:
Merci, monsieur le président. Bonjour aux membres du comité
Nous vous remercions de nous avoir invités à exprimer notre opinion sur le projet de loi .
Je suis accompagné aujourd'hui de Patricia Kosseim, avocate principale, et de Carman Baggaley, analyste principal en politiques.
Mme Kosseim et M. Baggaley ont comparu en juin dernier devant le Comité sénatorial permanent des transports et des communications au sujet du projet de loi , peu avant la confirmation de ma nomination au poste de commissaire à la protection de la vie privée. Mes opinions sur le projet de loi s'accordent largement avec la position du commissariat qui avait été présentée à ce moment-là.
Toutefois, j'aborderai plus en détail la modification proposée qui autoriserait des organisations à communiquer, sans consentement, des renseignements personnels à d'autres organisations. Je discuterai aussi des divulgations visées à l'alinéa 7(3)c.1) à la lumière de l'arrêt Spencer de la Cour suprême du Canada.
Pour commencer, je dirai que je suis fort encouragé par l'engagement du gouvernement à actualiser la Loi sur la protection des renseignements personnels et les documents électroniques, et que j'appuie de façon générale les modifications proposées dans ce projet de loi.
Des propositions comme l'avis à signifier en cas d'atteinte, les accords de conformité volontaires et l'amélioration du consentement contribueraient grandement à renforcer le cadre de protection de la vie privée des Canadiens quand ils ont à traiter avec des entreprises du secteur privé.
L'avis obligatoire en cas d'atteinte rehaussera la transparence et l'imputabilité dans la gestion des renseignements personnels par le secteur privé. J'appuie l'approche fondée sur le risque, qui obligera les organisations à mesurer la gravité de chaque incident ainsi que ses répercussions sur les personnes touchées.
J'estime aussi que l'organisation qui subit l'atteinte est la mieux placée pour évaluer le risque et décider s'il est justifié d'adresser un avis aux intéressés. Obliger les organisations à tenir un registre des atteintes et en fournir sur demande une copie à mon bureau donnera au commissariat un important rôle de supervision quant au degré auquel les organisations se conforment à l'obligation de communiquer des avis.
Les accords de conformité volontaires proposés élargiront la capacité du commissariat de veiller, en temps voulu et à peu de frais, à ce que les organisations s'acquittent de leur engagement à améliorer leur façon de protéger la vie privée sans avoir à recourir à de coûteux litiges devant la Cour fédérale dans des cas réglés sous conditions.
[Traduction]
Quant à la proposition de disposition visant à préciser le concept de consentement valide, j'estime que c'est là une clarification pratique du sens à donner au consentement valable en vertu de la LPRPDE. Elle souligne la nécessité pour les organisations de bien préciser, de façon adaptée à l'auditoire cible, la nature des renseignements personnels qu'elles recueillent et pourquoi elles le font.
Si j'appuie bon nombre des modifications proposées dans ce projet de loi, j'ai en revanche de fortes réserves au sujet des alinéas 7(3)d.1) et d.2), dispositions qui autoriseraient une organisation, dans certaines circonstances, à communiquer sans consentement des renseignements personnels à une autre organisation. Ma préoccupation est double.
Je crois tout d'abord que le régime axé sur les organismes d'enquête que prévoit actuellement la LPRPDE — et que les alinéas 7(3)d.1) et d.2) visent à remplacer — offre d'importantes protections en matière de transparence et d'imputabilité, protections que les modifications proposées feront disparaître.
Aux termes actuels de la LPRPDE, les organisations peuvent communiquer sans consentement des renseignements personnels à des organismes d'enquête désignés, selon un processus transparent du gouverneur en conseil. Une liste des organisations ayant le statut d'organisme d'enquête est disponible au public. Mais les modifications proposées prévoient que toute organisation pourrait potentiellement recueillir ou communiquer des renseignements personnels pour une vaste série de raisons, en l'absence de tout mécanisme permettant de déterminer quelles organisations recueillent ou communiquent des renseignements, et pourquoi.
De plus, les dispositions proposées cherchent à affaiblir les seuils et les motifs de divulgation actuels en vertu du régime des organismes d'enquête à l'alinéa 7(3)d). Je préférerais pour ma part maintenir le régime des organismes d'enquête. Si toutefois cela est impossible, je recommande de maintenir les seuils énoncés à l'alinéa 7(3)d) de la Loi, et de motiver les divulgations sur la base de problèmes véritables plutôt que de recherches à l'aveuglette.
Cela implique trois choses: premièrement, le seuil en vertu de l'alinéa 7(3)d.1) devrait être basé sur des « motifs raisonnables de croire » que le renseignement est lié à une véritable violation ou contravention; deuxièmement, le seuil en vertu de l'alinéa 7(3)d.2) devrait être basé sur des « motifs raisonnables de croire » que le renseignement est lié à la détection ou la répression d'une fraude qui « a été commise ou est en train ou sur le point de l'être » et troisièmement, les communications de renseignements en vertu des alinéas 7(3)d.1) et d.2) devraient seulement se faire à l'initiative de l'organisation responsable de la communication.
De plus, il faudrait établir un mécanisme pour améliorer la transparence et l'imputabilité entourant ces communications. On pourrait par exemple exiger des organisations responsables de telles communications qu'elles publient des rapports sur la transparence et documentent l'analyse effectuée avant de décider de faire des communications en vertu de ces dispositions.
[Français]
Je voudrais enfin traiter de l'arrêt Spencer et des incidences qu'il a, selon moi, sur l'alinéa 7(3)c.1) de la LPRPDE.
Dans l'arrêt Spencer, la Cour suprême a statué que les services policiers doivent obtenir un mandat ou une ordonnance lorsqu'ils demandent à une organisation assujettie à la loi de leur fournir des renseignements relatifs à un abonné.
Selon la cour, les renseignements sur les activités en ligne d'un abonné bénéficient d'une attente raisonnable au chapitre du respect de la vie privée. Le fait que les services policiers demandent à l'organisation de communiquer volontairement ces renseignements équivaut à une perquisition en violation de la Charte. Ce jugement constitue, selon moi, un progrès important quant à l'évolution du droit à la vie privée, mais il ne permet pas toutefois de déterminer quels types de renseignements feraient l'objet d'une attente raisonnable quant au respect de la vie privée ni d'établir à quel moment les organisations pourraient volontairement communiquer d'autres types de renseignements à la demande des services policiers.
Les organisations se trouvent ainsi dans un état d'incertitude et d'ambiguïté en ce qui touche les situations où elles peuvent ou non communiquer des renseignements personnels sans mandat, tandis que les individus ignorent dans quels cas leurs renseignements personnels peuvent être communiqués à des autorités de l'État sans leur consentement ou sans autorisation judiciaire préalable.
J'incite donc le comité à recommander qu'on mette fin à cette ambiguïté en clarifiant, après l'affaire Spencer, dans quelles circonstances les pouvoirs de police en common law permettant d'obtenir des renseignements sans mandat peuvent encore être utilisés. J'estime important d'instaurer un cadre juridique fondé sur l'arrêt Spencer afin d'aider les organisations à se conformer à la LPRPDE et de veiller à ce que les autorités de l'État respectent l'arrêt de la Cour suprême.
Plus précisément, je recommande que le Parlement améliore la clarté et la transparence en modifiant la LPRPDE de manière à définir le concept d'autorité légitime aux fins de l'alinéa 7(3)c.1) en fonction de l'arrêt de la Cour suprême, à savoir en présence de circonstances contraignantes, par l'application d'une loi raisonnable autre que l'alinéa 7(3)c.1) ou dans des circonstances prescrites où les renseignements personnels ne font pas l'objet d'une attente raisonnable en matière de respect de la vie privée.
Je vous remercie de votre attention. Je me ferai un plaisir de répondre à vos questions.
:
Je crois qu'il est impératif d'apporter deux grands amendements, que nous pourrons facilement mettre en oeuvre et appliquer.
Je veux parler de l'obligation imposée aux organisations d'aviser le CPVP et les particuliers concernés d'atteintes à la protection des renseignements personnels. Nous savons d'après les médias et d'autres sources que ces atteintes à la protection des renseignements personnels sont un phénomène important touchant de plus en plus les institutions publiques et privées, et nous pensons qu'un régime de notification obligatoire des atteintes à la sécurité des données constituera un progrès important aux termes de la LPRPDE.
Il est évident, à notre avis, que cela aura des répercussions sur les ressources. Nous avons pour l'instant un processus de notification volontaire applicable aux organisations privées, dans le cas d'atteinte à la sécurité des données. Les chiffres varient d'une année à l'autre, mais ce régime a fait l'objet d'environ 60 notifications. Nous nous attendons à ce que ce nombre augmente considérablement à la suite d'un régime obligatoire. C'est ce qui s'est passé en Alberta, lorsque le régime volontaire est devenu obligatoire. Une chose est sûre, le changement aura des conséquences. Mais dans l'ensemble, nous pensons qu'il s'agit d'un développement extrêmement positif.
J'aimerais mentionner en outre un deuxième amendement important concernant les accords de conformité. Nous voulons oeuvrer avec les organisations pour promouvoir la conformité à la LPRPDE. Cela implique que dans certaines circonstances suivant une plainte, nous discutons avec les organisations afin de régler les plaintes de façon conditionnelle, ce qui amène les organisations à modifier leurs pratiques de façon à se conformer davantage à la LPRPDE. Le mécanisme des accords de conformité renforcerait cette capacité.
[Français]
Je vous remercie, monsieur Therrien, ainsi que votre équipe, d'être ici parmi nous aujourd'hui pour témoigner devant notre comité.
[Traduction]
J'espère avoir assez de temps pour deux questions.
La première concerne le point que vous avez soulevé, à savoir que la loi doit se conformer à l'arrêt R. c. Spencer, et comme vous, nous appuyons la nécessité de cette législation que nous attendons depuis longtemps.
Dans votre témoignage, vous prônez davantage de clarté, non seulement pour les organismes, s'agissant de communication de l'information, mais aussi pour les particuliers. L'Assemblée législative de la Colombie-Britannique vient de publier un rapport sur l'examen qu'elle a mené de sa loi sur la protection des renseignements personnels. Elle propose de modifier les articles de la loi afin de permettre la divulgation volontaire, sans mandat, de façon tout à fait semblable à ce qui est prévu aux articles de la LPRPDE afin de se conformer à la décision du tribunal et éviter ainsi une contestation en vertu de la charte.
Pensez-vous que cela ajoute du poids à la recommandation que vous avez faite, à savoir que le gouvernement devrait éviter les contestations devant un tribunal et amender la loi pour tenir compte des préoccupations que vous avez exprimées devant le comité?
Franchement, je n'ai pas pris connaissance de l'amendement proposé à l'Assemblée législative de la Colombie-Britannique. Je ne peux donc pas en faire un commentaire, mais je soulignerai quelques points.
Premièrement, la décision rendue dans l'affaire Spencer est une immense avancée pour le droit relatif à la protection des renseignements personnels. Elle est très utile; elle établit d'excellents paramètres pour la collecte d'informations sans mandat, en prescrivant que les services de police — l'État — ont besoin d'un mandat pour recueillir de l'information lorsque cette dernière a trait à des activités et à des intérêts de particuliers sur l'Internet. C'est déjà un excellent point de départ.
Il y a cependant un point que n'a pas éclairci la Cour suprême et je pense d'ailleurs qu'elle ne le pouvait pas. Elle a laissé la possibilité de recueillir de l'information sans mandat lorsqu'il n'y a pas d'attente raisonnable de protection en matière de vie privée.
À la suite de la décision prise dans l'affaire Spencer, diverses entreprises privées ont indiqué dans quelle mesure elles avaient l'intention d'appliquer cette décision, et nous avons pu constater des variantes. Nous avons en outre constaté diverses interprétations de cette décision par les ministères du gouvernement.
Ce qui m'amène à penser que la décision de la Cour suprême est un excellent point de départ, mais que, étant donné l'ambiguïté et les différentes interprétations données par les organismes privés et les ministères du gouvernement, il serait utile que le Parlement clarifie la situation, en établissant un régime qui préciserait, expliquerait et définirait dans quelles circonstances il n'y a pas d'attente raisonnable de protection en matière de vie privée. Les Canadiens auraient ainsi une bien meilleure idée du type d'informations recueillies et dans quelles circonstances l'information qu'ils diffusent sur Internet pourrait être recueillie sans mandat par les autorités gouvernementales.
Aux termes de la LPRPDE actuelle, il faut terminer l'enquête dans un délai prescrit. Quarante-cinq jours après, le plaignant ou le commissaire peut demander au tribunal une audience de novo s'il n'est pas possible de régler l'affaire avec l'organisme.
Selon notre expérience pratique, 45 jours est un délai très court pour que les organismes aient le temps de régler certains problèmes technologiques hautement complexes ou certaines questions générales de responsabilité. C'est pourquoi nous avons élaboré un mécanisme laissant aux organismes le temps de mettre en place nos recommandations. Nous faisons ensuite un suivi auprès d'elles pendant plusieurs mois, voire un an, pour s'assurer qu'elles ont donné suite aux recommandations.
Le problème est que dans ces circonstances, on peut contester notre décision de s'adresser aux tribunaux en dehors de la période prescrite. Je pense que les accords de conformité tiennent compte de la réalité, à savoir que la résolution de certains problèmes et l'application des recommandations prennent du temps. Cette mesure serait utile parce que, dans bien des cas, ces accords ou ces recommandations sont convenus par les organismes et que leur application est une question de temps.
Les accords de conformité que comprendrait le nouveau projet de loi leur laisseraient, ainsi qu'à nous, le temps de régler le problème, mais ne fermeraient pas la porte à des poursuites, le cas échéant.
:
Chers collègues, nous reprenons. Nous avons deux organisations.
La Chambre de commerce du Canada est représentée par Scott Smith, directeur, Propriété intellectuelle et politique d'innovation.
Bienvenue, monsieur Smith.
Nous avons aussi l'Association canadienne du marketing, représentée par David Elder, conseiller juridique spécial, Protection des renseignements personnels numériques. Vous verrez qu'il y a un autre nom sur la liste: Wally Hill. On m'a dit qu'il pourrait surgir n'importe quand. Son vol a été retardé. Il est le premier vice-président, Affaires gouvernementales et des consommateurs. M. Elder va s'occuper de tout en attendant qu'il arrive.
Nous allons commencer dans cet ordre.
Monsieur Smith, veuillez nous présenter votre exposé, je vous prie.
:
Merci, monsieur le président, mesdames et messieurs les membres du comité. La Chambre de commerce est heureuse de pouvoir s'adresser à vous au sujet du projet de loi et des changements qui sont proposés à la Loi sur la protection des renseignements personnels et les documents électroniques.
La préparation de ce projet de loi a exigé de grands efforts. Comme vous le savez, nous avons vu plusieurs essais au cours des dernières années. Ce n'est certainement pas la première fois qu'on essaie d'apporter des changements à ce qui fait sans doute l'envie d'autres pays qui commencent tout juste à prendre conscience du principe de responsabilité.
Il s'agit d'une réglementation fondée sur les principes qui guide les entreprises au sujet de leurs obligations en matière de protection des renseignements personnels. Elle évite les règles trop normatives et donne en même temps le degré de souplesse nécessaire pour permettre l'innovation.
Bref, la LPRPDE représente un juste équilibre. La modifier sans faire pencher la balance n'est pas une mince affaire. Nous estimons qu'avec les changements proposés dans le projet de loi , on réussit à maintenir cet équilibre. Les recommandations que je vais faire sont de nature très procédurale et ne cherchent pas à modifier fondamentalement l'esprit ou l'intention du projet de loi. Je dirais que par mes observations, je cherche à attirer l'attention du comité sur la possibilité d'améliorer des dispositions particulières de la proposition du gouvernement par des révisions ciblées qui harmoniseraient les changements aux pratiques actuelles de l'industrie tout en répondant aux objectifs du gouvernement.
Nous appuyons les objectifs du projet de loi et les diverses modifications à la LPRPDE qui apporteront de nouvelles certitudes et amélioreront le cadre général de la loi, comme les dispositions touchant la communication de renseignements personnels dans le cadre de transactions commerciales. Ces mesures étendraient la portée de l'exemption relative aux coordonnées d'affaires, laquelle engloberait toute information qui sert à entrer en contact ou faciliter la prise de contact avec une personne dans le cadre de son entreprise, de son emploi ou de sa profession.
Nous proposons des modifications pour quatre aspects précis: premièrement, la validité du consentement; deuxièmement, les critères relatifs à l'avis en cas d'atteinte à des mesures de sécurité et la tenue d'un registre; troisièmement, la communication dans l'intérêt public; quatrièmement, la sécurité des réseaux.
La disposition proposée sur la validité du consentement dans le projet de loi exige des organisations qu'elles portent une attention particulière aux personnes vulnérables. Cette disposition se fonde sur des principes et a une grande portée, mais elle se concentre sur des catégories particulières de personnes. C'est une préoccupation pour les organisations qui s'adressent à un vaste marché.
Nous estimons aussi que ce n'est pas nécessaire. Je pense que le commissaire à la vie privée vous a dit ce matin aussi que cette disposition — qu'il dit peut-être utile — n'est pas nécessaire. L'article 5 de la loi oblige toute organisation à se conformer au code type, qui forme l'annexe 1. Selon l'article 4.3.2 du code type, pour que le consentement soit valable, « les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués ». D'après nous, cette approche fondée sur les principes rend déjà l'intention du projet de loi , et nous croyons que le retrait de cet article améliorerait le projet de loi.
L'objectif selon lequel on aviserait les personnes afin d'atténuer le risque de préjudice grave est très différent de l'objectif selon lequel on aviserait le Commissariat à la protection de la vie privée pour cataloguer les infractions. Cette distinction est mise en évidence dans les lignes directrices du CPVP de 2007, lesquelles définissent un risque réel de préjudice grave et précisent ce qu'est une atteinte importante. Les deux critères sont appliqués depuis plus de 10 ans, et cela fonctionne bien. En pareils cas, il n'y a pas d'atteinte importante, et les exigences de rapport du CPVP seraient onéreuses, aussi bien pour l'organisation que pour le CPVP.
Nous favorisons un libellé qui permet aux organisations d'évaluer les risques liés à une atteinte et au CPVP d'émettre des lignes directrices sur ce qui représente une atteinte importante pour laquelle il faudrait produire un rapport — autrement dit, le régime actuel.
Parce qu'il n'y a pas de définition de ce qui constitue une atteinte importante, la tenue de registres est aussi problématique. Dans bien des cas, comme quand un classeur contenant de l'information sur les employés n'est pas verrouillé, il y a une atteinte, mais les conséquences ne sont pas importantes. L'obligation de tenir des registres de la manière prescrite pour une période de temps non précisée alors qu'il n'y a aucun effet sur la vie privée d'une personne et que le défaut de tenir de tels registres constitue une infraction criminelle représente un fardeau déraisonnable aux organisations.
De plus, en ce qui concerne la définition d'une atteinte importante, nous estimons que les accords de conformité devraient se concentrer sur les exigences de la LPRPDE et y être directement liés, ce qui garantirait la transparence et la clarté de la loi concernant ce que les entreprises doivent faire pour éviter de se retrouver dans une situation qui justifierait un accord de conformité pour commencer.
Dans son état actuel, le nouvel article 17.1 soulève des préoccupations, en ce sens que le libellé trop général, par exemple, « des conditions », pourrait donner un pouvoir exagéré au commissaire à la protection de la vie privée. Une période de préavis raisonnable devrait accompagner cette contrainte.
De plus, à l'article 17, nous craignons que l'exception à l'interdiction générale de communication par le CPVP soit déphasée par rapport à d'autres lois canadiennes, dont la Loi sur la concurrence, et qu'elle ait comme conséquence imprévue de miner les relations de collaboration et la communication d'information actuelles.
J'ai parlé des modifications que nous recommandons. Nous croyons qu'il manque quelque chose de très important que vous devriez envisager, dans le projet de loi , ce qui m'amène à vous parler de la sécurité des réseaux et des renseignements. Une menace peut être présente sur un réseau pendant en moyenne 229 jours sans être détectée, et les réseaux dépassent les organisations individuelles.
Le 13 février, le président Obama a émis un décret par lequel il enjoignait au secteur privé d'améliorer l'échange d'information en matière de cybersécurité. Le décret reconnaît que, pour contrer les cybermenaces, les entreprises privées, les organismes sans but lucratif, les départements administratifs et agences du gouvernement et autres entités doivent être en mesure d'échanger de l'information sur les risques et incidents de cybersécurité, et de collaborer en vue de réagir autant que possible en temps réel. Nous trouvons qu'il faut les mêmes mécanismes ici au Canada.
Les modifications proposées dans le projet de loi prévoient des exceptions limitées qui permettent la collecte, l'utilisation et la communication de renseignements personnels, mais il faut des changements pour donner aux organisations une forme de certitude légale leur permettant de gérer les menaces. Selon notre interprétation, le traitement relatif à la sécurité des réseaux et des renseignements relève de la LPRPDE, puisque les données traitées à des fins de sécurité des réseaux et des renseignements sont souvent des renseignements personnels comme un nom, l'adresse IP d'un PC zombie faisant partie d'un réseau, ou une adresse de courriel. Nous demandons essentiellement une exception claire pour le traitement de la sécurité des réseaux et des renseignements de sorte que les organisations aient une forme de certitude légale et ne soient pas obligées de mettre un frein au traitement de la sécurité des réseaux et des renseignements ou de fonctionner dans une zone juridique grise.
Les modifications au libellé que nous recommandons ont été soumises par la Chambre de commerce du Canada au nom d'une coalition d'entreprises et d'organisations, et je vous prie de voir dans ces recommandations notre désir d'en arriver aux mesures législatives les plus efficaces en matière de protection des renseignements personnels.
Je vous remercie de votre attention.
:
Merci beaucoup, monsieur le président.
Encore une fois, je vous présente mes excuses au nom de mon collègue, M. Hill, dont le vol a été retardé deux fois ce matin. Nous savons tous ce que c'est que de voyager dans notre beau et grand pays à ce temps-ci de l'année.
Je remercie le comité de nous avoir invités à comparaître pour parler du projet de loi , Loi sur la protection des renseignements personnels numériques.
L'Association canadienne du marketing, ou l'ACM, est la plus importante association de marketing au Canada. Elle compte quelque 800 entreprises membres englobant les principaux secteurs commerciaux canadiens, toutes les disciplines du marketing, tous les types et toutes les technologies qui y sont liées.
L'ACM est la voix nationale du milieu du marketing au Canada, et par nos activités de défense des intérêts du secteur, nous cherchons à favoriser un environnement favorable au succès du marketing éthique. Malgré quelques réserves, l'ACM appuie l'initiative du gouvernement de mettre à jour les mesures législatives visant la protection des renseignements personnels à l'intention du secteur privé. Je vais soulever deux éléments qui importent particulièrement aux spécialistes en marketing.
Premièrement, la Loi sur la protection des renseignements personnels numériques éclaircit la définition de « coordonnées d'affaires », de sorte que les adresses électroniques commerciales soient traitées de la même façon que dans d'autres lois portant sur la protection des renseignements personnels. C'est un changement important et bienvenu que les entreprises ont réclamé au cours du dernier examen de la LPRPDE.
Deuxièmement, il y a les dispositions relatives à l'avis à signifier en cas d'atteinte. Au dernier examen de la LPRPDE, l'ACM a encouragé le commissaire à la protection de la vie privée à créer des lignes directrices nationales concernant l'avis à signifier en cas d'atteinte, lesquelles lignes directrices ont été publiées en 2007, après consultation des parties prenantes. Les dispositions du projet de loi visant les atteintes se fondent sur ces lignes directrices et vont faire en sorte que les consommateurs auront davantage la certitude que les organisations vont protéger leurs renseignements personnels. C'est particulièrement important en 2015, car une grande partie de notre commerce se fait par voie numérique.
Nous sommes d'accord avec les points de vue et propositions de la Chambre de commerce. J'aimerais en dire plus, cependant, sur deux des questions soulevées par mes collègues.
Premièrement, selon l'article 10.3 du projet de loi, les organisations doivent tenir et conserver un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion. Ceci est source de préoccupations, car le terme « atteinte » est très général, et il pourrait y avoir de nombreuses atteintes de nature technique, comme l'accès non autorisé à des renseignements personnels ou la communication de renseignements personnels, même s'ils ne sont pas délicats ou s'ils sont banals.
On ne mentionne aucune norme fondée sur l'importance dans les exigences relatives à la tenue de registres. Toutes les atteintes devront être consignées avec diligence de la manière prescrite, même s'il n'y a manifestement aucun risque. Cela pourrait devenir une obligation onéreuse pour les entreprises, surtout pour les petites et les moyennes entreprises.
Cela s'accompagne de plusieurs autres difficultés pour les organisations. Il y a ce qu'il en coûte pour recueillir et conserver cette information. Conserver des renseignements personnels ainsi va aussi à l'encontre des bonnes pratiques en matière de protection des renseignements personnels, d'autant plus qu'ils doivent être conservés pour une période de temps indéfinie.
Enfin, l'un des problèmes, concernant la tenue de registres, c'est qu'il s'agit de l'une des très rares dispositions de la LPRPDE dont la violation constitue une offense qui va au-delà de la loi. Comme M. Therrien l'a dit ce matin au sujet de la façon dont les entreprises ont abordé la production de rapports sur les atteintes, je pense que vous aurez aussi une collecte excessive parce que les entreprises voudront être conformes à la loi. De plus, on consacrera beaucoup d'efforts et de matériel au catalogage d'atteintes très mineures.
L'ACM recommande l'adoption d'un seuil d'importance relative, comme l'indique le mémoire de la coalition d'entreprises. Au moins, il faut absolument traiter du seuil d'importance relative et de la période de conservation, premièrement par une mention dans la loi, puis au moyen d'un règlement plus détaillé.
La deuxième chose dont je veux parler est l'article 5, qui propose l'ajout de l'article 6.1, lequel précise la définition de la validité du consentement. Le ministre a expliqué que le but de cet article est de renforcer les pratiques exemplaires, de protéger certains groupes, comme les enfants, qui auraient plus de difficulté à comprendre le libellé des dispositions relatives à la protection des renseignements personnels et au consentement.
Au fait, l'ACM demande depuis longtemps à ses membres d'accorder une attention particulière aux jeunes. Le CPVP a aussi décrit en termes favorables la façon dont le code d'éthique et les normes de pratique de l'ACM établissent des dispositions spéciales sur le consentement relatives à la collecte, à l'utilisation et à la communication de renseignements personnels provenant d'enfants et d'adolescents à des fins de marketing.
Cependant, en plus, en vertu du libellé actuel, le CPVP a déjà rendu des décisions exigeant qu'on veille particulièrement à ce que les jeunes comprennent les pratiques relatives à la protection de la vie privée des organisations, et il a en plus produit des lignes directrices selon lesquelles les organisations doivent reconnaître les particularités de la gestion des renseignements personnels des enfants et des jeunes et s'y adapter.
En interprétation législative, on suppose, comme vous le savez bien, que chaque disposition a une utilité. On dit souvent que la loi ne parle pas en vain. Quelle est donc l'utilité de cette nouvelle disposition? Si, déjà, une disposition exige de manière générale que chacun comprenne à quoi servira l'information qu'il fournira et qu'il donne son consentement s'il l'a compris, qu'ajoute cette disposition?
Je pense qu'on craint ici une interprétation large de la disposition, dans son libellé actuel, assortie d'obligations supplémentaires. Nous avons entendu dire que les craintes concernent les enfants et les groupes vulnérables. Cependant, le projet de loi ne le dit pas. Il est beaucoup plus général. Nous voudrions qu'il soit plus clair.
En fait, nous recommanderions de laisser tomber cette disposition ou, à tout le moins, de la modifier pour préciser qu'elle s'applique uniquement aux groupes vulnérables.
Les mercaticiens canadiens et l'Association canadienne de marketing reconnaissent bien que la confiance du consommateur est d'une importance capitale et qu'elle repose principalement sur le respect des renseignements personnels. On lit dans son préambule que la Loi sur la protection des renseignements personnels et les documents électroniques vise à promouvoir le commerce électronique en protégeant les renseignements personnels. De saines habitudes de protection de la vie privée sont bonnes pour les consommateurs, les entreprises et notre économie.
Nous remercions le comité pour l'attention qu'il nous a accordée. Nous serons heureux de répondre à ses questions.
:
Je vous remercie pour votre question.
C'est que la loi précise déjà que, pour que le consentement soit valable, les fins doivent être déclarées de manière à ce que l'individu comprenne bien comment l'information servira ou sera communiquée. Nous essayons de comprendre quelle exigence supplémentaire est sous-jacente à ce consentement, compte tenu, particulièrement, des décisions du Commissariat à la protection de la vie privée et des lignes directrices publiées au sujet des groupes vulnérables.
On peut se le demander: jusqu'où cela peut-il aller?
Je pense que l'industrie convient, particulièrement quand il s'agit d'enfants et de jeunes, de la nécessité de formuler les politiques concernant la vie privée pour qu'elles se fassent raisonnablement comprendre par cette tranche de la population.
Mais jusqu'où cela va-t-il? Si j'ai une multitude de sites et que, pour des motifs opérationnels, je préférerais manifestement appliquer à chacun une politique unique concernant la protection de la vie privée, à quel point me faut-il les individualiser? Si l'un de mes sites s'adresse aux amateurs de hockey, faut-il que, par des études, je l'adapte à cet auditoire, qui risque de comprendre différemment ce que le site leur présente? Si je suis un fabricant de jeux faut-il une politique différente pour un jeu de rôle, un jeu comme Candy Crush et un jeu de vocabulaire? Je pense que c'est cela qui nous inquiète.
:
Je vous remercie pour votre question.
J'ai parlé de collecte excessive, car c'est ce que risque d'entraîner le nouvel article 10.3, qui exige qu'une organisation « tienne et conserve un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion ». La définition du terme « renseignements personnels » est très large. Il s'agit en fait de tout renseignement sur une personne identifiable, et il est possible que de légères atteintes aux mesures de sécurité, des atteintes de nature technique, se produisent quotidiennement. Je vais vous donner quelques exemples. On pourrait poster une lettre dont l'enveloppe comporte une étiquette d'adresse sur laquelle figure par erreur l'âge du destinataire. Voilà une atteinte, car il s'agit là d'un renseignement sur une personne identifiable. Il se pourrait aussi que, dans un magasin, le commis laisse sur le comptoir, pendant qu'il répond au téléphone, la commande d'un client. La commande serait à la vue des autres clients, mais elle révèle peut-être seulement la pointure de chaussures de la personne. Voilà une autre atteinte. En vertu du projet de loi, il faudrait tenir un registre de toutes ces atteintes et le conserver jusqu'à ce que le CPVP demande de l'obtenir.
C'est ce qui nous préoccupe. Il n'y a pas de seuil, et parce que cette disposition est liée à une infraction, il risque d'y avoir une collecte excessive. Les entreprises vont pécher par excès de prudence et vont tout consigner dans tous les magasins et dans tous les centres d'appels partout au pays.