INDU Réunion de comité

    Bonjour, mesdames et messieurs. Bonjour à tous.

    Bienvenue à la 36^e séance du Comité permanent de l'industrie, des sciences et de la technologie. Nous étudions le projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence.

    Nous accueillons aujourd'hui Vincent Gogolek, directeur général de la BC Freedom of Information and Privacy Association.

    Nous étions censés recevoir des représentants du Bureau d'assurance du Canada, mais ils sont coincés sur l'aire de trafic à Toronto, à bord d'un avion qui n'a pas pu décoller. Ils essaient de trouver un autre vol, mais évidemment, ils ne pourront pas être ici à temps pour la réunion. Nous les avons déjà convoqués par téléphone à une autre réunion.

    Nous recevons également Michael Geist, titulaire de la Chaire de recherche du Canada en droit d'Internet et du commerce électronique à l'Université d'Ottawa. Il témoigne à titre personnel.

    Enfin, nous entendrons, par téléconférence, Philippa Lawson, avocate-procureure. Elle se joint à nous depuis Whitehorse, au Yukon.

    Pouvez-vous nous entendre, madame Lawson?

    Oui, je vous entends, merci. Bonjour.

    Très bien. Bonjour.

    Nous allons suivre l'ordre du jour dont nous sommes saisis. Commençons donc par votre déclaration préliminaire, monsieur Gogolek.

     Merci, monsieur le président.

    Je remercie le comité de nous avoir invités ici.

    Nous vous avons remis notre mémoire, dans lequel vous trouverez un certain nombre de liens vers les documents connexes. Je ne vais pas vous en faire la lecture. Je me contenterai de soulever quelques-uns des points qui s'y trouvent afin de laisser plus de temps, je l'espère, pour la période des questions au sujet de cette mesure législative très importante.

    Je tiens également à dire que nous sommes heureux que le comité entende des témoins à l'étape de la deuxième lecture. Nous estimons qu'il s'agit là d'un signe positif, comme quoi le gouvernement est favorable et ouvert aux amendements, bien plus que la normale.

    En premier lieu, je voudrais vous parler de la décision rendue l'année dernière par la Cour suprême du Canada dans l'affaire Spencer. J'aimerais me concentrer sur le cas de la Colombie-Britannique. Comme vous le savez, un comité législatif spécial a examiné notre loi provinciale, la Personal Information Protection Act, qui est essentiellement semblable à la loi fédérale. Le comité a recommandé des modifications à une disposition, qui est l'équivalent de l'article 7. Je crois que vous trouverez, dans notre mémoire, le lien vers ce rapport.

    Le comité a proposé de restreindre la portée de cette disposition législative de la Colombie-Britannique.

    Par ailleurs, le comité législatif spécial de la Colombie-Britannique a exprimé des préoccupations — dont certaines lui ont été signalées par nous, ainsi que par la commissaire à l'information et à la protection de la vie privée, Elizabeth Denham — quant à la question de la similitude appréciable entre la loi provinciale et la loi fédérale; nous en discutons un peu dans le mémoire.

    À l'instar du comité de la Colombie-Britannique et de son homologue provincial, le commissaire fédéral à la protection de la vie privée, M. Therrien, a lui aussi exprimé des réserves quant à l'article 7, et il y a proposé quelques modifications.

    En deuxième lieu, j'aimerais faire valoir un point que nous avons soulevé au Comité de l'accès à l'information, de la protection des renseignements personnels et de l'éthique, et il s'agit de la question des partis politiques. En effet, les partis politiques ne sont pas assujettis à la loi fédérale sur la protection des renseignements personnels. Les grandes quantités de données recueillies par les partis politiques ne sont essentiellement pas réglementées. Je ne crois pas que ce soit acceptable, puisqu'il s'agit d'une énorme lacune qui réduit la confiance des Canadiens non seulement envers la loi sur la protection des renseignements personnels, mais aussi envers l'utilisation que l'on fait de leurs renseignements personnels.

    Voici, à titre comparatif, la situation en Colombie-Britannique, où les partis politiques provinciaux sont régis par la Personal Information Protection Act. Notre commissaire a mené des enquêtes à la suite de plaintes qui ont été portées à son attention par des particuliers au sujet des activités des partis politiques. À l'issue de ces enquêtes, qui ont abouti à la publication de rapports, certaines pratiques ont été modifiées et, pourtant, le système politique suit son cours. Autrement dit, on n'a pas assisté à l'effondrement total du milieu politique ou des partis politiques en Colombie-Britannique. C'est là un exemple de ce que nous pouvons faire et du genre de résultat que nous pouvons facilement obtenir, selon moi, grâce à l'ajout d'une disposition sur les partis politiques à la LPRPDE.

    En dernier lieu — et je serai bref, car je crois que Mme Lawson en parlera également —, nous travaillons à l'heure actuelle sur un rapport à l'intention du commissaire fédéral à la protection de la vie privée, intitulé The Connected Car: Who is in the Driver's Seat?. Le rapport sera rendu public le 25 mars, à Vancouver, et nous serons heureux de vous en faire parvenir des copies.

    Je vais laisser Mme Lawson parler de certains des détails. Bien entendu, nous ne révélerons pas le rapport ici, aujourd'hui, mais il y a évidemment un certain nombre de questions liées à la protection des renseignements personnels, au consentement et aux choix des consommateurs. Je crois que les membres du comité trouveront ce rapport très intéressant, et nous espérons qu'il sera également utile pour votre travail.

    Merci, monsieur Gogolek.

    Monsieur Geist, c'est maintenant à votre tour de faire votre déclaration préliminaire.

     Merci, monsieur le président.

    Bonjour. Je m'appelle Michael Geist, et je suis professeur de droit à l'Université d'Ottawa, où je suis titulaire de la Chaire de recherche du Canada en droit d'Internet et du commerce électronique. J'ai comparu devant votre comité à plusieurs reprises pour parler de questions concernant les politiques numériques, y compris la protection de la vie privée. Je suis ici aujourd'hui à titre personnel, comme toujours, pour vous parler de mes propres points de vue.

    En fait, j'ai eu l'occasion de comparaître devant le comité sénatorial chargé d'étudier le projet de loi S-4, et j'ai alors soulevé trois grandes questions.

    Premièrement, j'ai appuyé plusieurs dispositions importantes du projet de loi, particulièrement celles qui prévoient des précisions supplémentaires à la norme en matière de consentement, la prolongation du délai pour présenter des cas à la Cour fédérale et l'expansion des pouvoirs du commissaire à la protection de la vie privée pour rendre publics des renseignements liés à des constatations ou à d'autres questions. Deuxièmement, j'ai mis en évidence des questions qui, à mon avis, nécessitent une modification ou une amélioration: les règles de divulgation d'une atteinte à la sécurité, particulièrement l'élimination du processus de divulgation à deux volets qui était prévu dans certains projets de loi présentés antérieurement; les dispositions sur les accords de conformité, qui, selon moi, pourraient être renforcées par l'ajout de sanctions ou d'un pouvoir d'ordonnance; et l'élargissement de la disposition sur la communication volontaire de renseignements personnels entre les organisations du secteur privé. Troisièmement, j'ai parlé de certaines dispositions manquantes, notamment la publication obligatoire de rapports de transparence.

    Comme mon temps est limité ce matin, je vais m'attarder sur seulement deux questions: la disposition sur la communication volontaire et les rapports de transparence.

    En ce qui concerne la communication volontaire, comme vous le savez, le projet de loi S-4 élargit la possibilité de communiquer des renseignements personnels à n'importe quel organisme — pas seulement aux organismes d'application de la loi —, et ce, sans le consentement de l'intéressé ou sans la surveillance des tribunaux. Comme vous le savez, le projet de loi contient une disposition qui accorde aux organismes le droit de communiquer volontairement des renseignements personnels, à l'insu de l'intéressé ou sans son consentement et sans mandat, à des organismes qui ne s'occupent pas de l'application de la loi, à condition que ces organismes enquêtent sur la violation d'un accord, une atteinte juridique ou même la possibilité d'une infraction future.

    Cette exception trop générale permettra aux entreprises de communiquer des renseignements personnels à d'autres entreprises ou organisations sans l'autorisation d'un tribunal. Je crois que cela va à l'encontre des décisions rendues par la Cour fédérale, qui visaient à établir des limites claires et à assurer une surveillance de ces communications. De plus, c'est contraire à l'esprit de l'arrêt Spencer de la Cour suprême du Canada, qui a statué que les Canadiens ont une attente raisonnable en matière de protection de la vie privée concernant ces renseignements. En fait, si nous examinons les principaux arrêts qui portent sur la communication des renseignements sur les clients dans des poursuites en justice privées — donc, des poursuites qui ne mettent pas en cause des organismes d'application de la loi — comme les arrêts Warman c. Fournier, BMG c. Doe, Voltage c. Doe —, force est de constater qu'ils mettent presque tous l'accent sur la nécessité de prendre des mesures de protection avant que les renseignements sur les clients soient communiqués, même dans le cadre d'une enquête.

    D'ailleurs, un comité de la Chambre des communes avait recommandé une réforme semblable en 2006, mais sa recommandation avait alors été rejetée à la fois par le gouvernement conservateur et par la commissaire à la protection de la vie privée du Canada.

    Je reconnais que certains ont laissé entendre que l'Alberta et la Colombie-Britannique ont adopté des dispositions semblables et que leur approche n'a causé aucun préjudice. Mais je n'en suis pas convaincu. Selon moi, personne ne peut conclure de façon raisonnable que l'approche provinciale n'a pas entraîné des risques ou des préjudices en matière de protection des renseignements personnels. Il est important de garder à l'esprit que la communication n'est pas nécessairement révélée à l'intéressé. En effet, le but consiste souvent à communiquer des renseignements à l'insu de l'intéressé ou sans son consentement, c'est-à-dire sans qu'il sache que ses renseignements personnels ont été communiqués. Lorsque le comportement préjudiciable est tenu secret de ceux qui sont touchés, le fardeau de la preuve devient impossible. En fait, même s'il y a lieu de croire que les communications pourraient être dévoilées dans le cadre de processus judiciaires, si les choses en arrivent là — et nous savons que ce n'est souvent pas le cas —, les lois provinciales sur la protection des renseignements personnels, comme celles de l'Alberta et de la Colombie-Britannique, permettent rarement la divulgation de ces types de cas. Ce n'est donc pas une coïncidence si les décisions importantes en matière de renseignements personnels invoquent la LPRPDE, parce que ces cas mettent en cause généralement des sociétés de télécommunication, des fournisseurs de services Internet, des sites web et des banques, tous régis largement par la LPRPDE.

    Autrement dit, l'existence d'une telle disposition à l'échelle provinciale nous en dit très peu sur la façon dont elle sera utilisée aux termes de la LPRPDE. La réforme ici, je crois, est claire. Il n'y a pas de besoin criant pour un changement. Le système actuel existe depuis de nombreuses années, et il y a des douzaines d'organisations qui sont visées par l'exception concernant les organismes d'enquête. Cela aurait pu être un peu difficile il y a 10 ans, mais aujourd'hui, l'idée d'une réforme est bien peu sensée. Par ailleurs, si certaines industries peuvent susciter des préoccupations, je pense qu'il y a lieu de les régler par un amendement de portée étroite, mais il faudrait retirer la disposition générale que nous avons ici parce qu'elle ouvre la porte à une prolifération massive des communications volontaires sans aucun avis et sans aucune des limites imposées par les tribunaux.

    Deuxièmement, il faut des rapports de transparence. Selon moi, le projet de loi présente une lacune flagrante, à savoir le manque de transparence dans les exigences en matière de rapports concernant la communication des renseignements personnels. L'année dernière, les révélations selon lesquelles il y aurait eu plus d'un million de demandes et plus de 750 000 communications de renseignements personnels dans une année, la majorité du temps sans surveillance judiciaire ni mandat, témoignent d'une faiblesse extrêmement troublante des lois canadiennes sur la protection des renseignements personnels.

     Plus récemment, le commissaire à la protection de la vie privée du Canada a essayé d'effectuer une vérification de la collecte, par la GRC, de renseignements sur les abonnés, mais il a été essentiellement forcé d'y renoncer lorsque les données se sont avérées inexactes et incomplètes.

    Cela dit, certaines entreprises, comme Rogers et Telus, ont commencé à publier des rapports de transparence, mais ce n'est pas le cas pour d'autres entreprises, notamment Bell. La plupart des Canadiens ne sont tout simplement pas au courant. Selon moi, il y a lieu de corriger cette lacune grâce à deux réformes.

    Premièrement, la loi devrait obliger les organisations à rendre public le nombre de communications effectuées à l'insu des intéressés ou sans leur consentement et sans mandat. Cette information devrait être divulguée en bloc, tous les trois mois — donc, tous les 90 jours. Je ne dis pas qu'il faut en aviser chaque personne immédiatement; nous parlons plutôt de données présentées de façon globale, tous les trois mois.

    Deuxièmement, ces organisations devraient, à un moment donné, être tenues d'aviser les personnes concernées dans un délai raisonnable. Laissons de côté l'obligation de garder l'information secrète dans le cadre d'une enquête; une fois que l'enquête est terminée ou qu'un laps de temps considérable s'est écoulé, il faut soit obtenir une ordonnance du tribunal pour maintenir le caractère secret de l'information, soit signaler la divulgation à la personne concernée.

    L'adoption de ces dispositions — les rapports de transparence et le signalement — serait, à mon avis, un important pas en avant pour assurer une plus grande transparence aux Canadiens et les informer de l'utilisation et de la communication de leurs renseignements personnels.

    Je suis prêt à répondre à vos questions.

    Merci beaucoup, monsieur Geist.

    Nous allons maintenant entendre Mme Lawson, qui se joint à nous par téléphone.

    Nous vous laissons la parole pour votre déclaration préliminaire.

    Merci beaucoup.

    Bonjour, mesdames et messieurs les membres du comité. Merci de me donner l'occasion de vous parler du projet de loi S-4, qui propose des modifications à la LPRPDE.

    Mon travail dans ce dossier remonte aux origines de cette loi, c'est-à-dire au code type sur la protection des renseignements personnels de l'Association canadienne de normalisation et aux initiatives subséquentes visant à légiférer les normes volontaires. À l'époque, en ma qualité d'avocate au Centre pour la promotion de l'intérêt public, j'avais représenté l'intérêt public au sein du comité chargé de rédiger le code. J'ai ensuite plaidé en faveur d'une mesure législative, qui a fini par devenir la LPRPDE.

    Depuis, je participe de près au dossier de la LPRPDE, d'abord en tant que défenseure des consommateurs au Centre pour la promotion de l'intérêt public et, plus tard, en tant que directrice de la CIPPIC; d'ailleurs, je crois comprendre que vous avez déjà entendu les témoignages de ces deux organisations. J'ai notamment mené des études sur la conformité du secteur privé à la LPRPDE. J'ai également déposé un certain nombre de plaintes aux termes de la LPRPDE auprès du Commissariat à la protection de la vie privée. J'ai intenté une poursuite judiciaire afin d'établir que la commissaire à la protection de la vie privée avait la compétence voulue pour imposer la LPRPDE aux sociétés étrangères au Canada. En 2007, j'ai publié une étude sur les lois ayant trait aux avis d'atteinte à la sécurité. J'exhorte, depuis 2003, le gouvernement à adopter des lois sur le signalement obligatoire des atteintes à la sécurité.

    Aujourd'hui, je parle à titre personnel, en ma qualité d'avocate et de militante pour la protection de la vie privée. La dernière fois que je me suis prononcée officiellement sur la réforme de la LPRPDE, c'était en 2008, lorsque j'étais directrice de la CIPPIC. J'avais alors mis l'accent sur trois questions: le signalement des atteintes à la sécurité, la protection des mineurs, ainsi que la conformité et l'application. L'analyse et les propositions faites dans mon dernier mémoire demeurent valables encore aujourd'hui, et je me ferai un plaisir de vous en fournir une copie, si cela vous intéresse.

    Je suis heureuse de voir que le gouvernement a jugé bon d'aborder ces trois questions dans le projet de loi S-4, mais je suis déçue que les mesures prévues dans chaque cas soient loin de suffire. Je vais aborder brièvement chacun de ces trois sujets, mais auparavant, j'aimerais parler d'un problème aussi visible qu'un éléphant. Il s'agit de la question du consentement.

    Les entreprises donnent l'impression d'obtenir le consentement éclairé des clients pour la collecte, l'utilisation et la communication de leurs renseignements personnels. Mais quiconque prend le temps d'étudier ce qui se passe réellement ne tardera pas à comprendre qu'il s'agit là essentiellement d'un mythe, car les entreprises obtiennent rarement le consentement éclairé des consommateurs.

    Le consentement par défaut est couramment utilisé, mais rarement porté à l'attention des clients. En fait, le consentement est souvent présumé, du simple fait que le client utilise le service. Les modifications apportées aux politiques de confidentialité ne sont que publiées sur le site web des entreprises, et les clients sont censés s'informer eux-mêmes. Personne ne s'attend vraiment à ce que les gens lisent les conditions de service pour chaque transaction, car il s'agit de textes longs et complexes. Les gens n'ont tout simplement pas le temps. S'ils prenaient le temps de lire les conditions, ils verraient qu'ils consentent théoriquement à ce que leurs renseignements personnels soient utilisés à des fins comme — et là, je m'appuie sur les politiques de confidentialité que j'ai examinées — la recherche, le marketing, le développement de produits ou des activités d'ordre commercial. Voici une autre pratique qui contrevient à la LPRPDE: de nombreuses entreprises refusent de transiger avec les clients qui n'acceptent pas les utilisations indues de leurs renseignements personnels, comme le marketing.

    Il faut remettre les pendules à l'heure en ce qui concerne le soi-disant consentement des clients. D'ici là, l'article 6.1 proposé est une explication utile de ce que la loi exige déjà. Cette disposition pourrait avoir un effet positif sur ce qui est, à mon humble avis, une pratique honteuse largement répandue.

    Toutefois, le libellé actuel de l'article 6.1 proposé pourrait avoir un effet pervers sur la protection des enfants ou des aînés. Si vous lisez la disposition, vous verrez qu'elle ne protège pas les personnes vulnérables qui ne sont pas visées par les activités d'une organisation. Ainsi, une entreprise peut offrir ses activités aux adultes, mais fermer les yeux sur le fait que des enfants y adhèrent; c'est tout ce qu'il faut pour exploiter des enfants. La solution simple est de rétablir le libellé antérieur de cet article, tel qu'il était énoncé dans le projet de loi C-12. Par contre, si l'objectif est de protéger les enfants, une approche beaucoup plus efficace sera d'interdire carrément certaines utilisations de renseignements personnels concernant les enfants.

    J'ai quelques mots à dire sur le signalement d'atteintes à la sécurité des données. Cette mesure ne s'est que trop fait attendre, et ce sera certainement une amélioration par rapport à la situation actuelle. Mais les règles proposées seront-elles efficaces? Le signalement d'atteintes ne consiste pas seulement à aviser les intéressés. Il importe également de créer des incitatifs pour pousser les organisations à implanter de solides mesures de sécurité.

    Pour créer de tels incitatifs, il faut que les organisations s'exposent à un risque réel de préjudice financier substantiel si elles ne mettent pas en place des mesures de sécurité adéquates. C'est le critère que vous devriez appliquer en évaluant le régime de signalement d'atteintes à la sécurité des données proposé: les organisations non conformes s'exposent-elles à un risque réel de préjudice financier substantiel?

    Je ne suis pas convaincue que ce soit le cas. Les amendes ne s'appliquent que si l'entreprise ne rapporte pas l'incident ou ne conserve pas de registres, et exigent de lourdes procédures et une preuve d'intention. Les poursuites civiles sont trop coûteuses pour être une solution adéquate dans la plupart des cas, et le commissaire à la protection de la vie privée peut être dissuadé d'utiliser la publicité à cette fin en raison du paragraphe 20(1.1), qui interdit la divulgation des rapports sur le signalement d'atteintes. Je ne comprends pas cette disposition.

    Tant qu'il n'y aura pas d'incitatifs financiers réels pour pousser les entreprises à prendre les mesures appropriées afin d'empêcher les atteintes de survenir et à se conformer aux lois sur la protection de la vie privée, la non-conformité à la LPRPDE continuera d'être considérée comme un coût d'exploitation au Canada.

    J'aimerais terminer par quelques commentaires sur les enquêtes privées. Je crains fort que si les modifications qu'on propose d'apporter au régime applicable aux organismes d'enquête actuel ne soient adoptées, la protection de la vie privée en pâtira au Canada.

    Je ne répéterai pas les propos éclairés de mon collègue, M. Geist, à ce sujet, mais permettez-moi de faire remarquer que dans le nouveau monde d'entreposage de données à bas prix et de forte capacité d'analyse des données, la seule chose qui limitera les mesures que les entreprises peuvent prendre pour détecter la fraude, les critiques ou le non-respect des clauses de contrat, ce sont les dispositions que vous mettrez dans ce projet de loi. Avec la technologie d'aujourd'hui, il revient moins cher de réunir plus de données et d'appliquer des outils d'analyse à une vaste base de données que de limiter la collecte de données à ce qu'on a besoin au départ.

    Dans ce contexte, les compagnies d'assurance et d'autres entreprises soutiendront certainement qu'il est raisonnable qu'elles se livrent à ce qui revient à une surveillance large et approfondie de leurs clients afin de détecter les fraudes.

    L'alinéa 7(3)d.2) les y autoriserait justement. Il n'exige aucune enquête officielle. La communication doit simplement être raisonnable, pas même nécessaire, comme le prévoyait le projet de loi C-12. Cette disposition ouvrirait la porte au partage routinier de renseignements personnels entre les organisations sous prétexte qu'il existe toujours un risque de fraude. De plus, ces organisations ne seraient pas tenues de faire preuve de transparence ou de rendre des comptes. Voilà qui constituerait un recul important sur le plan de la protection de la vie privée des consommateurs.

    Je crois comprendre que cette modification s'inspire du modèle de l'Alberta. Mais après avoir examiné ce modèle, j'ai conclu que l'alinéa 20n) de la loi albertaine n'est pas aussi permissif que cette disposition, car il restreint la communication de renseignements à certaines organisations.

    Je vous exhorte à éliminer ces dispositions du projet de loi et à maintenir le régime applicable aux organismes d'enquête actuel. Je vous incite également à adopter les mesures de transparence que mon collègue, M. Geist, a recommandées.

    Merci beaucoup.

    Merci beaucoup, madame Lawson.

    Nous allons maintenant effectuer des tours de questions. Si on fait quelques calculs, en tenant compte du fait que nous dépassons parfois un peu notre temps même si j'essaie d'être très strict à cet égard, nous accorderons huit minutes à chaque membre.

    Nous commencerons par M. Carmichael, qui dispose de huit minutes.

    Merci, monsieur le président.

    Huit minutes, c'est comme une éternité. C'est un changement agréable.

    Bienvenue à nos témoins. Bonjour à tous. Merci de témoigner aujourd'hui. Je suis enchanté de vous voir ici ce matin.

    Monsieur Geist, merci de votre exposé, qui donne beaucoup à réfléchir.

    Vous avez laissé entendre que ce projet de loi va trop loin en ce qui concerne la modification relative au régime applicable aux organismes d'enquête. Le commissaire à la protection de la vie privée a indiqué que rien ne montre que le régime est déficient en Colombie-Britannique ou en l'Alberta, et d'autres parties prenantes tendent à appuyer cette modification.

    Je me demande si vous pourriez répondre à cela.

    Certainement. Simplement pour réitérer certains propos que j'ai tenus à ce sujet au cours de mon exposé, je pense que bien des gens se sont dits préoccupés par cette disposition. Mais pour ce qui est des observations du commissaire à la protection de la vie privée — et je trouve que c'était une bonne question —, je pense franchement que c'est presque un fardeau injuste que d'affirmer que rien n'indique qu'il y a des problèmes en Alberta et en Colombie-Britannique, puisque les gens ne sont pas informés quand ces communications de renseignements ont lieu.

    Par définition, nous parlons des communications qui pourraient se produire sans que l'intéressé en soit avisé. Il est question de communiquer des renseignements sans que l'intéressé accorde son consentement et sans que quiconque soit avisé. De telles communications peuvent donc bien avoir lieu, ce qui pourrait être préjudiciable dans certains cas; mais à dire vrai, les intéressés ne le savent tout simplement pas. Je pense donc qu'on peut très difficilement conclure qu'elles ne sont pas préjudiciables. Ces communications de renseignements peuvent fort bien se produire aux termes de ce régime — et à la manière dont Mme Lawson a décrit la situation, il semble que c'est vraisemblablement le cas —, mais la plupart des gens ne sont même pas au courant. En outre, quand ces affaires sont mises au jour, c'est-à-dire habituellement quand elles se finissent devant les tribunaux, elles concernent invariablement des fournisseurs de services Internet, des compagnies de télécommunications et des entreprises semblables, qui sont poursuivis en vertu de la LPRPDE. Je pense qu'il est faux de penser qu'on peut s'appuyer sur l'expérience de l'Alberta et de la Colombie-Britannique pour avoir une bonne idée de ce qui se passera aux termes de la LPRPDE, car nous ignorons tout simplement ce qui se passe réellement dans ces provinces. Et même si nous le savions, nous pouvons voir que des efforts réels sont déployés pour tenter de communiquer des renseignements sans supervision adéquate sous le régime de la LPRPDE.

    Merci.

    Vous réclamez depuis longtemps des signalements d'atteintes à la sécurité des données obligatoires et des rapports à cet égard. Pourriez-vous nous expliquer pourquoi vous considérez que c'est très important pour la LPRPDE et nous en dire un peu plus à ce sujet?

    Pardonnez-moi, parlez-vous des signalements obligatoires ou des rapports de transparence?

    Commençons par la transparence.

    D'accord. Pour commencer avec les rapports de transparence, je pense que nous avons constaté au cours de la dernière année que la protection de la vie privée est devenue une préoccupation de premier plan pour bien des Canadiens. C'est l'énormité des communications de renseignements qui se produisent à l'insu de tous qui préoccupe, et je pense franchement que cela nous touche tous. À cela s'ajoutent les révélations comme celles faites dans l'affaire Snowden. Des entreprises de télécommunications et d'autres compagnies se font demander de communiquer de l'information sur des particuliers des centaines de fois par semaine. Jusqu'à tout récemment, nous ne le savions même pas.

    Pour mettre fin à ces pratiques, il ne suffit pas de dire qu'il faudrait qu'il y ait des enquêtes appropriées et — maintenant que l'arrêt Spencer a été rendu — une supervision adéquate pour empêcher ces communications d'avoir lieu. Je pense que l'arrêt Spencer a indiqué clairement qu'il faut pouvoir recourir à des ordonnances judiciaires quand cela se produit. Mais il faut aussi être capable de comprendre, au moins de façon générale, comment cela se produit. Les rapports de transparence permettraient de le savoir.

    Jusqu'à présent, les entreprises ont agi de façon un peu disparate au Canada. Certaines, comme Rogers et Telus, fournissent des rapports, même s'ils sont un peu différents. Mais la plus grande entreprise de toutes, Bell, reste en marge et ne remet pas de rapport. Je pense qu'il y a un problème quand les millions de clients canadiens d'une entreprise comme celle-là ne savent même pas dans quelles circonstances et à quelle fréquence l'entreprise communique leurs renseignements personnels, souvent sans la surveillance des tribunaux. L'obligation de remettre des rapports de transparence contribuerait à résoudre ce problème.

    Merci.

    Monsieur Gogolek.

    Oui, j'aimerais intervenir pour parler de la situation en Colombie-Britannique, où la commissaire, Mme Denham, a indiqué ce qui suit à la page 21 du mémoire qu'elle a présenté le 26 novembre 2014 au comité spécial d'examen de la PIPA:

    C'est l'équivalent de l'article 7.

     Le comité spécial de la Colombie-Britannique a adopté l'approche de la commissaire et demande que des rapports de transparence soient non seulement déposés, mais aussi publiés. Ces rapports ne seraient donc pas secrets, mais publiés.

    Simple question d'intérêt, pensez-vous que, compte tenu de la quantité même de rapports et du problème de congestion qu'elle pourrait entraîner, nous serons capables de mettre cette mesure en pratique? Car c'est évidemment l'objectif final.

    Certaines des plus grandes entreprises de télécommunications, comme Rogers et Telus, ont commencé à le faire, de même que des acteurs de plus petite envergure, comme SaskTel et TekSavvy. Je pense que c'est clairement faisable. De grandes sociétés actives à l'échelle mondiale doivent faire face à des situations bien plus compliquées. Vodafone, par exemple, présente de tels rapports dans quelque 40 pays. Le fait que des entreprises comme Bell ne peuvent pas — ou ne veulent pas, pour être plus juste — le faire est un vrai problème. Je ne pense pas que ce soit très difficile.

    Le vrai problème, c'est que beaucoup de ces activités se déroulent à l'insu de tous. Quand les vérificateurs du commissaire à la protection de la vie privée s'adressent à la GRC et constatent que leurs données sont fausses et incomplètes, il y a là un problème urgent qu'il faut régler.

    Merci beaucoup.

    Madame Lawson, j'aimerais vous inclure dans ce tour, si je le peux.

    Vous avez parlé du fait que des entreprises ne rapportent pas les incidents ou ne conservent pas de registres. Quel effet les nouveaux accords de conformité auront-ils sur la capacité du commissaire d'assurer la conformité à la LPRPDE?

    Je pense que ce sera utile, pour les raisons que le commissaire à la protection de la vie privée vous a déjà exposées.

    Par contre, je ne pense pas que les accords de conformité aillent assez loin quand il s'agit de conférer au commissaire à la protection de la vie privée les pouvoirs dont il a besoin pour assurer la conformité à la loi. Je ne comprends pas pourquoi nous n'accordons pas au commissaire fédéral les pouvoirs de rendre des ordonnances dont disposent ses homologues provinciaux, qui gèrent des lois semblables à l'échelle provinciale.

    Bien. Merci.

    Madame Lawson, vous avez parlé de l'article 6.1 proposé, indiquant qu'il pourrait être utile, mais qu'il pourrait avoir un effet négatif sur les aînés et les enfants.

    Je me demande si vous pourriez nous en dire davantage à ce sujet. Nous avons beaucoup discuté de ce point au cours des dernières réunions. Pourriez-vous traiter de la question? Quand vous parlez de la communication de renseignements personnels et du consentement, considérant la complexité et la longueur des documents afférents, comment nous proposeriez-vous de régler ce problème?

     Ce sont deux questions. Je répondrai à la première, qui porte sur l'article 6.1 proposé.

    Je pense qu'il serait utile de comparer le libellé proposé que vous avez devant vous avec celui de la version précédente de cette mesure, soit le projet de loi C-12. La version que vous avez contient un nouveau passage.

    Voici ce qu'indiquait l'ancienne version:

     La nouvelle version stipule ce qui suit:

    Tout d'abord, on a changé « ce dernier » pour « un individu », puis ajouté « visé par les activités de l'organisation », ce qui fait que les organisations peuvent maintenant simplement destiner leurs activités à la population adulte en général sans inquiéter du fait que des enfants, des aînés ou d'autres personnes vulnérables puissent théoriquement consentir à ce que leurs renseignements personnels soient utilisés à des fins qu'ils ne comprennent pas vraiment.

    Merci, madame Lawson. J'ai accordé une minute supplémentaire pour vous permettre de terminer votre réponse. Nous devrons essayer d'obtenir le reste de votre réponse lors d'un autre tour.

    Madame Borg.

     Merci beaucoup, monsieur le président.

    J'aimerais remercier tous nos témoins d'être présents parmi nous aujourd'hui. Vous avez tous des points de vue qui sont très intéressants.

    Ma première question porte sur la décision rendue dans l’affaire Spencer.

     Monsieur Geist, vous avez déjà témoigné une première fois devant le Sénat, mais la décision n'avait pas encore été rendue. J'aimerais donc peut-être connaître votre opinion par rapport à la décision et quelles sont les répercussions, s'il y en a, sur le projet de loi S-4.

    Lorsque le ministre a comparu, il semblait penser qu'aucun changement n'était nécessaire au projet de loi S-4 ou à la LPRPDE. Si les autres témoins ont des commentaires à faire à cet égard, j'aimerais bien les entendre.

    Certainement. Merci.

    L'arrêt Spencer, comme nous le reconnaissons tous, je crois, et comme on l'a maintenant fait remarquer concernant un certain nombre de projets de loi et au sein de certains comités, a enfin répondu à une question épineuse qui nous tracassait depuis longtemps, soit celle de savoir si on pouvait avoir une attente raisonnable en matière de protection de la vie privée concernant les renseignements de l'abonné. La Cour suprême du Canada a clairement indiqué que c'est le cas.

    Le projet de loi C-13 sur l'accès légal, qui a maintenant été adopté, et le projet de loi S-4 ont tous les deux été rédigés au cours d'une période d'incertitude. Le gouvernement, en particulier, a considéré qu'on pouvait faire valoir qu'il ne pouvait pas y avoir d'attentes raisonnables en matière de protection de la vie privée concernant ces renseignements, et que la divulgation sans mandat ou volontaire était conforme à l'état du droit.

    L'incertitude a pris fin en juin dernier quand la Cour suprême du Canada a prononcé l'arrêt Spencer. À mon avis, l'esprit de cet arrêt indique clairement qu'on peut avoir une attente raisonnable en matière de protection de la vie privée, au point où les organisations d'application de la loi sont maintenant en train d'admettre ce point et de demander un mandat pour obtenir l'information. Les dispositions que nous prévoyons dans les mesures législatives comme le projet de loi S-4 devraient certainement tenir compte de ce fait.

    Le problème, c'est que le projet de loi S-4, qui a été rédigé avant que l'arrêt Spencer ne soit prononcé, va complètement dans le sens opposé. L'élargissement de la divulgation volontaire sans condition et sans surveillance des tribunaux me semble complètement contraire à l'esprit de l'arrêt Spencer, comme l'ont fait remarquer de nombreux tribunaux dans d'autres affaires.

    Même si cet arrêt concerne bien sûr l'application de la loi et que nous nous intéressons ici au secteur privé, l'information comme telle est la même. Il s'agit des renseignements de l'abonné, et la question consiste à savoir dans quelles circonstances ils peuvent être divulgués. Le fait d'élargir la divulgation en instaurant des mesures volontaires est diamétralement opposé à ce que la Cour suprême du Canada a considéré comme étant la norme adéquate de divulgation, selon moi.

     Étant donné la complexité du vocabulaire utilisé, je vais répondre en anglais, si vous me le permettez.

    Je partage l'avis de M. Geist. Le commissaire fédéral à la protection de la vie privée a souligné que le projet de loi S-4 pose quelques difficultés en raison de l'arrêt Spencer. La commissaire de la Colombie-Britannique a fait de même. La commissaire Denham réclame le renforcement de la loi pour que la divulgation sans consentement ne soit autorisée que dans les cas où elle est « nécessaire » aux fins d'une enquête ou d'une procédure. Alors que la présente version du projet de loi S-4 adopte une approche, une des provinces très semblables — un des comités — va dans le sens opposé en raison de la manière dont elle comprend et interprète l'arrêt Spencer. Comme M. Geist l'a souligné, les rédacteurs du projet de loi S-4 n'ont pas pu s'appuyer sur cet arrêt. Nous le pouvons aujourd'hui. Nous savons ce que la Cour suprême du Canada a dit à ce sujet. Je pense que nous devons en tenir compte.

     Merci beaucoup.

    Monsieur Gogolek, j'aimerais que nous reparlions de la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE.

    Vous avez participé activement à l'évaluation de cette loi à la suite de la décision dans l'affaire Spencer. J'ai lu avec beaucoup d'intérêt le rapport qui a été produit et qui suggère des modifications à la loi de façon à améliorer l'encadrement quant à la divulgation des renseignements sans consentement et sans mandat.

    Évidemment, nous ne voulons pas instaurer 10 différents régimes de protection de la vie privée au Canada. Nous voulons, en quelque sorte, nous assurer que c'est exhaustif.

     Si nous sommes en train de modifier une loi à laquelle le projet de loi S-4 est censé ressembler, ne devrions-nous pas être proactifs et modifier le projet de loi afin qu'il corresponde à la nouvelle loi?

    C'est plutôt une question d'harmonisation et, à cet égard, il y a deux facteurs essentiels à considérer. Le premier est la protection de la vie privée de tous les Canadiens. Comme vous l'avez indiqué, le fait que cette protection varie d'une province à l'autre n'est pas une bonne chose. Pourquoi les Britanno-Colombiens seraient-ils mieux protégés que les Ontariens ou les Terre-Neuviens? Je ne pense pas qu'on devrait opter pour cette approche. Je suis convaincu qu'il est de votre ressort de rendre ces lois similaires dans leur ensemble. Ce concept de similarité est de nature juridique.

    Par ailleurs, M. Carmichael a posé une question plus tôt à ce sujet.

    Pour ce qui est d'avoir des régimes différents et des dispositions qui ne sont pas tout à fait les mêmes, cela concerne aussi la conformité des organisations et des entreprises. Si les compagnies doivent se conformer à des exigences différentes selon les provinces et faire quelque chose en Colombie-Britannique, en Alberta ou au Québec et autre chose dans le reste du pays — ce qui nous ramène au commentaire de Mme Lawson sur le pouvoir de rendre des ordonnances —, elles décideront que puisque la commissaire de la Colombie-Britannique leur a ordonné de faire telle chose, elles doivent se conformer à cette directive ou se rendre coupables d'outrage au tribunal. C'est l'avantage des accords de conformité, mais au bout du compte, nous avons besoin d'un pouvoir de rendre des ordonnances parce que certaines entreprises pourraient décider qu'elles ne veulent pas se conformer. Nous nous retrouverons dans des situations différentes.

    Merci beaucoup. J'ai une dernière question à vous poser.

    Nous étudions ce projet de loi avant la deuxième lecture, ce qui est une situation assez particulière et unique. Cela signifie pour moi que nous avons l'occasion de vraiment améliorer le projet de loi et d'y apporter des amendements importants, et ce, de façon à bien protéger la vie privée des Canadiens. De plus, nous avons l'occasion d'aller au-delà du projet de loi S-4. Nous pouvons amender adéquatement la LPRPDE afin de bien protéger les Canadiens.

    Pensez-vous que, dans la foulée de la décision Spencer, nous devrions amender les dispositions de la LPRPDE qui portent sur la divulgation de renseignements sans consentement ? Devrions-nous aller aussi loin? Selon vous, est-ce nécessaire de procéder de cette façon? Devrions-nous saisir cette occasion?

     Ma question s'adresse à tous les témoins.

    Il ne nous reste du temps que pour une réponse.

    J'interviendrai brièvement pour dire que je pense que vous soulevez un excellent point. Même aujourd'hui, nous avons déjà entendu plusieurs questions potentielles au sujet du genre de choses que nous pourrions faire en dehors du cadre de la loi comme telle.

    En ce qui concerne l'arrêt Spencer, je considère qu'il met en lumière ce qui pourrait être un résultat vraiment problématique, qui fait que la communication de renseignements à des organismes d'application de la loi exigerait une ordonnance, alors que cette même communication de renseignements dans le secteur privé pourrait se faire sans surveillance ou limite, outre celles que comprend la loi. Mais comme Mme Lawson l'a fait remarquer, ces mesures ne sont pas très solides.

    Je pense qu'il serait très utile d'assurer une certaine cohérence dans la manière dont nous traitons la communication de renseignements personnels, particulièrement quand il s'agit des renseignements des abonnés, lesquels, de nos jours, en disent long sur notre vie quotidienne, car cela nous permettrait d'adopter une approche plus cohésive en matière de protection de la vie privée au Canada.

    Merci beaucoup, monsieur Geist.

    Nous accorderons maintenant la parole à M. Daniel pour huit minutes.

    Merci beaucoup, monsieur le président. Je remercie toutes les personnes ici présentes.

    J'aimerais poser ma question initiale à vous tous, mais nous commencerons par Mme Lawson.

    Madame Lawson, dans votre introduction, vous avez proposé d'indiquer quand une atteinte devrait être signalée en précisant que cela pourrait entraîner une perte financière substantielle. Pourriez-vous peut-être nous en dire plus à ce sujet? Que considéreriez-vous comme une perte financière substantielle?

    C'est une tournure que j'ai utilisée pour parler de la manière dont la loi pourrait s'appliquer aux avis d'atteinte à la sécurité des données et aux entreprises. Selon moi, vous devez prendre du recul afin d'avoir une vue d'ensemble et vous demander si cette mesure sera efficace et si les incitatifs sont suffisants pour pousser l'industrie à se conformer.

    Quand je dis qu'elles doivent se conformer, je ne parle pas seulement de signaler les atteintes et de tenir des registres, mais aussi de mettre en place des mesures de sécurité adéquates dès le départ. Je pense que ce que nous voulons avant tout, c'est nous assurer que les entreprises instaurent des mesures de sécurité raisonnables. Il faut les y inciter, et dans le secteur privé, les incitatifs doivent être de nature financière

    Je ne suis pas certaine si cela répond à votre question, mais ce que je veux faire comprendre, c'est que je crains que nous n'ayons pas d'incitatifs adéquats. La publicité négative est un incitatif très fort, et je ne comprends pas pourquoi l'article 20 du projet de loi dissuade le commissaire à la protection de la vie privée de publier ces rapports. Pourquoi ne pas les rendre publics? Pourquoi les rapports de transparence ne font-ils pas partie de la divulgation aux fins de transparence?

    Dans le mémoire qu'elle a présenté sur la question en 2008, la CIPPIC a préconisé l'établissement d'un registre public des atteintes à la sécurité des données. Pourquoi considérer ces rapports comme confidentiels?

    Merci.

    Monsieur Geist.

    Ce qui me préoccupe au sujet des dispositions relatives au signalement d'atteintes à la sécurité des données, qui se sont clairement trop faites attendre — nous nous sommes faits dépasser par bien des pays à cet égard —, c'est qu'elles étaient franchement mieux dans les versions précédentes de la mesure, comme les projets de loi C-12 et C-29, lesquels prévoyaient un processus en deux étapes, comme vous le savez certainement.

    La première étape consistait à aviser le commissaire à la protection de la vie privée des atteintes graves et n'incluait évidemment pas la nécessité d'un risque réel de préjudice important. C'est plus l'atteinte comme telle qui comptait.

    Venait ensuite la question de savoir dans quelles circonstances il convenait d'emprunter la voie bien plus difficile d'aviser toutes les personnes concernées par l'atteinte, étant donné que cette mesure est appropriée dans certains cas et ne l'est pas dans d'autres.

    En éliminant cette disposition et en instaurant un seuil plus élevé pour tous les signalements, je pense que des atteintes systémiques ne seront pas signalées. Cela signifie que bien des fois, des atteintes graves ne seront tout simplement pas signalées et que les organisations qui éprouvent des problèmes sous-jacents ne seront pas tenues d'en faire part.

    Je pense que nous admettons que dans certaines circonstances, les coûts et l'embarras auxquels les entreprises s'exposent les dissuadent de signaler les atteintes. Nous voulons aussi éviter que le nombre de signalements soit si élevé que les consommateurs recevraient des avis chaque jour et ne s'en occuperaient tout simplement plus.

    Il faut assurer un sain équilibre, mais je pense que nous avions fait un bien meilleur travail, que le gouvernement avait fait un bien meilleur travail à ce chapitre, particulièrement pour des problèmes comme des atteintes systémiques dans une organisation, en disant « Nous voudrions certainement que le commissaire à la protection de la vie privée soit informé de ces genres d'incidents ». Pourtant, nous avons éliminé cette mesure du projet de loi, pour une raison qui est difficile à comprendre.

    Monsieur Gogolek, avez-vous quelque chose à dire à ce sujet?

    Je pense que j'abonderais dans le sens des deux autres témoins. Je considère qu'il importe que nous soyons informés de ces incidents, comme M. Geist l'a souligné, et cela concerne aussi les rapports de transparence, qui doivent être rendus publics au lieu d'être gardés secrets. Comme M. Geist vient de l'indiquer, le commissaire doit être au courant des situations où il pourrait y avoir un problème systémique. C'est, à mon avis, essentiel.

    Merci.

    Pour faire suite à ces propos, il est clair qu'Internet n'a aucune frontière de ce genre, ce qui ajoute une dimension de complexité à la protection de la vie privée et d'autres aspects connexes. En fait, tous les signalements dont nous parlons ne couvrent pas nécessairement le vol de données, dont l'organisation ignore peut-être même l'existence, puisqu'il existe bien des façons de pirater des ordinateurs.

    L'obligation de signaler les atteintes à la sécurité des données contribue-t-elle à réduire le risque de vol d'identité? N'importe qui peut commencer.

    Absolument. Je dirais que l'objectif principal des signalements d'atteintes est de mettre en place des incitatifs pour pousser les entreprises elles-mêmes à instaurer des mesures de sécurité pour prévenir le vol d'identité dès le départ.

    Mais je suis préoccupée pour les raisons que j'ai énumérées. Je crains que le régime ne soit pas assez solide.

    D'accord.

    Est-ce que quelqu'un d'autre souhaite intervenir?

    Une fois de plus, je partage l'avis de Mme Lawson. Mais aussi, en ce qui concerne l'éternelle question des signalements d'atteintes, je pense qu'il est possible de résoudre ce problème grâce aux signalements comme tels. Si c'est quelque chose qui n'a pas de rapport avec... ou si on vous avise d'un incident qui pourrait avoir des répercussions sur vos renseignements personnels, c'est différent de « Vous feriez mieux d'annuler votre carte de crédit et d'obtenir de nouveaux documents d'identité » ou quelque chose comme cela.

    Je pense donc qu'on peut régler le problème à cette étape au lieu de simplement dire que les entreprises ne sont pas obligées de faire rapport.

    La réponse est évidemment oui, les signalements d'atteintes à la sécurité contribuent bel et bien à prévenir le vol d'identité, pour la raison évidente que cela incite davantage les entreprises à mieux protéger les données qu'elles recueillent. Cela permet d'aviser les utilisateurs dans certaines situations pour qu'ils prennent les mesures de protection appropriées et tentent de réduire les torts potentiels que pourrait leur causer le vol d'identité. Mais soyons clairs: nous attendons cette mesure législative depuis neuf ans. Nous avons commencé à tenir des audiences en 2006. C'est une longue période. En disant simplement que nous avons une disposition qui aidera, mais pas autant qu'elle le pourrait autrement...

    Nous devons viser juste, particulièrement au regard de la mondialisation de l'information que vous avez évoquée et de notre sensibilisation accrue au tort que peut causer le vol d'identité. Nous ne devons pas nous contenter d'essayer de trouver une disposition qui aidera; nous devons en adopter une qui permettra de façon optimale de protéger plus efficacement les Canadiens du vol d'identité. Comme j'ai tenté de le faire comprendre, je pense que nous pouvons faire mieux.

    D'accord.

    Combien de temps me reste-t-il?

    Vous avez 20 secondes.

    D'accord.

    Pour ce qui est du consentement, personne ne lit vraiment tout le blabla sur le consentement avant d'utiliser les produits. Que proposez-vous pour améliorer ce processus?

    Je dirais qu'il faut cesser de mettre autant l'accent sur le consentement et instaurer des limites fermes. Acceptons le fait qu'il est irréaliste de demander le consentement dans bien des situations et instaurons des limites fermes quant aux renseignements que les entreprises sont autorisées à recueillir en premier, puis à utiliser et à divulguer.

    Merci, madame Lawson.

    Madame Sgro, vous disposez de huit minutes.

    Merci.

    C'est la question qui me préoccupe le plus. Chaque fois que nous utilisons notre BlackBerry ou je ne sais quel autre gadget, je conviens que nous ne lisons pas le blabla sur le consentement. J'avancerais que bien peu de gens le font. Ce n'est qu'une vérification automatique qui nous embête, et nous nous contentons d'accepter jusqu'à ce que nous nous rendions compte que nous avons peu ou pas de protection. Je pense que ce que nous cherchons à faire ici, c'est savoir comment protéger le consommateur.

    J'ai assisté à une conférence sur la cybersécurité hier. Les questions qui y ont été soulevées au sujet de la sécurité, qu'on parle d'Internet ou d'autre chose, donnent certainement à penser que le projet de loi S-4 est loin d'être ce qu'il devrait être ou le genre de loi que nous devrions adopter pour mieux protéger les Canadiens. Il me semble franchement irréaliste de penser que cette mesure législative incitera les entreprises à signaler toutes les atteintes à la sécurité des données. Je pense qu'elles en feront fi, parce qu'une amende de 100 000 $ est insuffisante pour une atteinte grave, d'après ce que nous apprenons dans le cadre du présent processus.

    Monsieur Geist, vous proposez certainement d'améliorer la transparence et de la divulgation en ce qui concerne le risque réel auquel s'exposent les consommateurs, avant qu'ils ne soient victimes de vol d'identité ou de violation de leurs droits fondamentaux. Je ne veux pas que mes renseignements personnels soient communiqués à n'importe qui. Si nous adoptons le projet de loi S-4 — et je ne suis pas certaine que ce soit ce que mon parti compte faire, mais au moins, nous tentons d'y apporter certaines améliorations —, que devrions-nous y ajouter pour le rendre plus fort et plus applicable? Je vous poserais la question à tous les trois, compte tenu du temps dont je dispose.

    Bien sûr. Je commencerai peut-être par souligner quelques aspects.

    Nous avons parlé, de toute évidence, des règles sur les atteintes à la sécurité des données et de la divulgation volontaire, mais occupons-nous un instant des sanctions et du pouvoir de rendre des ordonnances. Je pense que si un expert de la protection de la vie privée venait au Canada et apprenait que le commissaire fédéral n'a pas le pouvoir de rendre des ordonnances, il serait carrément abasourdi. Ses homologues provinciaux et internationaux ont ce pouvoir. Il est franchement embarrassant pour le commissaire fédéral d'assister à des réunions internationales avec d'autres commissaires responsables de la protection des données et de la vie privée, et de constater qu'il n'a tout simplement pas le pouvoir de rendre des ordonnances dont disposent ses homologues. Selon moi, les accords de conformité sont un pas dans la bonne direction, mais le pouvoir de rendre des ordonnances est une solution plus appropriée.

    En ce qui concerne les sanctions, je pense que vous avez raison et que l'imposition de sanctions plus sévères a une incidence. Après tout, le gouvernement nous a donné un bon exemple de la manière dont les choses peuvent se passer avec la loi anti-pourriel, qui a recueilli son lot de critiques, mais que j'ai appuyée. J'ai fait partie du groupe de travail national qui s'est penché sur la question et j'ai comparu devant un comité. Je considère que cette loi fait mouche en prévoyant des sanctions sévères et un consentement préalable clair. Cela indique essentiellement qu'il arrive un moment où le consentement est un mythe, mais c'est particulièrement le cas sous le régime de la LPRPDE. Nous en sommes en quelque sorte arrivés à la conclusion que les cases de consentement par défaut, ces petites cases figurant au bas des pages Web qu'on n'est jamais certain de devoir cocher pour que les renseignements soient communiqués ou non — elles sont souvent conçues de manière à entretenir la confusion —, sont une méthode appropriée pour obtenir le consentement. Foutaise. Ce n'est clairement pas le cas.

    La loi anti-pourriel visait à régler la question au moyen du consentement préalable et des sanctions réelles. Le CRTC a imposé une sanction de plus d'un million de dollars à une entreprise pas plus tard que la semaine dernière. C'est le genre de sanctions qui retiennent l'attention des entreprises. C'est une norme supérieure en matière de consentement qui a clairement une incidence. D'une certaine manière, nous disposons d'un modèle que le gouvernement a adopté au sujet du marketing électronique commercial. Ce qu'il faut faire maintenant, c'est admettre que ce genre de modèle devrait s'appliquer plus largement à la protection des renseignements personnels dans le secteur privé.

    Je pourrais peut-être intervenir.

    Faites.

    Allez-y, madame Lawson.

    Je ferais valoir trois points pour répondre à votre question. Je suis d'accord avec tout ce que M. Geist vient de dire.

    Le premier point, c'est la mise en place de limites fermes là où nous le pouvons. Par exemple, pour protéger les enfants et les aînés, il faut que le paragraphe 5(3) du projet de loi, qui comprend déjà une limite ferme, mais vague, interdise le marketing relativement aux enfants et aux aînés, et stipule qu'on ne peut recueillir, utiliser ou communiquer les renseignements personnels des enfants et des aînés aux fins de marketing. Le code de déontologie de l'industrie du marketing prévoit déjà de telles mesures. Intégrons-les au projet de loi.

    Le deuxième point est le consentement réel. Comme M. Geist l'a souligné, oublions le mythe du consentement par défaut. Il faut exiger le consentement préalable explicite pour toute utilisation non essentielle des renseignements des consommateurs, y compris le marketing. J'ai découvert, lors de ma recherche, que des entreprises de tout acabit considèrent maintenant que le marketing fait partie des motifs principaux pour recueillir nos renseignements afin d'offrir le service que nous avons réclamé. Le marketing constitue maintenant pour elles une utilisation principale, et elles n'obtiennent certainement pas le consentement explicite. Dans bien des cas, elles n'obtiennent même pas le consentement par défaut et ne nous donnent même pas l'occasion de refuser.

    Le troisième point concerne le pouvoir de rendre des ordonnances. Comme M. Geist l'a indiqué, les sanctions devraient être faciles à imposer, sans qu'il soit nécessaire de prouver l'intention ou de passer par un processus quasi criminel. Il devrait s'agir de sanctions administratives pécuniaires, comme celles que prévoit la loi anti-pourriel.

    Monsieur Gogolek.

    Juste pour pousser l'analyse un peu plus loin, et peut-être emprunter une voie légèrement différente et revenir à certaines choses dont nous avons parlé plus tôt, je ferais remarquer qu'un des avantages qu'il y a à imposer des sanctions, c'est que ces sanctions sont généralement signalées: l'entreprise X a reçu une amende du commissaire à la protection de la vie privée. Ce n'est pas que le compte en banque qui écope, mais la réputation aussi. Les entreprises qui ont des pratiques et des procédures irrégulières devront en payer le prix. Elles acquitteront l'amende, mais elles devront aussi payer le prix sur le marché. Pour ce qui est de conclure des ententes avec le secteur privé, les entreprises ne veulent pas que tout le monde sache qu'elles manquent régulièrement à leur devoir de protéger les renseignements personnels de leurs clients.

    J'ai une autre question.

    Dans votre rapport, monsieur Gogolek, vous avez proposé d'assujettir les partis politiques du Canada à la LPRPDE.

    Qu'entendez-vous par là?

    Vous êtes politiciens et avez probablement tous utilisé les diverses bases de données des partis. Vous savez qu'une foule de données sont recueillies par toutes sortes de gens. L'ennui, c'est que les partis ne sont soumis à aucune restriction à cet égard. Les sanctions et les mesures de protection dont nous avons parlé au sujet du secteur privé ne s'appliquent pas aux partis politiques, du moins pas à l'échelon fédéral.

    Je prendrais ici encore l'exemple de la Colombie-Britannique, où les partis sont assujettis à la loi et où nous avons vu le processus fonctionner quand la commissaire a mené des enquêtes et publié des rapports à la suite de plaintes sur le traitement des renseignements personnels ou les procédures d'un parti. Les partis ont modifié leurs pratiques et la vie continue. Je pense que toutes les personnes concernées aiment mieux la manière dont le système fonctionne. Au moins, nous savons qu'il existe un certain niveau de protection. En cas de dérapage ou de malaise, nous disposons d'un recours; mais il n'existe pas de tel mécanisme actuellement à l'échelon fédéral.

    Merci.

    Nous laisserons maintenant la parole à M. Warawa pour huit minutes.

     Merci, monsieur le président.

    Merci aux témoins qui sont avec nous aujourd'hui.

    Je crois que tous les témoins savent que les premières audiences à ce sujet remontent à 2006. M. Geist l'a mentionné, si je ne me trompe pas.

    La LPRPDE a été rédigée au XX^e siècle. Elle date de plus de 10 ans et elle doit être revue. C'est ce qu'on veut faire avec le projet de loi S-4.

    Aussi, il est presque impossible de faire approuver à l'unanimité tout texte de loi, et j'estime que beaucoup d'efforts ont été déployés pour améliorer la LPRPDE. Les Canadiens veulent que les entreprises les informent si leurs renseignements personnels ont été perdus ou volés et si leur sécurité a été compromise. Je crois que les modalités de consentement doivent être appropriées, notamment pour des groupes cibles comme celui des enfants.

    Monsieur Geist, vous avez fait part de vos commentaires au Sénat. Vous aviez participé aux audiences en 2006.

    Ma question s'adresse à M. Gogolek. Quand le comité sénatorial s'est penché sur la question l'an passé... Cela ne fait pas tout à fait un an, mais quand le comité sénatorial a entrepris son étude sur le projet de loi S-4, avez-vous témoigné? Comme vous le savez, toute modification législative doit être approuvée par les deux chambres. Le projet de loi S-4 a d'abord été soumis au Sénat, et c'est maintenant à la Chambre des communes de l'examiner. Avez-vous témoigné lors des audiences sénatoriales?

    Non, je n'y étais pas.

    Avez-vous soumis un mémoire?

    Non plus.

    Pourquoi pas?

    Bien, on ne nous l'a pas demandé.

    Des mémoires sont soumis régulièrement au président, et je vous invite à nous faire part de votre point de vue aujourd'hui sur ce dossier très important. Cependant, toute modification ou tout amendement doit être approuvé par le Sénat et la Chambre, alors si nous avions à faire des changements maintenant, après tout ce travail, il faudrait soumettre le tout de nouveau au Sénat. Nous n'aurions pas le temps d'adopter le projet de loi avant la fin de la présente législature.

    Madame Lawson, avez-vous témoigné devant le Sénat?

    Non, je n'ai pas témoigné. Je n'ai pas été invitée, alors je n'ai pas pris part à l'étude sénatoriale.

    Toutefois, je crois que la CIPPIC et le CDIP y ont participé, et ils ont soulevé plusieurs des points dont j'ai parlé aujourd'hui. J'ai examiné les discussions tenues au Sénat, et bon nombre de ces questions ont été abordées à ce moment-là. Je ne comprends tout simplement pas pourquoi le comité sénatorial n'a pas fait ces amendements.

    Avez-vous soumis un mémoire au Sénat lors de cette étude?

    Non.

    D'accord.

    Monsieur le président, je pense que cela aurait été très utile si ces points avaient été présentés au Sénat et à la Chambre.

    Ma question porte sur une déclaration du commissaire. Le commissaire a présenté un exposé il y a un peu moins d'un an, en juin l'an dernier, devant le comité sénatorial chargé d'étudier le projet de loi S-4. Il a aussi témoigné devant notre comité le 17 février.

    J'aimerais vous lire le résumé du commissaire. Il ne dispose d'aucun nouvel outil ni de la marge de manoeuvre nécessaire pour faire appliquer la LPRPDE. Le commissaire a déclaré ceci:

    Monsieur le président, les représentants du Bureau d'assurance du Canada ne pouvaient pas être des nôtres aujourd'hui non plus. Ils avaient soumis un mémoire au Sénat lors de l'étude sénatoriale l'an dernier, et ils ont indiqué être en faveur de certains éléments du projet de loi, dont les mesures de prévention de la fraude.

    En général, le comité a entendu des points de vue favorables au projet de loi, et il est important que nous offrions aux Canadiens la protection qu'ils réclament. C'est ce que nous permettrait de faire le projet de loi S-4.

    Est-ce que les témoins ici présents s'opposent à l'opinion du commissaire, qui soutient l'adoption du projet de loi S-4?

    Je peux certainement vous dire ce que j'en pense. J'aimerais également préciser deux ou trois petites choses. Le commissaire n'a pas témoigné devant le comité sénatorial concernant le projet de loi S-4. Le processus de nomination d'un nouveau commissaire a été très long et personne n'était en poste à ce moment-là. Des représentants du commissariat avaient tout de même pu témoigner, car la question avait déjà été étudiée. Mais le commissaire lui-même n'a pas témoigné concernant le projet de loi S-4.

    Pour ce qui est de la durée de l'étude, sauf votre respect, je ne suis pas prêt à dire qu'elle s'est éternisée. Le comité a entrepris son étude sur le projet de loi en novembre 2006 et il a produit son rapport en mai 2007.

    La première lecture du projet de loi C-29 a eu lieu en mai 2010. La deuxième lecture s'est terminée en octobre. Aucune audience n'a été tenue concernant le projet de loi C-29.

    Le projet de loi suivant, le projet de loi C-12, était en fait une seconde mouture. Il a été mis sur la glace pendant deux ans à l'étape de la deuxième lecture. Aucune audience n'a été tenue là non plus.

    On arrive finalement au projet de loi S-4, pour lequel deux séries d'audiences ont été tenues. Quatre jours ont été alloués à l'étude du projet de loi au Sénat: un jour pour entendre le ministre; un autre pour l'étude article par article, et deux pour les audiences. Donc, si on veut demander aux témoins pourquoi ils n'ont pas participé à l'étude, il faut savoir que franchement, rares sont ceux qui en ont eu la possibilité. Je dois dire respectueusement que le projet de loi n'a pas été étudié adéquatement. C'est la troisième fois qu'on le présente, et deux fois sur trois, il n'y a pas eu d'étude du tout. Quand le Sénat a pu entendre des témoins à ce sujet, il n'y avait aucun commissaire à la vie privée en poste pour étudier le dossier, car il a fallu beaucoup de temps avant de trouver un nouveau commissaire pour remplacer la commissaire Stoddart et par la suite la commissaire intérimaire, Chantal Bernier.

    En ce qui concerne le soutien du commissaire, je pourrais moi aussi choisir quelques extraits de ses commentaires où il se dit en faveur du projet de loi. Je note cependant que le commissariat maintient toujours que les modalités relatives à la divulgation volontaire sont problématiques — et elles n'ont pourtant pas été modifiées — et que d'autres améliorations sont nécessaires.

    La question à se poser est celle-ci: le projet de loi a-t-il fait l'objet d'une étude soignée et mérite-t-il d'être adopté? Sauf votre respect, j'estime que le projet de loi n'a pas été étudié soigneusement et qu'il reste des choses à corriger. Les Canadiens méritent mieux.

    Allez-y, monsieur Gogolek.

    Rapidement, j'ajouterais que le gouvernement a décidé de renvoyer le projet de loi au présent comité avant la deuxième lecture. Je l'ai mentionné d'ailleurs au début de mon exposé. On laisse entendre que c'est parce qu'il est possible d'apporter des modifications qui ne touchent pas à l'énoncé de principes du projet de loi. Je ne comprends pas trop pourquoi vous dites que cela pourrait poser problème si des amendements devaient être adoptés. J'ose croire que le gouvernement et le leader du gouvernement à la Chambre étaient au courant des difficultés possibles lorsqu'ils ont pris la décision inhabituelle de déroger du processus normal en renvoyant le projet de loi S-4 au comité de la Chambre avant la deuxième lecture.

    Merci beaucoup, monsieur Gogolek.

    La parole est à Mme Nash pour huit minutes.

    Merci, monsieur le président.

    Merci à tous les témoins.

    Les questions de l'intervenant précédent me laissent perplexe, car c'est de toute évidence le gouvernement qui a décidé, tout d'abord, de présenter le projet de loi au Sénat et de l'étudier très sommairement, d'entendre très peu de témoins, de ne faire à peu près aucun suivi et d'attendre neuf ans avant de rédiger la loi. Rien ne justifie ce genre de retard.

    On semblait reprocher aux témoins de ne pas avoir participé aux audiences du Sénat, alors qu'ils n'en ont même pas eu l'occasion. Cela dit, monsieur le président, on avait déjà fait valoir leur point de vue.

    On invoque le Règlement.

    Merci, monsieur le président.

    Les propos de Mme Nash sont inexacts. Je crois qu'elle s'adressait à moi...

    Je m'adressais au président.

    Je m'adresse à la présidence.

    En fait, la question était la suivante: les témoins ont-ils témoigné au comité ou ont-ils présenté un mémoire? Je n'avais certainement pas l'intention d'offenser qui que ce soit. Je demandais simplement s'ils avaient témoigné ou s'ils avaient présenté un mémoire.

    Monsieur le président, on vous présente souvent des mémoires, que vous nous faites parvenir, et nous les trouvons très pertinents et instructifs. Il s'agit d'un mécanisme qui permet aux gens de fournir des commentaires et des informations au comité pour que nous puissions faire notre travail de façon très adéquate. Il importe de souligner clairement que les gens ont cette possibilité.

    Merci.

    Allez-y. J'ai arrêté le chronomètre; je vais donc le redémarrer.

    Très bien, merci. Cela ne sera pas déduit du temps qui m'est alloué.

    Il n'est pas encore entamé.

    Très bien, excellent; merci.

    Je tiens à répéter — par l'intermédiaire de la présidence, monsieur le président — que les témoins ont présenté au comité sénatorial le point de vue et les préoccupations au sujet du projet de loi S-4 qu'ils expriment aujourd'hui, mais que les modifications recommandées ne se reflètent pas dans le projet de loi dont nous sommes saisis aujourd'hui. Je suppose que c'est ce qu'on veut nous faire savoir.

    Je pense qu'à l'instar du commissaire à la protection de la vie privée, les témoins soulèvent de graves préoccupations au sujet de la portée du projet de loi.

    J'aimerais commencer par vous, madame Lawson. La question porte sur le modèle subjectif qui est proposé par rapport à l'obligation qu'auraient les entreprises de signaler les atteintes à la sécurité des données? Pouvez-vous nous donner votre interprétation de l'effet que pourrait avoir ce qui est proposé dans le projet de loi S-4, et nous dire ce que vous recommandez pour renforcer cette disposition?

    Avec plaisir; merci.

    En fait, je ne dirais pas que c'est un critère subjectif. Je pense qu'il s'agit toujours d'un critère objectif. Le problème, c'est qu'on laisse à l'industrie le soin de l'appliquer et qu'il n'y a pas assez de mesures de surveillance ou de mesures incitatives pour veiller à ce qu'elle le fasse adéquatement.

    Une des solutions serait que le commissaire à la protection de la vie privée puisse examiner les cas d'atteinte et déterminer s'il faut aviser les personnes touchées, par exemple. Je crois que c'est le modèle que propose le CDIP; le recours à des normes différentes permettrait certainement d'éviter que l'industrie détermine elle-même si l'atteinte satisfait ou non au seuil de signalement des atteintes au commissaire à la protection de la vie privée ou aux particuliers.

    Je pense que cela pose problème. Je suppose qu'on peut dire que c'est un critère subjectif, mais le problème, c'est que la décision relève de l'industrie. Si on adopte ce genre de modèle, alors il est d'autant plus important de mettre en place des mesures contraignantes pour obliger l'industrie à se conformer. Autrement, elle ne le fera pas, car ce n'est tout simplement pas dans son intérêt. C'est ce que nous constatons. Si vous regardez n'importe quel aspect lié à la conformité à la LPRPDE, vous constaterez qu'actuellement, la non-conformité est simplement considérée comme un coût d'exploitation. C'est un fait.

    Je suis déçue que le commissaire à la protection de la vie privée ne le reconnaisse pas vraiment et ne demande pas un pouvoir de rendre des ordonnances. Cela me déçoit beaucoup. Comme je l'ai déjà indiqué, j'ai dû m'adresser aux tribunaux à ce moment-là pour obliger la commissaire à la protection de la vie privée à exercer son pouvoir et, pour une raison ou une autre, il ne semble pas y avoir au sein de cet organisme une volonté d'obtenir un pouvoir de rendre des ordonnances et d'appliquer cette loi de façon plus efficace.

    Pour que je comprenne, le critère est objectif, mais par rapport au secteur privé, il est subjectif, car il permet aux organisations de déterminer s'il y a eu ou si elles estiment qu'il y a eu une atteinte. Par conséquent, si on met en place ce modèle à deux étapes en rendant obligatoire la déclaration au commissaire à la protection de la vie privée, dois-je comprendre qu'il reviendrait alors au commissaire de déterminer si les personnes touchées devraient être informées de l'atteinte?

    Oui. Pour être juste, le critère est objectif. Par exemple, si vous regardez le paragraphe 10.1(1) proposé, on lit:

    C'est une norme objective. Le problème, c'est que nous laissons l'industrie prendre la décision alors qu'elle a tout intérêt à ne pas divulguer l'information. Par conséquent, il faut soit instaurer des mesures incitatives beaucoup plus importantes pour favoriser la divulgation, soit charger un tiers parti de la décision et de l'examen du dossier, comme le Commissariat à la protection de la vie privée, qui pourrait disposer des ressources nécessaires — une ou deux personnes supplémentaires — pour examiner ces avis d'atteinte à la protection de la vie privée en fonction de normes plus uniformes et déterminer lesquels devraient être envoyés aux personnes touchées.

    J'ai une autre question pour vous, madame Lawson. Aujourd'hui, vous avez parlé des amendes, et vous avez indiqué que les amendes prévues dans le projet de loi S-4 étaient considérées comme un coût d'exploitation et qu'elles ne sont pas assez dissuasives, quelle que soit la nature de l'atteinte à la protection des renseignements personnels.

    Qu'en est-il des autres administrations? En quoi consisteraient des mesures dissuasives importantes qui encourageraient vraiment le secteur privé à assurer une protection maximale des renseignements personnels?

    Je pense que M. Geist a soulevé un très bon point à cet égard en proposant que nous examinions la loi antipourriel qui a été adoptée par le gouvernement et l'attention qu'elle a suscitée dans l'industrie. L'argent a son importance, mais c'est aussi une question de processus.

    En ce qui concerne les amendes, même si elles sont très élevées, étant donné leur caractère quasi criminel — ce qui exige d'intenter des poursuites et de prouver l'intention —, le risque qu'une entreprise écope d'une amende est très faible.

    Les sanctions administratives pécuniaires sont beaucoup plus efficaces, car elles peuvent être imposées plus facilement sans recours au processus quasi criminel et sans avoir à prouver l'intention. C'est le mécanisme qui a été choisi dans le cas de la loi antipourriel, et c'est ce que nous devrions faire également pour cette mesure législative.

    Une autre mesure incitative solide est le recours aux poursuites au civil. Permettre aux particuliers d'intenter des poursuites au civil ou des recours collectifs contre des entreprises peut être une solide mesure incitative, ce qui n'est pas le cas dans le cadre du régime actuel parce que c'est trop difficile et parce qu'on ne prévoit pas de dommages-intérêts pour atteinte à la réputation. Cet élément a été retiré. Le critère est l'humiliation, ce qui est un critère élevé, et même s'ils avaient la possibilité d'intenter des poursuites, les gens ne pourraient obtenir un montant élevé.

    Il existe divers mécanismes. Le troisième type de mesure incitative est la publicité négative. Cependant, on remarque encore une fois que le commissaire à la protection de la vie privée n'y a pas recours très souvent. Dans le cadre de ce régime — si on regarde l'article 20, on voit que le commissaire peut rendre publiques des informations s'il estime que cela est dans l'intérêt public —, on énonce d'entrée de jeu que le commissaire est tenu au secret en ce qui concerne les renseignements figurant dans une déclaration.

    Pourquoi pas? Pourquoi ne pas lier cela à des rapports de transparence? Pourquoi ne pas avoir recours à la publicité négative?

    En résumé, il existe trois types d'incitatifs financiers que l'on pourrait utiliser, et j'ai l'impression qu'aucun d'entre eux n'est exploité de façon optimale dans la mesure législative proposée.

    Merci beaucoup, madame Lawson.

    Nous passons maintenant à Mme Gallant, pour huit minutes.

    Merci, monsieur le président.

    Pour commencer, j'ai une question pour M. Geist. Vous avez indiqué être préoccupé par la communication de renseignements personnels sans mandat par les entreprises de télécommunications.

    Pour quelles dispositions de cette mesure législative imposeriez-vous l'obtention d'un mandat?

    Ce que j'ai dit, c'est que je suis préoccupé par la communication de renseignements à l'insu de l'intéressé, sans son consentement et sans mandat.

    Les mandats s'appliquent à des situations liées à la communication de renseignements à des organismes d'application de la loi. Cette mesure législative ne s'applique pas aux organismes d'application de la loi; elle porte plutôt sur la communication volontaire à d'autres organismes.

    Nous savons qu'en vertu de la LPRPDE — le régime actuel —, les organisations peuvent obtenir des tribunaux les ordonnances nécessaires à la divulgation de ces renseignements lorsqu'elles mènent des enquêtes ou étudient la possibilité d'intenter des poursuites judiciaires.

    Dans les cas de ce genre, les tribunaux établissent des conditions réelles relatives à la divulgation. Il y a une surveillance quant au moment choisi pour la divulgation ainsi que des restrictions claires sur l'utilisation des renseignements, notamment par rapport aux entités auxquelles ils peuvent être communiqués ultérieurement et à l'obligation de détruire les informations. Bref, il y a toute une série de conditions qui reconnaissent l'importance de ces renseignements en matière de protection de la vie privée.

    Le projet de loi a pour effet d'élargir la divulgation volontaire de ces renseignements sans surveillance des tribunaux et sans restrictions.

    Le projet de loi n'est pas lié à l'application de la loi. Vous parlez de projets de loi qui seraient liés à l'application de la loi.

    Non. Je parle d'un organisme qui détient mes renseignements personnels. Dans certains cas, ces renseignements pourraient être divulgués à des organismes d'application de la loi ou des organisations du secteur privé.

    Dans le contexte de l'application de la loi, il s'agit d'un mandat, et dans la foulée de la décision Spencer, il semble très clair qu'il faudra désormais un mandat, ou qu'il devrait y avoir un mandat.

    Dans le secteur privé, le projet de loi a pour effet d'indiquer que des renseignements peuvent être divulgués volontairement sans mandat et sans une surveillance quelconque des tribunaux.

    Ce que je dis, c'est qu'au cours des dernières années, en vertu de la LPRPDE, nous avons vu des cas où des organismes ont indiqué vouloir identifier des abonnés pour pouvoir intenter des poursuites contre eux. Dans de tels cas, ces organismes mènent une enquête ou entreprennent un processus judiciaire. Le tribunal examine les circonstances liées au dossier pour déterminer s'il convient d'ordonner la divulgation et d'établir des modalités sur les renseignements pouvant être divulgués.

    Le projet de loi S-4 a pour effet d'élargir le recours à ce genre de divulgation volontaire.

    Donc, la divulgation exigée en vertu de ce projet de loi vise les entreprises en cas d'atteinte à la sécurité des données.

    Non; ce n'est aucunement lié à l'atteinte à la sécurité des données. Le libellé utilisé dans le projet de loi S-4 est exceptionnellement vague. Il porte sur la capacité de divulguer ces renseignements — attendez, je peux essayer de vous en lire un passage — lorsqu'il est raisonnable en vue d'une enquête sur la violation d'un accord ou sur la contravention à une loi qui a été commise ou est en train ou sur le point de l'être, s'il est raisonnable de s'attendre à ce que la communication effectuée au su ou avec le consentement de l'intéressé compromettrait l'enquête.

    Il n'est aucunement question d'atteintes à la protection des renseignements personnels; il s'agit essentiellement d'une carte blanche en matière de divulgation volontaire.

    Selon mon interprétation, cette partie du projet de loi porte sur les enquêtes internes d'une organisation en ce qui concerne les cas de fraude interne.

    Il n'y a aucune mention d'enquêtes internes d'une organisation ou de fraudes internes. Le nouvel alinéa d.1) porte sur « la violation d'un accord ou sur la contravention au droit fédéral ou provincial » qui a été commise ou même qui pourrait être sur le point d'être commise. C'est une mesure anticipative: je pense que quelque chose pourrait se produire et, par conséquent, je vais aller de l'avant. Il est même question de la violation d'un accord. Quelqu'un pourrait faire valoir que j'ai le droit de divulguer volontairement des renseignements. À mon avis, la notion selon laquelle les Canadiens doivent avoir l'assurance qu'on a mis en place une norme de la décision raisonnable n'est pas d'un grand réconfort. C'est très vague. Outre le caractère raisonnable, il n'y a aucune limite, aucune limite claire. Or, il s'agit d'une norme d'une portée très limitée, et aucune restriction n'a été établie sur ce que l'on fait des données par la suite. Nous ne parlons pas d'atteinte à la protection des données. Nous ne parlons pas de fraude. Nous ne parlons pas d'enquête interne. Nous parlons de quelque chose de beaucoup plus large.

    Très bien, merci; j'en resterai là pour le moment.

    Madame Lawson, vous avez indiqué que les conditions d'utilisation sont trop longues et que les gens ne prennent pas la peine de les lire. Essentiellement, la responsabilité revient à la personne qui clique sur le bouton « Accepter ». Si c'est trop long et complexe à lire en entier et que nous laissons les gens être privés de la responsabilité de ce qu'ils acceptent, que voudriez-vous voir sur la page que les gens doivent lire, où ils doivent cliquer pour signifier leur accord?

    Si on veut s'appuyer sur le consentement et qu'on veut que ce soit pertinent, il faut abandonner l'idée de l'option négative ou du consentement par défaut. Tout le monde sait que personne n'a le temps de lire ou la capacité de comprendre lorsque les informations sont cachées dans un document de 20 pages rédigé dans un jargon juridique. Adoptons un consentement concret et valable, soit un consentement positif et explicite pour toute collecte, utilisation et communication de renseignements personnels non essentiels.

    Ce que cela signifie, c'est qu'une personne devrait cliquer sur le bouton « J'accepte » pour des cas de divulgation précis; ce serait optionnel. Dans sa version actuelle, la LPRPDE exige que la collecte, l'utilisation et la communication de renseignements personnels non essentiels soient optionnelles. Le problème, c'est que les options négatives, les options par défaut sont autorisées. Il faut modifier cet état de choses; les options cachées doivent être visibles et il faut mettre en place un consentement à option d'adhésion. Les clients ne doivent pas être forcés de consentir à des choses qui ne sont pas nécessaires, comme la publicité.

    Très bien. Donc, ce n'est pas lié à la longueur du texte ou au jargon juridique, mais à l'option par défaut. Merci.

    Vous avez indiqué que vous appuyez les mesures de protection incluses dans le projet de loi. En quoi les mesures visant à protéger les consommateurs sont-elles avantageuses, à votre avis? Quel effet ont-elles, selon vous?

    Je suis désolée; je ne sais pas exactement ce dont vous parlez. Est-ce quelque chose dans le projet de loi S-4?

    Vous avez dit que les mesures du projet de loi S-4 ont des aspects positifs.

    Eh bien, accorder au commissaire à la protection de la vie privée le pouvoir de conclure des accords de conformité et de les faire respecter est certes un pas en avant. Ce n'est pas un progrès aussi important que ce qu'on devrait avoir, mais c'est un début. La mise en place d'un régime de signalement des atteintes à la sécurité des données ou d'un régime quelconque pour en informer le commissaire et les particuliers est mieux que rien, selon moi. Toutefois, ce n'est pas aussi bon que cela pourrait l'être. Nous demandons une telle mesure depuis 10 ans; nous avons examiné la question en profondeur. Étant donné la vaste expérience des autres administrations à cet égard, nous devrions viser juste, cette fois. Il n'y a aucune excuse de ne pas faire mieux.

    Bien.

    Monsieur Gogolek, vous avez indiqué qu'on ne peut affirmer avec certitude que les politiques provinciales ne sont pas nuisibles. Vous avez dit que selon la façon dont les politiques de la Colombie-Britannique et de l'Alberta ont été rédigées, il existe toujours un risque de nuire aux gens que les politiques sont censées protéger.

    Pouvez-vous nous donner des exemples illustrant en quoi les lois provinciales que le projet de loi est censé refléter présentent un risque d'atteinte à la sécurité des données?

    Faites-vous référence à l'extrait du mémoire présenté par notre commissaire concernant la PIPA? Elle indique qu'il lui est impossible d'en avoir le coeur net du fait qu'elle n'a pas les rapports où elle pourrait trouver cette information. Cela concernait le travail du professeur Geist. Voilà qui illustre bien les difficultés avec lesquelles notre commissaire doit composer en Colombie-Britannique parce qu'on ne la tient pas au courant de ce qui se passe. On peut ainsi voir à quel point il est important qu'un commissaire soit mis au fait de ces situations aussi fréquemment que possible, notamment pour des motifs de fonctionnement systémique, mais aussi simplement pour savoir ce qui se passe.

    Merci, madame Gallant.

    Nous passons maintenant à Mme Papillon pour les huit prochaines minutes.

     Merci beaucoup, monsieur le président

    Monsieur Geist, je vous remercie d'être avec nous aujourd'hui.

    Lors d'une séance du comité sénatorial, vous avez donné l'exemple de la Californie. Cet État exige la divulgation de toute atteinte à la sécurité liée aux renseignements personnels non cryptés lorsqu'on a des motifs raisonnables de croire qu'ils ont été acquis par une personne non autorisée.

    Pouvez-vous nous donner un exemple concret pour expliquer l'incidence que pourrait avoir une définition semblable sur l'application du projet de loi S-4?

    Merci de soulever cette question. Il est intéressant de noter que le concept du signalement des atteintes à la sécurité a vu le jour en Californie alors que l'on s'efforçait de créer l'ensemble idéal de mesures visant à inciter les entreprises à se montrer plus efficaces dans la protection des renseignements personnels, pour éviter les coûts et l'embarras que pourrait leur causer un tel signalement. Du même coup, les utilisateurs seraient mieux protégés en étant informés de ces signalements.

    Le seuil fixé par le projet de loi S-4 est tellement élevé, et je crois que Mme Lawson l'a également souligné, que si le seul critère applicable est celui du risque réel de préjudice grave et que l'on n'impose pas de sanctions rigoureuses en cas de non-signalement, les grandes organisations tout au moins vont faire dans bien des cas le choix tout à fait rationnel de ne rien dire. Elles vont se demander dans un premier temps quels sont les risques que quiconque découvre qu'il y a eu atteinte. Elles vont ensuite se dire que si jamais quelqu'un l'apprend et prouve qu'il y a un risque réel de préjudice grave, elles n'auront qu'à faire face aux sanctions prévues qui sont relativement peu rigoureuses.

    On a donc convenu d'abaisser le seuil dans la loi californienne pour bien s'assurer de réduire les vols d'identité et de garantir une meilleure sécurité, même si cela doit se faire au détriment d'autres objectifs. C'est ce que nous avons essayé de faire dans une certaine mesure avec les projets de loi C-12 et C-29 qui prévoyaient un processus en deux étapes de telle sorte que le commissaire à la vie privée soit tout au moins mis au courant des situations où il y a atteinte importante. Mais comme on a maintenant renoncé à toutes ces mesures, je crois qu'il y a tout lieu de craindre des atteintes semblables au Canada. Si vous posez la question aux Canadiens, ils seraient nombreux à vous répondre que l'on devrait les en informer. Mais suivant la formulation actuelle de la loi, ils ne seront pas mis au courant, car les entreprises vont plutôt agir rationnellement en choisissant de ne rien déclarer.

    Je vous remercie.

    Je vais continuer avec vous, monsieur Geist.

    Lors de la réunion du comité sénatorial, vous avez aussi dit que la création d'ordonnances de conformité serait fondée si elle s'accompagnait des pouvoirs nécessaires pour imposer des peines ou prendre des mesures réglementaires comme c'est le cas aux États-Unis, là où les ordonnances de conformité sont courantes.

    Pouvez-vous nous expliquer plus en détail quels sont les pouvoirs nécessaires qui nous manquent au Canada à ce sujet?

    Il faudrait imposer des sanctions plus sévères, comme nous l'avons indiqué, et donner au commissaire le pouvoir d'émettre des ordonnances pour obliger quelqu'un à respecter les règles, comme c'est le cas à l'échelon provincial. La possibilité de négocier des accords de conformité est certes un pas en avant par rapport à ce qui existe actuellement. Je pense que tout le monde en conviendra. Il est tout de même essentiel que nous en fassions davantage et que nous conférions au commissaire de véritables pouvoirs qui lui permettront de veiller à ce que les organisations soient plus enclines à se conformer aux règles. Je trouve stupéfiant d'entendre ces gens qui font souvent référence aux États-Unis en soutenant que le Canada est nettement en avance en matière de protection de la vie privée avec sa loi d'application générale, une mesure que l'on ne trouve pas du côté américain. La réalité est pourtant tout autre. Grâce à ses pouvoirs véritables d'application de la loi, notamment au moyen d'ordonnances, la Federal Trade Commission peut imposer des sanctions beaucoup plus sévères et obtenir des niveaux de conformité nettement plus élevés que ce que nous arrivons à faire au Canada, étant donné que notre commissaire ne dispose tout simplement pas de pouvoirs semblables.

    Ce que vous dites est intéressant.

    Je vais vous ramener sur le terrain québécois. La loi québécoise qui touche la protection des renseignements personnels numériques prévoit des exceptions qui permettent à l'entreprise de recueillir ou de divulguer tout renseignement personnel sans le consentement de la personne concernée, mais ces exceptions sont fort limitées, par exemple lorsqu'il y a une enquête de nature pénale ou criminelle.

    À votre avis, le projet de loi S-4 pourrait-il s'inspirer de ce qui a été fait au Québec à ce sujet?

    Je ne connais pas très bien la loi québécoise, mais il y a bien évidemment toute une série d'exceptions, même dans l'état actuel des choses en vertu de la LPRPDE. Je pense que vos propos vont dans le sens de ce que nous disons au sujet de la similitude marquée entre les provinces qui ont des lois à cet effet.

    Je crois vraiment que les mesures prévues ici, notamment pour ce qui est de la divulgation volontaire, iraient toutefois bien au-delà de ce que la plupart des Canadiens pourraient considérer comme envisageable, si l'on ne met pas en place les dispositifs de surveillance et les conditions qui seraient normalement requises.

     Le projet de loi S-4 donnerait donc au commissaire à la protection de la vie privée de nouveaux pouvoirs pour conclure des accords de conformité avec les organisations. Craignez-vous que le commissaire ne soit submergé si on lui déclare toutes les atteintes à ce sujet?

    Je crois que vous avez insinué cela au début de votre discours.

    Je crois que si les organisations devaient signaler tous les cas où on perd la trace d'une clé USB, on constaterait vite qu'elles doivent consacrer beaucoup de temps à ce genre de signalements. Si l'on se rappelle des mesures prévues dans les projets de loi C-12 et C-29, il faut dire que le seuil proposé était différent. On parlait alors d'une atteinte importante.

    On peut toujours se demander si c'est vraiment le seuil approprié, mais il a tout au moins l'avantage de limiter le nombre de signalements, contrairement à ce projet de loi-ci. En outre, les mesures prévues à l'origine étaient également bénéfiques pour les entreprises. Plutôt que d'être directement confrontées au choix de procéder ou non à un signalement, avec les dépenses et les risques d'embarras que cela entraîne, les entreprises avaient en effet accès à une étape intermédiaire. Elles pouvaient discuter de la question en toute confidentialité avec le commissariat à la protection de la vie privée pour déterminer si un signalement à plus grande échelle était justifié.

    Il faut dire qu'il était bon pour les organisations de pouvoir ainsi éviter le signalement dans certaines circonstances, alors que les utilisateurs pouvaient tout au moins avoir l'assurance que le commissaire à la protection de la vie privée allait pouvoir défendre leurs droits après avoir été mis au fait de la situation.

    Je ne comprends pas pourquoi on a éliminé ces mesures pour les remplacer par un processus qui, en toute franchise, en fait moins pour protéger les Canadiens tout en risquant d'entraîner des coûts supplémentaires pour les entreprises.

    Merci, monsieur.

    Madame Lawson, je crois que vous voulez aborder...

    Si vous me permettez d'intervenir brièvement, j'ajouterais que si les entreprises ne sont pas tenues de signaler certains types d'atteintes à la sécurité, elles ne seront pas non plus incitées à les éviter.

    D'accord.

    J'aimerais parler d'un autre aspect relativement à ce que le professeur Geist a mentionné.

    En plus, cela impose une sorte de pénalités aux compagnies qui sont davantage attentionnées à l'égard de la protection de nos informations privées. En effet, les compagnies qui sont plus ouvertes et qui vont informer plus de personnes si elles ont eu des difficultés avec les informations personnelles vont voir leur réputation en payer le prix.

    En ce qui a trait aux compagnies qui prennent une chance, qui essaient de cacher des choses ou qui regardent la situation et décident de ne rien faire, il est toujours possible que personne ne sache qu'ils ont eu une difficulté ou une fuite d'informations. Ce n'est pas la situation que nous devrions créer. Il faut avoir des normes minimales pour que tout le monde sache à quel niveau il faut se comporter.

    Merci beaucoup.

    Merci beaucoup, madame Papillon.

    Je veux informer nos témoins que le prochain intervenant sera le dernier à leur poser des questions. Compte tenu de l'heure, et je vous signale que nos horloges ont environ trois minutes de retard, nous pourrons sans doute vous accorder deux minutes chacun pour conclure. Vous pourrez en profiter pour faire valoir vos derniers arguments une fois que M. Lake aura terminé ses questions.

    Monsieur Lake, vous avez huit minutes.

    Merci, monsieur le président.

    Je trouve intéressant de pouvoir entendre tous les témoignages avant d'avoir l'occasion d'intervenir.

    J'ai par exemple noté que Mme Lawson et M. Geist nous ont servi des mises en garde assez similaires. Ainsi, Mme Lawson a indiqué: « Il nous faut absolument viser juste » et M. Geist a dit: « Nous devons viser juste ».

    Il est bien évident que dans le cadre de nos audiences, il faut comprendre que « juste » signifie en fait « juste comme le témoin l'entend ». Nous avons reçu des témoins qui nous ont présenté des points de vue complètement différents. Pour certains « viser juste » c'est, par exemple, aller dans le sens de ceux qui soutiennent que les dispositions sur le consentement vont trop loin, comme nous l'avons entendu au cours de notre dernière séance. Je ne crois toutefois pas que cela corresponde à votre propre définition de « viser juste ».

    Quelqu'un a fait valoir que notre régime de signalement des atteintes à la sécurité des données est trop onéreux. Si nous décidions d'intervenir dans ce sens-là, je suis pas mal persuadé que vous jugeriez tous les deux que nous n'avons pas « visé juste ». Chaque fois que j'entends une formulation semblable, cela me ramène à nos audiences sur les mesures antipourriels, les droits d'auteur et même la facturation à l'utilisation. Ce qui apparaît juste pour certains ne l'est pas nécessairement pour tout le monde. Comme ce fut le cas avec ces enjeux, il nous faut pour ce projet de loi trouver la position d'équilibre entre des points de vue extrêmement divergents.

    Si je considère les trois aspects qui ont été soulevés, je trouve intéressant...

    Madame Lawson, je vais m'adresser d'abord à vous concernant l'article 20. Vous avez formulé des réserves au sujet de cet article et notamment quant aux dispositions du projet de loi S-4 en matière de confidentialité.

    Oui.

    Avez-vous le projet de loi sous les yeux?

    Oui.

    Pouvez-vous me lire cet article?

    Vous parlez du paragraphe 20(1.1) qui est proposé?

    Oui.

    Il se lit comme suit:

    C'est parfait. Avez-vous également un exemplaire de la LPRPDE?

    Désolée...?

    Avez-vous aussi à portée de la main la LPRPDE, la loi elle-même?

    Oui, je l'ai.

    Pouvez-vous nous lire le paragraphe 20(1), celui qui est déjà dans la loi, et nous dire en quoi les deux sont différents?

    La seule différence, c'est que le paragraphe 20(1.1) proposé ajoute la notion de signalement des atteintes.

    Alors la nouvelle disposition prévue dans le projet de loi S-4 a seulement pour effet d'assurer la conformité avec ce qui existait déjà dans la loi, n'est-ce pas?

    Eh bien, on a convenu de traiter les atteintes... Oui, si vous voulez; le signalement des atteintes est considéré dans la même catégorie que tout le reste.

    Dans ce domaine, l'impact véritable viendrait alors, pour ce qui est des pouvoirs du commissaire, du paragraphe 20(2) proposé, si je ne m'abuse, qui prévoit ce qui suit:

    Autrement dit, le commissaire peut dénoncer les organisations qui ne respectent pas la loi.

    Oui.

    C'est un pouvoir très important, quand on pense aux organisations qui ont pu être pointées publiquement du doigt pour avoir contrevenu à la Loi sur la protection des renseignements personnels. Nous pourrions donner différents exemples où cela pourrait...

    C'est exact. Suivant le libellé actuel, ce paragraphe a préséance sur les dispositions en matière de confidentialité.

    Je n'hésiterais donc pas à affirmer que la nouvelle disposition contenue dans ce projet de loi a du mordant.

    J'aimerais que nous discutions également de l'article 6 proposé, car j'ai trouvé intéressant votre commentaire au sujet de ce problème aussi visible qu'un éléphant dont personne ne veut parler. Il était question du simulacre de consentement que les entreprises obtiennent.

    D'après la lecture que je fais du projet de loi et comme vous l'avez vous-même signalé, je constate que l'on utilise l'expression « un individu ». On peut ainsi lire que le consentement n'est

     — et c'est la portion qui vous pose problème, mais qui me plaît beaucoup —

     — donc essentiellement n'importe quel individu —

    Cette mesure s'applique donc à tout le monde. Elle ne cible pas uniquement les enfants ou un groupe particulier de personnes vulnérables. Le consentement n'est valable que s'il est raisonnable de s'attendre à ce qu'un individu visé par les activités de l'organisation comprenne la nature et les fins et les conséquences de la collecte des renseignements.

    Vous avez parlé d'un problème évident dont personne ne veut discuter, et je suis tout à fait d'accord avec vous. Je me dis souvent qu'il est trop facile d'exiger un simple clic de souris pour permettre à une personne d'accéder à du contenu sur Internet. Je pense que l'on précise bien ici que chacun doit pouvoir comprendre la nature, les fins et les conséquences d'un tel geste. N'êtes-vous pas du même avis?

    Je suis d'accord, et c'est d'ailleurs la raison pour laquelle j'aime bien cette disposition. On y trouve la clarification dont l'industrie a besoin. Je voulais toutefois faire valoir que ce libellé additionnel qui n'apparaissait pas dans le projet de loi C-12 a pour effet de limiter l'application de cette disposition. Au lieu de l'élargir, on la restreint. Dans la version antérieure, on indiquait que le consentement n'était valable que s'il était raisonnable de s'attendre à ce que l'individu comprenne. C'est-à-dire qu'il devait être raisonnable de s'attendre à ce que l'individu en question comprenne en quoi consistait son consentement pour une transaction donnée. La formulation précédente s'appliquait donc à tout le monde. Qu'il s'agisse d'un enfant, d'un aîné ou peu importe, l'individu devait être en mesure de comprendre en quoi consistait le consentement.

    La nouvelle formulation est plus limitative. Elle indique que l'on ne doit se préoccuper que des individus visés par les activités de l'organisation, et il devient facile pour celle-ci d'affirmer dans un tel contexte que ses activités visent les adultes, et non les enfants.

    Si un garçon ou une fillette de 11 ans  — en l'absence de contrôles parentaux sur l'ordinateur ou d'une surveillance adéquate par les parents, par exemple — décide de s'abonner à un service auprès d'une organisation dont les activités sont de toute évidence dirigées vers les adultes, je trouve ridicule de présumer que l'organisation en question devrait s'en rendre compte. Je ne vois pas comment cela peut être possible.

    Pour protéger les enfants, les Américains ont adopté une loi intitulée Children's Online Privacy Protection Act. C'est peut-être un bon point de départ si l'on a pour objectif de protéger nos enfants.

    Je ne crois pas que l'article 6.1 proposé permette de protéger les enfants. Je pense que...

    C'est une situation plutôt intéressante, car je crois...

    Cela contribue à préciser d'une manière générale ce qui est nécessaire pour qu'un consentement soit valable.

    Je pense que vous soulevez une problématique sans doute vraiment importante qui n'est toutefois pas du ressort de ce projet de loi, mais qui sera pertinente pour bon nombre des mesures législatives que nous proposons ces jours-ci. Nous aurons sans doute l'occasion d'y revenir.

    Pour ce qui est de l'article 7 et des enquêtes privées, j'ai trouvé intéressants les commentaires de Mme Borg. Elle semble laisser entendre que nous devrions essayer de prévoir ce que nous réserve l'avenir quant à ce que les législatures provinciales comptent faire de leurs lois respectives, et apporter dès maintenant des changements en conséquence en nous montrant « proactifs ». Je ne sais pas comment nous pourrions nous y prendre. Je ne vois pas comment nous pourrions présumer des intentions des législateurs provinciaux. Nous sommes uniquement au fait des mesures déjà prises par les provinces qui ont adopté des lois en la matière, un peu comme ce que nous essayons de faire actuellement pour assurer une certaine uniformité.

    C'est une autre chose que je ne comprends pas très bien. Dans ce domaine, c'est le gouvernement fédéral qui devrait être le chef de file, alors que les provinces devraient s'efforcer d'adopter des lois essentiellement similaires. Si une loi provinciale laisse à désirer et n'offre pas aux Canadiens le niveau de protection qu'ils méritent, alors...

    Il faut toutefois admettre que personne ne prétend que les lois provinciales ne sont pas à la hauteur et que personne n'est en mesure de signaler quoi que ce soit qui pourrait clocher avec ces lois. Il y a même deux provinces dont la loi a un libellé à peu près identique.

    Eh bien, je vous dirais que j'ai moi-même signalé une difficulté qui semblait échapper aux gens dans la loi albertaine, et je crois que vous avez entendu M. Geist vous parler des problèmes dans sa province. C'est simplement en raison du manque de transparence que ces choses-là ne viennent pas à nos oreilles.

    Monsieur Geist est un homme brillant, mais il arrive que nous ne soyons pas du même avis.

    Sur cette note, nous allons maintenant permettre à nos témoins de conclure dans l'ordre inverse de celui utilisé au départ, question d'équité.

    Madame Lawson, vous avez deux minutes.

    Merci beaucoup, monsieur le président.

    Je dirais que c'est plutôt un élément mineur dont je n'ai pas fait état dans mon exposé. Je suis tout à fait d'accord avec mes collègues quant à la nécessité d'adopter un système à deux vitesses pour le signalement des atteintes en se servant davantage du commissaire à la vie privée comme intermédiaire qui jouerait un rôle accru lorsqu'il s'agit de déterminer quelles atteintes doivent être divulguées aux intéressés.

    J'aimerais juste résumer ce que j'ai déjà dit. J'estime que ce projet de loi doit protéger la vie privée des Canadiens au regard de trois aspects fondamentaux. Premièrement, on doit imposer des limites plus rigoureuses quant à l'utilisation qu'une entreprise peut faire des renseignements personnels, surtout lorsqu'il s'agit d'enfants et de personnes vulnérables. Deuxièmement, le consentement doit être donné de façon expresse, en vertu d'un choix libre, plutôt que par la négative. Troisièmement, il faut octroyer un pouvoir d'émettre des ordonnances et d'imposer des sanctions pécuniaires en cas de non-respect des règles.

    Je vous remercie.

    Merci, madame Lawson.

    Écoutons maintenant la conclusion de M. Geist.

    J'aimerais conclure en répliquant à la remarque de M. Lake concernant ce que différents témoins peuvent entendre par viser juste. Je veux seulement faire ressortir deux éléments. Premièrement, le gouvernement a présenté ce projet de loi comme étant une mesure favorable aux consommateurs — de toute évidence, dans le cadre de sa stratégie sur l'économie numérique — ce qui montre bien l'objectif visé. Je pense qu'il est difficile de faire valoir que l'on est parvenu au juste équilibre, surtout que ce projet de loi censé protéger le consommateur est justement critiqué par les groupes qui défendent les consommateurs et même par le commissaire à la protection de la vie privée qui signale différents problèmes, dont celui de la disposition touchant la communication volontaire. À mon sens, il faut en conclure que l'objectif visé n'est pas vraiment atteint.

    En outre, lorsque j'ai dit qu'il fallait viser juste, je ne parlais pas vraiment des questions de fond. Je voulais surtout faire valoir qu'il ne faut pas hésiter à apporter les modifications qui s'imposent pour améliorer ce projet de loi. Quelqu'un a indiqué — et vous voudrez bien m'excuser de m'être emporté davantage que je le ferais normalement, car c'est un dossier sur lequel nous travaillons depuis de nombreuses années — que si nous convenons tous de l'importance de la protection de la vie privée, nous pouvons certes accorder à ce projet de loi, ainsi qu'aux amendements éventuels, le même traitement prioritaire que nous accordons au projet de loi C-51, lequel semble vouloir également être un peu étudié à la sauvette, alors qu'il est même possible que le commissaire à la vie privée ne témoigne pas.

    C'est une occasion pour nous de montrer que nous sommes bien conscients que protection de la vie privée et sécurité vont souvent de pair. Si nous priorisons le projet de loi C-51, nous pouvons en faire de même pour le projet de loi S-4 et trouver un moyen pour que ce projet de loi, modifié pour le mieux, puisse être étudié et adopté par le Sénat avant de revenir à la Chambre de telle sorte qu'à la veille des élections, les Canadiens puissent se rendre compte qu'il s'agit d'une mesure législative qui reflète bien leurs préoccupations quant au respect de leur vie privée.

    Merci beaucoup.

    Monsieur Gogolek, vous avez aussi deux minutes pour votre conclusion.

    Merci de nous avoir invités aujourd'hui. C'est un projet de loi très important. Il est aussi primordial que nous l'examinions dans le contexte des choses qui se sont produites pendant qu'il cheminait dans le processus législatif. Depuis les audiences au Sénat, nous avons pu prendre connaissance de l'arrêt Spencer de la Cour suprême du Canada. Nous avons également reçu le rapport du comité législatif spécial qui s'est penché sur la loi régissant la protection des renseignements personnels en Colombie-Britannique. Ce sont autant de faits nouveaux. Ce sont des renseignements supplémentaires sur lesquels vous voudrez sans doute vous pencher.

    Nous sommes également encouragés par le fait que le gouvernement a jugé bon de renvoyer ce projet de loi au comité avant sa deuxième lecture. Je pense que cela montre que le gouvernement est davantage disposé qu'il le serait normalement à considérer différents amendements possibles, ce que le comité ne doit pas perdre de vue.

    En outre, dans le contexte des élections fédérales prévues pour l'automne et de votre propre examen du traitement des renseignements personnels par les entreprises, les Canadiens voudront aussi savoir comment leurs partis politiques gèrent les renseignements personnels qu'ils recueillent, utilisent, conservent et communiquent. Voilà donc une mesure importante que vous devriez prendre. L'assujettissement des partis politiques à la LPRPDE, quelle que soit la forme qu'elle prendra une fois modifiée, constituerait un grand pas en avant. Je vous exhorte à le faire.

    Merci.

    Merci beaucoup.

    Merci à tous nos témoins. Nous vous sommes reconnaissants de nous avoir fait bénéficier de votre temps et de votre expertise.

    La séance est levée.