part de me livrer à des conjectures avant que l'analyse ne soit terminée.
[Français]
[Traduction]
[Français]
Quand vous avez parlé de vérification, vous avez dit avoir des obligations juridiques à vérifier. Qui fait ces vérifications, est-ce la commissaire ou Google?
[Traduction]
[Français]
Un peu plus tôt, vous nous avez dit que vous avez choisi de stocker les données concernant Google Street aux États-Unis et non au Canada.
[Traduction]
Nous étions persuadés qu'il valait mieux garder les données à un seul endroit pour en garantir la sécurité. C'était important pour nous, de même que pour la commissaire à la protection de la vie privée. Elle a mentionné dans son rapport qu'il était important que les données soient en sécurité et que Google les conserve d'une manière qui en garantisse l'intégrité.
[Français]
[Traduction]
À ma connaissance, oui. Je dois ajouter... Nous en avons déjà parlé la dernière fois, mais je vais juste vous donner une idée de la quantité de données que nous détenons pour le Canada.
Je crois savoir que, d'une façon approximative, ces données peuvent être stockées sur une clé USB que vous pourriez acheter chez Best Buy pour une cinquantaine de dollars. La quantité totale de données que nous avons recueillies dans le monde entier tiendrait sur un disque dur vendu à environ 120 $ chez Costco.
[Français]
Merci, monsieur Glick.
Ma prochaine question s'adresse à M. Aubut. Vous avez dit que vous ne pouviez pas donner d'information précise sur la technologie utilisée par votre sous-traitant.
Est-il possible, dans les semaines à venir, de pouvoir fournir cette information au comité?
[Traduction]
Merci, monsieur le président.
Monsieur Glick, pouvez-vous nous dire si, par suite de la collecte de données utiles, Google a fait l'objet d'accusations au criminel, de peines administratives ou d'autres sanctions n'importe où dans le monde?
Je ne tiens pas une feuille de pointage. Je ne cherche pas du tout à me montrer insolent, mais je ne suis vraiment pas au courant de toutes les procédures engagées dans le monde au sujet de cette affaire.
Je peux vous dire qu'à l'échelle mondiale, il y a eu, comme je l'ai déjà signalé, des enquêtes menées par des autorités de protection de la vie privée qui avaient différents niveaux de pouvoirs. De plus, les différents gouvernements ont manifesté de l'intérêt à des degrés différents. Toutefois, je ne connais pas les résultats de chacun de ces cas.
Non. Comme je l'ai dit, je m'intéresse surtout aux améliorations internes à apporter dans l'organisation Google. Ce sont nos équipes du contentieux et de la politique qui s'occupent de l'interaction avec les autorités chargées de la protection de la vie privée dans chaque pays.
Monsieur Glick, vous est-il possible d'aller chercher ces renseignements pour les fournir au comité?
Je veux savoir si Google a fait l'objet d'accusations au criminel, de peines administratives ou de sanctions d'un autre genre n'importe où dans le monde, par suite du téléchargement des données utiles.
Disons, par souci de clarté, que vous ne demandez pas une liste des mesures prises par les autorités de protection de la vie privée de chaque pays. Vous voulez seulement savoir si nous avons été soumis à des sanctions criminelles dans d'autres pays du monde.
Il peut aussi s'agir de sanctions administratives. Je suis sûr que les commissaires à la protection de la vie privée ne sont pas tous habilités à porter des accusations au criminel. Pouvez-vous nous dire aussi s'il y a eu des sanctions administratives d'un genre ou d'un autre?
Je vous remercie.
Monsieur le président, je tiens à ajouter encore une fois que je suis un chaud partisan et un utilisateur assidu de Google. En fait, je serais incapable de me livrer à mes activités quotidiennes sans Google. Je vous pose des questions sérieuses au sujet de cette affaire justement parce que Google constitue un service tellement important pour nous tous. Je veux être sûr qu'il n'y aura plus d'incidents de ce genre à l'avenir et que tous ceux d'entre nous qui dépendent tellement de Google puissent continuer à l'utiliser en sachant que leurs renseignements personnels ne courent aucun risque.
Merci beaucoup, monsieur Siksay.
Collègues, cela met fin à la période de questions. Je vais maintenant demander à tous les témoins s'ils ont quelque chose à ajouter avant que nous levions la séance.
Je vais commencer par M. Ramsay.
Je vous remercie de nous avoir accueillis.
J'espère que nous avons répondu à vos questions. Si vous en avez d'autres à nous poser, nous serons heureux de comparaître à nouveau devant le comité.
Je voudrais encore une fois remercier le comité d'avoir porté son attention sur cette affaire. De toute évidence, elle est très sérieuse. Par ailleurs, nous estimons qu'elle est extrêmement importante et qu'il est essentiel de veiller à ce que rien de semblable ne se produise à l'avenir. Nous allons continuer à faire des efforts pour gagner la confiance de nos utilisateurs — dont le député vient tout juste de parler — jour après jour. Nous sommes déterminés à le faire.
Je me joins à M. Glick pour remercier le comité de ses questions, de ses réactions et de l'intérêt qu'il a porté à cette affaire. Je crois fermement que nous poursuivons tous un but commun, celui de veiller à ce que rien ne porte préjudice à la confiance de nos utilisateurs et à ce que les données de chacun soient en sécurité chez nous.
Les membres du comité doivent régler une question mineure avant de lever la séance.
Je voudrais donc maintenant remercier les quatre témoins d'avoir comparu aujourd'hui. Je crois que la réunion a été aussi instructive qu'intéressante.
Je voudrais aussi remercier en particulier le personnel technique de la Chambre des communes. Nous avons été en communication par vidéoconférence avec deux témoins qui se trouvaient dans deux continents différents, nous avons utilisé deux langues, et tout s'est très bien passé. Je vous remercie de vos efforts.
Les témoins peuvent disposer.
Nous allons peut-être observer une pause de deux minutes avant de reprendre la séance.
La séance reprend.
La seule autre question que je voudrais régler, c'est de donner suite à la motion de M. Calandra. Je n'ai pas l'impression qu'il soit nécessaire de la lire encore une fois. À la fin de la dernière réunion, une motion était déposée et il était entendu que nous inviterions M. Ménard.
L'invitation a été envoyée. D'après les renseignements dont nous disposons, M. Ménard ne voit absolument aucun inconvénient à comparaître devant le comité, mais, pour des raisons différentes, il préférerait venir dans le cadre d'une motion du comité. Je vais demander au greffier si j'ai correctement résumé la situation.
Très bien. Cela étant, je demande aux membres du comité de présenter à nouveau la motion qui a été déposée. Nous avons dit que nous le ferions. Le comité en est saisi en ce moment. Voici la motion proposée par M. Calandra.
Y a-t-il discussion?
(La motion est adoptée. [Voir le Procès-verbal])
Le président: Très bien. Je crois savoir qu'il comparaîtra pendant une heure le jeudi 2 décembre.
L'ordre du jour étant épuisé, la séance est levée.
Explorateur de la publication
Explorateur de la publication