INDU Réunion de comité

    Bonjour, mesdames et messieurs.

    Bienvenue à la 33^e séance du Comité de l'industrie, des sciences et de la technologie.

    Nous entamons notre étude sur le projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence.

    Nous recevons l'honorable James Moore, ministre de l'Industrie.

    Je vais aussi présenter les représentants du ministère, soit M. John Knubley, sous-ministre; Kelly Gillis, sous-ministre déléguée; et Chris Padfield, directeur général, Direction générale des politiques numériques. Je crois comprendre, monsieur Knubley, que vous aurez un exposé à faire pendant la deuxième moitié de la séance.

    Mais pour l'instant, nous allons commencer.

    Monsieur le ministre, je vous prierais de commencer votre exposé. Nous procéderons ensuite à nos tours de questions habituels.

    Merci beaucoup, monsieur le président, de me donner l'occasion de revenir, comme vous l'avez souligné, avec mon personnel afin de traiter du projet de loi S-4, Loi sur la protection des renseignements personnels numériques, qui est à mes yeux une mesure législative très importante pour un certain nombre de raisons: le contexte dans lequel il s'inscrit au chapitre de la politique numérique du Canada dans l'avenir, mais aussi la responsabilité qui est la nôtre à titre de gouvernement, de Parlement, de moderniser notre Loi sur la protection des renseignements personnels pour protéger les Canadiens.

    Mais avant de traiter de la question, je crois comprendre que la composition du comité a changé; je voulais donc féliciter ceux d'entre vous à qui on a demandé de faire partie de ce comité. Comme vous le savez, le ministère de l'Industrie... et, par conséquent, la supervision que vous faites de nos activités, vos conseils et vos critiques constructives constituent, bien entendu, un volet important de notre fonction parlementaire. À ceux d'entre vous qui font partie du comité, je suis impatient de travailler avec vous dans les mois à venir quand nous présenterons des projets de loi comme celui-ci.

    Monsieur le président, je vous remercie de m'avoir invité à me présenter devant le comité aujourd'hui pour vous parler d'un important projet de loi qui vise à mieux protéger les renseignements personnels en ligne des Canadiens. Il s'agit de la Loi sur la protection des renseignements personnels numériques.

    Vous savez, notre gouvernement met l'accent sur le mandat que lui ont confié les Canadiens en 2011, lequel consiste à créer des emplois, à stimuler la croissance économique du pays et, en ce qui concerne le ministre de l'Industrie, à adopter une politique numérique efficace pour le Canada.

    Nous savons également que tout plan du gouvernement portant principalement sur l'économie doit évidemment comprendre un engagement ferme à renforcer l'économie numérique du Canada. Voilà pourquoi j'ai, l'an dernier, lancé Canada numérique 150, le plan où notre gouvernement établit des objectifs clairs pour que le Canada soit branché et concurrentiel. Il aidera les Canadiens à participer avec succès à notre économie numérique. L'un des principaux objectifs de Canada numérique 150 vise à protéger les renseignements personnels.

    La Loi sur la protection des renseignements personnels numériques est un volet essentiel de cet objectif. Le gouvernement comprend que pour que l'économie numérique soit forte, il faut offrir de solides mesures de protection aux Canadiens quand ils consultent Internet et magasinent en ligne. La Loi sur la protection des renseignements personnels numériques modernisera la Loi régissant la protection des renseignements personnels dans le secteur privé du Canada en instaurant de nouvelles mesures de protection importantes pour les internautes canadiens. Elle établit des règles claires sur la manière de recueillir, d'utiliser et de communiquer les renseignements personnels. Elle exige en outre que les organisations informent les Canadiens de la perte ou du vol de leurs renseignements personnels, et impose de lourdes amendes à celles qui contreviennent délibérément à ces règles. Elle confère également des pouvoirs supplémentaires au commissaire à la protection de la vie privée afin d'appliquer la loi et d'obliger les contrevenants à rendre des comptes. Au final, elle repose sur une approche équilibrée afin de protéger les renseignements personnels des Canadiens, tout en permettant l'échange d'information afin de mettre fin aux activités illégales.

    Ce sont des modifications qu'il est très nécessaire d'apporter à la Loi régissant la protection des renseignements personnels dans le secteur privé du Canada, intitulée Loi sur la protection des renseignements personnels et les documents électroniques, aussi connue sous l'acronyme LPRPDE, laquelle « définit les règles d'applications à la collecte, à l'utilisation et à la communication des renseignements personnels par les organisations du secteur privé dans le cadre d'activités commerciales » au Canada. Il ne faut pas la confondre avec la Loi sur la protection des renseignements personnels, qui régit la manière dont le gouvernement fédéral traite les renseignements personnels des Canadiens.

    Permettez-moi de vous parler de quatre domaines où la Loi sur la protection des renseignements personnels numériques améliorera considérablement la LPRPDE.

    Il y a d'abord les atteintes à la sécurité des données, un problème que les Canadiens connaissent malheureusement trop bien en cette ère numérique.

    Les membres du comité seront peut-être surpris d'apprendre que, en vertu des lois actuelles, les entreprises ne sont pas tenues de signaler aux Canadiens les atteintes à la sécurité, notamment aux données, qui se produisent au sein de leurs organismes.

    En d'autres mots, si les données d'une entreprise sont compromises et que les renseignements de votre carte de crédit tombent entre les mains d'un pirate informatique, l'entreprise en question n'est nullement obligée de vous en informer. Il s'agit d'un sérieux problème.

    En décembre dernier, par exemple, Target a révélé qu'une atteinte à la sécurité des données avait compromis les renseignements relatifs aux cartes de crédit et de débit de millions de consommateurs. En septembre, Home Depot a annoncé que des pirates inconnus avaient porté atteinte aux mesures de sécurité des données, exposant ainsi à la fraude les cartes de débit et de crédit de quelque 56 millions de clients en Amérique du Nord. Le 10 octobre, Kmart dévoilait que la presque totalité de ses 1 200 magasins aux États-Unis avaient été la cible de pirates, menaçant potentiellement la sécurité des données sur les cartes de crédit et de débit de ses clients. Plus tard le même mois, Stapples a aussi annoncé qu'une atteinte suspecte à la sécurité des données sur les cartes de crédit et de débit de ses clients s'était produite.

    Les consommateurs canadiens en ligne ont besoin de lois plus rigoureuses pour les protéger de telles fraudes ici. La loi sur la protection des renseignements personnels numériques obligera les organisations à aviser les gens que leurs renseignements personnels ont été perdus ou volés, que cela les expose à un risque ou non.

     En vertu de la Loi sur la protection des renseignements personnels numériques, les organismes auront l'obligation d'informer les individus dont les renseignements personnels ont été perdus ou volés et si cela risque de leur porter préjudice.

    Les entreprises devront informer les Canadiens des mesures à prendre pour se protéger comme, par exemple, changer le numéro d'identification personnelle de leur carte de crédit ou le mot de passe de leur courriel. Ce sont là des mesures de protection essentielles pour les Canadiens, mais elles n'existent pas actuellement.

     La Loi sur la protection des renseignements personnels numériques a été encensée par les groupes de défense des droits des consommateurs et par l'industrie du commerce de détail pour son équilibre. L'Association de la recherche et de l'intelligence marketing a déclaré qu'elle appuyait la divulgation obligatoire des atteintes aux mesures de sécurité prévue dans le projet de loi. L'Association canadienne du marketing a pour sa part indiqué qu'elle était favorable à la modification des dispositions sur les atteintes aux mesures de sécurité.

    La Loi sur la protection des renseignements personnels numériques obligera les organisations à informer le commissaire à la protection de la vie privée également des atteintes aux mesures de sécurité potentiellement préjudiciables. Ainsi, quand de telles atteintes se produisent, la loi exige qu'on en informe non seulement la personne concernée, mais aussi le commissaire à la protection de la vie privée. En fait, toutes les organisations seront obligées de tenir des registres de toutes les atteintes à la sécurité des données. Si le commissaire à la protection de la vie privée demande qu'on lui remette ces registres, les organisations doivent s'exécuter. Une fois la loi promulguée, les organisations qui camouflent délibérément des atteintes à la sécurité des données et détruisent les registres s'exposeront à des amendes pouvant atteindre 100 000 $ pour chaque personne ou client non avisé.

    Le Commissariat à la protection de la vie privée du Canada a affirmé qu'il appuyait ces modifications, considérant qu'elles étaient dans l'intérêt supérieur des Canadiens. Qui plus est, la commissaire à la protection de la vie privée de ma province, la Colombie-Britannique, a aussi recommandé que le gouvernement provincial adopte la même approche que nous avons prise dans le projet de loi S-4.

    De plus, notre Loi sur la protection des renseignements personnels numériques clarifie les règles concernant l'obtention du consentement pour protéger les Canadiens vulnérables en ligne, particulièrement les enfants et les aînés, quand des entreprises leur demandent de recueillir et d'utiliser leurs renseignements personnels. Par exemple, quand le propriétaire d'un site Web pour enfants veut recueillir de l'information sur les visiteurs du site, il devra employer un langage qu'un enfant pourrait raisonnablement comprendre. Si on ne peut raisonnablement s'attendre à ce qu'un enfant comprenne la manière dont l'information sera utilisée, le consentement de cet enfant ne serait pas considéré valable. Le propriétaire devrait alors obtenir le consentement d'un parent.

    Cette modification indique clairement aux entreprises la manière dont le consentement fonctionne en vertu de la loi. C'est un aspect qui portait à confusion. Le projet de loi éclaircit les choses pour qu'elles puissent adopter des pratiques exemplaires.

    Si une organisation destine un produit ou un service à un segment précis de la population, comme les enfants, alors toute tentative pour obtenir le consentement doit être adaptée en conséquence.

    Ici encore, monsieur le président, l'Association de la recherche et l'intelligence marketing approuve ces modifications, indiquant qu'elle soutient pleinement les dispositions du projet de loi S-4 qui permettent aux organisations d'y voir plus clair quand elles cherchent à obtenir le consentement valable de quelqu'un. Comme les jeunes utilisent de plus en plus les téléphones intelligents et les tablettes, les règles plus sévères que contient ce projet de loi feront en sorte que les citoyens canadiens, particulièrement les enfants et les adolescents, puissent pleinement comprendre les conséquences potentielles de la communication de leurs renseignements personnels.

    La Loi sur la protection des renseignements personnels numériques protège aussi les Canadiens en prévoyant quelques exceptions afin de permettre la communication de renseignements personnels dans des situations où cela est nécessaire pour protéger quelqu'un d'un préjudice.

    Dans certaines situations, le partage des renseignements sans le consentement de la personne concernée relève de l'intérêt public. Par exemple, de tels renseignements pourraient être communiqués en vue de réunir des parents et des membres de leur famille qui sont malades ou blessés et qui ne peuvent pas initier ce contact.

    Autre exemple: on permet aux banques et aux institutions financières de transmettre des renseignements personnels aux organismes d'exécution de la loi ou aux membres de la famille quand ils soupçonnent un cas d'exploitation financière, particulièrement pour protéger les aînés de tels problèmes. L'Association des banquiers canadiens a accueilli favorablement les modifications que comprend le projet de loi afin d'autoriser les banques et les institutions financières à aviser les tuteurs publics, les organismes d'exécution de la loi ou des membres de la famille quand elles détiennent des preuves d'exploitation financière, en ce qui concerne particulièrement les aînés.

    Monsieur le président, je veux faire une pause ici pour traiter d'une question soulevée pendant la période de questions lorsque le Parlement débattait de ce projet de loi avant qu'il ne soit renvoyé au comité. Cela concerne la décision de la Cour suprême du Canada dans l'affaire Spencer. Certains ont fait valoir que la LPRPDE, et par conséquent la loi sur la protection des renseignements personnels numériques, pouvaient violer de quelconque façon la Charte des droits et libertés et devaient être modifiées.

    C'est absolument faux. La LPRPDE ne confère pas de pouvoirs de perquisition ou de saisie aux organismes d'exécution de la loi. Elle n'exige pas que les entreprises remettent de l'information à ces derniers. Elle prévoit seulement que les entreprises remettent volontairement l'information aux organismes d'exécution de la loi et au gouvernement quand ces derniers ont le pouvoir juridique de l'obtenir. Cette décision ne signifie pas que la LPRPDE ou le projet de loi S-4 sont inconstitutionnels, et aucun changement ne doit être apporté à ce projet de loi à cet égard.

    Certains protecteurs de la vie privée, dont le commissaire à la protection de la vie privée, ont réclamé une plus grande transparence de la part des entreprises en ce qui concerne la fréquence à laquelle elles transmettent de l'information sur leurs clients à la police et les circonstances dans lesquelles elles le font.

    L'ouverture est évidemment un des principaux principes sous-jacents de la LPRPDE, et rien dans cette loi n'empêche les fournisseurs de services Internet ou d'autres entreprises de publier de tels rapports afin d'assurer la transparence. Je suis enchanté de constater qu'un certain nombre d'entreprises canadiennes l'ont fait au cours de la dernière année.

     Enfin, en vertu de la Loi sur la protection des renseignements personnels numériques du Canada, le commissaire à la protection de la vie privée disposera de nouveaux pouvoirs et outils pour appliquer la loi.

    L'ancienne commissaire à la protection de la vie privée par intérim a appuyé ce projet de loi en affirmant qu'il renforcerait les droits à la protection de la vie privée des Canadiens. Elle a accueilli favorablement les propositions visant à instaurer un régime d'avis obligatoire sur les atteintes aux mesures de sécurité et les dispositions sur les accords de conformité, grâce auxquels il sera plus facile pour le commissariat de veiller à ce que les entreprises honorent les engagements qu'elles ont pris. Elle appuie pleinement ces dispositions.

    Je ferais également remarquer qu'avant de rédiger ce projet de loi et de le présenter au Parlement du Canada, nous avons consulté le bureau du commissaire à la protection de la vie privée pour nous assurer qu'il apaisait ses préoccupations sur le plan de la protection de la vie privée et que nous prenions toutes les mesures nécessaires pour que les préoccupations soulevées par le passé au sujet de ce type de réforme soient prises en compte lors de l'élaboration du projet de loi. C'est pourquoi je suis reconnaissant envers le commissaire à la protection de la vie privée d'appuyer cette mesure législative.

    En vertu de la loi sur la protection des renseignements personnels numériques, le commissaire pourra maintenant négocier des accords de conformité volontaire avec les organisations pour qu'elles aient des comptes à rendre sur leurs engagements à corriger les problèmes relatifs à la protection des renseignements personnels. En outre, il disposera désormais d'un an au lieu de 45 jours pour potentiellement entamer des poursuites contre elles si elles ne respectent pas les règles. La loi sur la protection des renseignements personnels numériques lui conférera également plus de pouvoir afin qu'il puisse nommer et dénoncer publiquement les entreprises ne respectant pas les règles. Cette modification permettra aux Canadiens d'être informés des questions qui ont une incidence sur la protection de leur vie privée. Les organisations se conformeront à la loi, sinon elles seront soumises à un examen du public.

    Notre gouvernement concilie ainsi les besoins de protection des renseignements personnels des Canadiens et la capacité des entreprises d'accéder et d'utiliser légitimement des renseignements personnels dans leurs activités quotidiennes. L'Association canadienne du marketing a exprimé son appui pour l'ensemble de ce projet de loi en affirmant qu'elle soutient l'effort du gouvernement et ce projet de loi afin de moderniser la loi régissant la protection des renseignements personnels dans le secteur privé.

    L'Association du Barreau canadien a pour sa part indiqué qu'elle exprimait son soutien à l'égard de la loi sur la protection des renseignements personnels numériques.

    Quand nous procéderons à la mise en oeuvre de la loi, je collaborerai avec plaisir avec le commissaire à la protection de la vie privée afin de donner toutes les indications claires et pratiques nécessaires pour favoriser une conformité pleine et entière. Comme je l'ai souligné, la loi sur la protection des renseignements personnels numériques est une mise à jour bien nécessaire de la loi régissant la protection des renseignements personnels dans le secteur privé, particulièrement dans notre économie numérique moderne.

    La loi assure les citoyens que, peu importe avec qui ils choisissent de faire affaire au Canada, leur information recevra la même protection.

    Je vous remercie du temps que vous m'avez accordé. Je serai heureux de répondre aux questions des membres du comité.

    Je tiens certainement à remercier de nouveau les membres du comité d'examiner ce projet de loi. Comme vous le savez, il s'agit du projet de loi S-4, et non C-4, et il a déjà été adopté par le Sénat, où il a fait l'objet d'une étude approfondie et exhaustive. Il a été, je crois, traité avec beaucoup de respect et toute l'intensité nécessaire, et je suis comblé qu'il ait été adopté par le Sénat. Je suis impatient que votre comité le soumette à l'examen qu'il mérite.

    Merci.

    Merci beaucoup, monsieur le ministre.

    Nous procéderons maintenant à nos tours de questions. J'aurais toutefois quelques précisions à apporter à mes collègues. Nous avons suffisamment de temps pour accorder cinq minutes à chacun et c'est vraiment tout. Ne vous offusquez donc pas si je dois vous interrompre. Je le ferai avec le plus de dignité possible. De plus, à la fin de la deuxième heure, nous prendrons quelques instants pour traiter brièvement des affaires du comité. Nous nous réunirons à huis clos pour le faire.

    Nous commencerons maintenant avec M. Lake, qui dispose de cinq minutes.

    Merci, monsieur le ministre, et merci au ministre de témoigner aujourd'hui.

    Je me souviens qu'avant d'être ministre de l'Industrie, vous étiez ministre du Patrimoine canadien, et nous avons eu l'occasion dans ce comité, ou un comité mixte, d'examiner le projet de loi sur le droit d'auteur qui a été adopté. À l'époque, bien des gens ont félicité le gouvernement d'avoir proposé un projet de loi vraiment équilibré en matière de droit d'auteur.

    Dans votre exposé, je vous ai entendu souligner à maintes reprises l'importance de trouver une approche équilibrée dans le présent projet de loi, car nous pourrions emprunter bien des voies différentes sur le plan de la protection des renseignements personnels. Peut-être pourriez-vous nous en dire un peu plus sur l'équilibre que vous avez établi en présentant le présent projet de loi.

    Bien sûr. Je ne sais pas si « équilibre » est nécessairement le bon mot, mais nous voulons que l'économie numérique prospère. Je suppose qu'on assure l'équilibre en proposant un projet de loi qui n'aurait pas pour effet de décourager les entreprises qui aspirent à se lancer pleinement dans l'économie numérique parce qu'elles considèrent que le gouvernement fédéral a des attentes trop élevées au sujet des engagements qu'elles doivent prendre concernant le comportement responsable et la protection des renseignements personnels des Canadiens. Nous voulons assurer l'équilibre. Nous ne voulons pas être un obstacle. Nous voulons encourager une adaptation accrue aux technologies et à l'environnement numériques, tout en admettant que les consommateurs canadiens méritent d'être protégés, sans que ce soit au même degré que dans d'autres pays. Nous voulons en fait surpasser les approches d'autres pays à cet égard et donner aux Canadiens le meilleur régime possible dans le monde. Voilà pourquoi nous avons effectué énormément de consultations.

    Si vous me permettez de passer une remarque, je dirais que si on peut formuler une critique au sujet du projet de loi, c'est qu'il s'est trop fait attendre. Mais il est maintenant prêt et il aura une incidence importante en établissant un cadre stratégique approprié qui sera bénéfique pour les Canadiens.

    Plus tôt dans votre exposé, vous avez parlé de la stratégie Canada numérique 150 et de son importance dans l'avenir. Je pense que tous les membres du comité admettent cette importance.

    À quel point est-il important de traiter adéquatement les questions relatives à la protection des renseignements personnels dans ce projet de loi afin de faire avancer la stratégie Canada numérique 150?

    Canada numérique 150 repose sur cinq piliers, 39 mesures précises et une politique nationale pour l'ensemble du Canada.

    Le premier pilier consiste à brancher les Canadiens. Dans le cadre de ce pilier, nous veillerons à ce que tous soient reliés et participent pleinement dans un pays qui se classe au deuxième rang au chapitre de la taille, mais dont la population figure au 37^e rang. Dans une sphère sans fil, avec notre programme visant à brancher les Canadiens et notre investissement réalisé en partenariat public-privé dans le domaine de l'infrastructure à l'échelle du pays, tous les Canadiens seront branchés dans l'avenir. En outre, nos politiques sur le service sans fil visent évidemment à faire en sorte que nous jouissions d'une connectivité de calibre mondial et de prix concurrentiels grâce à une concurrence adéquate. Voilà pourquoi nous avons adopté nos approches actuelles au sujet de la politique relative aux enchères du spectre et au transfert de licence.

    Le deuxième pilier concerne l'économie numérique. Vous vous souviendrez que quand nous avons déployé nos efforts initiaux afin d'élaborer notre politique numérique au cours du premier mandat de notre gouvernement, nous avons parlé d'une stratégie sur l'économie numérique. Eh bien, à l'époque, nous étions au bord de la pire récession depuis la Seconde Guerre mondiale, et tout portait évidemment sur la politique économique et sur la science économique. Mais la vérité, c'est qu'une stratégie sur l'économie numérique est, à mes yeux, un outil légèrement trop limité pour englober la politique numérique globale d'un pays. Cela dit, le gouvernement peut prendre des mesures précises pour faire progresser l'économie numérique. Il en est un peu question ici, mais il y a aussi d'autres mesures.

    Un pilier vise à nous brancher. Le deuxième pilier concerne l'économie numérique et les occasions qui s'y présentent. Le troisième pilier consiste à rendre le gouvernement plus numérique que jamais. L'Open Data Institute et l'initiative de science ouverte visent à rendre l'information du gouvernement plus accessible que jamais en ligne et à mettre en oeuvre les initiatives que Tony Clement, président du Conseil du Trésor, a proposées.

    Le quatrième pilier consiste à protéger les Canadiens en ligne. On entend donc brancher les Canadiens, appliquer la stratégie sur l'économie numérique, rendre le gouvernement plus numérique que jamais et protéger les Canadiens en ligne, un objectif pour lequel le présent projet de loi est essentiel.

    Le cinquième et dernier pilier est celui que je considère le plus plaisant et le plus intéressant. Une fois que tout le monde est branché et que la sécurité est renforcée, on profite pleinement des occasions économiques numériques, et le gouvernement prêche par l'exemple en adoptant, espérons-le, l'approche la plus numérique dans toutes ses activités en insufflant la vie à tout cela avec du contenu canadien numérique. À cette fin, il est essentiel d'inciter nos musées à être plus numériques et de veiller à ce que le diffuseur public, le Conseil des arts du Canada et tout le monde racontent des histoires canadiennes aux Canadiens au sujet du Canada, de notre histoire, de nos aspirations et de tout ce qui nous concerne. Notre pays ne survit que si nous comprenons mieux notre histoire et avons de meilleures occasions de parler de nos aspirations pour l'avenir. Le cinquième et dernier pilier vise à insuffler la vie dans le contenu.

    Aucun de ces piliers n'est autonome. Si un seul d'entre eux constituait toute la politique numérique, la compréhension ferait défaut. Cette stratégie nous est essentielle pour que nous allions de l'avant.

    Merci, monsieur le ministre.

    C'est tout le temps que nous avons.

    Madame Borg.

     Je vous remercie.

    Monsieur le ministre, vous avez dit que le projet de loi S-4 ne violait pas la Constitution canadienne et que la décision de la Cour suprême dans l'affaire Spencer ne s'appliquait pas aux dispositions du projet de loi S-4.

     Ai-je bien compris?

    Des études ont-elles été menées à cet égard, à la suite de la décision dans l'affaire Spencer?

    Oui, mon ministère s'assure que le projet de loi respecte les décisions de la Cour suprême du Canada et les autres obligations du gouvernement, dont celle de mettre en avant un projet de loi respectueux de notre Constitution et des lois déjà existantes.

     Chris voudrait peut-être donner plus de détails sur la décision rendue dans l'affaire Spencer et sur ce que cela implique pour ce projet de loi.

    Merci, monsieur le ministre.

    Pour que tout soit bien clair, le paragraphe 71 de l'arrêt Spencer indique très clairement que la LPRPDE ne confère pas de pouvoirs de perquisition ou de saisie supplémentaires aux organismes d'application de la loi. Elle fonctionne de manière à tenir compte des pouvoirs accordés ailleurs à la police. L'alinéa 7(3)c.1) précise les circonstances dans lesquelles les entreprises peuvent fournir volontairement des renseignements aux organismes d'application de la loi quand ces derniers ont l'autorité légitime de l'obtenir. L'arrêt Spencer clarifie en quoi consiste cette autorité légitime. Il peut s'agir d'un pouvoir conféré par la common law quand il n'y a pas d'attente raisonnable au chapitre de la protection de la vie privée ou dans des circonstances où il y a une attente raisonnable au chapitre de la protection de la vie privée s'il y a une loi raisonnable, si la police détient un mandat ou si les circonstances l'exigent. La LPRPDE tient compte de toutes ces circonstances, et la Cour suprême a indiqué très clairement dans sa décision que cela n'avait pas d'incidence sur la LPRPDE elle-même.

    La LPRPDE ne crée pas de pouvoirs de perquisition et de saisie pour les organismes d'application de la loi.

     Vous serez d'accord pour dire que l'arrêt dans l'affaire Spencer précise que les internautes ont une attente raisonnable en matière de vie privée lorsqu'ils naviguent sur Internet, n'est-ce pas?

    C'était le cas dans ces circonstances très précises, quand la police cherchait... elle avait une adresse IP. Les agents croyaient que la personne concernée, M. Spencer, avait téléversé et téléchargé de la pornographie juvénile. Les agents avaient l'adresse IP, mais ne connaissaient pas son identité. Ils ont donc demandé au fournisseur de services de télécommunications de leur fournir les renseignements de base sur l'abonné. Au cours du processus judiciaire, ils ont affirmé que la collecte d'information, soit les renseignements sur l'abonné et l'adresse IP combinés, équivalait à ce qui serait considéré comme une perquisition en vertu de la Constitution. Dans le cas présent, les agents n'avaient pas le pouvoir conféré par la common law sur lequel ils comptaient pour obtenir ces renseignements. Ils avaient besoin d'un mandat parce que l'historique de navigation Internet et d'autres informations relatives à l'adresse IP de l'intéressé leur fournissaient des détails biographiques intimes qui n'étaient pas nécessaires en l'espèce. Il fallait obtenir un mandat dans ces circonstances particulières. Ils ne pouvaient compter sur le pouvoir conféré par la common law, comme ils ont tenté de le faire.

    Vous dites que l'arrêt Spencer a créé une sorte de clarté ou d'ambiguïté concernant la manière d'interpréter ce qu'est l'autorité légitime. Dans la LPRPDE, il est permis aux institutions du gouvernement de présenter des demandes aux fournisseurs de services Internet. Êtes-vous en train de dire que l'industrie considère que l'autorité légitime s'appliquerait aux institutions gouvernementales?

    Ici encore, seulement avec le consentement des tribunaux. Le gouvernement ne peut agir sans consentement. Le cadre juridique existe toujours.

    D'accord, merci.

    Je vais passer à un autre aspect du projet de loi.

    Comme vous l'avez dit dans votre introduction, ce projet de loi vise à renforcer la protection des renseignements personnels des Canadiens, et c'est une étape importante. On penserait qu'avec un tel titre ce projet de loi vise vraiment à protéger les renseignements personnels des Canadiens. Or les articles 6 et 7 créent de nouvelles exceptions, selon lesquelles des entreprises pourraient partager des renseignements personnels sans avoir obtenu de consentement ni donné d'avis.

     Selon vous, est-ce là une bonne manière de renforcer la vie privée des Canadiens?

    Non, je crois que c'est exagéré. Je pense que le projet de loi est très clair. Nous l'avons déposé après avoir consulté le commissaire à la protection de la vie privée, comme vous le savez. Ce dernier doit se montrer excessivement prudent, non seulement dans le cadre de son mandat, mais aussi dans l'approche qu'il ou elle adopte avec le temps...

    Je me permets de vous dire que le commissaire à la protection de la vie privée a dit être opposé à cette disposition.

    Je vous prierais d'être bref, monsieur le ministre.

    Comme je l'ai fait remarquer dans mon exposé, je pense que le projet de loi est bien équilibré. Je ne pense pas que Mme Borg interprète correctement l'arrêt Spencer ou le projet de loi.

    Merci.

    La parole est maintenant à M. Carmichael. Vous n'avez que cinq minutes.

    Merci, monsieur le président. Bienvenue au ministre et à ses fonctionnaires.

    Monsieur le ministre, je partage votre avis concernant la LPRPDE et conviens que ce projet de loi ne s'est que trop fait attendre. La technologie a de toute évidence évolué à un rythme tel que la loi doit faire du rattrapage par rapport à tout ce qui se passe dans la technologie et le monde aujourd'hui.

    À titre de grand-parent, je me préoccupe quand je vois mes petits-enfants utiliser la technologie aujourd'hui et fonctionner bien plus rapidement et habilement avec leurs iPad ou leurs autres appareils. Je me demande comment ce projet de loi protégera mes petits-enfants et tous les Canadiens. Pouvez-vous étoffer un peu ce que vous avez dit à ce propos dans votre exposé et préciser les sanctions prévues pour ceux qui trahissent notre confiance?

    Vous avez raison de vous montrer prudent. Je sais que vous êtes devenu de nouveau grand-père très récemment et je vous en félicite.

    C'est évidemment une partie importante de l'obligation du gouvernement à mesure que tout passe au numérique et que tout le monde fait tout avec des tablettes et des téléphones intelligents quand bon leur semble.

    L'approche du projet de loi concerne le consentement qui est offert. Comme vous le savez, dans le domaine des données massives et de leur collecte, nous devons nous assurer que les enfants comprennent les risques auxquels ils sont exposés en ligne. Tout cela ne peut pas ou, à dire vrai, ne devrait pas être fait comme si le gouvernement adoptait pratiquement un rôle de parent. Nous avons tous l'obligation de protéger notre propre personne, ceux qui nous sont chers et la société en général.

    Mais il y a aussi des institutions et des organismes, comme le commissaire à la protection de la vie privée et le gouvernement du Canada, qui, grâce à la LPRPDE ou la loi sur la protection de la vie privée qui régit la manière dont le gouvernement fédéral en général agit en interaction avec les citoyens, assurent notre protection. Le projet de loi prévoit des mesures pour que lorsqu'un enfant est en ligne et donne son consentement ou communique des renseignements, le langage utilisé soit simple et qu'il soit raisonnable de s'attendre à ce qu'un enfant le comprenne. Je sais que c'est une façon très subjective de dire les choses.

    Disons, par exemple, qu'un enfant va sur le site Web d'un personnage de dessin animé et fournit son adresse de courriel, son adresse postale ou son numéro de téléphone personnels. Ces renseignements lui ont été soutirés. Ils utilisent le site Web de manière douteuse ou nébuleuse, ou il a peut-être fourni ces renseignements dans des circonstances... trompeuses, et un parent s'en rend compte par la suite. L'incident est signalé au commissaire à la protection de la vie privée, qui entreprend alors des démarches. L'entité responsable du site Web doit immédiatement fermer le site pour offrir de nouveau l'information de manière plus responsable.

    Oui, une part de subjectivité entre en jeu, mais nous avons choisi de confier cette approche au commissaire à la protection de la vie privée, en nous appuyant sur les expériences menées dans d'autres pays et sur les essais et erreurs que ces derniers ont faits en tentant d'instaurer un genre de politique publique. Les entreprises qui ne se conforment pas à ce projet de loi s'exposeront certainement à des sanctions de la part du gouvernement ou, par le fait même, du commissaire à la protection de la vie privée, qui pourra les dénoncer sur la place publique. On pourrait croire que certaines de ces entreprises, si elles se livrent à un tel comportement... Si le commissaire à la protection de la vie privée publie un rapport indiquant qu'elles recueillent de l'information sur nos enfants d'une manière risquée qui viole la vie privée de nos jeunes, je pense que cela signerait leur arrêt de mort.

    Le projet de loi prévoit des pouvoirs incroyablement forts sur le libre marché contre les entreprises qui recourent à pareil processus. Comme mon sous-ministre vient de me le faire remarquer, l'amende est de 10 000 à 100 000 $ par atteinte à la protection des données ou par violation de la vie privée des citoyens, y compris les enfants.

    Bien. Merci.

    Nous passerons peut-être à l'autre bout du spectre pour parler des aînés. J'ai donné de nombreux séminaires et tables rondes sur l'exploitation financière, la maltraitance et la fraude dont sont victimes les aînés. Je me demande si vous pourriez nous parler brièvement de ces problèmes également, en nous expliquant comment le projet de loi protégera les aînés.

    Oui. C'est une partie difficile du projet de loi. Loin de moi l'idée de dire quoi faire, car les comités sont maîtres de leurs propres emplois du temps, mais il me semble qu'il s'agit d'un projet de loi qui soulève un débat raisonnable sur la meilleure manière de procéder. De toute évidence, nous avons proposé dans le projet de loi l'approche à laquelle nous en sommes arrivés et que nous considérons comme équilibrée.

    Dans ma propre famille, ma grand-mère a déjà été exploitée financièrement par un fournisseur de soins. Le problème n'est pas rare.

    Aux termes de la loi actuelle, par exemple, si les banques ou les conseillers financiers soupçonnent qu'un client, un aîné, est victime d'exploitation financière, ils ne peuvent pas aviser les autorités compétentes, en partie en raison des mesures de protection de la vie privée. Le projet de loi clarifie la situation.

    Il existe une zone grise parce que l'exploitation financière se produit très souvent au sein de la famille. C'est à ce sujet qu'il pourrait être utile pour le comité de convoquer des témoins pour traiter du pour et du contre, parce que c'est un débat légitime. Quand, par exemple, les institutions financières et les banques voient clairement ou soupçonnent fortement qu'un aîné est victime d'exploitation financière, l'aîné ne sera pas vraiment protégé si elles peuvent aviser seulement la famille et ne peuvent informer les autorités à cause de la loi actuelle sur la protection de la vie privée, car c'est souvent un membre de la famille qui se livre à l'abus.

    Je sais que certains ont affirmé que c'est une lacune dans le projet de loi, car il permet à une institution financière d'informer les autorités si elle soupçonne qu'un aîné est victime d'exploitation financière. Il est vrai que nous créons cette disposition, mais c'est parce que très souvent — j'ignore le pourcentage —, l'exploitation financière se passe au sein de la famille. En informant cette dernière, on lui permet probablement de camoufler les preuves et de s'en sortir impunément, et c'est une situation à laquelle nous voulons mettre fin.

    Merci, monsieur le ministre.

     Monsieur Dubourg, vous avez cinq minutes seulement.

    Je vous remercie, monsieur le président.

    Je vous salue, ainsi que le ministre et les personnes qui l'accompagnent, ainsi que tous mes collègues parlementaires ici présents.

    Nous discutons du projet de loi S-4. Dans le contexte technologique actuel, il est effectivement important de présenter de telles mesures, mais il faut aussi s'assurer que les renseignements personnels sont bien protégés.

     Allons directement au sous-alinéa 7(3)d)(i), où il est question des cas qui font exception au consentement. Il est dit que ces informations peuvent être partagées s'il y a « des motifs raisonnables de croire que le renseignement est afférent à une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être, ».

    Comment une organisation peut-elle juger de la pertinence des renseignements personnels qu'elle transmet par rapport à une contravention, tant au niveau fédéral que provincial, et ce, tout en protégeant le droit des individus?

    C'est une bonne question.

    À notre avis, le projet de loi S-4 définit clairement les obligations des entreprises et des organismes à cet égard. Après son entrée en vigueur, si des organismes ont des doutes ou ont besoin d'éclaircissements, ils pourront certainement parler aux fonctionnaires de mon ministère ou contacter le bureau du commissaire à la protection de la vie privée du Canada.

    Nous avons déposé ce projet de loi pour répondre au besoin d'avoir un équilibre entre les droits de la personne et le droit à la vie privée. Comme je l'ai dit au début de ma réponse à la question de M. Lake, il faut s'assurer de ne pas ériger d'obstacles devant les organismes et les entreprises qui désirent s'engager entièrement dans le monde du numérique.

    D'accord. Je vous remercie, monsieur le ministre.

    On parle de divulgation d'informations. Comment peut-on savoir si le motif de la divulgation est valable? L'individu en cause n'est pas au courant de l'échange d'information entre des organisations. Comment peut-on déterminer si l'information transférée l'a été pour des raisons valables?

    C'est une bonne question.

    Ce n'est pas toujours facile à déterminer. C'est pour cette raison que chaque fois qu'on accepte de donner notre numéro de carte de crédit à un fournisseur sur Internet, il faut s'assurer de lire l'information qui y figure, car après tout, on donne notre consentement légitime à un organisme de partager nos renseignements personnels.

    Il est extrêmement important que les consommateurs, quand ils utilisent la technologie, prennent soin de leurs renseignements personnels. C'est la raison pour laquelle le projet de loi S-4 contient une disposition qui vise à protéger les jeunes, car ce sont eux les plus vulnérables à ce genre d'abus.

    Pour un gouvernement, il est difficile de mettre en place des lois ou des règlements visant à protéger les personnes dans leurs échanges électroniques. À notre avis, la législation donne au commissaire les pouvoirs nécessaires pour protéger les Canadiens.

    C'est un débat courant dans la société civile, dans les médias et au sein des familles. Chaque fois qu'il y a un abus relativement aux renseignements personnels, on doit essayer de comprendre ce qui s'est passé et adopter de nouvelles approches pour protéger les individus.

    Monsieur le ministre, je comprends que c'est une loi et que, en tant que telle, elle doit avoir nécessairement un aspect général. Dans le projet de loi, il est question de contraventions éventuelles. Ne trouvez-vous pas qu'il est trop large ou trop général de parler de contraventions futures relatives à l'échange de renseignements?

     Non, je crois que cela suffit.

    On ne peut pas prévoir la direction que prendra le monde électronique. Dans le projet de loi, on trouve des règles et des principes qui demeureront valables. Je suis convaincu qu'il y aura, dans le futur, un examen de la loi après sa mise en oeuvre. On saura alors si elle est efficace ou non et si elle protège les intérêts des Canadiens.

    Nous accordons maintenant la parole à Mme Gallant pour cinq minutes.

    Merci.

    Monsieur le ministre, le présent projet de loi est censé réduire les contraintes administratives superflues en permettant aux entreprises d'accéder à leurs renseignements pendant leurs activités normales.

    Pouvez-vous nous expliquer comment cela se passe?

    Volontiers. Comme vous l'avez indiqué, nous avons entrepris avec le ministre Bernier, à titre de ministre des petites entreprises, et auparavant avec le ministre Rob Moore, quand il assumait ces fonctions, le Plan d'action pour la réduction du fardeau administratif, un nom audacieux pour une initiative très importante pour les petites entreprises qui vise à faire en sorte qu'elles ne croulent pas sous le fardeau administratif.

    Le présent projet de loi prévoit des changements, car nous devons tenir compte du fait que les entreprises doivent avoir accès aux renseignements personnels et les utiliser pour mener leurs activités légitimes.

    Jusqu'à maintenant, les choses n'étaient pas claires. C'est en partie la raison pour laquelle les organisations de petites entreprises ont été invitées à participer au processus d'élaboration du projet de loi. Nous avons ainsi pu entendre leurs préoccupations au sujet de la manière de procéder dans l'avenir.

    Vous pouvez imaginer le changement colossal qui s'opère. Il s'observe dans les magasins de détail et dans la manière dont nous favorisons leurs activités, particulièrement chez les petites entreprises.

    Si un commerçant veut réorienter son entreprise pour qu'une bonne partie de ses ventes se fasse désormais en ligne, il doit s'assurer non seulement de disposer des systèmes les plus efficaces et les plus modernes pour communiquer avec ses consommateurs, mais également de procéder de manière sécuritaire et responsable. Comme je l'ai souligné, si une petite entreprise est victime d'une atteinte à la protection des données et que la nouvelle se répand de manière virale par voie électronique, tout est fini pour elle. C'est toxique.

    Les entreprises doivent donc faire preuve de diligence raisonnable. Notre gouvernement a un rôle à jouer à cet égard, mais pas seulement en imposant de plus en plus d'obligations aux entreprises au sujet de ce qu'elles doivent faire et ne pas faire, car cela nuirait aux petites et moyennes entreprises qui aspirent à prendre de l'expansion et à servir de plus gros marchés. Avec l'adoption de l'Accord de libre-échange Canada-Corée du Sud et l'arrivée de l'accord de libre-échange entre le Canada et l'Europe, les petites et moyennes entreprises aspirent à s'aventurer sur le marché international; elles doivent donc s'assurer que leurs systèmes sont parfaitement sécuritaires et protègent les gens. Non seulement dans l'application pratique de mesure législative comme celle-ci aux fins de réglementation, mais également pour protéger notre réputation, nous devons faire en sorte que les entreprises canadiennes soient vues de par le monde comme faisant partie d'un des meilleurs régimes au monde sur le plan de la protection des droits à la vie privée des consommateurs.

    Voilà ce que nous aspirons à accomplir. Nous considérons que nous procédons d'une manière très claire et simple afin de réduire le fardeau administratif — je sais que c'est une expression utilisée un peu à toutes les sauces — en clarifiant les règles à l'intention des petites entreprises qui souhaitent profiter davantage des occasions de faire des affaires en ligne.

    En ce qui concerne les observations que vous avez faites sur la Charte des droits et libertés, quand une atteinte à la protection des données se produit par suite d'un piratage, il s'agit d'une infraction criminelle, et vous confirmez qu'il faudra avoir un mandat pour faire enquête sur un cybercrime.

    C'est exact.

    Tout dépendrait du contexte de l'atteinte à la protection des données, par exemple, mais les procédures actuelles qui exigent que le gouvernement et les forces de police accèdent à ces renseignements s'appliqueraient toujours.

    Cela s'applique seulement aux entreprises canadiennes physiquement présentes ici?

    Non, cela s'applique aux entreprises qui ont accès aux données canadiennes.

    Chris, je suis certain que je ne suis pas clair à ce sujet.

    Les dispositions relatives à l'atteinte à la protection des données s'appliqueraient si une entreprise utilise des données canadiennes.

    Les Canadiens ne savent pas nécessairement si l'entreprise avec laquelle ils font affaire en ligne est située au Canada. Bien des entreprises ont un « .ca » même si elles sont situées ailleurs.

    Comment savent-ils qu'ils sont protégés par la LPRPDE?

    Par définition, les entreprises qui font affaire ici au Canada doivent se conformer à la Loi sur la protection des renseignements personnels.

    Forte de ses pouvoirs de dénonciation publique, la commissaire s'en est déjà prise à de grandes sociétés en ligne, comme Facebook et Google, en vertu de la LPRPDE parce qu'elles sont en activités au Canada.

    L'élargissement de ces pouvoirs de dénonciation dont le ministre a parlé confère au commissaire une portée plus grande afin de pouvoir indiquer publiquement quand il décèle des problèmes afin de dire que des choses se passent, et même si c'est à l'étranger et que cela a une incidence sur les Canadiens, le commissaire pourra...

    Oui, et la perspective est inversée. Nous protégeons les Canadiens et leur droit de voir leurs renseignements protégés par les entreprises. Voilà l'objectif visé. Ce ne sont pas les entreprises, mais les droits des Canadiens qui sont au coeur de nos préoccupations.

    Nous accordons la parole à Mme Nash pour cinq minutes.

    Merci, monsieur le président.

    Je souhaite de nouveau la bienvenue au ministre et à ses hauts fonctionnaires devant le comité de l'industrie.

    De nombreux Canadiens font généralement bon accueil aux mesures que prend le gouvernement au chapitre de la protection des renseignements personnels numériques. Ce projet de loi s'est certainement trop longtemps fait attendre. Les Canadiens veulent une meilleure protection de leurs renseignements personnels numériques.

    Je veux, à l'instar de certains de mes collègues, poser des questions sur certaines parties du projet de loi que bien des gens considèrent comme étant une menace pour Internet et la protection des renseignements personnels numériques des Canadiens. Je fais précisément référence aux articles 6 et 7, qui ajoutent des exemptions qui permettent de recueillir, d'utiliser ou de communiquer des renseignements personnels à l'insu de l'intéressé ou sans son consentement. Des témoins ont soulevé des préoccupations à cet égard lors des audiences du Sénat sur ce projet de loi.

    Un membre de la Section nationale du droit de la vie privée et de l'accès à l'information de l'Association du Barreau canadien a indiqué ce qui suit:

    Le Commissariat à la protection de la vie privée a pour sa part déclaré ce qui suit:

    Monsieur le ministre, considérez-vous que la communication de renseignements personnels entre des entreprises à l'insu de l'intéressé ou sans son consentement favorise la protection des renseignements personnels des Canadiens?

    Pas sans le consentement de l'intéressé, comme je l'ai indiqué à notre collègue libéral dans ma réponse sur le consentement. Les gens doivent donner leur consentement pour que leurs renseignements soient communiqués.

    Nous autorisons la communication de renseignements entre entreprises dans des circonstances particulières, comme l'exploitation des aînés. Cela ne concerne pas le gouvernement, où la communication de renseignements est autorisée. Ces exemptions ont été réclamées auprès du gouvernement.

    Vous avez énuméré certaines des entreprises qui ont soulevé des préoccupations au sujet du présent projet de loi. Or, un grand nombre des gens que vous avez cités pensent encore que le projet de loi devrait être adopté. Je peux certainement vous donner une longue liste de gens qui nous ont affirmé se réjouir que le gouvernement accorde ce genre de souplesse dans le projet de loi pour que nous puissions prévenir l'exploitation financière des aînés et protéger nos enfants. Très souvent, il faut que les entreprises échangent des renseignements; elles doivent donc faire preuve de diligence raisonnable et protéger les consommateurs des atteintes à la protection des renseignements personnels.

     Merci, monsieur le ministre.

    Je dispose de très peu de temps. Je voudrais obtenir un éclaircissement, car si je comprends bien le projet de loi, le paragraphe 7.2(1) stipule ce qui suit:

    

    Vient ensuite une longue liste que je ne lirai pas. Par exemple:

    

    Je pourrais vous citer d'autres dispositions. Voici ce que je veux savoir: quand il y a communication de renseignements personnels sans mandat — ce qui est essentiellement un échange de renseignements personnels entre entreprises —, est-ce que le ministre est disposé à apporter des amendements pour éliminer certaines dispositions vraiment troublantes ou peut-être prévoir des mécanismes de contrôle pour s'assurer que ces dispositions ne soient pas utilisées à mauvais escient? Je pense que ce projet de loi contient de très bonnes mesures, mais il y a lieu de craindre qu'elles ne soient trop vagues ou trop larges.

    Vous avez dépassé votre temps d'une minute environ; je vais donc l'enlever pour la réponse.

    Allez-y, monsieur Knubley.

    Je pense que c'est un domaine où il importe d'apporter des éclaircissements. Il y a peut-être deux ensembles de points à aborder, et je demanderai à mes collègues de m'aider à ce sujet.

    D'abord, je pense que nous considérons, à titre d'administrateurs, que nous n'ouvrons pas la porte plus grande à cet égard. Nous harmonisons la LPRPDE avec les pratiques d'autres provinces, comme l'Alberta et la Colombie-Britannique. Actuellement, nous appliquons les règlements dans des domaines précis du non-consentement, une pratique dont nous nous éloignons en instaurant une série de critères que nous jugeons rigoureux.

    En ce qui concerne le projet de loi  S-4 lui-même, il comporte une série de modifications au sujet des coordonnées d'affaires et des transactions commerciales, par exemple, une fusion ou une acquisition d'entreprise; si cela concerne expressément un produit de travail qui exige des activités constantes et au sujet duquel il n'est pas facile d'obtenir le consentement; dans le domaine des assurances; et en ce qui concerne les renseignements d'employés en cas de fin d'emploi. Il s'agit là de cas très précis où nous considérons que les entreprises ont des motifs très légitimes et raisonnables d'utiliser et d'échanger des renseignements.

    Je sais, Kelly, que vous avez plus d'information à ce sujet.

    Dans certaines circonstances, des organisations appelées organismes d'enquête, comme un barreau, qui peuvent craindre qu'on porte atteinte à leur listes de clients ou à leur privilège. À l'heure actuelle, en vertu de la LPRPDE, ces organismes peuvent être considérés dans le règlement comme des organisations pouvant échanger de l'information afin de comprendre si une atteinte a bel et bien eu lieu. Il peut peut-être s'agir de deux cabinets d'avocats.

    Dans cette modification, nous proposons d'harmoniser nos pratiques avec celles d'autres provinces afin de simplifier le fardeau administratif en ne visant pas ces organisations dans la loi, en prévoyant un test en quatre parties pour veiller à ce que la communication de renseignements ne se fasse que dans des cas circonscrits et qu'il ne s'agit pas d'une mission visant à recueillir des faits. Il faut qu'il existe une preuve qu'il se passe quelque chose, l'information demandée doit avoir un lien avec l'enquête et il faut démonter que le fait de demander le consentement compromettrait l'enquête elle-même. Il y a donc des mesures en place pour faire en sorte que l'approche soit adéquatement ciblée, et que rien n'empêche quelqu'un de demander ultérieurement comment l'information a été utilisée ou de porter plainte auprès du commissaire à la protection de la vie privée au sujet de cette utilisation. Les dispositions de supervision générale s'appliquent toujours.

    Merci, madame Gillis.

    Monsieur Warawa, vous disposez de cinq minutes.

    Merci monsieur le président.

    Merci, monsieur le ministre, de comparaître.

    Je pense qu'il est très important que nous protégions les droits et les renseignements personnels des consommateurs canadiens. Nous nous apercevons, en ce qui concerne l'économie numérique et son évolution exponentielle au cours des dernières années, qu'il importe que nous réagissions aux préoccupations dont nous font part les Canadiens.

    Monsieur le président, je ferais remarquer avec respect que j'entends le NPD affirmer que nous devrions peut-être amender le projet de loi que nous a renvoyé le Sénat.

    Monsieur le ministre, si nous retardions et amendions cette mesure législative, est-ce que le projet de loi S-4 serait renvoyé au Sénat aux fins d'adoption? Ce qui me préoccupe, c'est que cette mesure législative est nécessaire, les Canadiens la réclament et une vaste majorité d'entre eux souhaitent son adoption. Si nous l'amendons, quelles sont les probabilités qu'elle soit adoptée au cours de la présente législature? On a besoin de cette mesure.

    Eh bien, pour répondre à la question politique qui, je suppose, vient en partie de Mme Nash, votre comité peut proposer des amendements et les examiner, comme vous le faites pour les autres mesures que nous avons déposées, comme la Loi sur la modernisation du droit d'auteur. Vous les mettrez aux voix et les étudierez, puis la Chambre les examinera à l'étape du rapport, quand le projet de loi lui sera renvoyé.

    Il y a un problème de procédure, évidemment, car si le projet de loi est amendé, il sera renvoyé au Sénat pour que ce dernier le réexamine, car la procédure est inversée. Je ne préconiserais certainement pas de priver les députés de leur droit de délibérer au sujet du projet de loi et d'y proposer des amendements soigneusement pesés si cela le renforce.

    Pour répondre au point soulevé par Mme Nash, si des membres du comité ont des suggestions à formuler pour améliorer ce projet de loi, nous pouvons certainement faire tout ce que nous pouvons pour fournir au comité l'information nécessaire pour en comprendre les implications sur le projet de loi et savoir si cela le renforcerait ou non.

    Merci, monsieur le ministre.

    Monsieur le président, nous discuterons du projet de loi dans les moindres détails. Nous convoquerons un certain nombre de témoins. Mais le fait est qu'il reste environ 15 séances au calendrier de la présente législature. Si la mesure législative n'est pas adoptée, renvoyée à la Chambre et adoptée, elle ne sera pas promulguée au cours de la présente législature. Or, je crois qu'elle est nécessaire. Je pense que nous avons entendu dire, comme le Sénat, qu'elle est équilibrée.

    Monsieur le ministre, j'aimerais reconfirmer que le projet de loi S-4 prévoit un examen. La loi sera réexaminée dans cinq ans pour déterminer si elle est efficace et si elle contient des problèmes. Est-ce exact?

    La mesure peut faire l'objet d'un examen en tout temps. Votre comité peut décider de s'en charger. Vous pouvez l'examiner le lendemain si vous voulez. Le comité peut faire tout ce qu'il veut. Mais comme mon sous-ministre l'a fait remarquer, c'est la troisième fois que nous déposons un projet de loi pour moderniser la LPRPDE. Il est donc urgent d'agir.

    J'ai fait partie de l'opposition pendant deux mandats, et je comprends qu'on critique les gouvernements pour des motifs réels ou imaginaires. C'est correct, mais si nous avons adopté cette approche, si c'est le projet de loi S-4 et si nous l'avons déposé au Sénat avant, c'est parce que votre comité a un horaire bien rempli. Le Parlement a été extrêmement occupé également avec un certain nombre de mesures législatives très complexes qui ont fait l'objet de beaucoup d'attention au cours de la session d'automne, et nous voulions que les choses progressent.

    Bien entendu, notre processus législatif exige le consentement des deux chambres de notre régime bicaméral. Nous voulions que le projet de loi soit adopté et mis en oeuvre, gardant à l'esprit le fait qu'il y aura une campagne à l'automne et que le temps de la Chambre est précieux et limité. Nous avons donc inversé le processus pour que le projet de loi soit adopté et que nous allions de l'avant. Nous voulions que les choses avancent.

    Nous considérons que c'est essentiel pour un certain nombre de raisons, notamment parce qu'il faut tirer pleinement parti de l'économie numérique et protéger les Canadiens en ligne. Je pense que les Canadiens veulent de plus en plus que le gouvernement fasse tout ce qu'il peut pour protéger leur vie privée en ligne, pas seulement en ce qui concerne la Loi sur la protection des renseignements personnels et l'interaction des citoyens avec le gouvernement fédéral pour que leurs renseignements personnels soient protégés quand ils les lui transmettent, mais aussi quand ils communiquent ces renseignements au secteur privé.

     Le projet de loi a maintenant été adopté par le Sénat après avoir fait l'objet d'un examen et de délibérations, au cours desquels le comité a débattu d'un certain nombre d'amendements. Votre comité peut évidemment remplir son horaire et examiner ce projet de loi comme bon lui semble, mais je souhaite certainement qu'il aille de l'avant et soit adopté pour que nous puissions protéger les Canadiens et leur permettre d'avoir la confiance qu'ils méritent.

    Merci, monsieur le ministre.

    Madame Nash, vous disposez de deux minutes, d'après le calcul de ce qui reste après la dernière question.

    Merci.

    Voudriez-vous...

     Oui, je vais prendre le relais.

    Le projet de loi S-4 donnerait au commissaire à la protection de la vie privée du Canada de nouveaux pouvoirs pour conclure des accords de conformité avec les organisations. Étant donné que l'on a repoussé de nombreuses fois la date de présentation du budget — ça n'ira pas avant le mois d'avril — le gouvernement s'engage-t-il à fournir au commissaire les ressources financières et humaines nécessaires pour qu'il puisse effectuer ses nouvelles tâches?

    Vous êtes au pouvoir depuis une dizaine d'années et vous préparez un nouveau budget. Pouvez-vous garantir que les ressources financières et humaines seront suffisantes pour que le travail soit fait correctement?

    C'est une bonne question.

    Oui, nous sommes d'avis que le commissaire et son bureau ont les sommes nécessaires pour s'assurer que le projet de loi sera mis en oeuvre de manière efficace et raisonnable.

    Même si on n'est pas certain de ce que contiendra le prochain budget, vous êtes certains d'avoir mis de côté les ressources nécessaires pour que ce soit fait correctement. Vous engagez-vous à cela, monsieur le ministre?

    Oui, nous croyons que le commissaire possède les sommes nécessaires. Si la demande pour des ressources augmente, il faudra apporter des changements. Le gouvernement peut toujours prendre cette décision. Cependant, après avoir mené des consultations, je peux vous dire que nous sommes convaincus qu'il a les sommes nécessaires.

    Le dernier à intervenir sera M. Daniel, pour cinq minutes.

    Merci, monsieur le président. Merci, monsieur le ministre, de témoigner. Je suis heureux de vous voir.

    Il est certainement intéressant de constater qu'Internet n'a pas de frontière canadienne. D'une portée de toute évidence mondiale, il va n'importe où à la vitesse de l'éclair. Compte tenu de ce fait et de la nature des données, il pourrait y avoir une toute petite entreprise, exploitée par une ou deux personnes, qui aurait des teraoctets de données qui pourraient être perdues ou volées.

    Est-ce qu'une pénalité de 100 000 $ est raisonnable pour une petite entreprise, qui ferait faillite sans cet argent? Les propriétaires relanceraient probablement leurs activités le lendemain, mais...

    Je pense que les pénalités sont sévères, et elles s'appliquent pour chaque atteinte; ce n'est pas un chiffre global. Dans la loi sur les crimes violents que nous avons instaurée, la peine n'est pas concurrente, mais consécutive. Autrement dit, elle s'applique à chaque atteinte, à chaque violation.

    Excellent.

    Nous faisons beaucoup affaire avec des entreprises qui n'ont pas pignon sur rue ici, un fait auquel vous avez fait allusion plus tôt, il me semble. Mais si leurs données sont conservées à l'étranger et qu'elles travaillent avec des Canadiens, que fait-on s'il se produit une atteinte à la protection des renseignements personnels de Canadiens et que l'entreprise concernée n'est pas située au Canada?

    Comme je l'ai indiqué, l'objectif consiste à protéger les droits des Canadiens, et si ces droits ont été violés, le commissaire a le pouvoir d'imposer des pénalités et de mener enquête. Ce qui compte, ce sont les droits des Canadiens; l'aspect physique n'entre pas nécessairement en jeu. Cela concerne ceux qui font affaire avec des Canadiens par l'entremise de fournisseurs de services Internet au Canada. Il s'agit de protéger les Canadiens.

    Très bien.

    Ce projet de loi semble très fonctionnel et bien rédigé. Je pense qu'il sera très efficace une fois mis en place; je conviens donc avec mes collègues que nous devrions l'adopter rapidement.

    C'est probablement juste une question secondaire. Avons-nous considéré de légiférer en ce qui concerne les logiciels et le matériel qui servent à commettre les atteintes? Nous avons vu que Microsoft, par exemple, quand il a présenté son tableur, avait tout un simulateur de vol intégré dans le logiciel juste pour pousser le matériel à ses limites. Nous pouvons certainement faire quelque chose à ce sujet; peut-être pouvons-nous légiférer pour régler une partie de la question.

    Est-ce que vous ou votre ministère avez envisagé cette possibilité?

    Cela me semble moins un problème de protection des renseignements personnels qu'une question de concurrence. Mais oui, il y a toujours des accusations selon lesquelles les entreprises proposent de nouveaux systèmes d'exploitation ou de nouveaux logiciels trop puissants afin de stimuler la demande et d'obliger les gens à acheter de nouveaux appareils. C'est un problème dont on entend beaucoup parler et qui est bien connu.

    Je dirais que si vous ou quiconque avez des préoccupations au sujet de ce genre de comportement préjudiciable aux consommateurs, le commissaire à la concurrence peut certainement se pencher sur la question.

    Je pense qu'il existe certainement des dispositifs ou des logiciels qui pourraient empêcher les accès abusifs, mais ce n'est qu'une observation de ma part.

     Je dirais que depuis la saturation de masse des ordinateurs personnels, et maintenant, avec la saturation croissante des téléphones intelligents, les gens dépensent. Auparavant, on pouvait dépenser 2 000 $ pour un ordinateur portable et 200 $ pour un téléphone cellulaire. Eh bien, aujourd'hui, on paie 1 000 $ pour un téléphone cellulaire et 500 $ pour un ordinateur portable, et ils sont partout. Nous sommes obsédés par les faits technologiques de notre vie.

    Le consommateur est bien mieux informé. Je ne pense pas que les gens pourraient réussir aujourd'hui à soutirer de l'argent aux consommateurs en leur proposant une ronde incessante de nouveaux logiciels et d'appareils. Les gens sont plus informés et comprennent mieux que jamais de quoi il en retourne.

    Nous sommes tous exposés. Nous savons quels plans de donnés sont proposés pour les appareils sans fil. Nous connaissons les comportements qui font augmenter les coûts dans ce domaine. Les gens sont de plus en plus informés, et avec cette information et ce savoir vient le pouvoir. Face au pouvoir d'un consommateur averti, les forces du marché réagiront, ce qui mènera à une innovation accrue. C'est une bonne chose.

    Eh bien, merci beaucoup, monsieur le ministre. Je pense qu'il s'agit d'un merveilleux projet de loi que nous devrions continuer de faire progresser. C'est dans l'intérêt de tous les Canadiens, y compris ceux de ma circonscription de Don Valley-Est, et j'espère que nous pourrons l'adopter rapidement.

    Merci beaucoup, monsieur Daniel.

    Merci beaucoup, monsieur le ministre, de nous avoir permis de dépasser notre temps de quelques minutes. Nous allons prendre une pause de quelques instants pendant que le ministre nous quitte et que ses fonctionnaires s'installent pour la deuxième heure.

    Reprenons.

    Nous avons une deuxième heure; M. Knubley a un exposé.

    Monsieur Knubley, la parole est à vous.

    Je serai bref, monsieur le président.

    J'aimerais parler de deux choses. Il y a d'abord les objectifs fondamentaux de la loi, dont le ministre a parlé. J'aimerais aussi parler des principes et des objectifs quant à la conception du projet de loi, car je pense qu'il est important de savoir pourquoi le projet de loi a été conçu ainsi.

     Le projet de loi S-4 prévoit quatre changements importants.

    D'abord, il oblige les entreprises à informer les Canadiens en cas de perte ou de vol de leurs renseignements personnels et que, par conséquent, ils sont exposés à un risque.

    Deuxièmement, il précise que les mesures prises pour obtenir le consentement doivent être adaptées au public visé, en particulier dans le cas des groupes vulnérables comme les enfants, comme nous l'avons entendu plus tôt. En ce qui concerne le consentement, il modifie les cas très restreints — et nous insistons sur le fait que c'est très restreint — dans lesquels des renseignements personnels peuvent être communiqués sans consentement, et ce, dans le but de contrebalancer d'autres importants objectifs d'intérêt public; par exemple, lorsqu'une banque ou un conseiller financier soupçonne qu'un client est victime d'exploitation financière.

    Troisièmement, le projet de loi S-4 offre au commissaire à la protection de la vie privée de nouveaux outils et plus de marge de manoeuvre pour appliquer la loi.

    Quatrièmement, il comporte des mesures qui réduiront le fardeau imposé aux entreprises et leur permettront d'utiliser cette information dans le cadre de leurs activités et d'exercer la diligence voulue lors de diverses transactions commerciales.

    En ce qui concerne la conception — et du point de vue d'un administrateur, il s'agit probablement de l'élément le plus important à porter à votre attention —, il y a deux concepts, essentiellement. Je pense que le sujet a été abordé plus tôt. Le premier est la question de l'équilibre, et l'autre, celle des principes. Le projet de loi est fondé sur des principes.

    Alors que nous apportons des modifications et nous nous tournons vers l'avenir, nous voulons maintenir un concept d'équilibre et tirer parti de l'approche axée sur des principes qui a contribué à la réussite de la Loi sur la protection des renseignements personnels et les documents électroniques. Ces principes sont énoncés dans l'annexe du projet de loi et comprennent des concepts importants, tels que la responsabilisation, le consentement, l'exactitude, les mesures de sécurité et la transparence.

    À la lumière des questions qui ont été soulevées plus tôt, j'aimerais souligner que la transparence est un principe dont nous nous soucions constamment et qui s'applique notamment à la question du partage des renseignements entre les entreprises. Évidemment, tout est lié à la protection du droit de savoir de la population.

    En ce qui concerne l'équilibre, je veux parler de quelques points, brièvement. Veiller à ce que les Canadiens aient les renseignements dont ils ont besoin pour qu'ils puissent prendre les mesures nécessaires pour protéger leur vie privée est une priorité. Doter le commissaire à la vie privée de l'information et des outils nécessaires pour protéger les Canadiens et accroître la conformité est une priorité. Établir des règles claires et un fardeau administratif minimal pour le secteur privé est une priorité. Ces priorités ne sont pas toujours compatibles; c'est là que la notion d'équilibre entre en jeu.

    En conclusion, je tiens à dire que même si chaque pays adopte une approche qui lui est propre pour aborder la protection des renseignements personnels — par exemple, les États-Unis ont une approche axée sur la réglementation, tandis que l'Union européenne emprunte une voie plus normative —, nous considérons que l'approche canadienne en matière de protection des renseignements personnels est avant-gardiste. Cela se reflète dans les modifications proposées. Nous espérons continuer d'être un chef de file à l'échelle internationale à cet égard.

    Merci, monsieur le président.

    Merci beaucoup, monsieur Knubley.

    Chers collègues, un autre comité se réunira ici après nous. Je le sais parce que je siège à ce comité. Après les séries de questions, nous devons nous occuper de travaux du comité. Afin de terminer nos travaux et de libérer la salle à l'heure, chaque intervenant disposera de quatre minutes.

    Monsieur Lake, vous avez quatre minutes.

    Merci, monsieur le président.

    Je tiens à dire qu'à titre de secrétaire parlementaire, j'ai eu l'occasion de participer à des séances d'information avec vous. Je vous en remercie. Je m'attends à ce qu'au cours de la prochaine heure, vous nous démontriez votre capacité de regrouper des informations plutôt complexes, de les interpréter et de nous aider à les comprendre en peu de temps. Cela témoigne de votre expertise dans le domaine.

    En guise d'introduction au sujet, vous pourriez commencer par nous expliquer brièvement la distinction entre la LPRPDE et la Loi sur la protection des renseignements personnels.

    Je vais commencer, puis je demanderai à mes collègues de m'aider.

    En bref, la LPRPDE et la Loi sur la protection des renseignements personnels sont très différentes. La LPRPDE vise le secteur privé et porte sur la collecte, l'utilisation et la communication de renseignements personnels dans le contexte des activités commerciales. En ce qui concerne le gouvernement fédéral, cela signifie que la compétence générale en matière d'échanges et de commerce s'applique aussi. Plus précisément, la loi s'applique aux industries sous réglementation fédérale comme les banques et les sociétés de télécommunications, par exemple. La Loi sur la protection des renseignements personnels porte sur le traitement des renseignements personnels par les ministères et organismes fédéraux.

    Ces lois sont très différentes; cette différence se rapporte à leur conception. La LPRPDE est fondée sur le principe de consentement et exige en général qu'une entité obtienne le consentement de l'intéressé pour recueillir, utiliser ou communiquer des renseignements personnels, en application des principes établis dans la loi. La Loi sur la protection des renseignements personnels n'est pas fondée sur le consentement. Elle est plutôt très normative et établit les modalités relatives à la collecte de renseignements par les organismes fédéraux. Par exemple, aucun renseignement personnel ne peut être recueilli par un organisme gouvernemental à moins qu'il ne soit directement lié à une activité ou à un programme.

    Je terminerai en disant qu'en ce qui concerne la protection des renseignements personnels numériques, nous estimons que ces principes ainsi qu'une approche équilibrée sont nécessaires si l'on veut tenir compte de l'évolution de la technologie. Par exemple, une approche équilibrée nous donne la souplesse nécessaire pour appliquer les règlements même si la technologie et les logiciels évoluent constamment.

    Pour ceux qui suivront ses délibérations au cours des prochaines semaines, il pourrait aussi être utile de comprendre ce qui distingue le traitement des questions de la protection des renseignements personnels par l'administration fédérale et les administrations provinciales, car il me semble que les provinces ont chacune une loi semblable à la LPRPDE.

    Pourquoi est-il nécessaire d'avoir une loi aux deux échelons?

    Je vais laisser Chris donner des explications, mais la réponse courte, c'est que nous sommes chargés des industries sous réglementation fédérale, tandis qu'elles se chargent des industries sous réglementation provinciale.

    C'est exact. Toutefois, les provinces n'ont pas toutes une loi en matière de protection des renseignements personnels. Essentiellement, la LPRPDE s'applique à l'ensemble du pays. Les provinces qui ont adopté leurs propres lois en matière de protection des renseignements personnels — le Québec, la Colombie-Britannique et l'Alberta — ont ce que la loi fédérale appelle « des lois essentiellement similaires ». Donc, nous reconnaissons que dans ces trois provinces, en ce qui concerne les enjeux liés à la protection des renseignements personnels soulevés dans cette province, ces mesures législatives ont préséance.

    Certains enjeux liés à la protection des renseignements personnels touchent diverses administrations. Dans de telles situations, le commissaire fédéral à la protection de la vie privée et ses homologues des provinces collaborent pour trouver des solutions.

    Les compétences provinciales et les compétences fédérales ne sont pas les mêmes. En ce qui concerne les pouvoirs en matière d'échanges et de commerce, les pouvoirs fédéraux se limitent aux enjeux liés aux activités commerciales, tandis que les pouvoirs des provinces vont plus loin et touchent les activités courantes des particuliers plutôt que de se limiter aux activités commerciales.

    Merci beaucoup, monsieur Padfield.

    Nous passons maintenant à Mme Papillon.

Vous avez la parole pour quatre minutes.

    En proposant de renvoyer le projet de loi à un comité avant la deuxième lecture, le gouvernement a décidé de prendre un autre chemin.

    Peut-on m'expliquer pourquoi le gouvernement a présenté le projet de loi à cette étape, c'est-à-dire avant la deuxième lecture? Estime-t-on que le projet de loi actuel pourrait s'avérer irrecevable, compte tenu de lacunes obligeant à suivre ce processus?

    Le fait de suivre toutes ces étapes a allongé la procédure. J'aimerais que vous me disiez pourquoi on a décidé de procéder de cette façon.

    Monsieur le président, ces décisions relèvent du gouvernement et non des fonctionnaires. Je crois donc que je devrais m'abstenir de tout commentaire à ce sujet.

    Merci, monsieur Knubley.

    Allez-y, madame Papillon.

    Le projet de loi S-4 pourrait obliger les organisations du secteur privé à déclarer toute perte ou atteinte à la sécurité des renseignements personnels. Toutefois, le critère proposé pour cette déclaration obligatoire est subjectif. En effet, il permet aux organisations de déterminer elles-mêmes s'il est raisonnable de croire, dans les circonstances, que l'atteinte représente un risque réel de préjudice grave à l'endroit de l'individu.

    Pourquoi n'a-t-on pas choisi de se fonder sur un critère plus objectif, par exemple celui proposé dans le projet de loi C-475, Loi modifiant la Loi sur la protection des renseignements personnels et documents électroniques (pouvoir de rendre des ordonnances), qui a été présenté par ma collègue?

    Encore une fois, je pense que le modèle que nous avons ici vise à s'assurer que le commissaire à la protection de la vie privée...

dispose des pouvoirs suffisants pour revoir précisément les problèmes. Dans le contexte dont on parle, la loi permet aux citoyens de demander aux entreprises ce qu'il est advenu précisément de l'information.

    Mais pourquoi n'avez-vous pas retenu un critère plus objectif, par exemple le projet de loi C-475, qui a été présenté en 2012?

     Étant donné que le projet de loi actuel s'inspire de toute façon du projet de loi C-475, pourquoi un critère plus objectif n'a-t-il pas été retenu?

    Comme je viens de le dire, je crois que ce projet de loi met l'accent sur les principes. Il faut toujours trouver un équilibre. Avec un tel mandat, on évite qu'il y ait des prescriptions directes, dans ce contexte.

    Je vais demander à Chris de vous donner des précisions.

    Si j'ai bien compris la question sur les dispositions sur l'atteinte à la protection des données, quant à la question de savoir si le secteur privé procède lui-même à l'évaluation des risques plutôt que de saisir le commissaire de toute atteinte à la protection des données aux fins d'examen, l'approche adoptée dans le projet de loi S-4 donne le même résultat.

    Lorsqu'une entreprise procède à l'évaluation des risques d'atteinte à la protection des données et du risque de préjudice pour la personne, elle suit un processus pour déterminer l'existence de risques. Une fois le risque de préjudice établi, l'entreprise en avise le particulier et le commissaire à la protection de la vie privée. Toutefois, si l'évaluation et l'examen de l'atteinte à la protection des données démontrent qu'il n'y a aucun risque de préjudice, l'entreprise est tout de même tenue de conserver un registre de ces incidents. Le commissaire peut demander la production de ces registres à tout moment et peut aussi demander à l'entreprise d'en faire rapport. Donc, le commissaire peut avoir accès aux mêmes renseignements et les examiner à tout moment.

    Le résultat est le même. Le commissaire a accès en tout temps aux dossiers des incidents relatifs aux atteintes à la protection des données, que le risque de préjudice important soit réel ou non.

    Merci, monsieur Padfield. Le temps est écoulé.

    Nous passons à M. Carmichael, pour quatre minutes.

    Merci, monsieur le président.

    Monsieur Knubley, j'aimerais revenir à la question que ma collègue, Mme Gallant, a posée au ministre pendant la première série de questions au sujet de la réduction des formalités administratives.

    Dans votre exposé, vous avez parlé du concept d'équilibre et de ce qui a assuré l'efficacité de la LPRPDE au fil des ans. Parmi les principes énoncés à l'annexe, notons la responsabilité, le consentement, l'exactitude, les mesures de sécurité et la transparence, pour n'en nommer que quelques-uns. Dans votre exposé, vous avez parlé de cinq modifications importantes à la loi et le cinquième point portait sur la réduction du fardeau pour les entreprises et sur un certain nombre d'éléments qui sont énumérés dans le document.

    Je me demande si vous pourriez nous dire en quoi le projet de loi nous garantira que l'on n'augmentera pas les formalités administratives au lieu de les réduire, car, comme vous le savez, cela a été une priorité du gouvernement au cours des dernières années. Cela a mené à l'adoption d'une loi à cet égard, la Loi sur la réduction de la paperasse, qui est une partie essentielle des mesures que nous considérons comme importantes pour l'économie. Je me demande si vous pourriez nous en dire plus à ce sujet.

    Ces modifications découlent de l'examen quinquennal de 2007. Je crois qu'il y a eu à ce moment-là un examen des problèmes liés au fardeau administratif de la LPRPDE pour les entreprises.

    À cet égard, cinq modifications très précises — et restreintes — visent à améliorer et à simplifier les exigences pour les entreprises. L'une d'elles est liée aux coordonnées d'affaires; on parle d'une adresse courriel ou d'un numéro de télécopieur. Cela exclurait toutes les coordonnées d'affaires, sous réserve que ces renseignements ne soient utilisés que pour communiquer avec l'intéressé dans le cadre de son emploi, de son entreprise ou de sa profession.

    En ce qui concerne les transactions commerciales, les exemples les plus concrets sont les fusions et les acquisitions; dans le cas de deux entreprises qui feraient l'objet d'une fusion et d'une acquisition, la communication de renseignements sans le consentement serait jugée appropriée.

    Était-ce interdit auparavant?

    C'est exact.

    Je pense que la notion de produit du travail fait partie intégrante du projet de loi. La question est de savoir si les entreprises peuvent poursuivre leurs activités sans partager le produit du travail. À titre d'exemple, un inspecteur pourrait avoir signé une nomenclature d'activités; son nom figurerait au bas du document. Les deux entreprises peuvent-elles échanger des renseignements liés à ce document?

    Le traitement des réclamations d'assurances et des renseignements sur l'employé est habituellement lié à la cessation d'emploi, je crois. Chris, j'aurais besoin d'aide pour expliquer ces deux cas très particuliers.

    Ce sont des dispositions très particulières et très logiques. Bon nombre d'entre elles découlent du deuxième examen parlementaire. Comme la notion de consentement est un principe de la LPRPDE qui touche à tous les aspects, elle s'applique à des situations très précises.

    Je pense que la transaction d'affaires est un excellent exemple. Lorsque les entreprises cherchent à fusionner, elles ne veulent pas être tenues de tout examiner et d'obtenir le consentement de chaque consommateur des deux côtés de la frontière, ce que prévoit en quelque sorte la version actuelle de la LPRPDE. Dans ce genre de transaction, les entreprises sont tenues de communiquer avec chaque personne ou chaque client pour obtenir leur consentement afin de divulguer leurs renseignements à l'autre entreprise. Cela n'a tout simplement aucun sens.

    Donc, le processus sera simplifié.

    Oui. Cela couvre et protège les principales personnes en cause, car on s'assure de la mise en place d'obligations contractuelles. Si la transaction échoue, l'entreprise qui a reçu les informations doit les détruire. Il s'agit d'une approche très claire et logique à l'égard des transactions commerciales.

    Nous avons même simplifié la démarche liée aux atteintes à la protection des données. Le but est de minimiser le nombre de vérifications et de simplifier la production de rapports et de ne fournir que des rapports pertinents aux Canadiens. On réduit ainsi le plus possible le fardeau de l'industrie associé à ce système de production de rapports.

    Merci.

     Monsieur Dubourg, vous disposez de quatre minutes.

    Je vous remercie, monsieur le président.

    Je veux revenir sur la partie du projet de loi S-4qui touche le transfert d'information entre les organisations.

    Je veux tout d'abord souligner que je trouve très louable qu'on dise dans ce projet de loi vouloir protéger les aînés et les jeunes dans le cadre des échanges d'information. Toutefois, je suis préoccupé par le fait qu'il n'y ait aucune surveillance lorsqu'il s'agit d'échanges d'information entre des institutions publiques, dont les forces de l'ordre. Ces échanges se font donc sans le consentement de la personne, sans supervision. Aucune responsabilité civile n'est appliquée, dans ce cas.

     Ne trouvez-vous pas que des modifications devraient être apportées à cette partie du projet de loi? On parle du commissaire à la protection de la vie privée, surtout quand il s'agit de sécurité, mais dans d'autres cas, comme je viens de le mentionner, les échanges ne font l'objet d'aucune surveillance.

    C'est une bonne question. Nous allons vous expliquer comment cette situation peut être réglée.

    Je crois qu'en général on applique maintenant les quatre critères suivants.

     S'agit-il d'une question qui concerne le secteur privé?

    Y a-t-il vraiment une possibilité de fraude ou de problème entre les compagnies et est-ce que cela implique des citoyens?

    Il y a aussi le caractère raisonnable qui s'applique dans ce contexte.

    Donc, ce n'est pas qu'il n'y a aucune disposition à ce sujet.

     Je vais demander à Christopher de vous expliquer la situation.

    Je pense que le sous-ministre a plutôt bien couvert cet aspect. L'autre chose qu'il convient de se rappeler dans ce cas-ci — et en tout temps —, c'est que le principe fondamental de la LPRPDE est la transparence. Quelles que soient les circonstances, si les Canadiens sont préoccupés par la façon dont une organisation du secteur privé utilise leurs renseignements, ce principe s'applique à tous les éléments de cette disposition.

    Les Canadiens doivent avoir un accès illimité à leurs renseignements. Ils doivent pouvoir vérifier leur exactitude et demander que des corrections soient faites au besoin. Il s'agit donc du mécanisme de surveillance par excellence auquel les Canadiens peuvent avoir recours à tout moment s'ils ont des préoccupations.

    La LPRPDE est conçue de façon à donner aux Canadiens le pouvoir de demander à toute organisation qui détient des renseignements à leur sujet de consulter ses enseignements et d'en vérifier l'exactitude. S'ils n'obtiennent pas cette information, ils peuvent communiquer avec le commissaire à la protection de la vie privée et déposer une plainte. Le commissaire examinera le dossier.

     Je vous remercie de l'information.

    Vous avez dit qu'ils peuvent toujours déposer une plainte auprès du commissaire, mais un des grands principes de ce projet de loi est de veiller à ce que les Canadiens aient les renseignements dont ils ont besoin afin de pouvoir prendre les mesures nécessaires pour protéger leur vie privée.

    S'il y a un échange d'information entre des organisations sans le consentement de la personne en cause, comment cette dernière peut-elle prendre des mesures pour se protéger? Au premier chef, si je sais que mes renseignements personnels sont partagés à un quelconque niveau et qu'il peut y avoir un risque quelconque, je serai le premier à vouloir prendre des mesures. Or tout cela se passe sans mon consentement, sans le consentement de la personne en cause.

    Ne trouvez-vous pas que...

    Le temps est écoulé, monsieur Dubourg.

    En bref, la loi et les amendements imposent des obligations aux entreprises dans ce domaine. Le projet de loi S-4 prévoit de nouvelles obligations.

    Madame Gallant, vous avez quatre minutes.

    Merci, monsieur le président.

    Monsieur Knubley, Mme Peggy Nash a posé une question et elle a cité divers articles de la loi portant sur des situations où les renseignements sur les consommateurs pourraient être communiqués. Par rapport à une transaction en ligne, on semble avoir indiqué que PayPal, iTax ou les sociétés émettrices de cartes de crédit seraient autorisées à échanger des renseignements, mais pour cette seule transaction.

    Bien que vous ayez expliqué très brièvement que c'est conforme aux lois provinciales, je me demande si vous pourriez me dire si ces renvois visent les achats en ligne.

    Concernant ces dispositions, la LPRPDE actuelle comprend un régime applicable aux organismes d'enquête. Il y a une liste d'un certain nombre d'entités qui sont maintenant autorisées à mener ces activités. Parmi les entités qui y figurent, il y a, par exemple, l'organisme de prévention du crime bancaire qui travaille pour l'association des banques. Des renseignements sur les personnes qui volent le contenu de guichets automatiques bancaires sont communiqués entre les banques. Il y a des caméras. On utilise l'information et on la communique sans le consentement des voleurs, de sorte qu'une enquête peut être menée sur les crimes commis. J'en ai visité. On communique l'information de différentes banques partout au pays sur des gens qui commettent des vols dans les guichets automatiques ou sur les lieux. Dans ce contexte, c'est de ce type de communication d'information qu'il s'agit.

    Dans le cadre du régime applicable aux organismes d'enquête actuel, il y a ce type d'organismes. Ensuite, il y a les associations professionnelles, comme les associations d'ingénieurs, les collèges des médecins et chirurgiens et la Société du Barreau du Haut-Canada, qui mènent des enquêtes au sujet de leurs membres pour s'assurer qu'ils suivent le code de conduite de leur organisation.

    Il y a un troisième groupe qui comprend notamment les vérificateurs judiciaires, qui font ce type d'activités au nom de quelqu'un d'autre.

    Ils communiquent des renseignements sans le consentement des gens dans le cadre d'enquêtes. Ces enquêtes sont généralement menées à d'autres fins d'intérêt public pour protéger les Canadiens contre la criminalité, comme dans l'exemple des banques. Ce type de renseignements circule.

    Lors du premier examen de la loi, le Parlement a recommandé d'opter pour la réglementation des activités plutôt que des entités, ce qui correspond à la démarche choisie par la Colombie-Britannique et l'Alberta. Plutôt que d'avoir la liste d'organismes, qu'on doit mettre à jour — si le nom change, il faut le faire changer dans la réglementation en suivant le processus —, ces provinces ont décidé de réglementer le type d'activités plutôt que de réglementer les entités et d'en faire une liste.

    C'est ce que propose le projet de loi S-4. Il s'agit de diviser ce régime applicable aux organismes d'enquête en deux autres articles pour réglementer le type d'activités plutôt que les organismes en tant que tels. C'est ce que le Parlement a recommandé et c'est ce qui s'applique maintenant en Colombie-Britannique et en Alberta.

    D'accord, et bien entendu toute mesure législative fait partie d'un contexte plus large, et nous sommes saisis du projet de loi antiterroriste présentement. Concernant les mesures proposées et la LPRPDE, pouvez-vous me confirmer que si une entreprise demande des renseignements, il faudra qu'elle obtienne un mandat au préalable? Est-ce que la communication automatique dont vous parlez s'applique?

    Ce sont des mesures distinctes. La loi antiterroriste porte sur la communication de renseignements au gouvernement. Il s'agit ici de règles sur la protection des renseignements personnels s'appliquant au secteur privé. Ce sont deux mesures distinctes.

    Pourriez-vous me dire si un mandat...

    Pour répondre à votre question, je crois que la première étape consiste toujours à demander s'il y a un mandat. Ensuite, il s'agit de demander s'il y a des cas où le consentement n'est pas nécessaire, et cela s'applique dans certains cas très précis. C'est de cette façon que la Loi sur la protection des renseignements personnels numériques fonctionne.

    Je précise qu'elle ne s'applique pas à la police, mais bien à la communication de renseignements entre les entreprises et les citoyens.

    Merci beaucoup, monsieur Knubley et madame Gallant.

    C'est maintenant au tour de Mme Borg, qui dispose de quatre minutes. Allez-y, s'il vous plaît.

     Je vous remercie, monsieur le président.

    J'aimerais revenir à la dernière série de questions.

    Je comprends que des exceptions peuvent se justifier, comme vous l'avez expliqué, et c'est correct. Cependant, cela ouvre des portes à des abus. On a vu cela à maintes reprises. Présentement, la LPRPDE permet des exceptions. Il y a un minimum de 1,2 million de demandes d'agences gouvernementales à des fournisseurs d'accès Internet. Il y a donc déjà eu des abus à cause de ce que l'on trouve dans la LPRPDE.

    On est maintenant en train d'ouvrir la porte à la possibilité d'autres abus. Je comprends qu'il y a une intention derrière ces modifications, mais lorsqu'on ouvre la porte à des abus, c'est extrêmement problématique. Je pense que les Canadiens veulent un système qui s'assure qu'il n'y a pas d'abus.

    Selon vous, cette assurance est-elle incluse dans le projet de loi?

    Oui, cette assurance existe. Je vais l'expliquer encore une fois. Les exceptions sont déjà prévues dans la loi. Il y a des amendements à cet égard, mais elles existent déjà.

    Mon autre question porte sur le mécanisme obligatoire de rapport des atteintes à la sécurité des données.

    Lors de votre déclaration du début, vous avez dit que vous souhaitiez établir des règles claires et n'imposer qu'un fardeau administratif minimal au secteur privé. Je pense que tout le monde est favorable à cela. Toutefois, on laisse le pouvoir aux entreprises ou aux organisations touchées par la LPRPDE de décider si le fait de procéder à l'étape du rapport constitue un préjudice grave ou pas. Cela me préoccupe.

    Je sais qu'il y a plusieurs grandes entreprises. On a tendance à penser aux géants Internet, qui ont des officiers de protection de la vie privée. Ces personnes ont la tâche de s'assurer du respect de la vie privée. Le problème est que 98 % des entreprises sont des PME. Comment allez-vous les aider ou les encourager? Y aura-t-il des outils pour accompagner les PME afin qu'elles sachent comment déterminer s'il s'agit d'un préjudice grave?

    Dans ce processus, beaucoup de choses doivent être établies par voie réglementaire. Nous sommes très conscients du fait que les dispositions relatives aux atteintes à la protection des données s'appliquent tant au nettoyeur au bout de la rue, qu'à une grande banque ou qu'à un fournisseur de services de télécommunication. Nous cherchons les façons les plus simples possible concernant la déclaration, pour ce qui est de donner des orientations claires. Une fois que les dispositions auront été mises en place, nous collaborerons avec le Commissariat à la protection de la vie privée afin d'en arriver à des orientations simples et très claires pour les petites entreprises. Nous sommes conscients du fait que cela s'applique tant aux entreprises familiales qu'aux multinationales qui sont mieux préparées à ce type de changements.

    Je vous remercie.

    Me reste-t-il du temps?

    Il vous reste 20 secondes.

    Merci beaucoup.

    Donc, en fait, de l'information sera fournie à cet égard. C'est ce que vous dites.

    Pour mettre en oeuvre les dispositions relatives aux atteintes à la protection des données, nous devrons adopter des règles. C'est pourquoi il nous faudra tenir des consultations. Par la suite, il appartiendra au commissaire à la protection de la vie privée de conseiller les entreprises sur la façon de se conformer aux dispositions.

    Merci.

    C'est maintenant au tour de M. Warawa, qui dispose de quatre minutes. Allez-y, s'il vous plaît.

    Merci, monsieur le président.

    Concernant les avis relatifs aux atteintes à la protection des données, si une entreprise est victime de piratage, il faudra qu'elle en avertisse ses clients et qu'elle leur dise qu'il y a un risque. De combien de temps les entreprises disposent-elles pour avertir leurs clients? Qui détermine ce qui constitue une période de temps raisonnable?

    Dans le projet de loi, on indique que l'avis est donné « le plus tôt possible ». De notre point de vue, cela veut dire qu'une fois qu'on a réglé le problème, informer les gens ne pose pas de risque. Si l'atteinte perdure, informer les gens peut aggraver la situation; donc, on le fait une fois qu'on a déterminé qu'il y a eu atteinte et qu'on est en mesure de la neutraliser.

    C'est censé être fait le plus tôt possible, donc sans tarder. On ne précise pas le temps exact, car chaque situation est différente. Il pourrait y avoir différents éléments.

    Pour ce qui est de l'évaluation des risques, nous n'avons rien prévu à cet égard, et la LPRPDE ne prévoit rien. Elle n'est pas très normative pour ce type de choses. Elle ne présente qu'une idée générale.

    J'ajouterais peut-être seulement qu'aux infractions figurant dans la loi, trois nouvelles s'ajoutent concernant les atteintes à la protection des données. On insiste sur la conformité à cet égard. De nouvelles infractions sont liées au fait de ne pas déclarer au commissaire une atteinte à la protection des données, de ne pas aviser un individu de l'atteinte et de ne pas conserver un registre des atteintes. Ce sont en fait des infractions présentement. Beaucoup de facteurs incitent les entreprises à faire ce qu'il faut le plus tôt possible.

    Une amende peut atteindre 100 000 $. C'est une somme substantielle qui pourrait détruire une entreprise.

    Qui détermine le montant approprié et quel est le processus d'appel?

    La Cour fédérale déterminerait le montant de l'amende en fonction d'un certain nombre de... de la fréquence à laquelle c'est arrivé. Comme vous l'avez dit, c'est une amende qui « peut atteindre » ce montant.

    Il n'y a pas d'amende minimale.

    Non.

    Je crois que c'est le directeur des poursuites publiques qui est chargé de son application.

    On donne donc aux tribunaux le pouvoir discrétionnaire d'établir le montant d'une amende.

    En ce qui concerne les questions liées aux aînés, le ministre avait la même préoccupation que le gouvernement pour ce qui est de l'exploitation des aînés, et elle est justifiée. Je suis d'accord avec lui. L'exploitation des aînés peut prendre différentes formes et ce n'est pas nécessairement un membre de la famille qui en est responsable. Il peut s'agir d'entrepreneurs sans scrupules. On parle aussi de vol de courrier ou d'escroqueries téléphoniques — il existe tellement de moyens.

    Je viens de la région de Vancouver, et le vol de courrier est un énorme problème. Postes Canada a changé ses boîtes aux lettres pour les rendre plus sécuritaires.

    Quelle est la responsabilité des institutions financières si elles ont envoyé par courrier une nouvelle carte de crédit à une personne âgée et que ladite carte a été activée par un fraudeur? La personne est-elle responsable?

    Une fois de plus, je vais demander à Chris de m'aider, mais je crois que dans le cas que vous décrivez, le Code criminel s'applique et non la LPRPDE.

    Cela dit, en vertu de la LPRPDE actuelle, les banques ne peuvent communiquer avec personne. Les modifications que nous apportons leur permettront de le faire dans des situations précises d'exploitation financière liée à des opérations bancaires.

    La fraude par carte de crédit et le vol d'identité relèvent du Code criminel.Comme l'a dit le sous-ministre, il y a une modification très précise à cet égard.

    Je vais prendre l'exemple d'un caissier d'une succursale bancaire en milieu rural. Si une cliente âgée régulière y entre avec une personne et que le caissier voit que la cliente remet de l'argent à la personne, à l'heure actuelle, en vertu de la LPRPDE, il ne peut pas appeler un membre de la famille pour lui dire qu'il a vu sa mère dans la succursale dernièrement et que des gens ont pris son argent ou qu'elle donne de l'argent à une personne que vous ne connaissez pas et que vous voulez vous assurer qu'il est au courant de cela. En vertu de la LPRPDE, le caissier ne peut pas le faire. La loi l'empêche de fournir ce renseignement personnel. On retire cela.

    Merci beaucoup, monsieur Padfield.

    C'est maintenant au tour de Mme Nash, qui dispose de quatre minutes.

    Merci, monsieur le président.

    Encore une fois, je tiens à dire qu'à mon avis, bon nombre des dispositions contenues dans le projet de loi se font attendre depuis longtemps et que les Canadiens sont heureux qu'on les présente. Il est malheureux que d'autres dispositions du projet de loi suscitent beaucoup d'inquiétudes. La protection des renseignements personnels numériques préoccupe grandement les Canadiens, et c'est la raison pour laquelle le projet de loi a été présenté. Entre autres, la question volet de la divulgation sans mandat a été soulignée. Le comité sénatorial l'a soulignée. Bien qu'elle soit peut-être tout à fait légitime dans certains cas, c'est l'absence de surveillance qui est préoccupante à cet égard.

    Je veux seulement citer deux ou trois témoignages sur le projet de loi S-4. Tout d'abord, Peter Murphy, partenaire au cabinet d'avocats canadien Gowling Lafleur Henderson, a dit que le projet de loi S-4 propose certains changements souhaitables. Toutefois, il a aussi fait des observations sur les dispositions permettant le partage de renseignements personnels, sans le consentement des intéressés, entre organisations dans le cadre d'enquêtes sur des violations de lois ou d'accords ou des cas de fraude ou d'exploitation financière. Je le cite:

    Michael Geist, un professeur de droit de l'Université d'Ottawa est un spécialiste des questions relatives au numérique. Voici ce qu'il a dit:

    Je vous pose donc ma question. Pourquoi n'assure-t-on pas une meilleure reddition de comptes, une plus grande surveillance, pour garantir que la disposition n'entraîne pas des abus, si nécessaire?

    Comme nous l'avons indiqué, selon l'approche que nous avons adoptée, dans les secteurs dont nous parlons, c'est très limité et précis. Nous avons parlé un peu plus tôt des quatre tests. Permettez-moi d'en dire un peu plus à ce sujet, car je pense que cela a à voir avec la question que vous venez de soulever, c'est-à-dire que les entreprises ne peuvent pas communiquer de renseignements entre elles à moins que ce soit dans le cadre d'une vraie enquête, sur une fraude, par exemple.

    De plus, et cela correspond bien aux quatre tests, il faut prouver que si les renseignements n'étaient pas diffusés, l'enquête en cours serait compromise. En d'autres termes, demander le consentement de la personne compromettrait l'enquête.

    Encore une fois, en tant qu'administrateurs, nous considérons que les changements vont dans le sens des mesures prises par certaines provinces et de la loi actuelle, car les dispositions y figurent déjà.

    C'est maintenant au tour de M. Daniel, qui dispose de quatre minutes.

    Merci, monsieur le président.

    Je vous remercie encore une fois.

    Je sais que mes questions vont toujours dans une certaine direction. Nous essayerons de travailler en conséquence. Le projet de loi porte très précisément sur les transactions commerciales, entre autres, mais de nombreuses ONG et de nombreux organismes de bienfaisance ont beaucoup de renseignements personnels. Le projet de loi en tient-il compte également? Pouvons-nous faire quelque chose à ce sujet? Je vous donne un exemple. Disons que je suis un bénévole, que je vais à la Fondation des maladies du coeur et de l'AVC, que j'examine la liste de ses donneurs, que j'en fais une copie sur une clé USB et que j'utilise les renseignements pour mon propre usage ou que je les vends à quelqu'un d'autre.

    Je vous répondrai tout simplement que le projet de loi ne s'applique qu'aux activités commerciales. Ainsi, si une ONG mène des activités commerciales, le projet de loi s'applique.

    Si l'ONG vend des produits, par exemple, et qu'il y a un volet commercial, le projet de loi s'applique. En général, si les activités de l'organisation n'ont pas de volet commercial, la LPRPDE ne s'applique pas.

    Pour ce qui relève des provinces, il se peut qu'elle s'applique.

    En général, ces organismes ne vendent rien. Ils amassent de l'argent pour une bonne cause, n'est-ce pas? Cependant, ils ont les renseignements personnels de beaucoup de gens.

    La LPRPDE n'est qu'une des lois qui traitent des questions de protection des renseignements personnels. Nous avons parlé de la Loi sur la protection des renseignements personnels, et c'est assez différent. Il y a le Code criminel. C'est un autre élément important.

    La protection des renseignements personnels est un élément de bon nombre de mesures législatives. Même le projet de loi portant sur la cyberintimidation comprend des dispositions à cet égard, qui portent sur des usages précis d'images intimes. C'est un autre exemple de projet de loi qui traite de questions liées à la protection des renseignements personnels.

    Supposons que j'ai volé un grand nombre de renseignements et que je commence à les revendre — quelle que soit la raison —, qu'il s'agisse d'images ou d'autres choses. Y a-t-il des dispositions législatives qui me criminaliseraient pour ces actes? J'imagine que c'est le cas. Ce n'est peut-être pas dans les mesures actuelles.

    Oui, dès qu'une personne se lance dans ce type d'activités criminelles, comme la possession ou la création de documents d'identité, on parle de vol d'identité, qui est couvert par le Code criminel.

    Chers collègues, la séance est presque terminée. D'ici à ce que nous passions à huis clos, ce sera difficile.

    Madame Borg.

     Monsieur, le président, j'ai une question, ou plutôt une demande.

    À la suite des questions et des réponses que nous avons entendues aujourd'hui, je pense qu'il serait utile pour tous les membres du comité que les analystes nous préparent quelque chose sur la décision rendue dans l'affaire Spencer. Je ne sais pas si les autres membres du comité le souhaiteraient, mais je pense que ce serait utile.

    Vous pouvez faire vous-même la demande, madame, et nous nous assurerons que c'est disponible.

    Je pense qu'il serait très pertinent que tout le monde le reçoive.

    Nous veillerons à ce que les députés qui le souhaitent puissent avoir une note d'information sur le sujet.

    D'accord. Chers collègues, je crois que je peux attendre à la prochaine séance pour ma question qui concerne les travaux du comité.

    La séance est levée.