ETHI Réunion de comité

    Bonjour à tous.

    Je remercie Mme Stoddart et Mme Bernier d'être parmi nous aujourd'hui.

    Comme vous l'avez constaté, à l'ordre du jour d'aujourd'hui, la première heure sera consacrée aux deux rapports. Le premier étant le rapport annuel 2010 relativement à la Loi sur la protection des renseignements personnels et les documents électroniques, et le second, le rapport annuel 2010-2011 de la commissaire à la protection de la vie privée du Canada.

    Monsieur le président, j'aimerais prendre la parole brièvement pour annoncer au comité, ainsi qu'au greffier, que je déposerai aujourd'hui une motion que j'aimerais que nous débattions mardi prochain. C'est une motion qui demande que Mme Claude Benoît, présidente et chef de la direction de la Société du Vieux-Port de Montréal, soit entendue à titre de témoin pour justifier ses dépenses et la façon dont son budget est géré relativement à plusieurs aspects, notamment les voyages, les repas, etc. Je voudrais simplement informer la présidence, le greffier et l'ensemble du comité que cette motion sera déposée aujourd'hui.

    Je vous remercie. Vous pourrez donc déposer votre avis de motion auprès du greffier si vous l'avez en votre possession et nous pourrons en discuter éventuellement, considérant le délai de 48 heures qui doit être donné.

    Donc, la première heure de nos travaux sera consacrée aux deux rapports de la commissaire et la deuxième heure sera consacrée au Budget principal des dépenses.

    Je cède la parole à Mme Stoddart pour une présentation de dix minutes relativement aux deux rapports.

    Merci beaucoup, monsieur le président.

    Je veux d'abord vous féliciter de votre récente élection à titre de président de ce comité.

    Monsieur le président, mesdames et messieurs les membres du comité, bonjour. Je suis très heureuse d'avoir l'occasion de vous entretenir de nos deux rapports annuels que nous présentons à la Chambre des communes.

    Je suis accompagnée aujourd'hui de la commissaire adjointe à la protection de la vie privée, Chantal Bernier. Mme Bernier est responsable de nos opérations courantes. Elle est également experte en sécurité nationale. Je la remercie de m'accompagner aujourd'hui.

    Mes observations préliminaires porteront principalement sur le travail que nous avons accompli dans le secteur public, bien qu'il y ait eu aussi des faits nouveaux intéressants dans le secteur privé. Notre rapport annuel concernant la Loi sur la protection des renseignements personnels pour l'exercice 2010-2011 était axé essentiellement sur l'administration, par le gouvernement fédéral, des renseignements personnels des Canadiens. En particulier, nous avons examiné la protection de la vie privée dans le contexte de l'application de la loi et de la sûreté du transport aérien. Le rapport a permis de vérifier si les ministères et organismes recueillaient, utilisaient et communiquaient les renseignements personnels d'une façon conforme à la loi. C'est d'une énorme importance, compte tenu de la nature très délicate d'une grande partie des données personnelles requises par l'État pour gouverner. Après tout, nous parlons ici de renseignements sur le revenu des gens, leurs impôts et prestations, leurs habitudes de voyage et une multitude d'autres aspects de leur vie. Ce ne sont pas des renseignements que les personnes voudraient nécessairement donner; ils sont tout simplement recueillis pour répondre aux exigences des divers programmes ou activités du gouvernement.

    Je suis ravie de vous signaler que, dans l'ensemble, nous avons conclu que le gouvernement du Canada dispose de politiques et de pratiques solidement établies pour protéger les renseignements personnels des Canadiens. Cependant, nous avons aussi indiqué qu'il ne peut faire aucun compromis sur la qualité du traitement de ces renseignements. Et cela doit s'appliquer non pas en quelques occasions ou la plupart du temps, mais bien en toutes circonstances. Le fait est que la collecte excessive, une mauvaise utilisation ou une communication inappropriée de renseignements personnels de nature délicate pourraient entraîner de graves conséquences pour les personnes touchées.

    Notre rapport annuel résume deux vérifications effectuées par le commissariat au cours de l'exercice. Je vous résume brièvement les constatations dégagées.

    Tout d'abord, en ce qui a trait à la vérification, nous avons évalué si les politiques et les pratiques de l'Administration canadienne de la sûreté du transport aérien, connu sous l'acronyme ACSTA, étaient conformes à la Loi sur la protection des renseignements personnels.

    Cette vérification a permis de conclure que l'organisme recueille trop de renseignements sur les voyageurs aériens et qu'il ne protège pas toujours ces données de manière appropriée. En particulier, nous avons observé que l'ACSTA recueillait des données personnelles relatives aux activités des voyageurs qui sont non liées à la sûreté du transport aérien, des activités qui sont, dans certains cas, parfaitement légales et légitimes.

    Par exemple, l'ACSTA prendrait note du fait qu'un passager d'un vol intérieur transporte d'importantes sommes d'argent, même si aucune loi ne l'interdit. La collecte excessive de renseignements est inquiétante, car elle peut entraîner des soupçons non fondés au sujet d'une personne innocente. De plus, nos vérifications ont révélé des lacunes dans les mesures prises pour protéger ces renseignements.

    En fait, lors de nos vérifications ponctuelles effectuées dans plusieurs grands aéroports canadiens, nous avons trouvé des rapports d'incidents sur des étagères ouvertes ou sur le plancher au même endroit où se rendent des passagers retenus pour un contrôle plus approfondi.

    Passons maintenant à l'autre vérification, qui portait sur la Gendarmerie royale du Canada et sur sa gestion de ses deux bases de données opérationnelles, qui comprennent des renseignements échangés avec de nombreux services de police, institutions fédérales et autres organismes.

    Vous avez peut-être entendu parler du Centre d'information de la police canadienne, le CIPC, et du Système d'incidents et de rapports de police, le SIRP. Le CIPC a été décrit comme étant l'épine dorsale du système de justice pénale. Il permet le stockage et le repérage informatiques de renseignements sur les crimes et les criminels. Il est régulièrement consulté par les organismes chargés de l'application de la loi et par la communauté de justice pénale. Quant au SIRP, il s'agit du système de gestion des relevés judiciaires de la GRC. Il contient des renseignements sur les personnes qui sont entrées en contact avec la police, soit en tant que suspect, victime, témoin ou délinquant.

    Selon notre vérification, la GRC dispose généralement de politiques et de procédures lui permettant de bien gérer l'accès aux données du CIPC ainsi que leur utilisation. Toutefois, le tiers des organismes qui recouraient aux données du CIPC étaient incapables, pour des raisons techniques, de mettre en oeuvre les protocoles nécessaires pour que seuls les utilisateurs autorisés aient accès aux renseignements du CIPC.

    En ce qui concerne la base de données du SIRP, nous avons aussi découvert que des renseignements personnels désuets ou erronés étaient conservés alors qu'ils auraient dû être isolés ou éliminés. Plus particulièrement, nous avons constaté que les services de police et autres organismes pouvant consulter le SIRP continuaient d'avoir accès aux relevés judiciaires liés à des cas ayant entraîné une condamnation injustifiée ou ayant fait l'objet d'une réhabilitation. Cette situation contrevient aux dispositions sur la conservation des données énoncées dans la Loi sur la protection des renseignements personnels. Elle fait en sorte qu'il est difficile pour les gens de vivre une vie normale, sans qu'elle ne soit entachée de soupçons injustifiés.

    L'ACSTA et la GRC ont tous les deux accepté de donner suite à nos recommandations. Nous suivons de près leur mise en oeuvre.

    Dans notre dernier rapport annuel, nous avons fait état des travaux de suivi à l'égard de trois vérifications menées en 2008 et en 2009. Nous voulions savoir combien de nos 34 recommandations avaient été mises en oeuvre. Nous avons constaté que 32 d'entre elles avaient été appliquées en totalité ou en grande partie au cours des années qui ont suivi.

    Dans certains cas, les résultats ont été appréciables. Par exemple, le suivi de la vérification sur les fichiers inconsultables de la GRC a permis de découvrir que l'organisme avait éliminé des dizaines de milliers de fichiers excédentaires pour se conformer à nos recommandations.

    Je parlerai maintenant de notre rapport annuel 2010 sur la Loi sur la protection des renseignements personnels et les documents électroniques, soit la LPRPDE. Les principaux enjeux de ce rapport étaient la protection de la vie privée en ligne et la suppression des renseignements personnels.

    Nous avons mis en relief notre vérification d'un important détaillant, soit Bureau en Gros Ltée — Staples Canada Inc.

    Nous avons découvert que Bureau en Gros n'avait pas supprimé toutes les données de clients se trouvant dans des dispositifs de stockage retournés, tels des ordinateurs portatifs ou des disques durs USB, destinés à la revente.

    C'était particulièrement décevant, étant donné que nous avions déjà effectué deux enquêtes relatives à des dispositifs de stockage retournés à Bureau en Gros et que nous avions reçu l'assurance que l'entreprise réglerait les problèmes que nous avions décelés.

    Même si certaines mesures ont été prises, la vérification a révélé que les procédures et les contrôles en question n'étaient pas appliqués de façon uniforme et qu'ils n'étaient pas toujours efficaces.

    Par conséquent, cette situation présente des risques importants pour les renseignements personnels des clients de Bureau en Gros.

    À la fin de notre vérification, nous avons demandé à Bureau en Gros de soumettre d'ici à la fin de juin, cette année, un rapport rédigé par un tiers indépendant confirmant qu'elle s'est conformée à nos recommandations.

    Nous avons hâte de voir comment l'entreprise a donné suite à nos recommandations.

    Le rapport décrit également notre enquête sur la collecte par Google de données de nature hautement délicate à partir de réseaux sans fil non sécurisés dans divers quartiers partout au Canada. L'enquête a révélé que les véhicules de Google Street View avaient indûment recueilli des renseignements personnels tels que des adresses électroniques, courriels, noms d'utilisateur, mots de passe, numéros de téléphone et adresses civiques.

    Sur cette grave atteinte au droit à la vie privée des Canadiens, Google a expliqué qu'un ingénieur aurait mis au point un code qui inclut des lignes permettant la collecte de données utiles, mais qu'il aurait omis d'en informer les conseillers juridiques de l'entreprise chargés de réviser le projet.

    Nous étions préoccupés par le manque de contrôle des processus par Google afin d'assurer le suivi nécessaire à la protection de la vie privée. C'est pourquoi nous avons recommandé que Google dispose d'un modèle de gouvernance afin de se conformer aux lois de protection de la vie privée. Nous avons aussi recommandé qu'une formation améliorée sur la protection de la vie privée soit offerte aux employés de Google.

    Des progrès ont été réalisés dans ce dossier depuis que nous avons publié notre rapport annuel. L'an dernier, nous avons examiné les mesures correctives que Google avait mises en place en réponse à l'enquête. Nous avons constaté que l'entreprise était sur la bonne voie pour résoudre ces graves lacunes, mais nous avons demandé que Google fasse l'objet d'une vérification indépendante effectuée par une tierce partie, en ce qui concerne ses programmes de protection de la vie privée.

    Nous avons demandé à Google de nous transmettre le rapport de vérification dans un délai d'une année, et nous sommes impatients d'en examiner les résultats incessamment.

    Nous avons également commencé à utiliser cette approche — soit la demande de vérification par une tierce partie — auprès d'autres organismes.

    Je n'ai abordé que quelques-unes des nombreuses questions traitées dans nos deux rapports annuels. Les deux documents illustrent encore une fois le très large éventail d'enjeux qui, liés à la protection de la vie privée, ont une conséquence considérable pour les Canadiens. Ils font ressortir l'importance d'avoir des lois rigoureuses pour protéger notre droit à la vie privée.

    Je vous remercie infiniment de votre attention. C'est avec plaisir que mes collaborateurs et moi répondrons maintenant à vos questions.

    Merci beaucoup, madame Stoddart.

    Je vais laisser la parole à M. Angus pour sept minutes pour qu'il puisse poser des questions relativement à votre présentation.

    Merci, monsieur le président.

    Madame Stoddart, je vous remercie de vos excellents rapports. Nous sommes appelés à en lire beaucoup. Souvent, les rapports semblent contenir uniquement des données, mais parfois, un document comme le vôtre réussit à exposer clairement les enjeux liés à la protection des renseignements personnels, au rôle de l'État et aux droits individuels. Je pense que votre rapport est très convaincant.

    Vous y évoquez que la sécurité et la protection de la vie privée ne sont pas des valeurs contradictoires. Vous ajoutez ceci:

    

    

    C'est là une déclaration sans équivoque et percutante à laquelle les Canadiens adhèrent. Il faut trouver les moyens de préserver cette relation de confiance.

    Ce qui me préoccupe particulièrement entre autres, c'est l'absence de règles régissant la collecte et la conservation des renseignements personnels dans le projet de loi C-30. Tout comme vous, certains ont fait part de leurs préoccupations à cet égard. Selon Vic Toews, le ministre, ceux qui soulèvent ces préoccupations sont du côté des gens qui s'adonnent à la pornographie juvénile, une accusation infamante lorsqu'il s'agit de protection des renseignements personnels.

    Que pensez-vous de cette absence de règles dans le projet de loi C-30 pour protéger le droit à la vie privée des citoyens?

    Merci beaucoup de cette question, monsieur le député.

    Ces dernières années, nous avons mis davantage l'accent sur la sécurité nationale et la protection des renseignements personnels en raison des divers nouveaux programmes dans ces domaines respectifs.

    Nous avons publié un document qui peut être consulté sur notre site Web. Intitulé « Une question de confiance », ce document explique les principes que nous appliquons en matière de protection de la vie privée et les critères que les tribunaux examinent pour veiller au respect de ces principes. Nous espérons qu'il constitue un cadre d'analyse qui propose des solutions pour élaborer des programmes et préciser les exigences auxquelles peuvent s'attendre les Canadiens.

    Passons au projet de loi C-30. Je crois qu'il a été présenté sous un autre titre en avril 2009, si j'en crois la documentation que j'ai parcourue récemment. Depuis trois ans donc, nous avons fait connaître notre position officielle et officieuse sur cette mesure législative. Nous avons consulté les responsables ministériels. La structure du projet de loi nous préoccupe toujours tout autant. Nous n'avons rien changé à notre position depuis trois ans. Ce qui nous inquiète notamment, c'est qu'il soit possible d'obtenir des renseignements personnels sur des Canadiens sans obtenir leur autorisation, qu'il n'y ait aucun mécanisme de surveillance pertinent et que les Canadiens ignorent ce qui se passe.

    En raison de la technologie très complexe et efficace auxquels peuvent avoir recours des gens malintentionnés, la tâche des organismes canadiens d'application de la loi est plus ardue. Nous le comprenons très bien, mais nous estimons qu'il faut faire comprendre au public la nécessité de ces pouvoirs accrus. Lorsque la loi sera modifiée ultérieurement, il faudra la doter d'un mécanisme de surveillance plus exhaustif et de dispositions exigeant une autorisation préalable à la consultation des renseignements personnels. C'est ce à quoi nous nous attendons ou, du moins, c'est ce que nous espérons.

    Merci.

    Dans votre rapport, vous signalez ceci: « Une quantité de renseignements personnels sans précédent est disponible aujourd'hui et l'avidité de l'État pour ces renseignements est sans bornes. » Voilà une affirmation percutante. Le projet de loi C-30 est préoccupant à cet égard. Cependant, l'avidité des entreprises privées pour les renseignements personnels est tout aussi sans bornes. Ce qui m'inquiète, ce sont les protocoles régissant la collecte des renseignements personnels. Vous avez examiné la question dans vos vérifications sur Google et Bureau en Gros.

    Examinons les dispositions de la loi qui portent sur les atteintes aux mesures de sécurité. On pourrait peut-être parler d'absence de telles dispositions. Le gouvernement a présenté le projet de loi C-12 pour proposer des dispositions très vagues à ce chapitre, créant un système de notification obligatoire du consommateur en cas de préjudice grave. Ce critère de préjudice grave compliquera les choses. Aucune entreprise ne voudra divulguer à un consommateur que les renseignements le concernant ont été consultés sans son autorisation, de crainte que ce consommateur ferme son compte.

    D'après vous, comment pourrait-on mieux protéger les Canadiens? Devriez-vous en être informée également, de manière à ce que vous puissiez trancher? Faudrait-il autoriser une entreprise privée à déterminer s'il y a eu préjudice grave? Comment pouvons-nous garantir un certain équilibre? Devriez-vous être saisie de ces cas pour que vous puissiez trancher?

    C'est un autre problème épineux sur lequel mon bureau se penche. En fait, j'ai fait valoir mes préoccupations sur les dispositions du projet de loi C-12 portant sur la protection de la vie privée. Étant donné l'ampleur de ces atteintes qui ont entraîné la divulgation de renseignements personnels sur des Canadiens au pays et à l'étranger... J'estime qu'il faudrait ajouter des dispositions plus rigoureuses au projet de loi C-12.

    Si le Canada n'établit pas des critères plus rigoureux et notamment n'impose pas des sanctions aux entreprises qui ne prennent pas les mesures pour assurer la protection des renseignements personnels, je crains fort que nous accusions beaucoup de retard sur de nombreux États américains et à d'autres pays comme le Royaume-Uni, où des amendes sont imposées en cas d'atteinte aux mesures de sécurité. On semble viser surtout les organismes du secteur public.

    Nous devons indiquer très clairement que l'atteinte aux mesures de sécurité est inacceptable, message que j'ai transmis il y a un an aux entreprises. Bien sûr, certaines atteintes sont incontournables en raison de la technologie de pointe, mais bien d'autres semblent résulter d'un manque d'attention, d'une absence de formation ou d'investissements insuffisants dans le matériel et les mécanismes pour prévenir ces atteintes.

    Monsieur Angus, votre temps est malheureusement écoulé.

    Je cède maintenant la parole à M. Del Mastro pour sept minutes.

    Merci, monsieur le président.

    Je remercie également les témoins de leurs explications fort intéressantes.

    Ce qui a retenu mon attention dans votre déclaration, ce sont vos propos sur l'ACSTA. Toutes les fois que je m'entretiens avec des responsables d'une organisation d'application de la loi — et l'ACSTA en est certainement une —, ceux-ci me signalent qu'ils n'ont jamais assez de renseignements et qu'ils n'en rejettent aucun.

    Je me demande ce qui justifie un tel phénomène. Vous avez indiqué que la collecte est excessive. Comment la justifie-t-on? Ces organisations l'ont-elles justifiée? Ont-elles une raison de poser des questions et de recueillir des renseignements qu'elles ne sont pas censées poser et recueillir?

    Je ne pense pas qu'elles l'aient fait, monsieur le président, mais pourrais-je demander à Chantal Bernier, commissaire adjointe, de répondre à cette question car elle connaît mieux que moi les détails de cette vérification?

    Merci.

    À vrai dire, nos rapports avec l'ACSTA sont excellents. Lorsque nous lui avons fait part de cette constatation dans le cadre de notre vérification, elle a accepté de modifier sa pratique, reconnaissant qu'elle recueillait trop de renseignements et que cela n'était pas conforme à son mandat.

    C'était donc qu'elle avait accès à ces renseignements et les recueillait, qu'elle en a avait besoin ou non.

    Effectivement.

    Très bien.

    Vous avez indiqué que seulement le tiers des utilisateurs des bases de données du CIPC satisfaisaient aux exigences en matière de vie privée. Est-ce en raison notamment du fait que les services de police des petites localités n'ont pas les ressources nécessaires? Est-ce parce qu'on ne comprend pas bien les responsabilités en matière de protection des renseignements personnels? Est-ce une combinaison des deux? Quelles sont vos constatations sur le non-respect des exigences en matière de vie privée en ce qui concerne le CIPC?

    Il me semble qu'il faudrait une surveillance accrue dans le cas du CIPC.

    Vous avez tout à fait raison. J'ignore si je peux vous donner une réponse toute simple, étant donné le nombre d'organisations canadiennes qui consultent les bases de données du CIPC. J'ignore si la commissaire adjointe peut faire mieux que moi. Le responsable de la vérification et de la revue pourra vous donner les réponses qui ont été données, si vous le souhaitez.

    Les bases de données du CIPC ont pu être consultées par des personnes n'appartenant pas nécessairement à des organismes fédéraux, notamment des forces de police municipales ou provinciales. Nous n'étions en mesure, je pense, de leur dire... Notre vérification portait sur le CIPC. Nous avons pu constater avec une certaine préoccupation que le tiers des organismes recourant aux données du CIPC ne pouvaient garantir que seuls les utilisateurs autorisés ont accès à ces renseignements.

    On parle bien du tiers qui n'observait pas les règles, et non du tiers qui les observait.

    Oui, c'est le tiers qui n'observait pas les règles. C'est ce que je crois comprendre.

    C'est tout de même élevé. On parle d'un nombre important de personnes qui consultent ces bases de données sans y être autorisées.

    Exactement. On ne parle pas de la GRC, mais bien d'organismes beaucoup plus petits qui entretiennent des liens avec la GRC.

    Très bien. Merci.

    Je suis ravi d'entendre que 32 de vos 34 recommandations ont été mises en oeuvre intégralement ou en grande partie. Ce sont là de bonnes nouvelles.

    Je suis également ravi d'entendre que Google collabore également avec vous. Je ne veux pas faire de la publicité à Jacob Glick et à Google au Canada, mais je ne me souviens pas de la dernière fois où j'ai utilisé un autre moteur de recherche. Je suis heureux de constater qu'ils font preuve envers les Canadiens de la même loyauté que ceux-ci leur ont témoignée. Ce sont là de bonnes nouvelles.

    Je voudrais poser une autre question. M. Angus a évoqué le projet de loi C-30. Vous ne comparaissez pas aujourd'hui pour aborder cette mesure législative. Malgré le fait que je ne crois pas que les Canadiens devraient donner plus de renseignements qu'ils ne sont tenus de le faire par la loi, je pense néanmoins, comme vous l'avez dit, que les gouvernements doivent protéger les renseignements personnels qu'ils doivent recueillir pour gouverner. Par contre, je m'inquiète que des individus puissent faire valoir la protection des renseignements personnels pour dissimuler leurs activités illégales, se fondre dans la masse des citoyens respectueux des lois et utiliser à mauvais escient les mesures de protection que tous nous préconisons ou avons toujours préconisées. Ils utilisent les lois sur la protection des renseignements personnels pour commettre des actes criminels.

    Il sera toujours difficile de trancher... et on peut dire à juste titre que nous devrons consentir des sacrifices pour que nos corps policiers notamment puissent traquer ceux qui cherchent à exploiter à des fins criminelles nos lois sur la protection des renseignements personnels. Vous avez dit, et je paraphrase, qu'il fallait expliquer aux Canadiens les raisons pour lesquelles ces changements s'imposent. Des groupes, des corps policiers ou des organisations d'application de la loi vous ont-ils donné une justification des mesures qu'ils prennent? Le chef de police de ma localité m'a signalé des propos qui m'ont troublé lorsqu'il m'a expliqué les problèmes avec lesquels ils sont aux prises lorsqu'ils cherchent à traquer notamment ceux qui s'adonnent à la pornographie juvénile.

    Merci. Vos questions et préoccupations sont pertinentes.

    Si vous me le permettez, monsieur le président, je demanderai à la commissaire adjointe, Chantal Bernier, qui est versée en sécurité nationale et qui pourra mieux répondre que moi...

    Nous sommes d'accord avec vous: les lois sur la protection des renseignements personnels ne doivent pas mettre en péril la sécurité publique et ne peuvent servir à dissimuler des activités illégales. C'est notre principe de base. Nous avons abondamment consulté les chefs de police, la GRC, le SCRS et la société civile pour établir les distinctions qui s'imposent par rapport à cette législation.

     La commissaire a évoqué le document intitulé « Une question de confiance ». Vous trouverez, je crois, ce document très utile. Il offre un cadre d'analyse pour établir précisément les distinctions qu'il faudrait, selon vous, apporter.

    Ce cadre d'analyse préconise qu'il faudrait justifier premièrement pourquoi il faut certains pouvoirs face aux atteintes aux mesures de sécurité dans certains cas, et deuxièmement pourquoi il faut conserver des renseignements personnels. Il propose naturellement un mécanisme de surveillance pour vérifier si tous les droits sont respectés.

    Madame Bernier, je vous demanderais de conclure en 15 secondes.

    Par conséquent, le projet de loi doit être envisagé sous cet angle, afin que seules les personnes malintentionnées soient visées et qu'il ne soit pas possible de dissimuler des activités illégales.

    Merci beaucoup.

    Je veux mentionner aux membres du comité que le rapport intitulé « Une question de confiance : Intégrer le droit à la vie privée aux mesures de sécurité publique au 21^e siècle », dont faisait mention Mme Bernier, est disponible sur demande. Donc, le comité a accès à ce document et le greffier fera circuler le lien Internet pour y avoir accès.

    Je cède la parole à M. Andrews pour sept minutes.

    Merci beaucoup, monsieur le président.

    Mesdames, je vous souhaite la bienvenue.

    Dans votre déclaration, vous avez évoqué la collecte excessive de renseignements. Dans quelle mesure ce phénomène est-il fréquent? Vous avez parlé de ce phénomène, mais dans quelle mesure certains ministères fédéraux collectent-ils trop de renseignements? Faudrait-il s'inquiéter également de cette tendance?

    C'est difficile à dire si ce phénomène existe à l'échelle du gouvernement, mais je dirais que c'est une tendance naturelle. Comme l'a souligné plus tôt un député, les fonctionnaires tentent toujours de trouver plus d'information, car ils veulent s'assurer de ne rien manquer et que leur programme est bien administré. Ils ont de bonnes intentions, mais cette collecte excessive n'est pas utile. Pour reprendre les propos de la commissaire adjointe, il faut pouvoir justifier la collecte de renseignements personnels, tant sur le plan théorique que sur le plan pratique eu égard à la Loi sur la protection des renseignements personnels.

    Ce que l'on fait, c'est... Le Conseil du Trésor demande aux ministères et organismes qui s'apprêtent à créer un programme où ils iront chercher les renseignements personnels des gens pour faire des évaluations des facteurs relatifs à la vie privée, que l'on appelle aussi des EFRVP. D'une année à l'autre, on peut recevoir de 60 à 100 évaluations. Elles ne sont pas toutes analysées, car nous n'avons pas les ressources nécessaires. Toutefois, nous analysons les plus importantes et tentons de restreindre la collecte de renseignements personnels lorsqu'il y a eu excès à ce chapitre.

    Ces évaluations sont-elles pratique courante? Selon votre expérience, dans les cas où une EFRVP est indiquée, la fait-on?

    Pas toujours, mais dans la majorité des cas où les programmes utilisent des renseignements personnels, notamment des renseignements personnels de nature délicate, oui, ces évaluations sont effectuées.

    La commissaire adjointe a parlé de notre collaboration avec l'ACSTA. Nous avons travaillé en étroite collaboration avec l'organisme au développement et à la mise en service de scanners corporels, entre autres.

    Donc, dans la majorité des cas, des EFRVP sont effectuées.

    Travaillez-vous avec les différents ministères et organismes à l'élimination des renseignements personnels? À quel moment doivent-ils procéder à l'élimination sécuritaire de ces renseignements? Est-ce une source d'inquiétude pour vous?

    C'est effectivement une chose qui nous préoccupe. Lors de vérifications faites récemment auprès de certains organismes, nous avons relevé de sérieux problèmes concernant l'élimination des renseignements personnels.

    De temps à autre, nous faisons une vérification des pratiques d'élimination des renseignements et rappelons aux ministères leurs obligations à ce chapitre. Par exemple, Industrie Canada doit effacer toute l'information qui se trouve dans ses ordinateurs avant de les donner aux écoles, et Bibliothèque et Archives Canada doit s'assurer que l'entrepreneur chargé du déchiquetage des documents sensibles se conforme aux clauses du contrat. Nous faisons ensuite un contrôle deux ou trois ans plus tard afin de vérifier que nos recommandations ont été suivies.

    Au sujet de Google et d'autres entreprises, vous avez parlé de vérifications indépendantes effectuées par une tierce partie. Quelles sont ces autres entreprises auxquelles vous faites référence?

    En vertu des dispositions des deux lois applicables, je ne peux pas divulguer cette information, à moins que ce soit dans l'intérêt public.

    Je peux dire, toutefois, que je faisais référence à une nouvelle approche que j'ai adoptée l'an dernier, car je m'inquiétais du prix que doivent payer les contribuables canadiens pour assurer la protection de leurs renseignements personnels. À la suite d'une enquête, si la société en cause refuse de collaborer avec nous pour résoudre le problème, qu'elle se montre insouciante et qu'elle ne fait rien pour corriger la situation, ou même si elle admet ses torts et qu'elle dit qu'elle apportera des mesures correctives, il ne devrait pas nous incomber de faire un suivi à titre d'organisme gouvernemental. Cela demande du temps et des ressources. Donc, dorénavant, nous adopterons la même pratique que la Commission fédérale du commerce, qui joue le même rôle que nous aux États-Unis. Lorsqu'une société contreviendra à la Loi sur la protection des renseignements personnels, ou dans le cas de Google, la LPRPDE, nous lui demanderons de retenir les services d'une tierce partie pour effectuer une vérification afin de confirmer que le problème a été réglé et de nous transmettre le rapport de cette vérification.

    Vous avez sûrement entendu parler du scandale des appels automatisés et du fait que les renseignements personnels des électeurs ont été remis aux partis politiques à des fins diverses.

    Je sais que les partis politiques ne sont pas assujettis à bon nombre des mesures de protection des données et qu'ils ne sont pas tenus de justifier leur utilisation de ces données. Avez-vous suivi ce dossier? Avez-vous des suggestions pour aider les partis politiques à mieux protéger les données qu'ils possèdent?

    J'attendrai que le directeur général des élections ait terminé son enquête avant de me prononcer. Je peux vous dire, cependant, que nous avons déjà rencontré des députés et des partis politiques à ce sujet et rédigé des documents afin d'aider les députés à protéger les renseignements personnels des citoyens qu'ils représentent.

    J'aimerais vous poser une question au sujet du projet de loi C-30. Votre homologue provinciale, Ann Cavoukian, a fortement critiqué ce projet de loi et n'a pas hésité à le faire publiquement. Défendez-vous son opinion?

    Comme je l'ai déjà dit, nous suivons ce dossier depuis trois ans. Nous y avons beaucoup travaillé et avons fait part de nos efforts aux commissaires provinciaux et territoriaux. C'est la raison pour laquelle nous pouvons nous exprimer d'une seule voix à ce sujet. Je crois que tous les commissaires à la vie privée au pays partagent la même opinion.

    Merci.

    Merci, monsieur Andrews.

    Monsieur Butt, vous avez la parole pour sept minutes.

    Merci beaucoup, monsieur le président.

    Madame la commissaire, merci beaucoup d'avoir accepté notre invitation. Vous notez dans votre rapport que le nombre de consultations de votre site Web a augmenté de 36 p. 100 par rapport à l’année précédente. Comment expliquez-vous cette augmentation? Peut-être que c'est une bonne chose, puisque le public est plus sensible à cette question. Comment cette situation influe-t-elle sur l’information que vous mettez en ligne?

    Merci pour cette question.

    Non seulement nous avons créé un site Web principal, mais nous en avons aussi créé un destiné uniquement aux jeunes. Nous investissons de plus en plus dans la publication d'information en ligne, puisque les Canadiens, surtout les jeunes, consultent davantage Internet que les médias écrits ou télévisés. C'est une bonne chose pour nous, car à une époque où il faut faire des choix judicieux en matière de ressources, nous croyons qu'il s'agit d'une façon économique de communiquer avec les citoyens.

    Mes filles ont respectivement 12 et 8 ans. Ma plus vieille envoie des gazouillis, des messages textes et bien d'autres choses. Bien entendu, nous lui rappelons d'agir de manière responsable et de protéger ses renseignements personnels, mais en raison de l'évolution d'Internet et des médias sociaux, je m'inquiète pour la vie privée des citoyens. Vous devez avoir de la difficulté à distinguer ce qui est personnel de ce qui peut être rendu public.

    Étant donné l'évolution rapide d'Internet, est-ce plus difficile de trancher dans le cadre de vos enquêtes? Y a-t-il des outils dont vous auriez besoin pour ne pas être dépassés par ce phénomène?

    C'est une très bonne question.

    Je suis commissaire à la protection de la vie privée depuis maintenant huit ans et, au cours de cette période, les choses ont énormément changé. C'est incroyable à quelle vitesse il faut se réinventer et s'ajuster.

    Partout sur la planète, les gens se penchent sur la définition de « renseignements personnels » afin de distinguer ce qui est personnel de ce qui peut être rendu public. Aussi, cette analyse se fait parallèlement aux discussions sur le gouvernement transparent et tout ce que cela implique.

    J'ignore s'il existe une ressource en particulier qui pourrait nous être utile. Ça fait partie de notre mandat. Toutefois, au cours des dernières années, nous avons créé, entre autres, une Direction de l'analyse des technologies. Son directeur m'accompagne aujourd'hui, si vous désirez plus d'information. Nous avons également six ou sept spécialistes hautement qualifiés en technologie de l'information dont le travail consiste à analyser les activités sur le Web ainsi que leur incidence, et à nous conseiller dans le cadre de nos enquêtes.

    Le deuxième point que j'aimerais aborder brièvement — bien entendu, s'il me reste encore du temps, monsieur le président — concerne la LPRPDE et l'examen parlementaire de celle-ci qui devrait avoir lieu prochainement.

    Avant d'être élu, j'étais président du Greater Toronto Apartment Association. À l'époque, nous avons aidé nos membres à créer un document normalisé pour recueillir les renseignements personnels de leurs locataires.

    Je connais bien les dispositions de la LPRPDE ainsi que les avantages et les inconvénients qu'elles apportent, y compris les maux de tête administratifs qu'elles créent pour certaines sociétés privées chargées de recueillir des renseignements personnels.

    Que faites-vous pour vous préparer en vue de cet examen? Quand serez-vous prêts et quel devrait être le rôle du Parlement ou le vôtre dans cet examen de la LPRPDE?

    Nous nous préparons depuis trois ans au prochain examen de la LPRPDE, et nous devrions être prêts cet été. J'aime bien votre question. J'espère sincèrement que le Parlement demandera au comité d'examiner la LPRPDE, car, si je ne m'abuse, le dernier examen a eu lieu en 2006.

    Je crois qu'il est largement temps d'examiner cette loi. Nous avons demandé à des professeurs de droit de nous faire part de leur analyse de la loi et avons mené nos propres analyses. D'autres organismes qui jouent le même rôle que nous ailleurs dans le monde, notamment aux États-Unis et en Europe, ont étudié la question de la protection des renseignements personnels et des documents électroniques, et je crois que leurs conclusions pourraient être utiles à l'examen de la LPRPDE. Donc, nous attendons impatiemment la tenue de cet examen.

    D'accord.

    Me reste-t-il encore du temps, monsieur le président?

    Monsieur Butt, il vous reste une minute et trente secondes, .

    Y a-t-il des dispositions de la loi que vous aimeriez voir améliorées, modifiées ou retirées? Avez-vous une petite idée de ce que vous prévoyez recommander dans le cadre de cet examen, s'il a lieu?

    Certainement. Une de nos recommandations concernera l'application de la loi. Certaines questions techniques ont été soulevées, mais l'application de la loi est un des principaux problèmes. Comme vous le savez, il y a une enquête en cours et, si la victime présumée, la partie plaignante, est d'accord et que l'affaire n'est pas réglée, elle pourrait être protée devant la Cour fédérale.

    Ce tribunal n'a aucun pouvoir d'accorder des dommages-intérêts, ce qui diffère des programmes de protection des renseignements personnels que l'on retrouve dans des pays comparables au nôtre. Des victimes ayant porté leur cause devant la Cour d'appel de l'Ontario ont récemment parlé de cette réalité. Il faudrait reconnaître le préjudice qu'elles ont subi.

    Il faudrait donc songer à renforcer l'application de la loi. On doit pouvoir imposer des sanctions aux sociétés qui ne respectent pas la vie privée des gens. Il faut aussi reconnaître que, si cette valeur est importante, il faudrait indemniser les victimes.

    Merci. Votre temps est écoulé.

    Je cède donc la parole à Mme Borg pour cinq minutes.

    Merci, monsieur le président.

    Je remercie Mmes Stoddart et Bernier d'être parmi nous aujourd'hui.

    Madame Stoddart, dans votre analyse de l'ACSTA, vous avez souligné un problème concernant le respect des protocoles de la part des entreprises privées qui détiennent des contrats pour le contrôle des passagers. Vous avez mentionné qu'il y a certaines lacunes dans leur méthode de destruction des données et de conservation des rapports d'incident. Dans le projet de loi C-30, , on voit la dépendance vis-à-vis des entreprises privées pour la collecte et la conservation de ces informations personnelles. Cette dépendance accrue vous inquiète-t-elle? Est-ce une tendance qu'on observe actuellement?

    Je vais demander à la commissaire adjointe de répondre à votre question.

    Tout à fait. Les partenariats publics-privés ont des répercussions sur la protection des renseignements personnels. Il faut donc s'assurer qu'il y a une continuité dans la protection des renseignements personnels, et cette continuité doit être assurée par un cadre législatif vigoureux.

    Dans le cas de l'ACSTA, ce contrat faisait en sorte que ses obligations concernant la protection des renseignements personnels s'étendaient également aux sous-traitants. Par conséquent, cette violation de la protection était non conforme et contrevenait également à la Loi sur la protection des renseignements personnels.

    L'ACSTA a reconnu qu'elle devait améliorer sa surveillance des entrepreneurs à cet égard. On s'attend donc à un renforcement de la supervision de ce côté. Quant à votre question plus générale, vous avez tout à fait raison. À notre avis, le phénomène des partenariats publics-privés a des répercussions tout à fait pertinentes sur la protection des renseignements personnels et cela fait l'objet de notre vigilance.

    Merci.

    Ma deuxième question concerne les sections 3.1 et 3.2 de votre rapport.

    Vous indiquez que suite à une plainte d'un ancien combattant, vous avez entrepris une enquête sur le ministère des Anciens Combattants. En 2012, les informations personnelles de Thomas Hope, un autre ancien combattant, ont été rendues publiques sans qu'on l'ait consulté. Je pense que vous êtes en train d'étudier cette question. Pouvez-vous nous parler du suivi que vous faites de cette affaire?

    Il y a plusieurs choses à mentionner. Premièrement, nous avons reçu plusieurs plaintes. Nous avons donc plusieurs enquêtes en cours. Deuxièmement, à la suite de la première plainte, nous avons remarqué qu'il y avait des déficiences systémiques ou une apparence, à première vue, de déficiences systémiques dans la gestion des renseignements personnels au ministère des Anciens Combattants. C'est la raison pour laquelle nous avons choisi de faire une vérification. Nous avons donc en plus une vérification en cours, qui devrait aboutir à un rapport qui vous sera soumis à l'automne.

    Pour poursuivre sur cette dernière question, je suis inquiète qu'il y ait eu autant de cas de violation de l'accès à des informations personnelles qui touchent d'anciens combattants. Je suis aussi préoccupée par le fait que cela se passe peut-être aussi dans d'autres ministères.

    Il y a de plus en plus de services gouvernementaux qui sont, dans certains cas, uniquement accessibles en ligne. Est-ce là une réalité à laquelle il faudra s'ajuster? Est-ce inquiétant pour vous?

    Effectivement, la possibilité qu'il y ait des problèmes technologiques ou des erreurs de programmation est inquiétante. On parle d'un cas de ce genre dans un de nos rapports annuels. Sur un site Web de Service Canada, les renseignements personnels de plusieurs personnes ont soudainement été révélés au grand jour.

    Nous discutons avec le gouvernement des normes de sécurité nécessaires pour les nouvelles phases relatives à l'accès des Canadiens à un gouvernement en ligne. Cela demeure un domaine où on est très vigilants et on espère que le gouvernement le restera également.

    Merci, madame Borg.

    Je donne maintenant la parole à M. Mayes pour cinq minutes.

    Merci, monsieur le président.

    J'aimerais souhaiter la bienvenue aux témoins.

    Vous avez mentionné brièvement que le Canada n'est plus le seul à éprouver des problèmes sur le plan des communications et de la protection des renseignements personnels; d'autres pays sont également aux prises avec ce genre de problèmes. Vous inspirez-vous des lois et des pratiques exemplaires d'organismes internationaux...? Pourriez-vous nous donner des exemples?

    Certainement, monsieur. Nous avons compris, il y a de nombreuses années — et je l'ai toujours dit au comité —, que la protection des renseignements personnels en ligne allait devenir un problème international.

    Lorsque je participe à des activités de l'OCDE, où je représente le Canada, j'encourage les membres à coopérer et à élaborer des normes communes pour faire face aux activités de sociétés internationales, comme ce fut le cas dernièrement. En ce moment, nous avons les États-Unis d'un côté et l'Union européenne de l'autre, et entre les deux, le Canada, la Nouvelle-Zélande et l'Australie. Je crois que nous donnons quelques exemples de cette réalité dans notre rapport annuel.

    Le commissariat maintient la pression à ce chapitre, car nous devons souvent coordonner des informations — nous sommes membres des Autorités de protection de la vie privée de la zone Asie-Pacifique. Par exemple, que fait l'Australie? Qui défend nos intérêts? Que fera Hong Kong si le pays est confronté à une telle situation? Sans cette coordination de l'information, on ne peut pas espérer protéger efficacement les renseignements personnels.

    Dans le cadre d'un autre comité dont je fais partie, nous avons accueilli un représentant de RIM, Research In Motion. Nous lui avons demandé ce que l'avenir réservait à RIM. Il nous a dit que beaucoup de documents personnels, comme le permis de conduire et peut-être même le passeport, allaient être accessibles par l'entremise du BlackBerry... Cela soulève beaucoup de questions.

    Avez-vous les ressources nécessaires pour travailler avec les sociétés qui mettent au point ce genre de technologies afin de vous assurer que les nouvelles applications contiennent les mécanismes nécessaires pour protéger les renseignements personnels des utilisateurs?

    Je pense que maintenant, grâce à notre Direction de l'analyse des technologies et à notre laboratoire, bon nombre de nos spécialistes de la technologie de l'information ont les contacts et les compétences qu'il faut pour communiquer avec des entreprises comme RIM. Bien sûr, nous n'avons pas les ressources pour intégrer une personne à Google ou à RIM, même si c'était possible, mais je pense que notre personnel fait connaître nos exigences aux entreprises.

    À cet égard, puis-je mentionner que nous sommes en train d'élaborer une application mobile pour la protection des renseignements personnels? J'ignore à quoi il ressemblera. C'est un projet qui me semble très novateur et que nous espérons lancer pour régler les problèmes que nos appareils mobiles causent.

    L'un des problèmes qui me préoccupent concerne non seulement les renseignements, mais les renseignements inexacts. Certains de mes électeurs m'ont dit qu'ils ont traversé la frontière, que dans le système de l'ASFC, il y avait une alerte pour une personne ayant le même nom qu'eux, et qu'ils ont été détenus pendant cinq heures. Ce problème les inquiète beaucoup, et ils se demandent pourquoi l'ASFC ne peut pas faire les choses correctement.

    Faites-vous des enquêtes pour vous assurer que les renseignements détenus par l'ASFC sont exacts? Existe-t-il un processus d'appel que vous surveillez ou veillez-vous à ce qu'il y en ait un en place, non seulement pour protéger la vie privée, mais pour faire en sorte que les renseignements sont exacts?

    Pourrais-je demander à la commissaire adjointe de nous parler davantage de cette question?

    Absolument, et c'est l'une des raisons pour lesquelles nous devons examiner avec beaucoup d'attention le travail qui est effectué dans le périmètre de sécurité à la frontière.

    Pour ce qui est des inexactitudes possibles, tout d'abord, nos vérifications sont faites en fonction des risques. Nous examinerons le nombre d'incidents ou le nombre et la sensibilité des renseignements personnels que détient un organisme pour déterminer si nous devons faire une vérification.

    S'il y a beaucoup de renseignements inexacts, ou si les répercussions de l'inexactitude des renseignements sont importantes, nous déciderons de faire une vérification, d'où celle que nous avons faite sur le CIPC et le SIRP. Elle cadre avec votre question.

    En effet, l'ASFC est un autre organisme avec lequel nous collaborons très étroitement, car comme vous l'avez dit, le fait qu'elle détienne des renseignements inexacts a des répercussions très importantes. Alors oui, nous faisons ce type de vérifications.

    Merci. Votre temps est malheureusement écoulé.

    On va devoir suspendre la séance pendant quelques minutes pour revenir par la suite à l'étude du Budget principal des dépenses.

    Il y aura encore du temps qui sera alloué pour poser des questions sur le Budget principal des dépenses. Cela pourrait aussi toucher beaucoup de sujets qu'on vient d'aborder.

    On va suspendre la séance pour deux ou trois minutes et revenir sous peu.

    Merci.

    On va reprendre nos travaux pour l'étude de ce qui est prévu pendant la deuxième heure de notre séance. Je mets en délibération le crédit 45 sous la rubrique JUSTICE. On aura une présentation de 10 minutes.

    Je vais répéter pour tout le monde. Je mets en délibération le crédit 45 sous la rubrique JUSTICE.

    Si Mme Stoddart est prête à commencer, je lui cède la parole pour une présentation de 10 minutes.

    Je suis prête, monsieur le président. Je vous remercie beaucoup.

    Honorables membres du comité, monsieur le président, je suis très ravie de disposer d'une deuxième heure pour vous parler de nos principales priorités pour l'année à venir. Nous nous tournons vers l'avenir maintenant que nos rapports annuels ont été préparés, et nous tenterons encore une fois de répondre à vos questions.

    Pour cette partie de la séance, je suis accompagnée non seulement de la commissaire adjointe, que vous connaissez déjà, mais également de Daniel Nadeau, notre chef des services financiers et directeur général de la gestion intégrée. Nous sommes très heureux qu'il soit entré en fonction en août, après que Tom Pulcine, que vous avez peut-être déjà rencontré, a pris sa retraite. La transition s'est faite en douceur. Je suis très heureuse que Daniel m'accompagne aujourd'hui.

    Je veux d'abord parler du caractère évolutif des enjeux actuels dans le domaine de la protection des renseignements personnels et expliquer leur lien avec certaines des principales priorités du commissariat. Nous sommes sans doute tous conscients que la protection des renseignements personnels est un enjeu de plus en plus important au Canada et ailleurs dans le monde. Les entreprises canadiennes doivent être informées de la façon dont les lois relatives à la protection de la vie privée s'appliquent à leurs activités, et les agences et les ministères fédéraux sont constamment mis au défi de trouver un juste équilibre entre d'une part, les bienfaits sociaux qui peuvent découler de l'obtention de renseignements personnels et, d'autre part, le droit à la protection de la vie privée des individus. En tant qu'agent du Parlement, le commissariat a bien sûr la responsabilité de fournir avis et conseils sur ces questions.

    De nos jours, les individus doivent composer avec la réalité des technologies de l'information complexes. Les gens aiment le fait que ces technologies nous relient comme jamais auparavant et nous rendent de précieux services. Toutefois, les Canadiens craignent les conséquences d'être suivis par des spécialistes du marketing qui font la collecte de données et d'être surveillés par les gouvernements. Par conséquent, ils nous demandent de faire des enquêtes sur leurs plaintes et s'informent auprès de nous de la façon de protéger et de défendre leurs droits.

    Je parlerai maintenant des principaux éléments du mandat du CPVP.

    Comme vous le savez, le commissariat est chargé de superviser la conformité avec la Loi sur la protection des renseignements personnels, soit la loi qui s'applique au gouvernement, et la Loi sur la protection des renseignements personnels et les documents électroniques, qui s'applique au secteur privé.

    De plus, nous offrons des conseils aux organisations concernant l'application de ces lois et nous expliquons aux personnes comment elles peuvent se protéger et exercer leur droit à la vie privée. Comme nous l'avons fait au cours des dernières années, nous tenterons d'atteindre ces objectifs en prenant des mesures dans trois secteurs clés: les activités de conformité, la recherche et l'élaboration de politiques et la sensibilisation du public.

    Avant de répondre à vos questions, j'aimerais prendre le temps d'attirer votre attention sur quelques-unes de nos grandes priorités pour la prochaine année, et ce, dans chacun de ces secteurs.

    Je vais tout d'abord parler des activités de conformité. Nous continuons de moderniser et de renforcer nos processus de réception des plaintes et d'enquête. Nous nous employons particulièrement à élaborer et à adopter des pratiques plus novatrices dans le cadre du processus d'enquête en vertu de la Loi sur la protection des renseignements personnels. Nous voulons continuer de régler les plaintes afin d'offrir aux Canadiens des services plus efficaces à moindre coût et en temps opportun.

    Nous prenons aussi des mesures pour nous adapter au fait que les enjeux de protection de la vie privée sont de plus en plus souvent liés à la technologie de l'information. Nous devons donc nous assurer que nous disposons de l'expertise et des outils nécessaires pour évaluer l'incidence de diverses technologies sur la protection de la vie privée. En plus d'améliorer nos méthodes de travail actuelles, nous cherchons le meilleur moyen d'assumer nos nouvelles responsabilités.

    Vous savez sans doute que la première loi antipourriel du Canada entrera en vigueur l'an prochain. Par conséquent, nous collaborons avec Industrie Canada, le CRTC et le Bureau de la concurrence afin d'élaborer des processus et des systèmes qui nous permettront de remplir notre rôle sous le régime de cette loi.

    En outre, nous nous préparons à examiner les évaluations des facteurs relatifs à la vie privée liées aux nombreuses initiatives qui sont élaborées dans l'ensemble du gouvernement afin de mettre en oeuvre les idées énoncées dans le plan d'action canado-américain sur la sécurité du périmètre et la compétitivité économique. Notre commissariat et nos homologues provinciaux et territoriaux ont souligné le fait qu'une grande partie des initiatives prévues comportent des risques d'entraves à la vie privée.

    Nous sommes prêts à examiner les évaluations à venir et à faire des recommandations aux ministères pour qu'ils puissent atténuer ces risques. En ce qui a trait aux vérifications, comme la commissaire adjointe l'a dit, nous allons vous soumettre la vérification d'Anciens Combattants Canada cet automne, et nous venons d'entreprendre notre deuxième vérification portant sur le CANAFE.

    Je vais maintenant passer à ce qui touche à la recherche et l'élaboration de politiques.

    En tant qu'agent du Parlement, nous continuerons d'utiliser notre expertise pour analyser les lois et faire part de nos observations aux membres du Parlement. Nous porterons également une attention particulière à l'examen parlementaire à venir sur la Loi sur le secteur privé. Il est obligatoire, avec raison, d'effectuer cet examen parlementaire tous les cinq ans, comme on en a déjà discuté.

    La collaboration avec les meilleurs chercheurs du domaine de la protection de la vie privée est une autre façon de répondre aux besoins des Canadiennes et des Canadiens. Le financement de recherches indépendantes sans but lucratif par l'entremise du Programme des contributions est l'un des principaux moyens utilisés pour atteindre ce but. Au cours de la prochaine année, nous aurons le plaisir de soutenir des recherches qui amélioreront nos idées et nos connaissances sur les enjeux relatifs à la protection de la vie privée.

    Je vais maintenant parler un peu de la sensibilisation du public.

    En raison de l'évolution des enjeux en matière de protection de la vie privée, la sensibilisation du public joue un rôle essentiel. Rares sont les gens qui comprennent les subtilités technologiques des processus en marche derrière l'écran. C'est pour cette raison, à mon sens, qu'il est de plus en plus important d'aider les Canadiens à protéger leurs renseignements personnels en ligne. La génération actuelle de jeunes est la première qui grandit véritablement en ligne. Par conséquent, nos efforts de sensibilisation du public visent d'abord et avant tout les jeunes, les parents et les éducateurs.

    Nous avons déjà préparé des documents de présentation à l'intention des élèves de la 7^e à la 12^e année pour aider les adultes à parler des défis auxquels les jeunes feront face dans le monde électronique actuel. Cette année, nous présenterons des documents destinés aux jeunes de la 4^e à la 6^e année. Par ailleurs, nous savons que les entreprises, surtout les petites, ont des besoins particuliers. Les petites entreprises n'ont généralement pas assez de ressources pour embaucher un responsable de la protection de la vie privée à l'interne et un conseiller juridique. Nous sommes donc déterminés à fournir des documents d'orientation pour aider les petites entreprises à connaître leurs obligations en matière de protection de la vie privée et à les respecter. Dans le cadre de ces initiatives, nous allons également promouvoir l'importance de la cybersécurité et des mesures que les petites entreprises doivent prendre pour protéger les données des clients à l'ère numérique.

    Pour ce qui est du secteur public, les changements importants dans le contexte de sécurité publique et les interactions en ligne entre le gouvernement et les citoyens exigent que nous sensibilisions les Canadiens quant aux impacts sur la vie privée des mesures qui résultent de ces changements.

    Monsieur le président, pour conclure, je tiens à souligner que nous continuerons de mener à bien notre travail en respectant les Canadiens tant à titre de citoyens que de contribuables. Bien que nous ne soyons pas tenus de procéder à des réductions de dépenses dans le cadre du plan d'action de réduction du déficit, notre commissariat a répondu à l'appel en adhérant à l'esprit et à l'intention de l'exercice. Nous avons ainsi proposé au gouvernement de trouver des économies de 5 p. 100 équivalentes à 1,1 million de dollars par année, dans notre budget d'exploitation d'ici l'année financière 2014-2015 tout en maintenant le meilleur niveau de service possible pour les Canadiens. Cette proposition a été acceptée et se trouve reflétée dans le budget de 2012.

    Afin d'y parvenir, nous prévoyons des réductions. Tout d'abord, 676 000 $, soit 2,8 p. 100, proviendra à partir de cette année du financement qui nous a été alloué dans le cadre de la mise en oeuvre de la Loi fédérale sur la responsabilité. Ce financement n'a jamais été utilisé par le Commissariat à la protection de la vie privée. Ensuite, 430 000 $ additionnels, soit environ 2,2 p. 100, seront ensuite absorbés à compter de 2014-2015 par les gains de rendements organisationnels généraux. Des efforts en vue d'améliorer l'utilisation des technologies et des outils disponibles, de raffiner notre approche en matière de gestion de risque, de mieux cibler nos activités de sensibilisation du public et d'explorer de nouvelles possibilités de partenariat contribueront à générer ces économies.

    De plus, je désire également mettre de l'avant des pressions financières à venir qui posent un défi à notre recherche d'un équilibre fonctionnel entre qualité des services et moindres coûts. Le déménagement forcé du CPVP dans un nouvel édifice en 2013 entraînera des coûts additionnels de près de 5 millions de dollars. Présentement, nous ne pouvons absorber ces coûts sans impact significatif sur l'essence même de nos fonctions. Nous sommes présentement en discussion avec le Secrétariat du Conseil du Trésor afin de trouver des solutions à ces pressions et j'ai bon espoir que cette question sera résolue de façon satisfaisante très prochainement.

    Sur ce, je serai heureuse de répondre à vos questions. M. Nadeau m'aidera pour toute question qui portera sur nos finances.

    Merci beaucoup, monsieur le président.

    Je vous remercie de votre présentation.

    Je cède maintenant la parole à M. Boulerice pour une période de sept minutes.

    Merci beaucoup de votre présentation et de celle que vous avez faite dans l'heure précédente, madame Stoddart.

    Je suis un peu inquiet après avoir entendu la dernière partie de votre présentation à propos des pressions financières provoquées par les coupes budgétaires imposées par le gouvernement conservateur. Cela influencera votre capacité d'agir et de mener à bien vos tâches croissantes. En effet, l'ampleur de la tâche se multiplie, alors que vos moyens diminuent. Je ne sais pas comment vous allez vous y prendre. C'est inquiétant pour l'ensemble des citoyens.

    Je veux revenir sur un sujet. Officiellement, on traite du crédit 45 du ministère de la Justice, mais je veux prendre quelques instants pour souligner le fait que, si l'on se fie à ce document lié aux dépenses, votre budget augmente: il passe de 20 millions à 22,129 millions de dollars. On sait aussi que ce document n'a aucun lien avec le budget, lequel demande qu'on réduise les dépenses.

    Vous venez de dire que vous avez proposé des compressions budgétaires de 5 p. 100 et que, entre autres, vous allez déménager, vous serez plus efficaces et vous allez mieux cibler l'éducation et la sensibilisation du public. Que veut dire « mieux cibler »? Cela veut-il dire que vous allez en faire moins alors que l'on en aurait besoin de plus?

    Non. En réponse au dernier volet de votre question, je dirai que nous allons utiliser davantage les moyens virtuels. Comme je l'ai déjà dit à un autre membre du comité, je crois que les moyens virtuels engendrent des dépenses plus raisonnables et sont probablement de plus en plus efficaces. Nous allons essayer de choisir plus soigneusement les auditoires pour lesquels nous pensons que nos efforts vont vraiment porter leurs fruits. Par exemple, la priorité sera donnée aux jeunes.

    Merci.

    Nous sommes dans un climat où nous avons une épée de Damoclès au-dessus de nos têtes, en l'occurrence le projet de loi C-30, par lequel le gouvernement veut donner au Bureau de la concurrence, au Service canadien du renseignement de sécurité et aux services policiers un accès direct à des données personnelles par l'entremise des fournisseurs Internet. J'ai l'impression que cela va considérablement augmenter votre charge de travail.

    Selon vous, quelles conséquences un projet de loi comme le projet de loi C-30 aura-t-il sur votre travail, pour ce qui est de la protection des données personnelles, privées et confidentielles des citoyens, qui pourront maintenant voir les fournisseurs Internet fouiller directement leur ordinateur? De plus, avec la diminution de votre budget, comment allez-vous composer avec ce genre de situation?

    Le projet de loi C-30 ne nous confère pas de rôle additionnel spécifique. Si je me souviens bien, il mentionne que nous pouvons faire des vérifications, mais nous pouvons en faire de toute façon. C'est le contenu de la loi en général qui nous préoccupe. Comme la loi fait présentement l'objet de discussions et qu'on soulève les mêmes problèmes depuis trois ans, pour l'instant, nos efforts sont axés sur la version définitive du projet de loi. Depuis 10 ans, on voit passer différentes versions de ce projet de loi, alors on verra. Si le projet de loi ne nous confère pas de rôle particulier, il est clair que les conséquences de ce nouveau programme de compressions vont peser assez lourd dans les éléments de risque qui mènent au choix des vérifications, compte tenu de nos ressources actuelles.

    Ce projet de loi fait toujours l'objet de discussions, mais selon vous, dans sa forme actuelle, quelles difficultés ou quels défis pose-t-il? Les citoyens canadiens et québécois devraient-ils craindre que leur vie privée soit menacée?

    Pendant longtemps, nous avons souligné assez clairement, je pense, que ce projet de loi était inacceptable du point de vue de la protection des renseignements personnels et de la vie privée des Canadiens et des Canadiennes. Il n'y a pas de sauvegardes ou de procédures adéquates pour compenser l'entorse faite aux renseignements personnels des Canadiens auxquels on laisse les services policiers avoir accès assez directement.

    Merci.

    Je sais que l'on parle de l'avenir, mais parfois il faut s'appuyer sur le passé. Il y a quelques années, vous avez fait une vérification de la base de données de la GRC et vous vous êtes rendu compte que celle-ci était mal gérée. C'est écrit à la page 44 de votre rapport annuel. Vous avez donc forcé la GRC à se débarrasser des données qui n'étaient pas nécessaires, qui étaient de trop. Il s'agissait d'environ 95 p. 100 des informations.

    Comment allez-vous vous assurer que, à l'avenir, d'autres ministères ne vont pas accumuler ainsi inutilement des données et des informations sur des citoyens et des citoyennes canadiennes, surtout dans le cadre de restrictions budgétaires?

    Je vais laisser la commissaire adjointe, responsable des questions de sécurité nationale, répondre à votre question, car ce sera plus complet.

    Comme vous l'avez constaté, cette vérification a mené à la destruction de toutes ces données qui ne devaient pas être retenues. En somme, c'est une belle preuve de l'efficacité de nos vérifications et, il faut bien le dire, de la réceptivité des agences fédérales. Cela étant dit, il faut continuer à exercer cette surveillance. Comme je l'expliquais un peu plus tôt, nous avons ce plan de vérification fondé sur le risque où nous avons choisi certaines agences qui, par le volume et le type d'informations qu'elles recueillent et par les incidences celles-ci, font l'objet de vérifications.

    Alors, de cette façon, on s'assure que les données non nécessaires ne sont pas, entre autres, préservées indûment.

    Monsieur le président, comme vous me faites signe qu'il ne me reste qu'une minute, je vais être bref.

    Vous avez dit, madame Stoddart, que pour rejoindre les jeunes, entre autres, vous alliez utiliser davantage les moyens virtuels qui sont moins coûteux. Je suis favorable à cela. En tant que politicien, on s'en sert dans nos comtés. Par contre, je vois une contradiction. Allez-vous informer les jeunes relativement aux dangers de Facebook à l'aide de Facebook?

    Non.

    Les jeunes et les enfants ne sont pas censés consultés Facebook. En tant que parent, cela me préoccupe beaucoup. Selon vous, quels sont pour nos enfants et nos adolescents les risques associés à Facebook, Twitter ou MySpace, mis à part la présence de cyberpédophiles que je peux très bien imaginer. Quels sont les risques pour nos enfants associés aux nouveaux réseaux sociaux et comment allez-vous faire pour les avertir à ce sujet?

    D'accord.

    Vous avez environ 30 secondes pour répondre.

    D'accord.

    D'une part, on multiplie les efforts auprès des institutions qui travaillent avec les commissions scolaires, et ce, à travers le Canada, pour outiller les enseignants. Deuxièmement, il est difficile pour les jeunes d'imaginer toutes les conséquences possibles, étant donné la complexité de la conception de ces sites. Ce n'est pas toujours clair que le fait de partager de l'information avec tout le monde signifie vraiment tout le monde et non seulement ses amis et ainsi de suite.

    Donc, pour nous, le fait de forcer les réseaux sociaux à être clairs dans leurs explications pour qu'un jeune qui est en ligne puisse comprendre plus facilement ces enjeux est une lutte sans cesse renouvelée, car ces sites changent presque quotidiennement. C'est une lutte ardue.

    Je vous remercie de votre réponse.

    Je laisse maintenant la parole à M. Dreeshen pour sept minutes.

    Merci beaucoup, monsieur le président. Encore une fois, je vous félicite pour vos fonctions.

    Je remercie Mme Stoddart et nos autres témoins de leur présence.

    Lorsque j'ai été élu pour la première fois en 2008, je faisais partie du comité de l'éthique, et j'ai pu vous parler à d'autres occasions. Bien sûr, en tant qu'ancien enseignant, je pense que comme vous le disiez, il est très important de sensibiliser le public. C'est bien de voir que vous travaillez à sensibiliser les élèves de la 7^e à la 12^e année, et il est nécessaire de le faire aussi pour ceux des niveaux inférieurs pour qu'ils comprennent ce qui se passe. De plus, vous le faites à deux niveaux. Il ne s'agit pas seulement de sensibiliser les jeunes, mais aussi les entreprises, de sorte qu'elles comprennent les enjeux.

    Selon le rapport, les demandes au titre de la Loi sur la protection des renseignements personnels ont chuté d'environ 30 p. 100 par rapport à l'année précédente. Le nombre de visites sur le site Web du Commissariat à la protection de la vie privée a augmenté de 31 p. 100 depuis 2007-2008, avec 2,2 millions de visites en 2010-2011. Je me demande seulement si nous pouvons lier directement cette situation au volet de sensibilisation des activités du commissariat.

    Honorable député, c'est très plausible. Nous ne savons pas toujours nous-mêmes ce qui explique l'augmentation ou la diminution du nombre de plaintes, etc.

    Tout récemment, le nombre de plaintes du secteur privé a augmenté, tout comme, je crois, le nombre de plaintes du secteur public. Nous nous demandons pourquoi il en est ainsi. Le nombre de visiteurs sur les divers sites Web augmente. Je pense que c'est probablement en grande partie lié au débat sur le projet de loi C-30. Les Canadiens sont très préoccupés au sujet de leurs droits à la protection de la vie privée.

    C'est très bien.

    Ensuite — et vous en parlez à la page 90 de votre rapport —, il y a les types de plaintes le plus souvent reçues, et il semble que les questions liées à l'accès font l'objet du plus grand nombre de plaintes: 46 p. 100 des plaintes portent sur l'accès, 36 p. 100 sur les délais et 18 p. 100 sur la protection des renseignements personnels. Je me demande si vous pouvez nous en dire davantage à ce sujet.

    S'agit-il du secteur public?

    Il s'agit des pourcentages qui figurent à la page 90 du rapport sur la Loi sur la protection des renseignements personnels.

    En ce qui concerne les plaintes au sujet du gouvernement, la question qui est posée est toujours « puis-je avoir accès à mes renseignements personnels »? Ou il y a aussi la question suivante: « si j'y ai accès, je ne crois pas que ce soit tout ». Nous savons qu'un très petit nombre de Canadiens, dans le cas des dossiers de sécurité publique, n'ont pas accès à leurs renseignements personnels pour des raisons justifiées. Dans le secteur privé, c'est différent. C'est l'utilisation des renseignements personnels. Les plaintes portent principalement sur la communication de ces renseignements avec d'autres organismes.

    Les délais représentent presque 40 p. 100 des plaintes. C'est un problème très précis et je me demande si ce volet de la loi est vraiment utile de nos jours. Il permet à une personne qui n'a pas obtenu de réponse dans les 30 jours suivant sa demande de faire une plainte. Les gens qui sont incarcérés y ont énormément recours. Nous collaborons avec eux pour régler la plainte et l'essentiel de la plainte. Service correctionnel Canada fait l'objet de beaucoup de plaintes. Je ne sais pas si ce moyen est aussi efficace en 2012 qu'il l'était lorsque la loi a été établie.

    On dirait que les plaintes font augmenter les coûts de façon importante. Nous voulons bien sûr examiner les dépenses de votre organisme.

    Je veux revenir au roulement de personnel, qui était une préoccupation. Pouvez-vous nous dire si ça s'est stabilisé et quelles sont vos prévisions?

    Oui, merci.

    Je voulais rebâtir le commissariat lorsque je suis devenue commissaire à la protection de la vie privée. Dans ce comité, nous parlons du roulement de personnel depuis des années. Mais je pense que ça s'est stabilisé. Nous avons embauché des gens. Les processus de recrutement sont parfois très longs, parce que bien des employés...

    Un député a demandé comment nous nous occupions de cette question toujours plus complexe. Nous devons engager de plus en plus d'experts. Mais notre personnel est très compétent et stable. Je crois que nous pourrons garder tous nos employés dans les prochaines années.

    Concernant le projet de loi anti-pourriel qui a reçu la sanction royale à la fin de 2010, vous dites dans votre rapport que la loi entraînera des changements importants au commissariat. Pouvez-vous donner des précisions sur ces changements?

    Nous aurons une nouvelle responsabilité sur le plan de la collecte illégale d'adresses de courriel. Même si la loi n'est pas encore entrée en vigueur, nous discutons déjà beaucoup avec Industrie Canada, le CRTC et le Bureau de la concurrence, qui joueront des rôles plus importants que le nôtre en ce qui a trait à cette loi.

    Les discussions sont-elles fructueuses? Rencontrez-vous des difficultés et le travail avance-t-il aussi bien que prévu?

    Je pense que nous faisons des progrès.

    Je demanderais à la commissaire adjointe, qui est chargée de la question, de parler du programme que nous suivrons en juin pour nous préparer.

    En attendant que la loi entre en vigueur, nous avons commencé à renforcer nos capacités pour ce qui est des enquêtes que nous devrons mener en vertu de la loi.

    La commissaire vient de parler de la journée de formation qui se tiendra le 20 juin. Un groupe de travail a examiné durant de nombreux mois l'application de la loi anti-pourriel pour que les diverses sections du commissariat soient bien coordonnées. Il a planifié une journée de formation afin que nous ayons tous l'expertise et les outils nécessaires pour répondre aux plaintes que nous pourrions recevoir.

    Je vous remercie, mais votre temps est écoulé.

    Je cède maintenant la parole à M. Andrews pour une autre période de sept minutes.

    Merci beaucoup. Bienvenue à cette deuxième heure d'audience.

    J'aimerais discuter un peu de votre charge de travail à venir concernant la loi sur le périmètre de sécurité.

    Quel volume de travail cette mesure va-t-elle représenter pour vous? Combien de temps devrez-vous y consacrer? S'agit-il d'un de vos principaux dossiers à venir?

    Oui, je pense que ça nous demandera pas mal de travail cette année, mais nous ne savons pas bien quelle sera la portée de la mesure et quels seront les délais. C'est plutôt difficile de prévoir la suite des choses, parce que le Canada et les États-Unis sont en négociation. Mais c'est clair que, pour toutes sortes de raisons, les questions de sécurité nationale nous demanderont encore plus de travail.

    Y avez-vous consacré beaucoup de temps? Avez-vous établi un budget dans ce dossier pour l'année à venir?

    Je ne crois pas, mais la commissaire adjointe veut peut-être ajouter un commentaire. Nous y avons consacré un certain temps.

    Comme l'a dit la commissaire, nos analystes ont bien sûr passé beaucoup de temps là-dessus. La commissaire a dit que ça demanderait pas mal de temps et elle a fait référence plus tôt aux évaluations des facteurs relatifs à la vie privée. Comme prévu dans les directives du Conseil du Trésor, le gouvernement a promis de nous fournir ces évaluations en ce qui a trait à toutes les mesures du plan d'action sur la sécurité du périmètre et la compétitivité économique. C'est clair que ça pourrait nous demander beaucoup de travail. Nous analysons en effet comment gérer cette charge supplémentaire, et nous devrons relever ce défi.

    La question aura-t-elle des répercussions sur les ministères qui s'occupent de la sécurité nationale et de la sécurité à la frontière? Allez-vous compter sur ces ministères pour obtenir de l'information? Les autres organismes devront-ils assumer des coûts supplémentaires?

    Les ministères qui établissent une mesure doivent conduire des évaluations des facteurs relatifs à la vie privée; c'est leur responsabilité. Pour notre part, nous devons examiner ces évaluations et présenter des recommandations pour intégrer la protection de la vie privée aux mesures. En effet, nous allons tous assumer une charge supplémentaire.

    Quels sont les délais?

    Le premier délai approche, et il faut établir les principes conjoints en matière de protection de la vie privée d'ici la fin mai. L'échéance est plus longue pour certaines mesures du plan d'action, mais les ministères devront tôt ou tard produire des évaluations.

    Examinez-vous les lois sur la protection de la vie privée aux États-Unis et surveillez-vous leur application? Les mêmes dispositions y sont-elles mises en oeuvre? Avez-vous des préoccupations à cet égard?

    Le gouvernement du Canada et les États-Unis élaborent les principes conjoints. Les fonctionnaires nous présentent une mise à jour régulière et des rapports très étoffés. Nous prendrons connaissance tôt ou tard des principes avant de les commenter.

    Nous faisons bien sûr des lectures et des analyses et nous suivons la question aux États-Unis.

    Avez-vous des préoccupations à nous communiquer?

    Les États-Unis sont bien sûr un pays souverain. Nous nous tenons au courant de leur travail pour mettre le nôtre en contexte.

    Merci.

    J'ai terminé.

    Merci.

    Je vais maintenant céder la parole à M. Calkins. Vous disposez de sept minutes

    Merci, monsieur le président.

    Merci de votre présence aujourd'hui, madame Stoddart. Je suis content d'entendre votre témoignage. Mes questions porteront aussi sur le point à l'ordre du jour pour l'heure précédente.

    Concernant l'argent liquide et les vols intérieurs sur lesquels l'ACSTA conserve des informations ou les rapporte aux autres organismes d'application de la loi, votre rapport est très troublant. On dirait que plus de 50 p. 100 de l'information dans les rapports d'incident outrepassaient le mandat de l'organisme.

    Je prends des vols internationaux plusieurs fois par année et des vols intérieurs presque chaque semaine. Les agents de sécurité de l'ACSTA ne m'ont jamais demandé si je transportais de l'argent. À l'occasion, ils examinent mes bagages et, parfois, ils n'examinent que le scanner. Il arrive que les agents me demandent la permission de vérifier à l'intérieur de mes bagages, mais je ne les ai jamais vus recueillir des données en vue de les conserver. Gardent-ils des images de mes bagages captées par le scanner? Comment les agents savent-ils qu'une personne transporte beaucoup d'argent? Je ne vois que l'image de mon portefeuille sur l'écran de contrôle.

    Une voix: C'est assez mince.

    M. Blaine Calkins: Oui, l'argent se fait plutôt rare. Je n'arrive tout simplement pas à comprendre comment les agents de sécurité peuvent savoir qu'on transporte de l'argent, parce qu'ils ne posent jamais la question. La simple collecte de l'information me semble... Je ne sais pas comment c'est possible.

    Pouvez-vous nous renseigner sur la façon de recueillir les données?

    Je pense que les agents sont en mesure d'obtenir pas mal d'informations. À ce que je sache, ils ne conservent pas les images des objets ou du scanner corporel. Les agents se fient peut-être simplement aux images qui défilent et ils procèdent à une fouille secondaire s'ils ont des doutes. Il faut déclarer si on transporte plus de 10 000 $ lorsqu'on arrive au Canada ou en sort.

    La loi est appropriée pour les vols internationaux, mais elle ne concerne pas les vols intérieurs. C'est sans doute pourquoi on s'est dit préoccupé. Je suis un peu troublé, parce que je prends l'avion deux fois par semaine, 30 semaines par année, pour faire l'aller-retour à Ottawa, sans parler des autres voyages que je peux faire au Canada.

     Mais vous ne transportez pas beaucoup d'argent.

    Les agents ne me posent même pas la question. Pourquoi voudraient-ils même le savoir?

    Selon ce que je comprends, et la commissaire Bernier pourra répondre, puisqu'elle a travaillé davantage que moi à la vérification... Les agents examinent tout pour savoir si on transporte sur soi ou dans ses bagages des objets qui présentent un danger pour la sécurité de l'aviation au Canada, etc.

    Les agents trouvent toutes sortes de choses. C'est étonnant de constater ce que les gens veulent transporter dans les avions. Les médias en parlent parfois. Il est souvent question d'importantes sommes. C'est sans doute moins de 10 000 $, parce qu'il faut déclarer les montants plus élevés. Je pense que les employés veulent rendre service en rapportant ces informations, mais nous devons soulever les problèmes potentiels liés à la communication abusive. Si tous les organismes outrepassent quelque peu leurs mandats pour prêter main-forte aux autres, ils ne respectent pas la loi votée par le Parlement.

    Le problème, c'est... Je comprends qu'un organisme d'application de la loi...

    Je ne connais pas la méthode de l'ACSTA en détail, mais c'est ce que nous avons constaté.

    C'est intéressant. Je comprends que l'information peut servir à un organisme d'application de la loi qui, par exemple, surveille un individu qui transporte beaucoup d'argent. Mais qui sait si la personne ne vient pas de vendre une propriété ou un actif de grande valeur? Il y a des raisons légitimes et des raisons illégitimes de transporter d'importantes sommes. Si les agents ne posent jamais la question, comment peuvent-ils obtenir l'information, sauf en vérifiant...? Ça me semble simplement très...

    Merci d'en avoir parlé. Je ne transporterai pas plus de 20 $ en passant aux postes de contrôle.

    Concernant le volet de sensibilisation dont vous avez parlé, j'enseignais la technologie des systèmes informatiques au collège Red Deer avant de devenir député. Je suis diplômé dans le domaine. Mes connaissances sont un peu dépassées, parce que je travaille ici depuis un certain nombre d'années et que la technologie progresse rapidement. L'Association des professionnels en technologie, en sciences et en génie de l'Alberta évaluait la validité des diplômes pour qu'ils soient reconnus. C'est un processus d'accréditation bien accepté.

    Le commissariat participe-t-il au processus pour s'assurer que les gens dont le diplôme est reconnu ont bel et bien les compétences nécessaires? Il n'existe pas d'ordre officiel pour les professionnels en informatique. Tout se fait de manière volontaire. Vérifiez-vous si les diplômés possèdent les connaissances nécessaires au maintien des systèmes informatiques et des bases de données pour respecter la loi et répondre aux normes sur lesquelles la plupart des Canadiens se fient dans les secteurs privé et public? Il me semble logique d'examiner la question.

    Non, surtout parce que l'éducation et la formation relèvent des commissaires provinciaux, qui examinent peut-être la question.

    Je n'ai pas vos connaissances dans le domaine, mais la question a été soulevée indirectement durant notre vérification sur Bureau en gros. Nous étions très étonnés. C'est la troisième fois que cette entreprise faisait l'objet de préoccupations concernant son incapacité à bien effacer les données. Nos spécialistes de la TI m'ont pourtant dit qu'on pouvait effacer toutes les données sans détruire le disque dur ou les composantes essentielles de l'ordinateur. Selon ce que nos vérificateurs m'ont indiqué, Bureau en gros a toujours affirmé que c'était impossible.

    Ça nous amène à nous questionner sur les compétences des responsables de ce genre de processus. Si les entreprises et le gouvernement sont mal avisés, on en vient à se demander à quel point les diplômés sont compétents.

    Monsieur Calkins, votre temps est malheureusement écoulé. Vous avez eu sept minutes et quarante secondes.

    Nous allons maintenant commencer la période de questions d'une durée de cinq minutes.

    Je laisse tout d'abord la parole à M. Angus.

    Comme mon collègue, M. Calkins, était surpris de voir que ses sept minutes étaient écoulées, je vais reprendre une de ces questions, qu'il aurait probablement voulu éclaircir pendant mes cinq minutes. C'est à propos des importantes sommes d'argent.

    C'est très intéressant. Il peut arriver que quelqu'un transporte une importante somme d'argent à bord d'un avion une seule fois. Peut-être que cette personne vient de vendre une maison. Normalement, ce type de transaction se fait par l'intermédiaire d'une banque. Par contre, si quelqu'un transporte d'importantes sommes d'argent lors de deux ou trois vols, cela devrait certainement sonner l'alarme, quoique personne ne porte vraiment attention à ces signaux, car nous sommes submergés par des données de toutes sortes. À titre de commissaire à la vie privée, quand vous procédez à la vérification, sur quoi vous basez-vous pour déterminer quels sont les renseignements qu'il est approprié de recueillir?

    Je vous ai déjà tout dit ce que je savais de la vérification. Chantal Bernier, qui a supervisé la vérification, pourrait peut-être répondre à votre question plus en détail.

    Il faut surtout retenir que l'ACSTA n'avait pas l'autorisation légale de recueillir ces renseignements. Absolument rien dans la loi ne l'oblige à le faire. Ce n'est pas illégal de transporter d'importantes sommes d'argent à l'intérieur du pays. On nous a dit que cette pratique avait été instaurée presque par commodité. Parce que l'ACSTA doit vérifier cette information pour les vols internationaux, elle a décidé de le faire pour tous les vols. Elle a donc recueilli plus de renseignements qu'elle n'en avait l'autorisation. La direction a accepté de bon gré de mettre fin à cette pratique afin de se conformer à la Loi sur la protection des renseignements personnels.

    Ce qui complique en partie les choses, c'est qu'il est extrêmement facile de recueillir et d'échanger de l'information, et vous avez soulevé d'importantes préoccupations concernant l'intégration du droit à la vie privée aux initiatives de sécurité publique. Vous avez déclaré quelque chose de très important, c'est-à-dire qu'une nouvelle génération d'appareils mobiles, de télécapteurs, de caméras à haute résolution et de logiciels analytiques a révolutionné les pratiques de surveillance et grandement facilité la collecte, le traitement et le partage des données à l’échelle mondiale. Cette accumulation de données non contrôlée pourrait avoir des conséquences fâcheuses pour les citoyens, les privant de leur droit fondamental de mener leurs affaires dans l’anonymat et en toute liberté, sans faire l’objet d’une surveillance de l’État.

    Il est tellement facile de recueillir tous ces renseignements auprès de différentes sources. Nous avons des accords internationaux sur les services de police qui prévoient l'échange de renseignements, et c'est justifié. Encore là, on traite avec des gens qui traversent la frontière. Sont-ils arrêtés? On sonne l'alarme pour rien. Aucune raison légitime ne le justifie, et pourtant, ces personnes se font arrêtées et peuvent être cruellement harcelées.

    Comment pouvez-vous vérifier ce genre d'échange d'information, étant donné que c'est tellement simple d'échanger de l'information?

    C'était, cher monsieur, le sujet précis d'une vérification que nous avons effectuée en 2004-2005, je crois, c'est-à-dire l'échange de renseignements par les services transfrontaliers. Nous avons visité de nombreux emplacements au Canada pour observer comment les renseignements étaient consignés, entre autres, et nous avons formulé un bon nombre de recommandations. Nous avons été très surpris de constater que des renseignements étaient transmis par téléphone de l'autre côté de la frontière, du genre « attention, telle personne s'en vient ». Je crois que la situation s'est améliorée, car nous avons assuré un suivi à la suite de la vérification et vérifié la mise en oeuvre des recommandations.

    De plus, votre question renvoie à l'importance d'actualiser la loi canadienne sur la protection des renseignements personnels, en revoyant le pouvoir qu'a le gouvernement de traiter les renseignements personnels et le pouvoir que j'ai d'examiner ses pratiques de gestion de l'information. Lors de sessions parlementaires précédentes, j'ai proposé au comité de réformer la Loi sur la protection des renseignements personnels, qui n'a pas été revue, ou qui n'a en tout cas pas changé depuis 30 ans. Le comité a formulé plusieurs recommandations. Je crois qu'il y en avait douze. Il faut se pencher non seulement sur la LPRPDE, mais aussi sur la Loi sur la protection des renseignements personnels.

    Vous parlez des renseignements précis qui sont échangés. Ils sont communiqués aux services de police, au Bureau d'assurance du Canada, de même à Interpol et aux autorités policières américaines. Quelque 200 millions de requêtes ont été effectuées à partir de 40 000 points d'accès en 2009. Vous dites qu'un tiers des points d'accès n'ont pas de normes assurant la protection des données. Cela représente plus de 13 000 points d'accès. Sont-ils tous situés au Canada ou un peu partout dans le monde?

    Un tiers des organisations ou des établissements qui ont des droits d'accès au système du CIPC n'ont pas indiqué qui exactement à l'interne avait désigné les personnes en question, alors il est impossible de mettre le doigt sur ceux qui ont accédé à des renseignements sans motif valable. Il arrive d'ailleurs qu'on nous rapporte dans les médias qu'un membre des forces policières a consulté des dossiers auxquels il n'aurait pas dû avoir accès.

    Malheureusement, je vais devoir vous interrompre.

    Madame Davidson a maintenant la parole pour une période de questions de cinq minutes.

    Merci, monsieur le président, et merci beaucoup d'être ici, madame la commissaire et madame Bernier. Je suis heureuse de vous revoir. Il me semble évident que la situation est loin de se simplifier. D'année en année, la réalité de l'ère électronique complique de plus en plus les choses.

    Je m'intéresse au volet sensibilisation de la population dont vous avez parlé, et j'aimerais vous poser quelques questions à ce sujet. Si je ne me trompe pas, vous avez déjà élaboré des documents à l'intention des élèves de la 7^e à la 12^e année, et cette année, vous présentez des documents destinés aux jeunes de la 4^e à la 6^e année. Vous avez aussi l'intention cette année de fournir plus d'information aux petites entreprises.

    Pouvez-vous me dire comment vous diffusez cette information? Vous avez parlé des programmes d'enseignement, mais est-ce quelque chose qui est intégré aux programmes de toutes les provinces? Je sais que c'est aux provinces de décider du contenu de leurs programmes. C'est du moins le cas pour l'Ontario, et je présume qu'il en va de même pour les autres provinces. Pour l'avoir vu avec d'autres sujets, je sais qu'il est très difficile d'ajouter des choses aux programmes d'enseignement.

    Est-ce ainsi dans toutes les provinces? Le savez-vous?

    Je ne le sais pas. Comme vous le dites, madame la députée, cette question est du ressort des provinces. Nous faisons toujours attention de ne pas sortir du cadre de notre propre administration, à moins d'en avoir eu l'invitation. Nous avons pris soin d'offrir des outils et de l'information sur notre site Web, et nous distribuons notre matériel sur demande.

    Il y a un organisme, le Réseau Éducation-Médias, je crois, qui travaille avec les conseils scolaires de l'ensemble du Canada. Si les écoles veulent avoir l'information, nous pouvons leur transmettre par l'entremise du Réseau Éducation-Médias. Nous offrons des ressources supplémentaires à l'intention des enseignants, sans nécessairement passer par les canaux officiels.

    Grâce à notre programme de contributions, nous pouvons également distribuer 500 000 $ par année à des organismes à but non lucratif. Hier, justement, j'ai assisté au lancement de documents destinés aux élèves de la 6^e à la 9^e année au Québec. Un organisme a en effet élaboré un guide très intéressant qui sera distribué aux enseignants et un autre qui sera distribué aux élèves. L'organisme est en pourparlers avec d'autres intervenants à l'échelle du Canada pour éventuellement traduire le matériel et l'utiliser en classe.

    Nous faisons les choses de façon un peu moins officielle.

    Qu'en est-il des petites entreprises? Comment rejoignez-vous ce groupe?

    Un outil en ligne est déjà offert sur notre site Web pour les petites entreprises. Nous nous adressons aux organisations qui entretiennent des liens avec les petites entreprises...

    Comme les chambres de commerce et des organisations de ce genre?

    Oui, il s’agit d’organisations représentant spécifiquement les petites entreprises. Nous sommes surtout en contact avec les chambres de commerce actuellement en vue d’organiser des activités pour l’année financière à venir.

    L’une de vous nous a dit que vous envisagiez développer une application mobile pour la protection des renseignements personnels.

    Oui.

    Pourriez-vous nous en dire un peu plus à ce sujet? Quand pensez-vous lancer cette application, ou quels pourraient en être les paramètres? Ce projet est-il bien avancé?

    Je ne saurais vous dire. J’ai quelqu’un avec moi qui pourrait probablement vous en parler davantage. Je ne connais pas tous les détails, mais nous allons effectivement lancer une application mobile.

    Je peux cependant vous dire, à ce sujet et au sujet du segment plus jeune de la population, que nous préparons en ce moment une bande dessinée sur la protection des renseignements personnels, car les jeunes aiment lire des bandes dessinées, semble-t-il. On devrait la publier au courant du mois de juin. Je ne sais pas à quoi cela ressemblera ni quelle sera l’histoire exactement. Le thème est « protège tes renseignements personnels ». Le but est de s’adresser aux jeunes d’une façon qui va les interpeller.

    C’est intéressant et fort à-propos dans l’ère actuelle.

    Ai-je encore du temps?

    Vous avez 30 secondes.

    Rapidement, pour revenir à la question de M. Mayes, si une personne qui veut traverser la frontière est victime d’un profilage erroné, peut-elle le signaler à votre bureau? Comment faut-il procéder? Je pense que vous nous avez aussi dit que vos vérifications pourraient se fonder sur les plaintes formulées. Quelles sont les options pour une personne qui se trouve dans cette situation?

    Cette personne peut déposer une plainte. S’il était question de transport aérien, il y a le bureau de réexamen. Si quelqu’un apprend que son nom figure sur la liste des personnes désignées, il ou elle peut s’adresser à ce bureau.

    Peut-être que Chantal peut compléter ma réponse, étant donné qu’elle s’occupe des questions de sécurité nationale.

    J’aimerais tout d’abord parler de notre site Web encore une fois. Il contient une page qui énumère tous les mécanismes de recours offerts aux voyageurs, peu importe le moyen de transport, notamment pour les cas d’utilisation de renseignements inexacts. Je serais heureuse d’en fournir des copies au comité à notre prochaine comparution, mais l’information est affichée sur notre site Web.

    Les gens peuvent par ailleurs déposer une plainte auprès de notre bureau, et nous pourrons alors faire enquête.

    Merci, mais je dois vous indiquer que votre temps est écoulé.

    Je cède donc la parole à Mme Borg pour une période de cinq minutes.

    D'accord, merci.

    Je sais qu'on a pas mal couvert le sujet, mais je souhaite aborder une question en particulier. L'autre jour, j'ai lu un article qui indique que, selon un sondage, beaucoup de personnes ont de la difficulté à comprendre les politiques relatives au respect de la vie privée de la part de certaines compagnies comme Google ou d'autres compagnies telle que Safari.

    Est-ce pour vous une inquiétude? Avez-vous mis sur pied une campagne d'information à ce sujet?

    Le fait que les politiques relatives à la vie privée soient écrites par des avocats qui ne sont même pas des avocats du Canada et par des tribunaux qui ne sont pas des tribunaux au Canada a toujours été une inquiétude. C'est un problème partout. En général, ces politiques sont écrites dans un langage adapté aux litiges portés devant les tribunaux américains. Cela n'aide pas les consommateurs du Canada, ni ceux d'ailleurs. Les commissaires à la protection de la vie privée discutent souvent de cette question.

    Cela dit, que peut-on faire en pratique? Lorsqu'il y a une plainte, on dit à l'entreprise qu'elle doit absolument clarifier sa politique relative à la protection de la vie privée. Parfois, les entreprises disent une chose et en font une autre. C'est parfois très difficile à suivre. Nous consacrons une bonne partie de nos efforts aux enquêtes, qui prennent souvent plusieurs mois. Il y a des discussions continues avec les entreprises. Nous leur disons qu'elles doivent rendre leurs politiques plus claires parce qu'elles ont le devoir d'expliquer aux gens ce qu'elles font. En général, elles ont toujours obtempéré jusqu'à maintenant.

    Il reste quand même beaucoup de travail à faire.

    En effet. Les politiques en la matière changent très souvent. Toutes les entreprises évoluent de jour en jour. Notre plus récente série de questions portaient sur la nouvelle politique sur la protection de la vie privée de Google. À l'échelle internationale, c'est l'instance française de protection des données qui pose des questions pour l'ensemble des instances de protection.

    Merci.

    Dans votre rapport, vous mentionnez aussi que vous participez souvent à des conférences internationales pour obtenir de l'information. Où le Canada se situe-t-il en matière de respect de la vie privée comparativement à d'autres pays? Étudiez-vous cette question? Est-ce quelque chose que ces conférences vous permettent de déterminer?

    Oui, on se compare souvent aux autres parce qu'on veut toujours améliorer notre performance et la protection des renseignements personnels. Dans le passé, le Canada faisait meilleure figure qu'actuellement. En tenant compte de toutes les provinces et territoires qui ont leurs propres instances, le Canada fait assez bonne figure. Il est reconnu que le Canada est soucieux de la protection des renseignements personnels de ses citoyens.

    Cependant, comme je l'ai déjà dit, les lois n'ont pas été modifiées. La LPRPDE n'a pas vraiment été modifiée depuis 1999. Treize ans, c'est long dans le monde d'aujourd'hui. La loi sur le secteur public n'a pas été modifiée depuis 30 ans. Il n'y a pas encore de loi anti-pourriels en vigueur, ni de loi sur les failles dans les systèmes de sécurité. À mon avis, le Canada a déjà du retard.

    Combien de temps me reste-t-il, monsieur le président?

    Il vous reste une minute.

    Le président du comité avait déjà déposé une motion pour étudier cette question. On veut vous demander de comparaître devant notre comité afin de discuter de vos inquiétudes par rapport au plan d'action sur le périmètre Canada—États-Unis. Est-ce une bonne idée que ce comité continue à étudier cette question?

    Oui, et je vous félicite pour cette initiative. Cependant, je pense qu'il vaudrait mieux attendre que la prochaine entente sur les principes communs de protection de la vie privée ait été déposée afin d'avoir davantage de questions substantielles à commenter. Pour le moment, ce ne sont que des intentions. Il faudrait attendre que ce soit plus avancé.

    Merci.

    J'aimerais clarifier un point. Est-ce bien le 30 mai qu'on s'attend à recevoir ces clarifications?

    Je crois bien que oui.

    Je vais laisser cinq minutes à M. Carmichael pour terminer cette séance.

    Merci, monsieur le président.

    Je suis heureux de pouvoir vous parler, à vous et à vos collègues, madame la commissaire. Merci d’être ici aujourd’hui.

    J’ai écouté votre témoignage et j’ai lu les rapports, et je dois admettre que je suis épaté par la portée de votre mandat. C’est tout un travail et je vous félicite pour ce que vous faites. Je crois que nous sommes tous ravis de vous voir dans ce poste.

    Vous nous avez parlé aujourd'hui des changements que vous avez observés au cours de vos huit années comme commissaire, notamment en ce qui concerne la technologie, et qui ont eu une incidence sur votre travail autant que sur notre vie. Nous pouvons le voir sur Internet et un peu partout. Mes collègues d'en face aiment parler du projet de loi C-30, un projet de loi qui sera présenté à la Chambre et qui a soulevé de grandes préoccupations de ce côté.

    Vous avez indiqué avoir des réserves à l'égard de cette loi, et je présume qu'il en allait de même pour la loi qui l'a précédée, qui remonte au gouvernement libéral. Je suis certain que vous voudrez témoigner devant le comité à ce sujet. J'ai hâte d'entendre ce que vous aurez à dire, car je sais qu'il sera productif et bénéfique d'avoir votre point de vue dans ce débat; j'espère pouvoir compter sur votre présence.

    Et en passant, dans le rapport sur les plans et les priorités, un élément qui me paraissait préoccupant est la façon dont votre organisation gère le changement au jour le jour. Je vois que la mise en oeuvre de votre stratégie de gestion du changement, ou du programme de gestion des compétences, permet d'atténuer certains risques. Est-ce suffisant pour suivre l'évolution des choses?

    De plus, comme c'est probablement la dernière question que vous entendrez aujourd'hui, pour ce qui est de la stratégie de gestion du changement, êtes-vous en mesure de suivre le rythme des changements qui s'annoncent? Aussi, à court et à moyen terme, quels sont les principaux défis auxquels sera confronté votre bureau, en plus de ceux qui guettent votre ministère?

    Merci pour ces questions.

    En ce qui concerne la gestion du changement, je vous dirais que nous n'avons pas le choix. Il est possible que les changements que nous apportons ne suffisent pas pour suivre l'évolution des choses. Je sais que notre personnel trouve souvent qu'il est très difficile de maintenir un rythme aussi soutenu. Selon moi, il nous faut évoluer nous aussi, sans quoi notre travail perd pratiquement tout son sens pour la protection des renseignements personnels des Canadiens. Nous n'avons pas d'autre choix que de composer avec le monde dans lequel on vit.

    Pour les années à venir, nous garderons à l'oeil le monde des applications électroniques et mobiles, de même que l'incidence des technologies, comme la technologie géospatiale et la biométrie. Nous nous basons sur nos quatre priorités pour orienter notre travail. La technologie génétique aura un impact énorme sur la protection des renseignements personnels. Elle peut servir aux services de police, mais aussi au secteur privé; les tests génétiques offrent des possibilités commerciales. On parle aussi de la gestion de l'identité. Le vol d'identité est un crime très répandu sur le Web. Nous n'avons pas parlé de la sécurité publique et de l'utilisation de drones. Nous aurons affaire à des problèmes de sécurité publique d'un tout autre acabit. Comme le Web lui-même évolue et s'associe à d'autres technologies dans un environnement entièrement technologique, ce sera difficile pour nous de savoir jusqu'où peut aller cette nouvelle capacité de surveillance.

    Je vais devoir vous interrompre parce qu'il faut mettre la question aux voix. Je vais la lire en anglais.

    JUSTICE

    Commissariats à l'information et à la protection de la vie privée du Canada

    Crédit 45 — Commissariat à la protection de la vie privée du Canada — Dépenses du programme..........22 131 000 $

    (Le crédit 45 est adopté.)

     Le président: Monsieur Nadeau, madame Stoddart et madame Bernier, je vous remercie d'avoir comparu devant notre comité. Nous espérons vous revoir très bientôt.

    La séance est levée.