INDU Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
Comité permanent de l'industrie, des sciences et de la technologie
|
l |
|
l |
|
TÉMOIGNAGES
Le mardi 17 février 2015
[Enregistrement électronique]
[Traduction]
Bonjour, mesdames et messieurs.
Bienvenue à la 34e séance du Comité permanent de l'industrie, des sciences et de la technologie, pendant laquelle nous allons, conformément à l'ordre de renvoi du lundi 20 octobre 2014, étudier le projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques, et une autre loi en conséquence.
Nous savons gré au commissaire à la protection de la vie privée du Canada, Daniel Therrien, d'être parmi nous. Il est accompagné de Patricia Kosseim et de Carman Baggaley.
Nous aurons, chers collègues, un deuxième groupe de témoins à midi. Nous allons commencer par le témoignage du commissaire à la protection de la vie privée et nous poursuivrons par nos rondes de questions.
Monsieur le commissaire.
[Français]
Merci, monsieur le président. Bonjour aux membres du comité
Nous vous remercions de nous avoir invités à exprimer notre opinion sur le projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence.
Je suis accompagné aujourd'hui de Patricia Kosseim, avocate principale, et de Carman Baggaley, analyste principal en politiques.
Mme Kosseim et M. Baggaley ont comparu en juin dernier devant le Comité sénatorial permanent des transports et des communications au sujet du projet de loi S-4, peu avant la confirmation de ma nomination au poste de commissaire à la protection de la vie privée. Mes opinions sur le projet de loi S-4 s'accordent largement avec la position du commissariat qui avait été présentée à ce moment-là.
Toutefois, j'aborderai plus en détail la modification proposée qui autoriserait des organisations à communiquer, sans consentement, des renseignements personnels à d'autres organisations. Je discuterai aussi des divulgations visées à l'alinéa 7(3)c.1) à la lumière de l'arrêt Spencer de la Cour suprême du Canada.
Pour commencer, je dirai que je suis fort encouragé par l'engagement du gouvernement à actualiser la Loi sur la protection des renseignements personnels et les documents électroniques, et que j'appuie de façon générale les modifications proposées dans ce projet de loi.
Des propositions comme l'avis à signifier en cas d'atteinte, les accords de conformité volontaires et l'amélioration du consentement contribueraient grandement à renforcer le cadre de protection de la vie privée des Canadiens quand ils ont à traiter avec des entreprises du secteur privé.
L'avis obligatoire en cas d'atteinte rehaussera la transparence et l'imputabilité dans la gestion des renseignements personnels par le secteur privé. J'appuie l'approche fondée sur le risque, qui obligera les organisations à mesurer la gravité de chaque incident ainsi que ses répercussions sur les personnes touchées.
J'estime aussi que l'organisation qui subit l'atteinte est la mieux placée pour évaluer le risque et décider s'il est justifié d'adresser un avis aux intéressés. Obliger les organisations à tenir un registre des atteintes et en fournir sur demande une copie à mon bureau donnera au commissariat un important rôle de supervision quant au degré auquel les organisations se conforment à l'obligation de communiquer des avis.
Les accords de conformité volontaires proposés élargiront la capacité du commissariat de veiller, en temps voulu et à peu de frais, à ce que les organisations s'acquittent de leur engagement à améliorer leur façon de protéger la vie privée sans avoir à recourir à de coûteux litiges devant la Cour fédérale dans des cas réglés sous conditions.
[Traduction]
Quant à la proposition de disposition visant à préciser le concept de consentement valide, j'estime que c'est là une clarification pratique du sens à donner au consentement valable en vertu de la LPRPDE. Elle souligne la nécessité pour les organisations de bien préciser, de façon adaptée à l'auditoire cible, la nature des renseignements personnels qu'elles recueillent et pourquoi elles le font.
Si j'appuie bon nombre des modifications proposées dans ce projet de loi, j'ai en revanche de fortes réserves au sujet des alinéas 7(3)d.1) et d.2), dispositions qui autoriseraient une organisation, dans certaines circonstances, à communiquer sans consentement des renseignements personnels à une autre organisation. Ma préoccupation est double.
Je crois tout d'abord que le régime axé sur les organismes d'enquête que prévoit actuellement la LPRPDE — et que les alinéas 7(3)d.1) et d.2) visent à remplacer — offre d'importantes protections en matière de transparence et d'imputabilité, protections que les modifications proposées feront disparaître.
Aux termes actuels de la LPRPDE, les organisations peuvent communiquer sans consentement des renseignements personnels à des organismes d'enquête désignés, selon un processus transparent du gouverneur en conseil. Une liste des organisations ayant le statut d'organisme d'enquête est disponible au public. Mais les modifications proposées prévoient que toute organisation pourrait potentiellement recueillir ou communiquer des renseignements personnels pour une vaste série de raisons, en l'absence de tout mécanisme permettant de déterminer quelles organisations recueillent ou communiquent des renseignements, et pourquoi.
De plus, les dispositions proposées cherchent à affaiblir les seuils et les motifs de divulgation actuels en vertu du régime des organismes d'enquête à l'alinéa 7(3)d). Je préférerais pour ma part maintenir le régime des organismes d'enquête. Si toutefois cela est impossible, je recommande de maintenir les seuils énoncés à l'alinéa 7(3)d) de la Loi, et de motiver les divulgations sur la base de problèmes véritables plutôt que de recherches à l'aveuglette.
Cela implique trois choses: premièrement, le seuil en vertu de l'alinéa 7(3)d.1) devrait être basé sur des « motifs raisonnables de croire » que le renseignement est lié à une véritable violation ou contravention; deuxièmement, le seuil en vertu de l'alinéa 7(3)d.2) devrait être basé sur des « motifs raisonnables de croire » que le renseignement est lié à la détection ou la répression d'une fraude qui « a été commise ou est en train ou sur le point de l'être » et troisièmement, les communications de renseignements en vertu des alinéas 7(3)d.1) et d.2) devraient seulement se faire à l'initiative de l'organisation responsable de la communication.
De plus, il faudrait établir un mécanisme pour améliorer la transparence et l'imputabilité entourant ces communications. On pourrait par exemple exiger des organisations responsables de telles communications qu'elles publient des rapports sur la transparence et documentent l'analyse effectuée avant de décider de faire des communications en vertu de ces dispositions.
[Français]
Je voudrais enfin traiter de l'arrêt Spencer et des incidences qu'il a, selon moi, sur l'alinéa 7(3)c.1) de la LPRPDE.
Dans l'arrêt Spencer, la Cour suprême a statué que les services policiers doivent obtenir un mandat ou une ordonnance lorsqu'ils demandent à une organisation assujettie à la loi de leur fournir des renseignements relatifs à un abonné.
Selon la cour, les renseignements sur les activités en ligne d'un abonné bénéficient d'une attente raisonnable au chapitre du respect de la vie privée. Le fait que les services policiers demandent à l'organisation de communiquer volontairement ces renseignements équivaut à une perquisition en violation de la Charte. Ce jugement constitue, selon moi, un progrès important quant à l'évolution du droit à la vie privée, mais il ne permet pas toutefois de déterminer quels types de renseignements feraient l'objet d'une attente raisonnable quant au respect de la vie privée ni d'établir à quel moment les organisations pourraient volontairement communiquer d'autres types de renseignements à la demande des services policiers.
Les organisations se trouvent ainsi dans un état d'incertitude et d'ambiguïté en ce qui touche les situations où elles peuvent ou non communiquer des renseignements personnels sans mandat, tandis que les individus ignorent dans quels cas leurs renseignements personnels peuvent être communiqués à des autorités de l'État sans leur consentement ou sans autorisation judiciaire préalable.
J'incite donc le comité à recommander qu'on mette fin à cette ambiguïté en clarifiant, après l'affaire Spencer, dans quelles circonstances les pouvoirs de police en common law permettant d'obtenir des renseignements sans mandat peuvent encore être utilisés. J'estime important d'instaurer un cadre juridique fondé sur l'arrêt Spencer afin d'aider les organisations à se conformer à la LPRPDE et de veiller à ce que les autorités de l'État respectent l'arrêt de la Cour suprême.
Plus précisément, je recommande que le Parlement améliore la clarté et la transparence en modifiant la LPRPDE de manière à définir le concept d'autorité légitime aux fins de l'alinéa 7(3)c.1) en fonction de l'arrêt de la Cour suprême, à savoir en présence de circonstances contraignantes, par l'application d'une loi raisonnable autre que l'alinéa 7(3)c.1) ou dans des circonstances prescrites où les renseignements personnels ne font pas l'objet d'une attente raisonnable en matière de respect de la vie privée.
Je vous remercie de votre attention. Je me ferai un plaisir de répondre à vos questions.
[Traduction]
Merci beaucoup de votre témoignage, monsieur le commissaire.
Chers collègues, en fonction du temps que nous avons, nous allons procéder comme d'habitude lorsque nous avons deux groupes, c'est-à-dire avec des interventions de cinq minutes chacune.
Nous allons commencer par M. Lake.
Merci aux témoins d'être venus.
Monsieur Therrien, à quand remontent les derniers changements apportés à la LPRPDE?
Ils remontent certainement à plusieurs années. Je pense que le projet de loi actuel est le résultat de l'examen quinquennal de la LPRPDE, qui était prévu par la législation originelle.
Mis à part ces deux amendements, j'appuie généralement le projet de loi.
À mon avis, certaines des dispositions de la loi devraient être revues, particulièrement l'exigence de notification obligatoire en cas d'atteintes.
Quant à la date…
La dernière série de modifications apportées à la LPRPDE serait entrée en vigueur en même temps que la LCAP qui apportait des modifications corrélatives découlant de la Loi anti-pourriel. Je crois que c'est la dernière fois que des modifications ont été apportées, mais il n'y a certainement pas eu d'examen complet, comme l'exigeait la loi.
Cela fait plusieurs années que le Parlement ne s'est pas penché de façon aussi détaillée sur la LPRPDE.
De quelle façon la loi proposée modifie les opérations de votre service?
Je crois qu'il est impératif d'apporter deux grands amendements, que nous pourrons facilement mettre en oeuvre et appliquer.
Je veux parler de l'obligation imposée aux organisations d'aviser le CPVP et les particuliers concernés d'atteintes à la protection des renseignements personnels. Nous savons d'après les médias et d'autres sources que ces atteintes à la protection des renseignements personnels sont un phénomène important touchant de plus en plus les institutions publiques et privées, et nous pensons qu'un régime de notification obligatoire des atteintes à la sécurité des données constituera un progrès important aux termes de la LPRPDE.
Il est évident, à notre avis, que cela aura des répercussions sur les ressources. Nous avons pour l'instant un processus de notification volontaire applicable aux organisations privées, dans le cas d'atteinte à la sécurité des données. Les chiffres varient d'une année à l'autre, mais ce régime a fait l'objet d'environ 60 notifications. Nous nous attendons à ce que ce nombre augmente considérablement à la suite d'un régime obligatoire. C'est ce qui s'est passé en Alberta, lorsque le régime volontaire est devenu obligatoire. Une chose est sûre, le changement aura des conséquences. Mais dans l'ensemble, nous pensons qu'il s'agit d'un développement extrêmement positif.
J'aimerais mentionner en outre un deuxième amendement important concernant les accords de conformité. Nous voulons oeuvrer avec les organisations pour promouvoir la conformité à la LPRPDE. Cela implique que dans certaines circonstances suivant une plainte, nous discutons avec les organisations afin de régler les plaintes de façon conditionnelle, ce qui amène les organisations à modifier leurs pratiques de façon à se conformer davantage à la LPRPDE. Le mécanisme des accords de conformité renforcerait cette capacité.
Il me reste une minute pour parler du concept de consentement valide. Je sais que cela ne s'applique pas simplement aux enfants, mais beaucoup de parents seraient intéressés à certains des changements opérés dans ce domaine.
Pouvez-vous me donner un exemple de ce dont il s'agit lorsque nous parlons de renforcer le concept de consentement valide?
Actuellement, la LPRPDE est en grande partie fondée sur le concept selon lequel l'information doit être recueillie et utilisée avec le consentement de la personne concernée, et cela s'applique à un organisme privé. Ce concept n'est pas défini; néanmoins, il a fait l'objet de nombreuses enquêtes et déclarations de la part du commissariat.
Nous pensons que la définition proposée du consentement serait utile. Elle peut ne pas être absolument nécessaire; nous avons déjà un concept qui est utile, mais il conviendrait de préciser que le concept doit être évalué du point de vue de la personne à laquelle on demande le consentement. On demanderait ainsi aux organisations de se mettre à la place de leurs divers clients pour lesquels elles recueillent de l’information, de façon à ce que le consentement soit le plus significatif possible.
Cette mesure serait utile.
[Français]
Je vous remercie, monsieur Therrien, ainsi que votre équipe, d'être ici parmi nous aujourd'hui pour témoigner devant notre comité.
[Traduction]
J'espère avoir assez de temps pour deux questions.
La première concerne le point que vous avez soulevé, à savoir que la loi doit se conformer à l'arrêt R. c. Spencer, et comme vous, nous appuyons la nécessité de cette législation que nous attendons depuis longtemps.
Dans votre témoignage, vous prônez davantage de clarté, non seulement pour les organismes, s'agissant de communication de l'information, mais aussi pour les particuliers. L'Assemblée législative de la Colombie-Britannique vient de publier un rapport sur l'examen qu'elle a mené de sa loi sur la protection des renseignements personnels. Elle propose de modifier les articles de la loi afin de permettre la divulgation volontaire, sans mandat, de façon tout à fait semblable à ce qui est prévu aux articles de la LPRPDE afin de se conformer à la décision du tribunal et éviter ainsi une contestation en vertu de la charte.
Pensez-vous que cela ajoute du poids à la recommandation que vous avez faite, à savoir que le gouvernement devrait éviter les contestations devant un tribunal et amender la loi pour tenir compte des préoccupations que vous avez exprimées devant le comité?
Merci de la question.
Franchement, je n'ai pas pris connaissance de l'amendement proposé à l'Assemblée législative de la Colombie-Britannique. Je ne peux donc pas en faire un commentaire, mais je soulignerai quelques points.
Premièrement, la décision rendue dans l'affaire Spencer est une immense avancée pour le droit relatif à la protection des renseignements personnels. Elle est très utile; elle établit d'excellents paramètres pour la collecte d'informations sans mandat, en prescrivant que les services de police — l'État — ont besoin d'un mandat pour recueillir de l'information lorsque cette dernière a trait à des activités et à des intérêts de particuliers sur l'Internet. C'est déjà un excellent point de départ.
Il y a cependant un point que n'a pas éclairci la Cour suprême et je pense d'ailleurs qu'elle ne le pouvait pas. Elle a laissé la possibilité de recueillir de l'information sans mandat lorsqu'il n'y a pas d'attente raisonnable de protection en matière de vie privée.
À la suite de la décision prise dans l'affaire Spencer, diverses entreprises privées ont indiqué dans quelle mesure elles avaient l'intention d'appliquer cette décision, et nous avons pu constater des variantes. Nous avons en outre constaté diverses interprétations de cette décision par les ministères du gouvernement.
Ce qui m'amène à penser que la décision de la Cour suprême est un excellent point de départ, mais que, étant donné l'ambiguïté et les différentes interprétations données par les organismes privés et les ministères du gouvernement, il serait utile que le Parlement clarifie la situation, en établissant un régime qui préciserait, expliquerait et définirait dans quelles circonstances il n'y a pas d'attente raisonnable de protection en matière de vie privée. Les Canadiens auraient ainsi une bien meilleure idée du type d'informations recueillies et dans quelles circonstances l'information qu'ils diffusent sur Internet pourrait être recueillie sans mandat par les autorités gouvernementales.
Merci. Ces informations sont utiles. Le ministre a dit que selon lui, le projet de loi actuel se conformait déjà à la décision rendue dans l'arrêt R. c. Spencer. Cette information est donc utile.
Étant donné que vous prônez le régime actuel axé sur les organismes d'enquête prévu au paragraphe 7(3)(d), mais que vous avez par ailleurs proposé une autre approche, pouvez-vous me dire pourquoi, à votre avis, le régime actuel de surveillance est préférable.
Pour deux raisons, essentiellement.
Premièrement, je suis tout à fait d'accord avec le fait que la LPRPDE doit comporter une disposition permettant aux organismes de traiter les fraudes ou les violations d'un accord. Reste à savoir de quelle façon. Le régime actuel est, je crois, préférable à ce qui est proposé dans le projet de loi S-4 dans le sens que, premièrement, il n'autorise pas les recherches à l'aveuglette. Ainsi, le seuil à partir duquel une organisation peut estimer qu'il y a fraude est plus élevé, ce qui à mon avis est préférable. Deuxièmement, le régime axé sur les organismes d'enquête exige de la transparence et de la publicité — nous savons ce que sont ces organismes —, alors que, aux termes des modifications proposées, un organisme pourrait communiquer de l'information à un autre organisme, ce qui entraînerait moins de transparence et laisserait finalement la place à des recherches à l'aveuglette.
Bonjour à vous, monsieur le commissaire, ainsi qu'à vos collègues.
Monsieur le commissaire, dans votre allocution liminaire ou, je crois, dans une réponse à mon collègue, vous avez mentionné que les atteintes à la protection des renseignements personnels sont un phénomène courant et de plus en plus fréquent et que vous recevez quelque 60 notifications par an.
Est-ce exact? Est-ce que ce chiffre approximatif est exact?
Pouvez-vous nous dire comment l'obligation de tenir des dossiers sur les atteintes à la protection des renseignements personnels permettra à vos services d'assurer plus facilement la surveillance et de faire appliquer l'obligation d'aviser les particuliers d'atteintes qui présentent un risque réel de préjudice grave?
L'obligation en question amènerait les organismes à tenir des dossiers des atteintes de toutes sortes à la protection des renseignements personnels. Nous serons ainsi en mesure d'examiner les dossiers pour déterminer si les avis appropriés ont été donnés et d'établir des tendances globales, ce qui nous permettra de mieux conseiller les organismes et les particuliers.
Cette disposition à laquelle vous faites allusion nous permettra en partie de déterminer si les organismes se conforment aux signalements obligatoires des atteintes à la protection des renseignements personnels. En cas de non-conformité et dans les pires scénarios, nous pourrions en aviser les autorités policières et le procureur général pour que des poursuites soient engagées contre ces organismes. Ainsi, cette mesure encouragera clairement les organismes à se conformer à la loi.
Est-ce que ces dossiers seraient tenus par vos services ou est-ce que ce sont les sociétés qui devront les garder?
Merci.
Pourriez-vous donc nous expliquer de façon un peu plus détaillée les nouveaux outils d'application prévus par la loi et qui donneront plus de pouvoir à vos services.
Merci de la question.
Aux termes de la LPRPDE actuelle, il faut terminer l'enquête dans un délai prescrit. Quarante-cinq jours après, le plaignant ou le commissaire peut demander au tribunal une audience de novo s'il n'est pas possible de régler l'affaire avec l'organisme.
Selon notre expérience pratique, 45 jours est un délai très court pour que les organismes aient le temps de régler certains problèmes technologiques hautement complexes ou certaines questions générales de responsabilité. C'est pourquoi nous avons élaboré un mécanisme laissant aux organismes le temps de mettre en place nos recommandations. Nous faisons ensuite un suivi auprès d'elles pendant plusieurs mois, voire un an, pour s'assurer qu'elles ont donné suite aux recommandations.
Le problème est que dans ces circonstances, on peut contester notre décision de s'adresser aux tribunaux en dehors de la période prescrite. Je pense que les accords de conformité tiennent compte de la réalité, à savoir que la résolution de certains problèmes et l'application des recommandations prennent du temps. Cette mesure serait utile parce que, dans bien des cas, ces accords ou ces recommandations sont convenus par les organismes et que leur application est une question de temps.
Les accords de conformité que comprendrait le nouveau projet de loi leur laisseraient, ainsi qu'à nous, le temps de régler le problème, mais ne fermeraient pas la porte à des poursuites, le cas échéant.
Merci beaucoup, Me Kosseim.
Merci beaucoup, monsieur Carmichael.
Nous passons maintenant à Mme Sgro, qui a cinq minutes.
Nous sommes contents de vous avoir.
J'ai quelques questions à vous poser.
Dans quelle mesure le projet de loi S-4 sera préférable pour les Canadiens? Nous savons bien que certains d'entre eux… à la base, mais je m'inquiète d'autres atteintes possibles et de votre capacité, à titre d'organisme gouvernemental, d'y donner suite.
Je pense que l'obligation de signaler les atteintes est un élément essentiel du projet de loi. Il ne faut pas en sous-estimer l'importance. Comme je l'ai dit et comme vous le savez tous, les atteintes sont de plus en plus inquiétantes. Grâce à cette obligation qu'ont les organismes d'aviser à la fois mes services et les particuliers, nous faisons en sorte que ces derniers en soient avisés plus régulièrement. De leur côté, nos services pourront analyser les tendances et offrir aux organismes et aux particuliers des conseils utiles et pratiques sur les moyens de réduire le risque d'atteintes à la protection des données. C'est un élément important.
À part cela, les accords nous permettront de mieux assurer la conformité des organismes, selon un modèle excluant le pouvoir de rendre des ordonnances, mais quand même utile pour renforcer les mécanismes de conformité.
Le consentement étant un élément important de la LPRPDE, je pense qu'il serait utile de le clarifier. Nous savons pertinemment qu'il est très difficile pour les organismes d'aviser convenablement les particuliers s'agissant des raisons pour lesquelles elles recueillent et utilisent de l'information. Ainsi, tout mécanisme qui encouragerait les organismes à être plus clairs et à tenir compte du contexte propre à un particulier ou à un consommateur serait à mon avis utile pour les Canadiens.
Une bonne partie des données dont j’observe le traitement par nos divers systèmes sont souvent accompagnées de l’énoncé « j’accepte les modalités » à propos de telles ou telles données.
Recevez-vous beaucoup de plaintes de la part de personnes qui ne se sont pas rendu compte de ce qu’elles acceptaient, qui n’ont pas pris la peine de lire les petits caractères et qui s’exposent à être manipulées par l’utilisation de leurs données?
Oui, il est certain qu’un pourcentage important des plaintes que nous recevons ont trait au consentement
Les membres de votre commissariat examinent-ils une façon d’exprimer plus clairement les modalités, afin que les gens sachent ce à quoi ils consentent lorsqu’ils répondent « j’accepte »?
Nous avons publié un certain nombre de documents qui visent à informer les deux organisations. Nous avons également donné des directives à cet égard aux organisations ainsi qu’aux particuliers. Par conséquent, cette information existe.
Au Commissariat à la protection de la vie privée, nous discutons en ce moment avec les intervenants pour tenter d’établir de nouvelles priorités pour les prochaines années. L’une des importantes observations que la majorité des intervenants s’entendent pour formuler au cours de ces réunions est que, malgré le rôle utile, selon eux, que le CPVP a joué en fournissant des directives relatives au consentement, le commissariat devrait jouer un rôle encore plus important dans le domaine de l’éducation.
J’accepte ce conseil, et ce secteur est probablement l’un de ceux que nous tiendrons à améliorer dans les années à venir.
Outre les préoccupations que vous avez mentionnées à propos du projet de loi S-4, en avez-vous d’autres liées à la combinaison de ces deux mesures législatives?
La décision rendue par la Cour suprême dans l’affaire Regina c. Spencer est extrêmement utile et établit de bons paramètres. Je pense qu’il serait utile de faire un pas de plus afin de clarifier davantage l’autorité légitime, compte tenu de la décision de la Cour suprême dans l’affaire Spencer, ainsi que les circonstances dans lesquelles un gouvernement peut collecter des renseignements sans mandat lorsqu’aucune attente raisonnable de protection en matière de vie privée n’existe. Je pense que ce serait un système raisonnable.
Merci beaucoup, monsieur le commissaire. C’est tout le temps dont nous disposions.
Nous passons maintenant à M. Daniel qui dispose de cinq minutes.
Je vous remercie, messieurs, de votre présence. J’ai quelques questions assez fondamentales à vous poser.
Premièrement, la définition des renseignements personnels est-elle suffisamment claire pour vous permettre de faire votre travail adéquatement, en distinguant l’information considérée comme privée de celle qui est déjà connue du public?
À mon avis, l’une des vertus de la LPRPDE est qu’elle est écrite en termes généraux. Par conséquent, il est concevable que certaines notions comme celles des renseignements personnels et du consentement, ainsi que d’autres notions essentielles à la LPRPDE puissent être clarifiées davantage. Mais, dans l’ensemble, je pense qu’il vaut mieux qu’une mesure législative soit écrite en termes généraux, car elle peut être appliquée plus souplement, ce qui permet de la rendre pertinente dans diverses circonstances et de prodiguer des conseils pratiques.
Je vous remercie de votre réponse.
Pour donner suite à cette question, je signale que de nombreuses entreprises font le commerce des données. Quelles conséquences ces mesures législatives auront-elles sur les organisations de ce genre au chapitre de la protection de la vie privée?
C’est clairement un sujet d’inquiétude. En règle générale, lorsque des personnes ou des consommateurs fournissent des renseignements à des entreprises, ils le font afin de recevoir directement un service de la part de l’entreprise. Le consommateur s’entend avec l’organisation pour fournir certains renseignements en échange d’un service.
Les courtiers en information recueillent ensuite ces renseignements. Ils ne fournissent pas un service direct aux consommateurs, mais plutôt à d’autres organisations. Dans bon nombre de cas, sinon la plupart d’entre eux, les gens dont les données sont recueillies ignorent l’existence de ces activités. Par conséquent, il s’agit clairement d’un sujet d’inquiétude auquel nous devons prêter plus d’attention, et auquel d’autres États prêtent davantage d’attention.
Dans votre déclaration préliminaire, vous avez parlé de la détermination du risque et du risque lié aux données qui ont subi une atteinte. Vous confiez cette responsabilité à la personne qui a porté atteinte aux données, ou devrais-je dire, qui a subi l’atteinte. Est-ce exact?
Ne pensez-vous pas qu’en permettant aux gens qui ont divulgué l’information de décider si vous devriez en être informés, vous faites entrer en quelque sorte le loup dans la bergerie?
Le premier argument que je ferais valoir est que nous pouvons concevoir le système de notification des atteintes de toutes sortes de façons. Celui que vous avez sous les yeux est un bon compromis. Il est raisonnable. Pourrait-on concevoir un meilleur système? Probablement. Je vous demanderais d’adopter tout de même ce système, parce que, premièrement, nous avons besoin d’un processus de notification obligatoire des atteintes.
Est-il approprié de confier aux organisations la tâche ou le pouvoir discrétionnaire d’aviser ou non quelqu’un? D’un point de vue pratique, nous remarquons, non seulement en Alberta, où le même mécanisme est mis en oeuvre, mais aussi à l’échelle fédérale dans le cadre de la notification volontaire des atteintes que nous faisons respecter depuis quelques années, que, dans l’ensemble, les organisations ne s’abstiennent pas de signaler les atteintes. En fait, elles les signalent de façon excessive. Elles désirent rapporter les cas limites afin de ne pas être perçues comme manquant de zèle. De plus, le projet de loi S-4 prévoit des sanctions à l’intention des organisations qui s’abstiennent de signaler les atteintes. Je le répète, s’agit-il du meilleur système qui soit? Peut-être, ou peut-être pas. Toutefois, je pense que, dans l’ensemble, il est raisonnable et qu’il devrait être adopté.
Merci, monsieur Daniel.
[Français]
Madame Papillon, vous avez la parole. Vous disposez de cinq minutes.
Merci, monsieur le président.
Lorsque le ministre Moore a comparu devant ce comité il y a quelques jours, je lui ai demandé si le commissariat disposerait de ressources et de fonds suffisants pour assumer la responsabilité nouvelle et importante qui lui incombera à la suite de l'adoption du projet de loi S-4. Il m'a répondu que vous aviez les ressources nécessaires à cette fin.
Est-ce effectivement le cas?
Évidemment, nous allons faire le travail qui nous incombe avec les ressources disponibles. J'ai mentionné que cette nouvelle obligation entraînerait une augmentation significative de la charge de travail. En Alberta, la charge de travail a essentiellement doublé lorsqu'un régime semblable d'avis obligatoire a été adopté. Par la suite, le volume de travail a plafonné au cours des années subséquentes, une fois le mécanisme d'avis obligatoire adopté.
Il serait prématuré de spéculer là-dessus, mais nous sommes à peu près certains qu'il y aura une augmentation significative de la charge de travail liée à ces avis. Pour ce qui est de l'ampleur de cette augmentation, nous ne la connaissons pas.
Je proposerais que nous travaillions avec les ressources dont nous disposons, que nous voyions comment les gens réagissent et quel est le nombre d'avis que nous allons recevoir. Après une année ou deux, nous pourrions voir s'il y a lieu de consacrer des ressources à cette tâche.
Quand elle a comparu devant le comité du Sénat, Mme Kosseim a également indiqué que la question des ressources devait être considérée dans toute sa mesure parce que cette nouvelle obligation aura une incidence sur les ressources.
Madame Kosseim, avez-vous quelque chose à ajouter à ce sujet? Ce qui se passe au comité du Sénat n'est pas toujours transmis à ce comité parlementaire.
Pour reprendre les propos du commissaire, c'est une question qu'il faudra examiner de près à la lumière de l'expérience que nous aurons en vertu du nouveau régime.
Très bien.
Le projet de loi S-4 pourrait obliger les organisations du secteur privé à déclarer toute perte ou atteinte aux renseignements personnels. Toutefois, contrairement à ce qui est prévu dans le projet de loi C-12, le critère proposé pour cette déclaration obligatoire est subjectif puisqu'il permet aux organisations de déterminer elles-mêmes, et je cite:
[...] s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu.
À votre avis, ce critère est-il raisonnable?
Comme je l'indiquais plus tôt, on peut concevoir différentes façons de transmettre ces avis obligatoires. L'important est qu'il y ait un régime. En bout de piste, cela semble être un régime raisonnable.
L'expérience de l'Alberta démontre que les compagnies et les organisations donnent des avis dans un bon nombre de situations. Dans environ la moitié des cas en Alberta, le commissaire provincial avise les individus des atteintes qui lui sont signalées par les organisations, ce qui semble démontrer que celles-ci font rapport au commissaire provincial dans des cas frontières, quand l'importance du tort causé à l'individu est moins évidente.
Oui, il y a un seuil à partir duquel l'avis doit être donné. Toutefois, je pense que l'expérience de l'Alberta démontre que c'est une façon correcte de faire les choses.
[Traduction]
Merci, monsieur le commissaire, merci, chers témoins.
Vous avez déclaré que les organisations étaient obligées de tenir un registre des atteintes et d’en fournir une copie à votre commissariat, sur demande, ce qui conférera à votre commissariat la responsabilité de surveiller comment les organisations respectent leur obligation de signaler. Nous avons également entendu parler des 45 jours. Si vous traitez une plainte ou si vous composez avec une organisation qui fait l’objet d’une plainte concernant la protection de la vie privée, vous disposez actuellement de 45 jours pour prendre des mesures dans le cadre de votre rôle d’application de la loi. Si vous sentez qu’il est nécessaire de prendre des mesures, ces mesures consisteraient à en référer à la Cour fédérale, n’est-ce pas?
Oui. Si nous craignons qu’une organisation ne respecte pas certaines conditions qui, selon nous, doivent être remplies pour faire respecter la loi, nous disposons de 45 jours pour demander réparation auprès de la Cour fédérale.
D’accord. C’est votre outil d’application de la loi. Vous avez 45 jours pour prendre des mesures. S’il y a une crainte concernant la protection de la vie privée, vous travaillez avec l’organisation afin de modifier peut-être ses politiques sur la protection des renseignements personnels, mais vous disposez de 45 jours pour passer à l’action. Je pense que vous avez indiqué que cette période de 45 jours était insuffisante et que, dans bon nombre de cas, vous cherchiez à prolonger cette période. Il se peut que vous accordiez à l’organisation six mois pour apporter des changements et si, à la fin de ces six mois, elle ne l’a pas fait — on émet l’hypothèse qu’elle a promis de le faire —, les 45 jours étant écoulés, vous n’avez plus aucun moyen de vous en prendre à cette organisation. Si l’on faisait passer à un an cette période de 45 jours, vous disposeriez d’un outil d’application de la loi dont vous avez grandement besoin.
Approuvez-vous cette affirmation?
Oui, cela nous donnerait la marge de jeu nécessaire pour conclure une entente sensée avec les organisations quant à la façon dont elles peuvent respecter la loi.
Merci.
La question du consentement a été soulevée au cours d’interventions précédentes. J’envisage de changer de technologies et d’atteintes portées aux données. Le monde évolue en même temps que la technologie. Nous avons entendu parler récemment des télévisions intelligentes qui reconnaissent la voix des gens et qui leur permettent de transmettre verbalement des commandes à la télévision. Si cette fonction est activée, les gens comprennent-ils vraiment à quoi ils ont consenti en l’activant et ce qui advient de l’information communiquée? Les voix dans la pièce constituent-elles des renseignements, et sont-elles converties en texte par une tierce partie? Qu’advient-il de ces renseignements? Lorsque les gens donnent leur consentement, à quel point est-il important qu’ils aient conscience de l’avoir fait?
Une autre partie de la question du consentement concerne les enfants, qui se livrent à des jeux sur des tablettes. Un enfant de six ou huit ans comprend-il les conséquences du consentement ou des renseignements qu’il a donnés, comme son nom, son âge, sa ville et son sexe? Où vont ces renseignements? À quel point est-il important que le consentement soit donné en toute connaissance de cause?
Nous pourrions passer toute la journée à discuter de la question du consentement. Il va de soi que la question de savoir si les gens ont donné leur consentement en toute connaissance de cause est un énorme problème. Il ne fait aucun doute que, dans un grand nombre de cas, les consommateurs et les gens en général ne se rendent pas compte de ce à quoi ils consentent.
Comment peut-on améliorer la situation? Nous pensons que l’éducation joue un énorme rôle dans la résolution de ce problème. Les directives données par le commissariat contribuent grandement à informer les organisations et les personnes. Est-il possible de légiférer de telles interactions? La définition du consentement proposée dans le projet de loi S-4 est, selon moi, un ajout utile, mais elle ne peut pas décrire tous les scénarios où un consentement sera demandé sur le marché. Par conséquent, la mesure législative a ses limites. Je pense que la précision apportée par le projet de loi S-4 clarifie ce en quoi consiste le consentement et pourrait améliorer la situation en ce qui a trait au consentement exigé de la part d’enfants, parce que la définition qui figure dans le projet de loi S-4 exige que les organisations se mettent à la place des personnes qui doivent donner leur consentement. Que comprennent ces personnes? Lorsque votre produit est destiné aux enfants et que ces personnes sont des enfants, vous devez vous demander ce à quoi vous pouvez raisonnablement vous attendre qu’ils comprennent lorsqu’ils donnent leur consentement. Dans l’ensemble, je crois, encore une fois, que la définition du consentement mentionnée dans le projet de loi S-4 contribuera à protéger les gens, en général, et les groupes les plus vulnérables, en particulier, comme les enfants.
J’aimerais donner suite aux questions de M. Warawa concernant le consentement, parce que ce sujet est certainement abordé par le projet de loi S-4, et il s’agit là d’un sujet d’une grande importance que la plupart des gens ne comprennent pas vraiment, à une époque où la technologie évolue rapidement.
J’ai été étonnée d’apprendre que j’ai fini par devenir propriétaire de l’une de ces télévisions. Heureusement que je n’ai jamais le temps de la regarder, mais il semble qu’elle pourrait permettre à quelqu’un de nous épier. Cette écoute serait plutôt ennuyeuse, mais…
Je tenais à vous poser des questions précisément au sujet des enfants. Vous avez effectivement mentionné le consentement des enfants. Nous allons entendre la Chambre de commerce et, dans son mémoire, elle affirme que les efforts de votre commissariat pour protéger les enfants en veillant à ce que leur consentement soit valable n’ont pas été entravés. Elle en conclut qu’un amendement particulier concernant la validité du consentement n’est pas requis. Qu’en pensez-vous? Nous poserons également cette question à la chambre, mais croyez-vous qu’un amendement particulier relatif à la validité du consentement est requis pour protéger les enfants?
Je dirais que nous avons traité des plaintes concernant des enfants et que nous avons été en mesure d’établir certains paramètres qui définissent la façon dont on peut obtenir un consentement lorsque les services fournis par l’organisation suscitent l’intérêt des enfants. Par conséquent, ce n’est pas comme si nous ne disposions d’aucun outil pour garantir la capacité de consentement, en général, et celle des enfants, en particulier.
Cela dit, il est utile de disposer des éclaircissements que le projet de loi S-4 propose, afin que les organisations voient clairement que, selon la définition du consentement qui figure dans ce qui constituera une nouvelle disposition de la LPRPDE, elles doivent réfléchir à la clientèle à laquelle elles offrent leurs produits et leurs services. Cela se produit en ce moment dans une certaine mesure au sein de certaines organisations, mais peut-être pas au sein de la totalité d’entre elles. Et selon moi, il serait utile que la mesure législative indique clairement que les organisations doivent penser à leur clientèle.
Le problème tient-il au fait que nous sommes essentiellement dépourvus d’outils à l’heure actuelle? Non, mais cet ajout serait utile.
Merci.
J’ai une dernière question concise à vous poser. Je pense que nous avons tous été dans une situation où nous allions accomplir une action en ligne et où on nous a demandé de lire des conditions d’utilisation. Vous cliquez sur le bouton, et vous faites face à cinq pages de jargon juridique impénétrable. Ceux d’entre nous qui ne sont pas avocats prennent un air absent à cette vue et finissent par se demander ce à quoi ils consentent exactement. Toutefois, si vous souhaitez terminer la transaction que vous avez entreprise, quelle qu’elle soit, vous finissez par consentir même s’il se peut que vous ne compreniez pas complètement toutes les conséquences de votre consentement.
Le commissaire et le commissariat à la protection de la vie privée ont-ils envisagé d’employer des résumés ou des traductions en langage simple de certains de ces documents juridiques afin d’aller au fond des choses et de permettre aux gens de comprendre entièrement ce qu’ils s’engagent à respecter, sans perdre de vue que le contrat est le document ayant force exécutoire?
Nous l’avons fait en fournissant des lignes directrices aux organisations et en leur demandant d’utiliser un langage plus simple lorsqu’elles demandent le consentement des gens. Cette réponse est évidemment incomplète, mais, au bout du compte, seules les organisations connaissent les services qu’elles fournissent et le genre d’information dont elles ont besoin. Par conséquent, elles sont les mieux placées pour informer les consommateurs et les personnes. Nous les exhortons à employer un langage aussi simple que possible.
Cela dit, le consentement est une énorme préoccupation. Nous pensons que le projet de loi S-4 est un pas dans la bonne direction, compte tenu de la clarification apportée par la définition qu’il renferme. Toutefois, comme je l’ai indiqué auparavant, nous consultons en ce moment les intervenants afin de déterminer les priorités que nous devrions adopter pendant les prochaines années afin de cerner la meilleure façon d’améliorer la situation des gens. L’une de nos priorités sera presque assurément le consentement que les gens doivent donner.
Merci beaucoup, monsieur le commissaire.
Merci, madame Nash.
Nous passons maintenant à notre dernier intervenant, M. Lake
Merci, monsieur le président.
Monsieur Therrien, trois provinces possèdent des mesures législatives qui traitent de cette même question? Il s’agit de l’Alberta, de la Colombie-Britannique et du Québec.
D’accord. Je crois comprendre — et vous pouvez me corriger si j’ai tort — que les alinéas 7(3)d.1) et d.2) qui vous préoccupent et à propos desquels vous avez exprimé des réserves harmonisent beaucoup plus la nouvelle mesure législative proposée avec celles de l’Alberta et de la Colombie-Britannique.
Je crois qu’ils l’ont adoptée en 2004, ou durant cette période. En ce qui a trait à ces dispositions particulières, je ne connais pas par coeur la date de leur adoption.
Êtes-vous au fait de cas particuliers où d'importants problèmes auraient découlé de la loi telle qu'elle a été libellée en Alberta ou en Colombie-Britannique?
Pour que ce soit bien clair, je précise que cette nouvelle loi que nous proposons nous permet d'harmoniser nos dispositions avec celles des provinces, avec les lois de ces provinces, pour que ce soit plus uniforme.
C'est juste, mais comme je l'ai dit, en raison des critères relatifs à la communication de renseignements personnels, je m'inquiète que des organisations puissent divulguer de l'information pour des infractions ou des fraudes potentielles qui ne se matérialiseront peut-être pas. Cela me préoccupe réellement.
Pour que ce soit bien clair, vous ne savez pas si cela s'est produit en Alberta ou en Colombie-Britannique.
D'accord. Puis vous dites: « Si toutefois cela est impossible, je recommande de maintenir les seuils énoncés à l'alinéa 7(3)d) de la loi, et de motiver les divulgations sur la base de problèmes véritables plutôt que de recherches à l'aveuglette. » C'est suivi de trois points.
On dirait que les changements que vous suggérez sont des ajustements très mineurs à ce qui est proposé dans la loi. Est-ce juste?
Non, je ne suis pas d'accord. Je pense qu'il y a une assez grosse différence entre le régime proposé, qui autoriserait les organisations à divulguer de l'information à des fins d'enquête sur des infractions potentielles, et le régime actuel selon lequel l'information ne peut être divulguée que quand une organisation a des raisons de croire qu'il y a une infraction.
La différence, c'est qu'il y aurait une enquête sur une infraction potentielle ou un risque qu'une entreprise pense liés à une activité criminelle, mais sans preuve d'une telle activité, alors que selon le régime actuel, il faut des motifs raisonnables de croire qu'il y a réellement une activité illégale.
Je regarde les alinéas d.1) et d.2), par rapport aux changements suggérés, et dans l'alinéa d.1), on dit: « est raisonnable en vue d'une enquête sur la violation d'un accord ou sur la contravention au droit fédéral ou provincial ». Vous parlez de « motifs raisonnables de croire ». Il semble y avoir très peu de différence entre les deux.
C'est la même chose avec votre deuxième point, ou vous parlez aussi des « motifs raisonnables de croire ». J'ai vu que vous remplaceriez un autre passage par « a été commise ou est en train ou sur le point de l'être ».
Dans l'alinéa d.2) du projet de loi, on dit « dont la commission est vraisemblable ».
Vous pourriez nous expliquer la différence entre les deux.
Le terme « vraisemblable » s'entend d'une infraction potentielle et, donc, d'une infraction qui, aux yeux de l'organisation, va vraisemblablement se produire, mais ne s'est pas encore produite.
C'est comme si j'utilise ma carte de crédit un jour à Edmonton, le lendemain à Ottawa, et le jour suivant en Jamaïque. La compagnie de carte de crédit pourrait croire qu'une fraude risque d'être commise, et elle m'appellera. Parce qu'il y a eu divulgation d'information, je pourrais recevoir un appel me disant qu'il y a peut-être un problème avec ma carte de crédit. C'est juste?
En fin de compte, je pense qu'il y a une différence entre permettre aux organisations de divulguer de l'information relative à des infractions potentielles qui ne se sont pas encore réalisées et suivre le régime actuel, selon lequel l'infraction doit s'être produite ou être en train de se produire. Il y a une grosse différence, d'après moi.
Merci beaucoup, monsieur le commissaire.
Merci, monsieur Lake.
J'aimerais faire une brève intervention, en raison du nombre de questions.
M. Lake a mentionné qu'il y a des lois dans trois provinces, concernant la protection des renseignements personnels. Je sais qu'il y a un commissaire à la protection de la vie privée en Ontario. Est-ce qu'il y a un dialogue continu concernant l'efficacité entre les bureaux, le chevauchement des lois, l'optimisation des ressources pour les Canadiens et, bien sûr, pour chaque résidant de chaque province? Avez-vous une réunion annuelle visant la communication des meilleures pratiques?
Je pense que le public aimerait savoir comment vous interagissez avec les autres bureaux.
Il y a une assemblée annuelle des commissaires à la protection de la vie privée fédéral et provinciaux. En effet, nous travaillons régulièrement ensemble. Les conseils sont souvent fournis globalement, ce qui assure l'uniformité de l'information que les organisations reçoivent.
Donc, oui, nous travaillons en étroite collaboration avec les commissaires provinciaux, en partie parce que nous cherchons à garantir une plus grande efficacité.
Merci beaucoup, monsieur le commissaire. Tous mes collègues et moi-même vous remercions de votre témoignage.
Chers collègues, nous allons interrompre la séance pour permettre au groupe de témoins suivant de s'installer, puis nous poursuivrons.
Chers collègues, nous reprenons. Nous avons deux organisations.
La Chambre de commerce du Canada est représentée par Scott Smith, directeur, Propriété intellectuelle et politique d'innovation.
Bienvenue, monsieur Smith.
Nous avons aussi l'Association canadienne du marketing, représentée par David Elder, conseiller juridique spécial, Protection des renseignements personnels numériques. Vous verrez qu'il y a un autre nom sur la liste: Wally Hill. On m'a dit qu'il pourrait surgir n'importe quand. Son vol a été retardé. Il est le premier vice-président, Affaires gouvernementales et des consommateurs. M. Elder va s'occuper de tout en attendant qu'il arrive.
Nous allons commencer dans cet ordre.
Monsieur Smith, veuillez nous présenter votre exposé, je vous prie.
Merci, monsieur le président, mesdames et messieurs les membres du comité. La Chambre de commerce est heureuse de pouvoir s'adresser à vous au sujet du projet de loi S-4 et des changements qui sont proposés à la Loi sur la protection des renseignements personnels et les documents électroniques.
La préparation de ce projet de loi a exigé de grands efforts. Comme vous le savez, nous avons vu plusieurs essais au cours des dernières années. Ce n'est certainement pas la première fois qu'on essaie d'apporter des changements à ce qui fait sans doute l'envie d'autres pays qui commencent tout juste à prendre conscience du principe de responsabilité.
Il s'agit d'une réglementation fondée sur les principes qui guide les entreprises au sujet de leurs obligations en matière de protection des renseignements personnels. Elle évite les règles trop normatives et donne en même temps le degré de souplesse nécessaire pour permettre l'innovation.
Bref, la LPRPDE représente un juste équilibre. La modifier sans faire pencher la balance n'est pas une mince affaire. Nous estimons qu'avec les changements proposés dans le projet de loi S-4, on réussit à maintenir cet équilibre. Les recommandations que je vais faire sont de nature très procédurale et ne cherchent pas à modifier fondamentalement l'esprit ou l'intention du projet de loi. Je dirais que par mes observations, je cherche à attirer l'attention du comité sur la possibilité d'améliorer des dispositions particulières de la proposition du gouvernement par des révisions ciblées qui harmoniseraient les changements aux pratiques actuelles de l'industrie tout en répondant aux objectifs du gouvernement.
Nous appuyons les objectifs du projet de loi S-4 et les diverses modifications à la LPRPDE qui apporteront de nouvelles certitudes et amélioreront le cadre général de la loi, comme les dispositions touchant la communication de renseignements personnels dans le cadre de transactions commerciales. Ces mesures étendraient la portée de l'exemption relative aux coordonnées d'affaires, laquelle engloberait toute information qui sert à entrer en contact ou faciliter la prise de contact avec une personne dans le cadre de son entreprise, de son emploi ou de sa profession.
Nous proposons des modifications pour quatre aspects précis: premièrement, la validité du consentement; deuxièmement, les critères relatifs à l'avis en cas d'atteinte à des mesures de sécurité et la tenue d'un registre; troisièmement, la communication dans l'intérêt public; quatrièmement, la sécurité des réseaux.
La disposition proposée sur la validité du consentement dans le projet de loi S-4 exige des organisations qu'elles portent une attention particulière aux personnes vulnérables. Cette disposition se fonde sur des principes et a une grande portée, mais elle se concentre sur des catégories particulières de personnes. C'est une préoccupation pour les organisations qui s'adressent à un vaste marché.
Nous estimons aussi que ce n'est pas nécessaire. Je pense que le commissaire à la vie privée vous a dit ce matin aussi que cette disposition — qu'il dit peut-être utile — n'est pas nécessaire. L'article 5 de la loi oblige toute organisation à se conformer au code type, qui forme l'annexe 1. Selon l'article 4.3.2 du code type, pour que le consentement soit valable, « les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués ». D'après nous, cette approche fondée sur les principes rend déjà l'intention du projet de loi S-4, et nous croyons que le retrait de cet article améliorerait le projet de loi.
L'objectif selon lequel on aviserait les personnes afin d'atténuer le risque de préjudice grave est très différent de l'objectif selon lequel on aviserait le Commissariat à la protection de la vie privée pour cataloguer les infractions. Cette distinction est mise en évidence dans les lignes directrices du CPVP de 2007, lesquelles définissent un risque réel de préjudice grave et précisent ce qu'est une atteinte importante. Les deux critères sont appliqués depuis plus de 10 ans, et cela fonctionne bien. En pareils cas, il n'y a pas d'atteinte importante, et les exigences de rapport du CPVP seraient onéreuses, aussi bien pour l'organisation que pour le CPVP.
Nous favorisons un libellé qui permet aux organisations d'évaluer les risques liés à une atteinte et au CPVP d'émettre des lignes directrices sur ce qui représente une atteinte importante pour laquelle il faudrait produire un rapport — autrement dit, le régime actuel.
Parce qu'il n'y a pas de définition de ce qui constitue une atteinte importante, la tenue de registres est aussi problématique. Dans bien des cas, comme quand un classeur contenant de l'information sur les employés n'est pas verrouillé, il y a une atteinte, mais les conséquences ne sont pas importantes. L'obligation de tenir des registres de la manière prescrite pour une période de temps non précisée alors qu'il n'y a aucun effet sur la vie privée d'une personne et que le défaut de tenir de tels registres constitue une infraction criminelle représente un fardeau déraisonnable aux organisations.
De plus, en ce qui concerne la définition d'une atteinte importante, nous estimons que les accords de conformité devraient se concentrer sur les exigences de la LPRPDE et y être directement liés, ce qui garantirait la transparence et la clarté de la loi concernant ce que les entreprises doivent faire pour éviter de se retrouver dans une situation qui justifierait un accord de conformité pour commencer.
Dans son état actuel, le nouvel article 17.1 soulève des préoccupations, en ce sens que le libellé trop général, par exemple, « des conditions », pourrait donner un pouvoir exagéré au commissaire à la protection de la vie privée. Une période de préavis raisonnable devrait accompagner cette contrainte.
De plus, à l'article 17, nous craignons que l'exception à l'interdiction générale de communication par le CPVP soit déphasée par rapport à d'autres lois canadiennes, dont la Loi sur la concurrence, et qu'elle ait comme conséquence imprévue de miner les relations de collaboration et la communication d'information actuelles.
J'ai parlé des modifications que nous recommandons. Nous croyons qu'il manque quelque chose de très important que vous devriez envisager, dans le projet de loi S-4, ce qui m'amène à vous parler de la sécurité des réseaux et des renseignements. Une menace peut être présente sur un réseau pendant en moyenne 229 jours sans être détectée, et les réseaux dépassent les organisations individuelles.
Le 13 février, le président Obama a émis un décret par lequel il enjoignait au secteur privé d'améliorer l'échange d'information en matière de cybersécurité. Le décret reconnaît que, pour contrer les cybermenaces, les entreprises privées, les organismes sans but lucratif, les départements administratifs et agences du gouvernement et autres entités doivent être en mesure d'échanger de l'information sur les risques et incidents de cybersécurité, et de collaborer en vue de réagir autant que possible en temps réel. Nous trouvons qu'il faut les mêmes mécanismes ici au Canada.
Les modifications proposées dans le projet de loi S-4 prévoient des exceptions limitées qui permettent la collecte, l'utilisation et la communication de renseignements personnels, mais il faut des changements pour donner aux organisations une forme de certitude légale leur permettant de gérer les menaces. Selon notre interprétation, le traitement relatif à la sécurité des réseaux et des renseignements relève de la LPRPDE, puisque les données traitées à des fins de sécurité des réseaux et des renseignements sont souvent des renseignements personnels comme un nom, l'adresse IP d'un PC zombie faisant partie d'un réseau, ou une adresse de courriel. Nous demandons essentiellement une exception claire pour le traitement de la sécurité des réseaux et des renseignements de sorte que les organisations aient une forme de certitude légale et ne soient pas obligées de mettre un frein au traitement de la sécurité des réseaux et des renseignements ou de fonctionner dans une zone juridique grise.
Les modifications au libellé que nous recommandons ont été soumises par la Chambre de commerce du Canada au nom d'une coalition d'entreprises et d'organisations, et je vous prie de voir dans ces recommandations notre désir d'en arriver aux mesures législatives les plus efficaces en matière de protection des renseignements personnels.
Je vous remercie de votre attention.
Merci beaucoup, monsieur le président.
Encore une fois, je vous présente mes excuses au nom de mon collègue, M. Hill, dont le vol a été retardé deux fois ce matin. Nous savons tous ce que c'est que de voyager dans notre beau et grand pays à ce temps-ci de l'année.
Je remercie le comité de nous avoir invités à comparaître pour parler du projet de loi S-4, Loi sur la protection des renseignements personnels numériques.
L'Association canadienne du marketing, ou l'ACM, est la plus importante association de marketing au Canada. Elle compte quelque 800 entreprises membres englobant les principaux secteurs commerciaux canadiens, toutes les disciplines du marketing, tous les types et toutes les technologies qui y sont liées.
L'ACM est la voix nationale du milieu du marketing au Canada, et par nos activités de défense des intérêts du secteur, nous cherchons à favoriser un environnement favorable au succès du marketing éthique. Malgré quelques réserves, l'ACM appuie l'initiative du gouvernement de mettre à jour les mesures législatives visant la protection des renseignements personnels à l'intention du secteur privé. Je vais soulever deux éléments qui importent particulièrement aux spécialistes en marketing.
Premièrement, la Loi sur la protection des renseignements personnels numériques éclaircit la définition de « coordonnées d'affaires », de sorte que les adresses électroniques commerciales soient traitées de la même façon que dans d'autres lois portant sur la protection des renseignements personnels. C'est un changement important et bienvenu que les entreprises ont réclamé au cours du dernier examen de la LPRPDE.
Deuxièmement, il y a les dispositions relatives à l'avis à signifier en cas d'atteinte. Au dernier examen de la LPRPDE, l'ACM a encouragé le commissaire à la protection de la vie privée à créer des lignes directrices nationales concernant l'avis à signifier en cas d'atteinte, lesquelles lignes directrices ont été publiées en 2007, après consultation des parties prenantes. Les dispositions du projet de loi S-4 visant les atteintes se fondent sur ces lignes directrices et vont faire en sorte que les consommateurs auront davantage la certitude que les organisations vont protéger leurs renseignements personnels. C'est particulièrement important en 2015, car une grande partie de notre commerce se fait par voie numérique.
Nous sommes d'accord avec les points de vue et propositions de la Chambre de commerce. J'aimerais en dire plus, cependant, sur deux des questions soulevées par mes collègues.
Premièrement, selon l'article 10.3 du projet de loi, les organisations doivent tenir et conserver un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion. Ceci est source de préoccupations, car le terme « atteinte » est très général, et il pourrait y avoir de nombreuses atteintes de nature technique, comme l'accès non autorisé à des renseignements personnels ou la communication de renseignements personnels, même s'ils ne sont pas délicats ou s'ils sont banals.
On ne mentionne aucune norme fondée sur l'importance dans les exigences relatives à la tenue de registres. Toutes les atteintes devront être consignées avec diligence de la manière prescrite, même s'il n'y a manifestement aucun risque. Cela pourrait devenir une obligation onéreuse pour les entreprises, surtout pour les petites et les moyennes entreprises.
Cela s'accompagne de plusieurs autres difficultés pour les organisations. Il y a ce qu'il en coûte pour recueillir et conserver cette information. Conserver des renseignements personnels ainsi va aussi à l'encontre des bonnes pratiques en matière de protection des renseignements personnels, d'autant plus qu'ils doivent être conservés pour une période de temps indéfinie.
Enfin, l'un des problèmes, concernant la tenue de registres, c'est qu'il s'agit de l'une des très rares dispositions de la LPRPDE dont la violation constitue une offense qui va au-delà de la loi. Comme M. Therrien l'a dit ce matin au sujet de la façon dont les entreprises ont abordé la production de rapports sur les atteintes, je pense que vous aurez aussi une collecte excessive parce que les entreprises voudront être conformes à la loi. De plus, on consacrera beaucoup d'efforts et de matériel au catalogage d'atteintes très mineures.
L'ACM recommande l'adoption d'un seuil d'importance relative, comme l'indique le mémoire de la coalition d'entreprises. Au moins, il faut absolument traiter du seuil d'importance relative et de la période de conservation, premièrement par une mention dans la loi, puis au moyen d'un règlement plus détaillé.
La deuxième chose dont je veux parler est l'article 5, qui propose l'ajout de l'article 6.1, lequel précise la définition de la validité du consentement. Le ministre a expliqué que le but de cet article est de renforcer les pratiques exemplaires, de protéger certains groupes, comme les enfants, qui auraient plus de difficulté à comprendre le libellé des dispositions relatives à la protection des renseignements personnels et au consentement.
Au fait, l'ACM demande depuis longtemps à ses membres d'accorder une attention particulière aux jeunes. Le CPVP a aussi décrit en termes favorables la façon dont le code d'éthique et les normes de pratique de l'ACM établissent des dispositions spéciales sur le consentement relatives à la collecte, à l'utilisation et à la communication de renseignements personnels provenant d'enfants et d'adolescents à des fins de marketing.
Cependant, en plus, en vertu du libellé actuel, le CPVP a déjà rendu des décisions exigeant qu'on veille particulièrement à ce que les jeunes comprennent les pratiques relatives à la protection de la vie privée des organisations, et il a en plus produit des lignes directrices selon lesquelles les organisations doivent reconnaître les particularités de la gestion des renseignements personnels des enfants et des jeunes et s'y adapter.
En interprétation législative, on suppose, comme vous le savez bien, que chaque disposition a une utilité. On dit souvent que la loi ne parle pas en vain. Quelle est donc l'utilité de cette nouvelle disposition? Si, déjà, une disposition exige de manière générale que chacun comprenne à quoi servira l'information qu'il fournira et qu'il donne son consentement s'il l'a compris, qu'ajoute cette disposition?
Je pense qu'on craint ici une interprétation large de la disposition, dans son libellé actuel, assortie d'obligations supplémentaires. Nous avons entendu dire que les craintes concernent les enfants et les groupes vulnérables. Cependant, le projet de loi ne le dit pas. Il est beaucoup plus général. Nous voudrions qu'il soit plus clair.
En fait, nous recommanderions de laisser tomber cette disposition ou, à tout le moins, de la modifier pour préciser qu'elle s'applique uniquement aux groupes vulnérables.
Les mercaticiens canadiens et l'Association canadienne de marketing reconnaissent bien que la confiance du consommateur est d'une importance capitale et qu'elle repose principalement sur le respect des renseignements personnels. On lit dans son préambule que la Loi sur la protection des renseignements personnels et les documents électroniques vise à promouvoir le commerce électronique en protégeant les renseignements personnels. De saines habitudes de protection de la vie privée sont bonnes pour les consommateurs, les entreprises et notre économie.
Nous remercions le comité pour l'attention qu'il nous a accordée. Nous serons heureux de répondre à ses questions.
Merci, monsieur Elder.
Chers collègues, un autre comité se réunira ici, après nous, un comité que je connais très bien, comme je vous l'ai déjà dit. Il faut donc un respect très rigoureux de notre horaire. Chers témoins, chers collègues, veuillez me pardonner si je vous interromps, mais nous devons nous en tenir à une durée de quatre minutes par intervention.
Je cède la parole à M. Lake.
Merci, monsieur le président.
Je remercie les témoins d'être ici.
Vous avez tous deux parlé de l'article 6.1. Ça m'intéresse vraiment, parce qu'il semble assez simple. Je ne parviens pas à imaginer que son libellé donnerait trop de fil à retordre à la plupart de ses lecteurs canadiens. Je le lis, puisqu'il n'est pas très long.
[...] le consentement de l'intéressé n'est valable que s'il est raisonnable de s'attendre à ce qu'un individu visé par les activités de l'organisation comprenne la nature, les fins et les conséquences de la collecte, de l'utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
Je ne comprends vraiment pas votre hésitation concernant ce libellé. Je pense que la plupart des Canadiens s'attendraient à ce qu'un utilisateur qui consulte un site Web ou qui s'inscrit pour les activités d'une organisation pourrait comprendre ce à quoi ces renseignements serviront.
Je vous remercie pour votre question.
C'est que la loi précise déjà que, pour que le consentement soit valable, les fins doivent être déclarées de manière à ce que l'individu comprenne bien comment l'information servira ou sera communiquée. Nous essayons de comprendre quelle exigence supplémentaire est sous-jacente à ce consentement, compte tenu, particulièrement, des décisions du Commissariat à la protection de la vie privée et des lignes directrices publiées au sujet des groupes vulnérables.
On peut se le demander: jusqu'où cela peut-il aller?
Je pense que l'industrie convient, particulièrement quand il s'agit d'enfants et de jeunes, de la nécessité de formuler les politiques concernant la vie privée pour qu'elles se fassent raisonnablement comprendre par cette tranche de la population.
Mais jusqu'où cela va-t-il? Si j'ai une multitude de sites et que, pour des motifs opérationnels, je préférerais manifestement appliquer à chacun une politique unique concernant la protection de la vie privée, à quel point me faut-il les individualiser? Si l'un de mes sites s'adresse aux amateurs de hockey, faut-il que, par des études, je l'adapte à cet auditoire, qui risque de comprendre différemment ce que le site leur présente? Si je suis un fabricant de jeux faut-il une politique différente pour un jeu de rôle, un jeu comme Candy Crush et un jeu de vocabulaire? Je pense que c'est cela qui nous inquiète.
Je le vois, effectivement.
Tout à fait franchement, si vous ciblez le marché des amateurs de hockey adultes et celui des enfants de huit ans, votre approche devrait être différente dans les deux cas.
Exactement. Mais si on cible un marché d'adultes dans les deux cas...
L'hon. Mike Lake: Alors, il n' aurait pas de problème pour vous.
M. David Elder:... des adultes qui ne donnent aucun motif de croire qu'il sont différents, mais qui possèdent des caractéristiques différentes, qui constituent un marché différent, jusqu'où faut-il aller? Je pense que ç'a été le sujet de préoccupation.
Jusqu'où? Jusqu'à ce que la personne comprenne la nature, les fins et les conséquences de la collecte, de l'utilisation ou de la communication des renseignements personnels. Cela semble assez clair.
Je pense que le deuxième volet de cette question est: qu'est-ce qui fait qu'on est vulnérable? La loi ne le définit pas.
D'accord.
Eh bien! Il y a, en plus, le nombre de cas où cela se présente aussi pour les compagnies qui ratissent large. Par exemple, les sites de réseaux sociaux qui cibleraient tout le monde auraient besoin de politiques différentes pour attirer des clientèles différentes.
Eh bien! Vous savez quoi? « Tout le monde » comprend les enfants et si cela leur est égal, je suppose que ce devra être assez facile pour qu'un enfant de huit ans comprenne.
Merci, monsieur le président.
J'essaie simplement de m'y retrouver dans cette discussion sur le consentement.
Vous nous dites, tous les deux, que cela présente une difficulté. Que c'est éprouvant. Qu'il coûte cher aux entreprises de se conformer à la loi. Que, aussi, c'est inutile, parce que le Commissariat à la protection de la vie privée du Canada est actuellement en mesure d'assurer le consentement valide des mineurs et que les pratiques exemplaires de l'industrie obéissent à des normes assez rigoureuses pour protéger les mineurs et les autres groupes.
Si les dispositions actuelles sont bonnes et si vous êtes convaincus que cette modification, que le commissaire juge utile, ne changera pas grand-chose, pourquoi entraîne-t-elle des coûts supplémentaires? Comment peut-elle être éprouvante si, comme vous le prétendez, elle n'a aucun effet?
Le commissaire croit en son utilité, que c'est un pas de plus — je crois que c'est ce qu'il a dit — dans la bonne direction, pour que le consentement soit plus valide et pour qu'il soit plus sciemment donné.
Je ne vois pas vraiment comment cela fonctionnerait. Encore une fois, le libellé actuel dit que les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Dans le projet de loi, le libellé est semblable: « [...] comprenne la nature, les fins et les conséquences de la collecte, de l'utilisation ou de la communication des renseignements personnels ».
Je voudrais mieux comprendre ce qu'elle ajoute à l'exigence actuelle, c'est-à-dire que la personne comprenne les fins, et aux lignes directrices du Commissariat à la protection de la vie privée sur la façon de traiter les enfants, par exemple, et d'autres groupes vulnérables.
Peut-être qu'elle ne fait que rendre officielles les lignes directrices déjà suivies, à ce que vous dites, par l'industrie, qu'elle les codifie dans la loi de manière à la clarifier. Le commissaire croit qu'elle augmente la protection. Alors, est-ce un fardeau et une épreuve ou un ajout sans effet. J'ai de la difficulté à comprendre que ce soit à la fois un fardeau et une épreuve pour les entreprises, mais que ça ne change rien à l'affaire. Le commissaire prétend qu'elle est utile; c'est un autre pas vers la validité du consentement. Voilà un objectif louable. J'essaie de comprendre en quoi c'est l'épreuve excessive pour les entreprises qui, soudainement, changera leur comportement.
Encore une fois, c'est en partie parce que nous sommes dans le noir. Si elle précise une obligation existante, il serait utile qu'elle l'annonce par une formule comme « il est entendu que » ou quelque chose d'analogue. Nous voulons savoir ce qu'elle ajoute à ce qui existe déjà. Si elle n'ajoute rien, elle n'a pas de raison d'être. C'est ainsi qu'un tribunal en jugerait.
Merci, monsieur le président. Monsieur Hill, soyez vous aussi le bienvenu. Vos pérégrinations vous ont finalement conduit ici.
Revenons aux observations qu'a faites le commissaire sur le nombre d'atteintes qui deviennent banales et, comme il l'a dit, sont un phénomène croissant. Il a chiffré le nombre de celles qui sont actuellement déclarées à une soixantaine par année. Cela fluctue un peu, mais cela continuera d'augmenter si leur déclaration devient obligatoire.
Monsieur Smith, je commence par vous, puis je m'adresserai à M. Elder. Je me demande si vous pouvez me donner des exemples, dans votre secteur d'activité, à la chambre de commerce, chez ses membres, des mesures que prennent les entreprises aujourd'hui même pour se conformer à la future loi.
Pour se protéger contre ces atteintes, comment les entreprises se préparent-elles à ce type de phénomène?
On peut répondre à votre question de deux ou trois façons.
La loi a été adoptée il y a plus d'une décennie. Elle donne de bons résultats. Comme vous avez entendu, les entreprises signalent les atteintes.
Il y a des incidents. Le nombre de ces atteintes augmente. Elles sont médiatisées. En général, ce n'est pas la faute des entreprises. Elles subissent diverses attaques. Leur protection pose des problèmes de cybersécurité. Elles ne sont pas les seules touchées par ce problème. Les administrations publiques aussi. Tout le monde finalement. Vous avez su que même le gouvernement américain avait été attaqué.
Les petites entreprises font ce qu'elles peuvent pour se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques. La plupart des atteintes dont on n'entend pas parler sont traitées en première ligne et signalées aux individus. Le commissaire à la vie privée n'en sait jamais rien. En général, il n'y a pas de raison de le faire, parce que cela ne présente aucun risque de préjudice pour l'individu une fois qu'on s'est occupé de cette atteinte. C'est systématiquement réglé à l'interne.
Est-ce que les entreprises se préparent aux modifications que le projet de loi S-4 apportera à la loi? Elles en sont certainement conscientes. Apporteront-elles des changements? Pas tant que le projet de loi ne sera pas adopté, d'après moi.
Pour les petites entreprises, probablement moins. Pour les grandes, elles seront importantes, particulièrement, comme je l'ai dit, celles qui ciblent un nombre important de catégories différentes d'individus.
Pour s'étendre un peu sur les propos de Scott, il a raison de souligner que la loi est en vigueur depuis maintenant plus d'une décennie. Ça ne s'arrête jamais. Les organisations améliorent constamment leurs procédures de sécurité, leurs pratiques et leurs techniques. Nous le lisons tous: il ne se passe pas une journée sans changement technologique. Chaque percée importante pose de nouvelles difficultés aux spécialistes du marketing et aux entreprises. Les entreprises doivent rester maîtres de la situation et elles y travaillent constamment. Elles le font en s'inspirant de la Loi sur la protection des renseignements personnels et les documents électroniques depuis le début des années 2000.
Pour les petites entreprises, j'ajouterai seulement que certains éléments de la loi nous préoccupent. Je n'étais pas là pour entendre les exposés, mais, en ce qui concerne les registres à conserver relativement aux atteintes, par exemple, on craint que le flou en la matière ne constitue un fardeau pour les entreprises en général et les petites en particulier.
Nous avons pris du retard. Nous devons respecter assez rigoureusement les temps de parole. Un autre comité s'en vient.
Madame Sgro, quatre minutes.
Merci beaucoup, monsieur le président.
Bienvenue à nos témoins.
Le but du projet de loi S-4 est de mieux assurer la protection des Canadiens et de donner aux organisations compétentes chargées de faire respecter la loi et ainsi de suite les moyens nécessaires à leur travail. Je pense que c'est l'objectif que tout le monde vise. Que le projet de loi y parvienne, c'est sujet à caution.
Monsieur Smith, vous avez parlé en particulier de la sécurité de l'information dans les réseaux. Pourriez-vous nous en dire un peu plus à ce sujet?
Des dispositions de l'article 7 prévoient des exceptions, par exemple pour la protection contre la fraude, et cela a été discuté à la séance antérieure. Cependant, aucune disposition ne concerne la gestion d'une cyberattaque. Un exemple est le Waledac, un réseau d'ordinateurs zombies qui a attaqué un grand nombre d'ordinateurs et qui pouvait envoyer 1,5 milliard de pourriels par jour. La seule manière de le neutraliser était de rassembler des renseignements des ordinateurs attaqués et de donner des conseils aux individus pour la résolution de ce problème. Il faut alors agir assez vite; on n'aurait pas le temps d'obtenir le consentement de tous pour le faire. Pour que les entreprises puissent fonctionner et mettre en commun l'information et la rassembler en temps réel, elles ont besoin qu'on leur accorde une sorte d'exception.
Quelqu'un d'autre a-t-il des observations à faire à ce sujet?
Cela devient très complexe et très difficile. Le gouvernement, aujourd'hui, manifeste l'intention de protéger les gens. Des jeunes de sept et probablement même de quatre ans manipulent des iPad et veulent que ça bouge et ils appuieront sur le bouton « J'accepte ». Ils ne lisent pas les conditions; ils s'en fichent. Ils donnent simplement leur consentement, ce qui les expose tout à fait.
Comment pouvons-nous mieux protéger le consommateur? C'est ce dont je veux m'assurer. Vous avez mentionné des modifications sur d'autres moyens pour le faire, mais je pense que la question du consentement est vraiment importante pour les nouveaux immigrants qui comprennent mal notre langue. Tout le monde le fait. Nous, les parlementaires, nous le faisons sans tout lire, soyons francs. Tous occupés! Ce sera seulement le truc normal. Nous voulons vraiment améliorer et sécuriser la situation pour mieux protéger les consommateurs et les Canadiens.
Vous semblez plus préoccupés par le portefeuille des entreprises, ce que je comprends aussi, mais nous voulons pouvoir faire les deux.
Si je pouvais seulement revenir à la question de la cybersécurité, un moment, le but de cette modification demandée était de protéger les consommateurs et les individus. Autrement dit, ce sont ceux dont les renseignements sont à risque, et nous proposons seulement que pour pouvoir s'en occuper, ce n'est pas dans leur intérêt de demander d'abord leur consentement. Leur intérêt est de s'occuper du problème.
Je voudrais revenir sur ce qu'a dit le ministre il y a environ une semaine. Il a expliqué que le nouvel article 6.1 vise à protéger les groupes particulièrement vulnérables, les personnes particulièrement vulnérables dans la société, comme les enfants, et je crois qu'il s'agit là d'un objectif important de la LPRPDE. De nombreux experts sont d'avis que la LPRPDE contiendra maintenant des dispositions qui permettront au commissaire à la protection de la vie privée de préciser les formes de consentement nécessaires dans certaines circonstances qui concernent des enfants ou des adultes.
Je voudrais souligner également qu'il existe déjà des pratiques exemplaires et des régimes d'autoréglementation qui, combinés à la LPRPDE, contribuent à protéger certains groupes. Notre propre code de déontologie contient des dispositions qui visent à protéger les enfants, particulièrement ceux âgés de moins de 13 ans.
Je vous remercie, monsieur Hill.
Nous avons encore une fois dépassé le temps prévu; je suis désolé d'avoir à intervenir une seconde fois. Quelqu'un a posé une question directement à M. Hill et je ne voulais pas l'interrompre encore une fois.
Monsieur Daniel, vous disposez de quatre minutes.
Je vous remercie d'être ici.
J'ai écouté attentivement toutes les discussions, et il y a quelques termes que je n'ai pas entièrement compris. Monsieur Elder, vous avez parlé de collecte excessive de renseignements. De quoi s'agit-il? Pourquoi recueille-t-on ces renseignements et quelle est leur utilité?
Je vous remercie pour votre question.
J'ai parlé de collecte excessive, car c'est ce que risque d'entraîner le nouvel article 10.3, qui exige qu'une organisation « tienne et conserve un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion ». La définition du terme « renseignements personnels » est très large. Il s'agit en fait de tout renseignement sur une personne identifiable, et il est possible que de légères atteintes aux mesures de sécurité, des atteintes de nature technique, se produisent quotidiennement. Je vais vous donner quelques exemples. On pourrait poster une lettre dont l'enveloppe comporte une étiquette d'adresse sur laquelle figure par erreur l'âge du destinataire. Voilà une atteinte, car il s'agit là d'un renseignement sur une personne identifiable. Il se pourrait aussi que, dans un magasin, le commis laisse sur le comptoir, pendant qu'il répond au téléphone, la commande d'un client. La commande serait à la vue des autres clients, mais elle révèle peut-être seulement la pointure de chaussures de la personne. Voilà une autre atteinte. En vertu du projet de loi, il faudrait tenir un registre de toutes ces atteintes et le conserver jusqu'à ce que le CPVP demande de l'obtenir.
C'est ce qui nous préoccupe. Il n'y a pas de seuil, et parce que cette disposition est liée à une infraction, il risque d'y avoir une collecte excessive. Les entreprises vont pécher par excès de prudence et vont tout consigner dans tous les magasins et dans tous les centres d'appels partout au pays.
C'est votre interprétation du projet de loi tel qu'il est rédigé actuellement. C'est aussi un peu votre définition, et c'est ce qui m'amène à ma prochaine question. J'aimerais savoir ce qui est considéré comme une atteinte mineure. Vous dites essentiellement qu'il s'agit d'une atteinte qui n'a d'incidence sur personne. Est-ce bien ce que vous dites?
Oui. Je crois qu'il existe déjà des normes dans ce projet de loi et dans d'autres lois qui pourraient se révéler utiles. Nous croyons qu'il est certes raisonnable de consigner une atteinte si elle présente un risque réel de préjudice grave. Le projet de loi prévoit d'ailleurs déjà qu'il faut aviser les personnes concernées et le commissaire à la protection de la vie privée. Je crois qu'il s'agit là d'une bonne norme à respecter en ce qui concerne la tenue d'un registre. On saurait alors qu'il contient de l'information significative et qu'il y avait un risque réel de préjudice.
Ma question s'adresse aux deux organismes. Recueillez-vous des données sur les conséquences des atteintes les plus graves? Je ne veux pas parler des atteintes mineures. Quelles sont les répercussions financières sur les organisations qui ont été victimes d'atteintes? Quelles sont les répercussions financières pour les personnes dont les renseignements ont été compromis? Est-ce qu'on fait un suivi à cet égard afin d'avoir une idée de la situation?
Pour répondre à la question, je dirais que toute compagnie qui évalue une atteinte évalue aussi ses répercussions. Elles ont toutes établi des politiques internes sur la façon de gérer cela. Les institutions financières ont des politiques très rigoureuses, tandis que les petites entreprises ont des politiques très simples, élaborées en fonction du type de renseignements qu'elles recueillent.
Je vous remercie beaucoup.
La parole est maintenant à Mme Papillon.
[Français]
Vous disposez de quatre minutes.
Merci, monsieur le président.
Le projet de loi S-4 pourra obliger les organisations du secteur privé à déclarer toute perte de renseignements personnels ou atteinte à ceux-ci. Le critère proposé pour cette déclaration obligatoire est subjectif puisqu'il permet aux organisations de déterminer elles-mêmes s'il est raisonnable de croire, dans les circonstances, que l'atteinte représente un risque réel de préjudice grave à l'endroit de l'individu.
À votre avis, pouvons-nous demander aux organisations de déterminer elles-mêmes ce qui constitue un tort considérable? Cette évaluation ne serait-elle pas trop subjective? Quelle est votre opinion à cet égard?
[Traduction]
Les organisations ont tout à gagner à évaluer correctement les répercussions de toute atteinte sur leurs clients. Leur clientèle est ce qui a le plus de valeur pour elles, alors effectuer une telle évaluation revêt la plus grande importance lorsqu'il y a une atteinte. Elles sont les mieux placées pour évaluer le niveau de risque pour leurs clients et pour ensuite prendre les mesures qui s'imposent.
Je crois que la loi telle qu'elle est rédigée couvre bien cet aspect. Il y a une disposition qui prévoit que le commissaire à la protection de la vie privée doit également être avisé. Elle s'ajoute aux protections prévues dans les nouvelles dispositions de la loi.
J'aimerais ajouter que, dans tous les cas, le CPVP assure une surveillance. Dans un premier temps, une entreprise peut communiquer avec lui pour savoir s'il y a un risque important de préjudice, mais, à un moment donné, le CPVP se penchera là-dessus, ou un tribunal, et s'il constate que l'organisation n'a pas bien fait son travail, il s'agira d'une infraction en vertu de la loi. Elle devra payer une amende sur déclaration de culpabilité par procédure sommaire. Il y a donc beaucoup d'éléments qui incitent les organisations à bien faire leur travail à cet égard.
[Français]
Les organisations ne s'entendent pas nécessairement sur ce qui constitue un risque réel de préjudice grave. À votre avis, la norme proposée entraînera-t-elle un « sous-signalement » ou un « sursignalement » au chapitre des atteintes relevées par ces organisations?
[Traduction]
Je dirais que cela entraînera un niveau approprié de signalement des atteintes, précisément des atteintes qui devraient être signalées au CPVP, et, de façon encore plus importante, aux clients concernés.
Comme nous l'a mentionné le commissaire lui-même ce matin, le régime de déclaration des atteintes en Alberta et le régime volontaire qui existe dans le reste du Canada nous montrent qu'il y a une tendance au sursignalement.
[Français]
Nous avons en effet appris ce matin qu'en Alberta, la charge de travail avait été doublée dans son ensemble. Cela affectera très certainement les ressources. C'est bien de le rappeler.
L’article 24 du projet de loi S-4 modifie l’article 28 de la LPRPDE. Il prévoit que toute organisation qui contrevient sciemment aux nouvelles dispositions de la LPRPDE obligeant les organisations à déclarer les atteintes aux mesures de sécurité et à tenir un registre de ces dernières ou qui entrave l’action du commissaire dans le cadre d’une vérification ou de l’examen d’une plainte commet une infraction et encourt une amende d’au plus 100 000 $ en cas d’infraction punissable par mise en accusation ou d’au plus 10 000 $ en cas d’infraction punissable sur déclaration de culpabilité par procédure sommaire.
Selon vous, y a-t-il des indications en vertu desquelles le risque d'une amende pouvant aller jusqu'à 100 000 $ contribuerait à faire appliquer la LPRPDE?
[Traduction]
Je suis désolé, madame Papillon. Votre temps s'est écoulé pendant que vous posiez votre question, alors quelqu'un pourra y répondre durant le prochain tour.
Monsieur Warawa, vous disposez de quatre minutes.
Je remercie les témoins.
Je vais m'adresser aux représentants de la Chambre de commerce du Canada et de l'Association canadienne du marketing. Avez-vous présenté un mémoire dans le cadre des audiences du Sénat sur le projet de loi S-4?
Un projet de loi peut émaner de la Chambre des communes ou du Sénat. Le projet de loi S-4 émane du Sénat, car il y a la lettre « S » avant le chiffre au lieu d'un « C ».
Monsieur Smith, y a-t-il une raison pour laquelle la Chambre de commerce du Canada n'a pas présenté de mémoire au Sénat?
C'est principalement parce qu'elle essayait d'obtenir un consensus au sein de ses membres. Nous avons réduit la liste des éléments qui nous préoccupent à propos du projet de loi. Nous sommes passés de 30 environ à 4, qui sont les quatre éléments qui figurent dans notre mémoire. Il nous a fallu un temps considérable pour réduire cette liste, car nous essayions de conserver les éléments qui recevraient le plus grand appui, alors c'est pourquoi nous n'avons pas réussi à respecter l'échéance pour la présentation d'un mémoire au comité du Sénat.
Monsieur Smith, vous avez dit que vous vouliez consulter vos membres. Quel pourcentage des membres avez-vous consulté pour aboutir à ces quatre éléments?
D'accord. Je vous remercie.
Vous avez dit qu'il n'y aurait pas une grande incidence pour les petites entreprises et que le signalement des atteintes aurait d'importantes répercussions pour les grandes entreprises. Je crois que les autres témoins nous ont dit le contraire. Croyez-vous encore que c'est le cas?
Je crois qu'en ce qui concerne la tenue d'un registre, les petites entreprises seront probablement moins en mesure de gérer cette obligation que les grandes entreprises. Lorsqu'elles vont élaborer leurs politiques, les petites entreprises vont probablement se tourner vers des organisations comme la nôtre pour obtenir de l'aide.
Je dois vous expliquer que les grandes entreprises canadiennes —toutes les entreprises bien connues du Canada —sont directement membres de la Chambre de commerce du Canada. Les entreprises du palmarès Fortune 500 sont directement membres. Indirectement, nous représentons des petites entreprises par l'entremise de notre réseau de chambres de commerce. Nous avons 450 chambres de commerce partout au pays. Les petites entreprises sont généralement membres des chambres de commerce locales.
Je pose la question parce que je suis membre de la Chambre de commerce de Langley, qui est très active, et je n'ai pas entendu parler de cela, alors j'ai été étonné d'entendre que vous vous opposez au projet de loi S-4.
Peut-être que vous voulez clarifier ce point.
Très bien. Je vous remercie pour cette précision.
Le commissaire a expliqué que la LPRPDE est générale pour faire en sorte que, s'il y a une contradiction, une atteinte, un signalement inadéquat, et qu'une plainte est déposée, le commissaire à la protection de la vie privée puisse s'en occuper. Il examine la situation, et il dispose de 45 jours pour agir. Le projet de loi S-4 fait passer cette période à un an.
Êtes-vous d'accord avec ce changement?
Merci, monsieur le président.
Monsieur Smith, je vais donc revenir sur la question à laquelle vous n'avez pas pu répondre, à savoir s'il y a des indications en vertu desquelles le risque d'une amende pouvant aller jusqu'à 100 000 $ contribuera à faire appliquer la loi.
[Traduction]
Je ne dirais pas que cela facilitera l'application de la loi. Il y a déjà un haut niveau de conformité, et je ne pense pas que cela changerait à cause du projet de loi S-4. Cette mesure vise les infractions les plus graves, c'est-à-dire les cas où on a délibérément enfreint la loi.
Je suis d'accord avec vous. Les sanctions prévues dans la loi lui donnent davantage de mordant et permettront d'attirer l'attention de ceux qui doivent s'acquitter mieux de leurs obligations en matière de protection de la vie privée. En général, comme M. Smith l'a indiqué, les entreprises comprennent de mieux en mieux l'importance de protéger les renseignements personnels et leurs responsabilités à l'égard du respect des exigences de la LPRPDE.
Je vous remercie, monsieur le président.
Le comité est préoccupé par les divulgations sans mandat et notamment par le fait que le jugement récent de la Cour suprême exigera peut-être qu'on modifie le projet de loi S-4. Comment, jusqu'à maintenant, les entreprises ont-elles géré ces divulgations sans mandat et la transmission de renseignements à l'insu des personnes concernées? Je présume que ce n'est pas permis. Est-ce que cela s'est avéré un problème? Autrement dit, est-ce que ce sont les entreprises qui jugent que ne pas exiger le consentement constitue un problème qu'il faut régler?
Je dirais d'abord que ce n'est pas un problème que l'Association canadienne du marketing a soulevé. Cela dit, comme je porte d'autres chapeaux, je peux vous dire qu'on voit un peu de tout au pays en ce qui concerne la divulgation volontaire aux responsables de l'application de la loi. Il y a un certain nombre de fournisseurs de services, par exemple, qui refusent catégoriquement de transmettre tout renseignement aux responsables de l'application de la loi sans un mandat.
Permettez-moi de clarifier ma question. Quel est le problème que ce changement proposé dans le projet de loi S-4 tente de régler?
Honnêtement, je pense qu'il s'agit d'une question qu'il vaudrait mieux adresser aux rédacteurs du projet de loi.
Monsieur Smith, parmi les entreprises que vous représentez, est-ce que certaines ont affirmé souhaiter ce changement?
D'après ce que je sais, l'industrie de l'assurance est en faveur de ce changement en raison des cas de fraude. Les compagnies d'assurances auront la tâche plus facile, comme vous l'avez entendu dire ce matin, car le régime des organismes d'enquête sera modifié, ce qui leur permettra d'effectuer le processus autrement.
J'aimerais revenir sur certains propos formulés durant les exposés.
Il est question dans le projet de loi des atteintes qui présentent un risque réel de préjudice grave. Monsieur Smith, vous avez abordé cette question. Un organisme qui constate qu'il y a eu une atteinte qui pose un risque réel de préjudice grave doit en aviser ses clients, à savoir les personnes qui sont directement touchées, mais vous laissez entendre qu'il n'est pas nécessaire qu'elle avise également le commissaire à la protection de la vie privée. Vous ne pensez pas qu'elle devrait informer le commissaire.
Pourquoi, s'il s'agit d'une atteinte importante qui pose un risque réel de préjudice grave et qui amène l'organisation à aviser ses propres clients, les personnes qui sont touchées, elle n'aurait pas à en aviser le commissaire?
Jusqu'à maintenant, il y a toujours eu deux niveaux. Plusieurs exemples ont été donnés ce matin. Il pourrait s'agir du mauvais nom inscrit sur une lettre ou d'un numéro de téléphone qui se trouve là où il ne devrait pas figurer. Souvent, c'est le personnel de première ligne ou celui du service à la clientèle qui prend la décision de communiquer avec la personne. On l'avise et on l'informe des mesures qui sont prises, mais y a-t-il...
Oui. Ce qui nous inquiète à propos de la façon dont le projet de loi est rédigé, c'est la possibilité du sursignalement. Si tous les cas sont signalés au CPVP, l'ampleur des registres augmentera considérablement, à l'instar du nombre de dossiers que le CPVP recevra.
Est-il utile de signaler tous les cas? Probablement pas.
La plupart des Canadiens ne seraient pas d'accord avec vous lorsqu'il y a un risque réel de préjudice grave.
Lorsqu'il n'y a pas de risque réel de préjudice grave, par contre, la loi précise que les entreprises n'ont pas l'obligation de signaler tous ces cas au commissaire, mais on veillera à ce qu'elles fassent la lumière sur l'erreur commise.
Je le répète, quand on examine l'article 10.3 — tout le monde a signalé des problèmes à ce sujet — on constate qu'il est assez simple. On dit ceci: « L'organisation tient et conserve, conformément aux règlements, un registre... ». Elle doit tenir et conserver un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion.
Essentiellement, vous tenez un registre des erreurs qui concernent les renseignements personnels d'une personne. La quantité de renseignements que vous devez gérer et l'ampleur des coûts qui y sont associés sont directement liées au nombre d'erreurs que vous faites en gérant les renseignements personnels. Est-ce que cela constitue un problème?
En raison de la formulation, on ne peut pas établir un seuil. Il est seulement écrit: « ...toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels ». Il pourrait tout simplement s'agir d'une liste d'adresses qui est restée à la vue de tous, ce qui est un cas tout à fait mineur dans le contexte de la LPRPDE. Le projet de loi semble indiquer que les atteintes devront être consignées dans un registre, qui doit être conservé pour une période indéterminée.
En fait, ce n'est pas le cas, car il y a un processus de consultation. Vous savez qu'il y a un processus de consultation auquel vous pourrez participer pour vous exprimer.
Qui sait, il pourrait tout simplement s'agir en fin de compte d'une série de courriels expliquant ce qui s'est produit, conservés électroniquement pour s'assurer qu'on puisse y revenir dans le futur. Cela ne me semble pas bien compliqué puisque nous sommes à l'ère de la technologie.
Nous craignons qu'on aille à l'extrême, car nous n'avons pas vu le règlement. Vous avez raison, nous aurons l'occasion de participer à un processus de consultation, et nous espérons qu'au bout du compte, nous aurons un cadre raisonnable qui n'imposera pas un trop lourd fardeau.
Nous pensons seulement qu'on aurait pu mentionner un seuil, car cela aurait rassuré les entreprises.
Explorateur de la publication
Explorateur de la publication