:
Bonjour, mesdames et messieurs. Bonjour à tous.
Bienvenue à la 36e séance du Comité permanent de l'industrie, des sciences et de la technologie. Nous étudions le projet de loi , Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence.
Nous accueillons aujourd'hui Vincent Gogolek, directeur général de la BC Freedom of Information and Privacy Association.
Nous étions censés recevoir des représentants du Bureau d'assurance du Canada, mais ils sont coincés sur l'aire de trafic à Toronto, à bord d'un avion qui n'a pas pu décoller. Ils essaient de trouver un autre vol, mais évidemment, ils ne pourront pas être ici à temps pour la réunion. Nous les avons déjà convoqués par téléphone à une autre réunion.
Nous recevons également Michael Geist, titulaire de la Chaire de recherche du Canada en droit d'Internet et du commerce électronique à l'Université d'Ottawa. Il témoigne à titre personnel.
Enfin, nous entendrons, par téléconférence, Philippa Lawson, avocate-procureure. Elle se joint à nous depuis Whitehorse, au Yukon.
Pouvez-vous nous entendre, madame Lawson?
:
Merci, monsieur le président.
Je remercie le comité de nous avoir invités ici.
Nous vous avons remis notre mémoire, dans lequel vous trouverez un certain nombre de liens vers les documents connexes. Je ne vais pas vous en faire la lecture. Je me contenterai de soulever quelques-uns des points qui s'y trouvent afin de laisser plus de temps, je l'espère, pour la période des questions au sujet de cette mesure législative très importante.
Je tiens également à dire que nous sommes heureux que le comité entende des témoins à l'étape de la deuxième lecture. Nous estimons qu'il s'agit là d'un signe positif, comme quoi le gouvernement est favorable et ouvert aux amendements, bien plus que la normale.
En premier lieu, je voudrais vous parler de la décision rendue l'année dernière par la Cour suprême du Canada dans l'affaire Spencer. J'aimerais me concentrer sur le cas de la Colombie-Britannique. Comme vous le savez, un comité législatif spécial a examiné notre loi provinciale, la Personal Information Protection Act, qui est essentiellement semblable à la loi fédérale. Le comité a recommandé des modifications à une disposition, qui est l'équivalent de l'article 7. Je crois que vous trouverez, dans notre mémoire, le lien vers ce rapport.
Le comité a proposé de restreindre la portée de cette disposition législative de la Colombie-Britannique.
Par ailleurs, le comité législatif spécial de la Colombie-Britannique a exprimé des préoccupations — dont certaines lui ont été signalées par nous, ainsi que par la commissaire à l'information et à la protection de la vie privée, Elizabeth Denham — quant à la question de la similitude appréciable entre la loi provinciale et la loi fédérale; nous en discutons un peu dans le mémoire.
À l'instar du comité de la Colombie-Britannique et de son homologue provincial, le commissaire fédéral à la protection de la vie privée, M. Therrien, a lui aussi exprimé des réserves quant à l'article 7, et il y a proposé quelques modifications.
En deuxième lieu, j'aimerais faire valoir un point que nous avons soulevé au Comité de l'accès à l'information, de la protection des renseignements personnels et de l'éthique, et il s'agit de la question des partis politiques. En effet, les partis politiques ne sont pas assujettis à la loi fédérale sur la protection des renseignements personnels. Les grandes quantités de données recueillies par les partis politiques ne sont essentiellement pas réglementées. Je ne crois pas que ce soit acceptable, puisqu'il s'agit d'une énorme lacune qui réduit la confiance des Canadiens non seulement envers la loi sur la protection des renseignements personnels, mais aussi envers l'utilisation que l'on fait de leurs renseignements personnels.
Voici, à titre comparatif, la situation en Colombie-Britannique, où les partis politiques provinciaux sont régis par la Personal Information Protection Act. Notre commissaire a mené des enquêtes à la suite de plaintes qui ont été portées à son attention par des particuliers au sujet des activités des partis politiques. À l'issue de ces enquêtes, qui ont abouti à la publication de rapports, certaines pratiques ont été modifiées et, pourtant, le système politique suit son cours. Autrement dit, on n'a pas assisté à l'effondrement total du milieu politique ou des partis politiques en Colombie-Britannique. C'est là un exemple de ce que nous pouvons faire et du genre de résultat que nous pouvons facilement obtenir, selon moi, grâce à l'ajout d'une disposition sur les partis politiques à la LPRPDE.
En dernier lieu — et je serai bref, car je crois que Mme Lawson en parlera également —, nous travaillons à l'heure actuelle sur un rapport à l'intention du commissaire fédéral à la protection de la vie privée, intitulé The Connected Car: Who is in the Driver's Seat?. Le rapport sera rendu public le 25 mars, à Vancouver, et nous serons heureux de vous en faire parvenir des copies.
Je vais laisser Mme Lawson parler de certains des détails. Bien entendu, nous ne révélerons pas le rapport ici, aujourd'hui, mais il y a évidemment un certain nombre de questions liées à la protection des renseignements personnels, au consentement et aux choix des consommateurs. Je crois que les membres du comité trouveront ce rapport très intéressant, et nous espérons qu'il sera également utile pour votre travail.
:
Merci, monsieur le président.
Bonjour. Je m'appelle Michael Geist, et je suis professeur de droit à l'Université d'Ottawa, où je suis titulaire de la Chaire de recherche du Canada en droit d'Internet et du commerce électronique. J'ai comparu devant votre comité à plusieurs reprises pour parler de questions concernant les politiques numériques, y compris la protection de la vie privée. Je suis ici aujourd'hui à titre personnel, comme toujours, pour vous parler de mes propres points de vue.
En fait, j'ai eu l'occasion de comparaître devant le comité sénatorial chargé d'étudier le projet de loi , et j'ai alors soulevé trois grandes questions.
Premièrement, j'ai appuyé plusieurs dispositions importantes du projet de loi, particulièrement celles qui prévoient des précisions supplémentaires à la norme en matière de consentement, la prolongation du délai pour présenter des cas à la Cour fédérale et l'expansion des pouvoirs du commissaire à la protection de la vie privée pour rendre publics des renseignements liés à des constatations ou à d'autres questions. Deuxièmement, j'ai mis en évidence des questions qui, à mon avis, nécessitent une modification ou une amélioration: les règles de divulgation d'une atteinte à la sécurité, particulièrement l'élimination du processus de divulgation à deux volets qui était prévu dans certains projets de loi présentés antérieurement; les dispositions sur les accords de conformité, qui, selon moi, pourraient être renforcées par l'ajout de sanctions ou d'un pouvoir d'ordonnance; et l'élargissement de la disposition sur la communication volontaire de renseignements personnels entre les organisations du secteur privé. Troisièmement, j'ai parlé de certaines dispositions manquantes, notamment la publication obligatoire de rapports de transparence.
Comme mon temps est limité ce matin, je vais m'attarder sur seulement deux questions: la disposition sur la communication volontaire et les rapports de transparence.
En ce qui concerne la communication volontaire, comme vous le savez, le projet de loi élargit la possibilité de communiquer des renseignements personnels à n'importe quel organisme — pas seulement aux organismes d'application de la loi —, et ce, sans le consentement de l'intéressé ou sans la surveillance des tribunaux. Comme vous le savez, le projet de loi contient une disposition qui accorde aux organismes le droit de communiquer volontairement des renseignements personnels, à l'insu de l'intéressé ou sans son consentement et sans mandat, à des organismes qui ne s'occupent pas de l'application de la loi, à condition que ces organismes enquêtent sur la violation d'un accord, une atteinte juridique ou même la possibilité d'une infraction future.
Cette exception trop générale permettra aux entreprises de communiquer des renseignements personnels à d'autres entreprises ou organisations sans l'autorisation d'un tribunal. Je crois que cela va à l'encontre des décisions rendues par la Cour fédérale, qui visaient à établir des limites claires et à assurer une surveillance de ces communications. De plus, c'est contraire à l'esprit de l'arrêt Spencer de la Cour suprême du Canada, qui a statué que les Canadiens ont une attente raisonnable en matière de protection de la vie privée concernant ces renseignements. En fait, si nous examinons les principaux arrêts qui portent sur la communication des renseignements sur les clients dans des poursuites en justice privées — donc, des poursuites qui ne mettent pas en cause des organismes d'application de la loi — comme les arrêts Warman c. Fournier, BMG c. Doe, Voltage c. Doe —, force est de constater qu'ils mettent presque tous l'accent sur la nécessité de prendre des mesures de protection avant que les renseignements sur les clients soient communiqués, même dans le cadre d'une enquête.
D'ailleurs, un comité de la Chambre des communes avait recommandé une réforme semblable en 2006, mais sa recommandation avait alors été rejetée à la fois par le gouvernement conservateur et par la commissaire à la protection de la vie privée du Canada.
Je reconnais que certains ont laissé entendre que l'Alberta et la Colombie-Britannique ont adopté des dispositions semblables et que leur approche n'a causé aucun préjudice. Mais je n'en suis pas convaincu. Selon moi, personne ne peut conclure de façon raisonnable que l'approche provinciale n'a pas entraîné des risques ou des préjudices en matière de protection des renseignements personnels. Il est important de garder à l'esprit que la communication n'est pas nécessairement révélée à l'intéressé. En effet, le but consiste souvent à communiquer des renseignements à l'insu de l'intéressé ou sans son consentement, c'est-à-dire sans qu'il sache que ses renseignements personnels ont été communiqués. Lorsque le comportement préjudiciable est tenu secret de ceux qui sont touchés, le fardeau de la preuve devient impossible. En fait, même s'il y a lieu de croire que les communications pourraient être dévoilées dans le cadre de processus judiciaires, si les choses en arrivent là — et nous savons que ce n'est souvent pas le cas —, les lois provinciales sur la protection des renseignements personnels, comme celles de l'Alberta et de la Colombie-Britannique, permettent rarement la divulgation de ces types de cas. Ce n'est donc pas une coïncidence si les décisions importantes en matière de renseignements personnels invoquent la LPRPDE, parce que ces cas mettent en cause généralement des sociétés de télécommunication, des fournisseurs de services Internet, des sites web et des banques, tous régis largement par la LPRPDE.
Autrement dit, l'existence d'une telle disposition à l'échelle provinciale nous en dit très peu sur la façon dont elle sera utilisée aux termes de la LPRPDE. La réforme ici, je crois, est claire. Il n'y a pas de besoin criant pour un changement. Le système actuel existe depuis de nombreuses années, et il y a des douzaines d'organisations qui sont visées par l'exception concernant les organismes d'enquête. Cela aurait pu être un peu difficile il y a 10 ans, mais aujourd'hui, l'idée d'une réforme est bien peu sensée. Par ailleurs, si certaines industries peuvent susciter des préoccupations, je pense qu'il y a lieu de les régler par un amendement de portée étroite, mais il faudrait retirer la disposition générale que nous avons ici parce qu'elle ouvre la porte à une prolifération massive des communications volontaires sans aucun avis et sans aucune des limites imposées par les tribunaux.
Deuxièmement, il faut des rapports de transparence. Selon moi, le projet de loi présente une lacune flagrante, à savoir le manque de transparence dans les exigences en matière de rapports concernant la communication des renseignements personnels. L'année dernière, les révélations selon lesquelles il y aurait eu plus d'un million de demandes et plus de 750 000 communications de renseignements personnels dans une année, la majorité du temps sans surveillance judiciaire ni mandat, témoignent d'une faiblesse extrêmement troublante des lois canadiennes sur la protection des renseignements personnels.
Plus récemment, le commissaire à la protection de la vie privée du Canada a essayé d'effectuer une vérification de la collecte, par la GRC, de renseignements sur les abonnés, mais il a été essentiellement forcé d'y renoncer lorsque les données se sont avérées inexactes et incomplètes.
Cela dit, certaines entreprises, comme Rogers et Telus, ont commencé à publier des rapports de transparence, mais ce n'est pas le cas pour d'autres entreprises, notamment Bell. La plupart des Canadiens ne sont tout simplement pas au courant. Selon moi, il y a lieu de corriger cette lacune grâce à deux réformes.
Premièrement, la loi devrait obliger les organisations à rendre public le nombre de communications effectuées à l'insu des intéressés ou sans leur consentement et sans mandat. Cette information devrait être divulguée en bloc, tous les trois mois — donc, tous les 90 jours. Je ne dis pas qu'il faut en aviser chaque personne immédiatement; nous parlons plutôt de données présentées de façon globale, tous les trois mois.
Deuxièmement, ces organisations devraient, à un moment donné, être tenues d'aviser les personnes concernées dans un délai raisonnable. Laissons de côté l'obligation de garder l'information secrète dans le cadre d'une enquête; une fois que l'enquête est terminée ou qu'un laps de temps considérable s'est écoulé, il faut soit obtenir une ordonnance du tribunal pour maintenir le caractère secret de l'information, soit signaler la divulgation à la personne concernée.
L'adoption de ces dispositions — les rapports de transparence et le signalement — serait, à mon avis, un important pas en avant pour assurer une plus grande transparence aux Canadiens et les informer de l'utilisation et de la communication de leurs renseignements personnels.
Je suis prêt à répondre à vos questions.
Bonjour, mesdames et messieurs les membres du comité. Merci de me donner l'occasion de vous parler du projet de loi , qui propose des modifications à la LPRPDE.
Mon travail dans ce dossier remonte aux origines de cette loi, c'est-à-dire au code type sur la protection des renseignements personnels de l'Association canadienne de normalisation et aux initiatives subséquentes visant à légiférer les normes volontaires. À l'époque, en ma qualité d'avocate au Centre pour la promotion de l'intérêt public, j'avais représenté l'intérêt public au sein du comité chargé de rédiger le code. J'ai ensuite plaidé en faveur d'une mesure législative, qui a fini par devenir la LPRPDE.
Depuis, je participe de près au dossier de la LPRPDE, d'abord en tant que défenseure des consommateurs au Centre pour la promotion de l'intérêt public et, plus tard, en tant que directrice de la CIPPIC; d'ailleurs, je crois comprendre que vous avez déjà entendu les témoignages de ces deux organisations. J'ai notamment mené des études sur la conformité du secteur privé à la LPRPDE. J'ai également déposé un certain nombre de plaintes aux termes de la LPRPDE auprès du Commissariat à la protection de la vie privée. J'ai intenté une poursuite judiciaire afin d'établir que la commissaire à la protection de la vie privée avait la compétence voulue pour imposer la LPRPDE aux sociétés étrangères au Canada. En 2007, j'ai publié une étude sur les lois ayant trait aux avis d'atteinte à la sécurité. J'exhorte, depuis 2003, le gouvernement à adopter des lois sur le signalement obligatoire des atteintes à la sécurité.
Aujourd'hui, je parle à titre personnel, en ma qualité d'avocate et de militante pour la protection de la vie privée. La dernière fois que je me suis prononcée officiellement sur la réforme de la LPRPDE, c'était en 2008, lorsque j'étais directrice de la CIPPIC. J'avais alors mis l'accent sur trois questions: le signalement des atteintes à la sécurité, la protection des mineurs, ainsi que la conformité et l'application. L'analyse et les propositions faites dans mon dernier mémoire demeurent valables encore aujourd'hui, et je me ferai un plaisir de vous en fournir une copie, si cela vous intéresse.
Je suis heureuse de voir que le gouvernement a jugé bon d'aborder ces trois questions dans le projet de loi , mais je suis déçue que les mesures prévues dans chaque cas soient loin de suffire. Je vais aborder brièvement chacun de ces trois sujets, mais auparavant, j'aimerais parler d'un problème aussi visible qu'un éléphant. Il s'agit de la question du consentement.
Les entreprises donnent l'impression d'obtenir le consentement éclairé des clients pour la collecte, l'utilisation et la communication de leurs renseignements personnels. Mais quiconque prend le temps d'étudier ce qui se passe réellement ne tardera pas à comprendre qu'il s'agit là essentiellement d'un mythe, car les entreprises obtiennent rarement le consentement éclairé des consommateurs.
Le consentement par défaut est couramment utilisé, mais rarement porté à l'attention des clients. En fait, le consentement est souvent présumé, du simple fait que le client utilise le service. Les modifications apportées aux politiques de confidentialité ne sont que publiées sur le site web des entreprises, et les clients sont censés s'informer eux-mêmes. Personne ne s'attend vraiment à ce que les gens lisent les conditions de service pour chaque transaction, car il s'agit de textes longs et complexes. Les gens n'ont tout simplement pas le temps. S'ils prenaient le temps de lire les conditions, ils verraient qu'ils consentent théoriquement à ce que leurs renseignements personnels soient utilisés à des fins comme — et là, je m'appuie sur les politiques de confidentialité que j'ai examinées — la recherche, le marketing, le développement de produits ou des activités d'ordre commercial. Voici une autre pratique qui contrevient à la LPRPDE: de nombreuses entreprises refusent de transiger avec les clients qui n'acceptent pas les utilisations indues de leurs renseignements personnels, comme le marketing.
Il faut remettre les pendules à l'heure en ce qui concerne le soi-disant consentement des clients. D'ici là, l'article 6.1 proposé est une explication utile de ce que la loi exige déjà. Cette disposition pourrait avoir un effet positif sur ce qui est, à mon humble avis, une pratique honteuse largement répandue.
Toutefois, le libellé actuel de l'article 6.1 proposé pourrait avoir un effet pervers sur la protection des enfants ou des aînés. Si vous lisez la disposition, vous verrez qu'elle ne protège pas les personnes vulnérables qui ne sont pas visées par les activités d'une organisation. Ainsi, une entreprise peut offrir ses activités aux adultes, mais fermer les yeux sur le fait que des enfants y adhèrent; c'est tout ce qu'il faut pour exploiter des enfants. La solution simple est de rétablir le libellé antérieur de cet article, tel qu'il était énoncé dans le projet de loi . Par contre, si l'objectif est de protéger les enfants, une approche beaucoup plus efficace sera d'interdire carrément certaines utilisations de renseignements personnels concernant les enfants.
J'ai quelques mots à dire sur le signalement d'atteintes à la sécurité des données. Cette mesure ne s'est que trop fait attendre, et ce sera certainement une amélioration par rapport à la situation actuelle. Mais les règles proposées seront-elles efficaces? Le signalement d'atteintes ne consiste pas seulement à aviser les intéressés. Il importe également de créer des incitatifs pour pousser les organisations à implanter de solides mesures de sécurité.
Pour créer de tels incitatifs, il faut que les organisations s'exposent à un risque réel de préjudice financier substantiel si elles ne mettent pas en place des mesures de sécurité adéquates. C'est le critère que vous devriez appliquer en évaluant le régime de signalement d'atteintes à la sécurité des données proposé: les organisations non conformes s'exposent-elles à un risque réel de préjudice financier substantiel?
Je ne suis pas convaincue que ce soit le cas. Les amendes ne s'appliquent que si l'entreprise ne rapporte pas l'incident ou ne conserve pas de registres, et exigent de lourdes procédures et une preuve d'intention. Les poursuites civiles sont trop coûteuses pour être une solution adéquate dans la plupart des cas, et le commissaire à la protection de la vie privée peut être dissuadé d'utiliser la publicité à cette fin en raison du paragraphe 20(1.1), qui interdit la divulgation des rapports sur le signalement d'atteintes. Je ne comprends pas cette disposition.
Tant qu'il n'y aura pas d'incitatifs financiers réels pour pousser les entreprises à prendre les mesures appropriées afin d'empêcher les atteintes de survenir et à se conformer aux lois sur la protection de la vie privée, la non-conformité à la LPRPDE continuera d'être considérée comme un coût d'exploitation au Canada.
J'aimerais terminer par quelques commentaires sur les enquêtes privées. Je crains fort que si les modifications qu'on propose d'apporter au régime applicable aux organismes d'enquête actuel ne soient adoptées, la protection de la vie privée en pâtira au Canada.
Je ne répéterai pas les propos éclairés de mon collègue, M. Geist, à ce sujet, mais permettez-moi de faire remarquer que dans le nouveau monde d'entreposage de données à bas prix et de forte capacité d'analyse des données, la seule chose qui limitera les mesures que les entreprises peuvent prendre pour détecter la fraude, les critiques ou le non-respect des clauses de contrat, ce sont les dispositions que vous mettrez dans ce projet de loi. Avec la technologie d'aujourd'hui, il revient moins cher de réunir plus de données et d'appliquer des outils d'analyse à une vaste base de données que de limiter la collecte de données à ce qu'on a besoin au départ.
Dans ce contexte, les compagnies d'assurance et d'autres entreprises soutiendront certainement qu'il est raisonnable qu'elles se livrent à ce qui revient à une surveillance large et approfondie de leurs clients afin de détecter les fraudes.
L'alinéa 7(3)d.2) les y autoriserait justement. Il n'exige aucune enquête officielle. La communication doit simplement être raisonnable, pas même nécessaire, comme le prévoyait le projet de loi . Cette disposition ouvrirait la porte au partage routinier de renseignements personnels entre les organisations sous prétexte qu'il existe toujours un risque de fraude. De plus, ces organisations ne seraient pas tenues de faire preuve de transparence ou de rendre des comptes. Voilà qui constituerait un recul important sur le plan de la protection de la vie privée des consommateurs.
Je crois comprendre que cette modification s'inspire du modèle de l'Alberta. Mais après avoir examiné ce modèle, j'ai conclu que l'alinéa 20n) de la loi albertaine n'est pas aussi permissif que cette disposition, car il restreint la communication de renseignements à certaines organisations.
Je vous exhorte à éliminer ces dispositions du projet de loi et à maintenir le régime applicable aux organismes d'enquête actuel. Je vous incite également à adopter les mesures de transparence que mon collègue, M. Geist, a recommandées.
Merci beaucoup.
L'arrêt Spencer, comme nous le reconnaissons tous, je crois, et comme on l'a maintenant fait remarquer concernant un certain nombre de projets de loi et au sein de certains comités, a enfin répondu à une question épineuse qui nous tracassait depuis longtemps, soit celle de savoir si on pouvait avoir une attente raisonnable en matière de protection de la vie privée concernant les renseignements de l'abonné. La Cour suprême du Canada a clairement indiqué que c'est le cas.
Le projet de loi C-13 sur l'accès légal, qui a maintenant été adopté, et le projet de loi S-4 ont tous les deux été rédigés au cours d'une période d'incertitude. Le gouvernement, en particulier, a considéré qu'on pouvait faire valoir qu'il ne pouvait pas y avoir d'attentes raisonnables en matière de protection de la vie privée concernant ces renseignements, et que la divulgation sans mandat ou volontaire était conforme à l'état du droit.
L'incertitude a pris fin en juin dernier quand la Cour suprême du Canada a prononcé l'arrêt Spencer. À mon avis, l'esprit de cet arrêt indique clairement qu'on peut avoir une attente raisonnable en matière de protection de la vie privée, au point où les organisations d'application de la loi sont maintenant en train d'admettre ce point et de demander un mandat pour obtenir l'information. Les dispositions que nous prévoyons dans les mesures législatives comme le projet de loi S-4 devraient certainement tenir compte de ce fait.
Le problème, c'est que le projet de loi S-4, qui a été rédigé avant que l'arrêt Spencer ne soit prononcé, va complètement dans le sens opposé. L'élargissement de la divulgation volontaire sans condition et sans surveillance des tribunaux me semble complètement contraire à l'esprit de l'arrêt Spencer, comme l'ont fait remarquer de nombreux tribunaux dans d'autres affaires.
Même si cet arrêt concerne bien sûr l'application de la loi et que nous nous intéressons ici au secteur privé, l'information comme telle est la même. Il s'agit des renseignements de l'abonné, et la question consiste à savoir dans quelles circonstances ils peuvent être divulgués. Le fait d'élargir la divulgation en instaurant des mesures volontaires est diamétralement opposé à ce que la Cour suprême du Canada a considéré comme étant la norme adéquate de divulgation, selon moi.
:
Ce qui me préoccupe au sujet des dispositions relatives au signalement d'atteintes à la sécurité des données, qui se sont clairement trop faites attendre — nous nous sommes faits dépasser par bien des pays à cet égard —, c'est qu'elles étaient franchement mieux dans les versions précédentes de la mesure, comme les projets de loi et , lesquels prévoyaient un processus en deux étapes, comme vous le savez certainement.
La première étape consistait à aviser le commissaire à la protection de la vie privée des atteintes graves et n'incluait évidemment pas la nécessité d'un risque réel de préjudice important. C'est plus l'atteinte comme telle qui comptait.
Venait ensuite la question de savoir dans quelles circonstances il convenait d'emprunter la voie bien plus difficile d'aviser toutes les personnes concernées par l'atteinte, étant donné que cette mesure est appropriée dans certains cas et ne l'est pas dans d'autres.
En éliminant cette disposition et en instaurant un seuil plus élevé pour tous les signalements, je pense que des atteintes systémiques ne seront pas signalées. Cela signifie que bien des fois, des atteintes graves ne seront tout simplement pas signalées et que les organisations qui éprouvent des problèmes sous-jacents ne seront pas tenues d'en faire part.
Je pense que nous admettons que dans certaines circonstances, les coûts et l'embarras auxquels les entreprises s'exposent les dissuadent de signaler les atteintes. Nous voulons aussi éviter que le nombre de signalements soit si élevé que les consommateurs recevraient des avis chaque jour et ne s'en occuperaient tout simplement plus.
Il faut assurer un sain équilibre, mais je pense que nous avions fait un bien meilleur travail, que le gouvernement avait fait un bien meilleur travail à ce chapitre, particulièrement pour des problèmes comme des atteintes systémiques dans une organisation, en disant « Nous voudrions certainement que le commissaire à la protection de la vie privée soit informé de ces genres d'incidents ». Pourtant, nous avons éliminé cette mesure du projet de loi, pour une raison qui est difficile à comprendre.
C'est la question qui me préoccupe le plus. Chaque fois que nous utilisons notre BlackBerry ou je ne sais quel autre gadget, je conviens que nous ne lisons pas le blabla sur le consentement. J'avancerais que bien peu de gens le font. Ce n'est qu'une vérification automatique qui nous embête, et nous nous contentons d'accepter jusqu'à ce que nous nous rendions compte que nous avons peu ou pas de protection. Je pense que ce que nous cherchons à faire ici, c'est savoir comment protéger le consommateur.
J'ai assisté à une conférence sur la cybersécurité hier. Les questions qui y ont été soulevées au sujet de la sécurité, qu'on parle d'Internet ou d'autre chose, donnent certainement à penser que le projet de loi est loin d'être ce qu'il devrait être ou le genre de loi que nous devrions adopter pour mieux protéger les Canadiens. Il me semble franchement irréaliste de penser que cette mesure législative incitera les entreprises à signaler toutes les atteintes à la sécurité des données. Je pense qu'elles en feront fi, parce qu'une amende de 100 000 $ est insuffisante pour une atteinte grave, d'après ce que nous apprenons dans le cadre du présent processus.
Monsieur Geist, vous proposez certainement d'améliorer la transparence et de la divulgation en ce qui concerne le risque réel auquel s'exposent les consommateurs, avant qu'ils ne soient victimes de vol d'identité ou de violation de leurs droits fondamentaux. Je ne veux pas que mes renseignements personnels soient communiqués à n'importe qui. Si nous adoptons le projet de loi — et je ne suis pas certaine que ce soit ce que mon parti compte faire, mais au moins, nous tentons d'y apporter certaines améliorations —, que devrions-nous y ajouter pour le rendre plus fort et plus applicable? Je vous poserais la question à tous les trois, compte tenu du temps dont je dispose.
:
Bien sûr. Je commencerai peut-être par souligner quelques aspects.
Nous avons parlé, de toute évidence, des règles sur les atteintes à la sécurité des données et de la divulgation volontaire, mais occupons-nous un instant des sanctions et du pouvoir de rendre des ordonnances. Je pense que si un expert de la protection de la vie privée venait au Canada et apprenait que le commissaire fédéral n'a pas le pouvoir de rendre des ordonnances, il serait carrément abasourdi. Ses homologues provinciaux et internationaux ont ce pouvoir. Il est franchement embarrassant pour le commissaire fédéral d'assister à des réunions internationales avec d'autres commissaires responsables de la protection des données et de la vie privée, et de constater qu'il n'a tout simplement pas le pouvoir de rendre des ordonnances dont disposent ses homologues. Selon moi, les accords de conformité sont un pas dans la bonne direction, mais le pouvoir de rendre des ordonnances est une solution plus appropriée.
En ce qui concerne les sanctions, je pense que vous avez raison et que l'imposition de sanctions plus sévères a une incidence. Après tout, le gouvernement nous a donné un bon exemple de la manière dont les choses peuvent se passer avec la loi anti-pourriel, qui a recueilli son lot de critiques, mais que j'ai appuyée. J'ai fait partie du groupe de travail national qui s'est penché sur la question et j'ai comparu devant un comité. Je considère que cette loi fait mouche en prévoyant des sanctions sévères et un consentement préalable clair. Cela indique essentiellement qu'il arrive un moment où le consentement est un mythe, mais c'est particulièrement le cas sous le régime de la LPRPDE. Nous en sommes en quelque sorte arrivés à la conclusion que les cases de consentement par défaut, ces petites cases figurant au bas des pages Web qu'on n'est jamais certain de devoir cocher pour que les renseignements soient communiqués ou non — elles sont souvent conçues de manière à entretenir la confusion —, sont une méthode appropriée pour obtenir le consentement. Foutaise. Ce n'est clairement pas le cas.
La loi anti-pourriel visait à régler la question au moyen du consentement préalable et des sanctions réelles. Le CRTC a imposé une sanction de plus d'un million de dollars à une entreprise pas plus tard que la semaine dernière. C'est le genre de sanctions qui retiennent l'attention des entreprises. C'est une norme supérieure en matière de consentement qui a clairement une incidence. D'une certaine manière, nous disposons d'un modèle que le gouvernement a adopté au sujet du marketing électronique commercial. Ce qu'il faut faire maintenant, c'est admettre que ce genre de modèle devrait s'appliquer plus largement à la protection des renseignements personnels dans le secteur privé.
:
Je ferais valoir trois points pour répondre à votre question. Je suis d'accord avec tout ce que M. Geist vient de dire.
Le premier point, c'est la mise en place de limites fermes là où nous le pouvons. Par exemple, pour protéger les enfants et les aînés, il faut que le paragraphe 5(3) du projet de loi, qui comprend déjà une limite ferme, mais vague, interdise le marketing relativement aux enfants et aux aînés, et stipule qu'on ne peut recueillir, utiliser ou communiquer les renseignements personnels des enfants et des aînés aux fins de marketing. Le code de déontologie de l'industrie du marketing prévoit déjà de telles mesures. Intégrons-les au projet de loi.
Le deuxième point est le consentement réel. Comme M. Geist l'a souligné, oublions le mythe du consentement par défaut. Il faut exiger le consentement préalable explicite pour toute utilisation non essentielle des renseignements des consommateurs, y compris le marketing. J'ai découvert, lors de ma recherche, que des entreprises de tout acabit considèrent maintenant que le marketing fait partie des motifs principaux pour recueillir nos renseignements afin d'offrir le service que nous avons réclamé. Le marketing constitue maintenant pour elles une utilisation principale, et elles n'obtiennent certainement pas le consentement explicite. Dans bien des cas, elles n'obtiennent même pas le consentement par défaut et ne nous donnent même pas l'occasion de refuser.
Le troisième point concerne le pouvoir de rendre des ordonnances. Comme M. Geist l'a indiqué, les sanctions devraient être faciles à imposer, sans qu'il soit nécessaire de prouver l'intention ou de passer par un processus quasi criminel. Il devrait s'agir de sanctions administratives pécuniaires, comme celles que prévoit la loi anti-pourriel.
:
Merci, monsieur le président.
Merci aux témoins qui sont avec nous aujourd'hui.
Je crois que tous les témoins savent que les premières audiences à ce sujet remontent à 2006. M. Geist l'a mentionné, si je ne me trompe pas.
La LPRPDE a été rédigée au XXe siècle. Elle date de plus de 10 ans et elle doit être revue. C'est ce qu'on veut faire avec le projet de loi .
Aussi, il est presque impossible de faire approuver à l'unanimité tout texte de loi, et j'estime que beaucoup d'efforts ont été déployés pour améliorer la LPRPDE. Les Canadiens veulent que les entreprises les informent si leurs renseignements personnels ont été perdus ou volés et si leur sécurité a été compromise. Je crois que les modalités de consentement doivent être appropriées, notamment pour des groupes cibles comme celui des enfants.
Monsieur Geist, vous avez fait part de vos commentaires au Sénat. Vous aviez participé aux audiences en 2006.
Ma question s'adresse à M. Gogolek. Quand le comité sénatorial s'est penché sur la question l'an passé... Cela ne fait pas tout à fait un an, mais quand le comité sénatorial a entrepris son étude sur le projet de loi , avez-vous témoigné? Comme vous le savez, toute modification législative doit être approuvée par les deux chambres. Le projet de loi a d'abord été soumis au Sénat, et c'est maintenant à la Chambre des communes de l'examiner. Avez-vous témoigné lors des audiences sénatoriales?
Monsieur le président, je pense que cela aurait été très utile si ces points avaient été présentés au Sénat et à la Chambre.
Ma question porte sur une déclaration du commissaire. Le commissaire a présenté un exposé il y a un peu moins d'un an, en juin l'an dernier, devant le comité sénatorial chargé d'étudier le projet de loi . Il a aussi témoigné devant notre comité le 17 février.
J'aimerais vous lire le résumé du commissaire. Il ne dispose d'aucun nouvel outil ni de la marge de manoeuvre nécessaire pour faire appliquer la LPRPDE. Le commissaire a déclaré ceci:
En général, le dépôt du projet de loi S-4 est une mesure positive pour la protection de la vie privée au Canada. La LPRPDE a été rédigée au XXe siècle; elle date de plus d’une décennie. Du point de vue de la protection des renseignements personnels, le monde a changé radicalement pendant cette période relativement courte. L’adoption du projet de loi S-4 avec quelques amendements renforcera la LPRPDE et aidera le Commissariat à la protection de la vie privée à mieux protéger la population canadienne tout en traitant les nouvelles questions touchant la protection de la vie privée au XXe siècle.
Monsieur le président, les représentants du Bureau d'assurance du Canada ne pouvaient pas être des nôtres aujourd'hui non plus. Ils avaient soumis un mémoire au Sénat lors de l'étude sénatoriale l'an dernier, et ils ont indiqué être en faveur de certains éléments du projet de loi, dont les mesures de prévention de la fraude.
En général, le comité a entendu des points de vue favorables au projet de loi, et il est important que nous offrions aux Canadiens la protection qu'ils réclament. C'est ce que nous permettrait de faire le projet de loi .
Est-ce que les témoins ici présents s'opposent à l'opinion du commissaire, qui soutient l'adoption du projet de loi ?
:
Je peux certainement vous dire ce que j'en pense. J'aimerais également préciser deux ou trois petites choses. Le commissaire n'a pas témoigné devant le comité sénatorial concernant le projet de loi . Le processus de nomination d'un nouveau commissaire a été très long et personne n'était en poste à ce moment-là. Des représentants du commissariat avaient tout de même pu témoigner, car la question avait déjà été étudiée. Mais le commissaire lui-même n'a pas témoigné concernant le projet de loi S-4.
Pour ce qui est de la durée de l'étude, sauf votre respect, je ne suis pas prêt à dire qu'elle s'est éternisée. Le comité a entrepris son étude sur le projet de loi en novembre 2006 et il a produit son rapport en mai 2007.
La première lecture du projet de loi a eu lieu en mai 2010. La deuxième lecture s'est terminée en octobre. Aucune audience n'a été tenue concernant le projet de loi C-29.
Le projet de loi suivant, le projet de loi , était en fait une seconde mouture. Il a été mis sur la glace pendant deux ans à l'étape de la deuxième lecture. Aucune audience n'a été tenue là non plus.
On arrive finalement au projet de loi , pour lequel deux séries d'audiences ont été tenues. Quatre jours ont été alloués à l'étude du projet de loi au Sénat: un jour pour entendre le ministre; un autre pour l'étude article par article, et deux pour les audiences. Donc, si on veut demander aux témoins pourquoi ils n'ont pas participé à l'étude, il faut savoir que franchement, rares sont ceux qui en ont eu la possibilité. Je dois dire respectueusement que le projet de loi n'a pas été étudié adéquatement. C'est la troisième fois qu'on le présente, et deux fois sur trois, il n'y a pas eu d'étude du tout. Quand le Sénat a pu entendre des témoins à ce sujet, il n'y avait aucun commissaire à la vie privée en poste pour étudier le dossier, car il a fallu beaucoup de temps avant de trouver un nouveau commissaire pour remplacer la commissaire Stoddart et par la suite la commissaire intérimaire, Chantal Bernier.
En ce qui concerne le soutien du commissaire, je pourrais moi aussi choisir quelques extraits de ses commentaires où il se dit en faveur du projet de loi. Je note cependant que le commissariat maintient toujours que les modalités relatives à la divulgation volontaire sont problématiques — et elles n'ont pourtant pas été modifiées — et que d'autres améliorations sont nécessaires.
La question à se poser est celle-ci: le projet de loi a-t-il fait l'objet d'une étude soignée et mérite-t-il d'être adopté? Sauf votre respect, j'estime que le projet de loi n'a pas été étudié soigneusement et qu'il reste des choses à corriger. Les Canadiens méritent mieux.
En fait, je ne dirais pas que c'est un critère subjectif. Je pense qu'il s'agit toujours d'un critère objectif. Le problème, c'est qu'on laisse à l'industrie le soin de l'appliquer et qu'il n'y a pas assez de mesures de surveillance ou de mesures incitatives pour veiller à ce qu'elle le fasse adéquatement.
Une des solutions serait que le commissaire à la protection de la vie privée puisse examiner les cas d'atteinte et déterminer s'il faut aviser les personnes touchées, par exemple. Je crois que c'est le modèle que propose le CDIP; le recours à des normes différentes permettrait certainement d'éviter que l'industrie détermine elle-même si l'atteinte satisfait ou non au seuil de signalement des atteintes au commissaire à la protection de la vie privée ou aux particuliers.
Je pense que cela pose problème. Je suppose qu'on peut dire que c'est un critère subjectif, mais le problème, c'est que la décision relève de l'industrie. Si on adopte ce genre de modèle, alors il est d'autant plus important de mettre en place des mesures contraignantes pour obliger l'industrie à se conformer. Autrement, elle ne le fera pas, car ce n'est tout simplement pas dans son intérêt. C'est ce que nous constatons. Si vous regardez n'importe quel aspect lié à la conformité à la LPRPDE, vous constaterez qu'actuellement, la non-conformité est simplement considérée comme un coût d'exploitation. C'est un fait.
Je suis déçue que le commissaire à la protection de la vie privée ne le reconnaisse pas vraiment et ne demande pas un pouvoir de rendre des ordonnances. Cela me déçoit beaucoup. Comme je l'ai déjà indiqué, j'ai dû m'adresser aux tribunaux à ce moment-là pour obliger la commissaire à la protection de la vie privée à exercer son pouvoir et, pour une raison ou une autre, il ne semble pas y avoir au sein de cet organisme une volonté d'obtenir un pouvoir de rendre des ordonnances et d'appliquer cette loi de façon plus efficace.
:
Je pense que M. Geist a soulevé un très bon point à cet égard en proposant que nous examinions la loi antipourriel qui a été adoptée par le gouvernement et l'attention qu'elle a suscitée dans l'industrie. L'argent a son importance, mais c'est aussi une question de processus.
En ce qui concerne les amendes, même si elles sont très élevées, étant donné leur caractère quasi criminel — ce qui exige d'intenter des poursuites et de prouver l'intention —, le risque qu'une entreprise écope d'une amende est très faible.
Les sanctions administratives pécuniaires sont beaucoup plus efficaces, car elles peuvent être imposées plus facilement sans recours au processus quasi criminel et sans avoir à prouver l'intention. C'est le mécanisme qui a été choisi dans le cas de la loi antipourriel, et c'est ce que nous devrions faire également pour cette mesure législative.
Une autre mesure incitative solide est le recours aux poursuites au civil. Permettre aux particuliers d'intenter des poursuites au civil ou des recours collectifs contre des entreprises peut être une solide mesure incitative, ce qui n'est pas le cas dans le cadre du régime actuel parce que c'est trop difficile et parce qu'on ne prévoit pas de dommages-intérêts pour atteinte à la réputation. Cet élément a été retiré. Le critère est l'humiliation, ce qui est un critère élevé, et même s'ils avaient la possibilité d'intenter des poursuites, les gens ne pourraient obtenir un montant élevé.
Il existe divers mécanismes. Le troisième type de mesure incitative est la publicité négative. Cependant, on remarque encore une fois que le commissaire à la protection de la vie privée n'y a pas recours très souvent. Dans le cadre de ce régime — si on regarde l'article 20, on voit que le commissaire peut rendre publiques des informations s'il estime que cela est dans l'intérêt public —, on énonce d'entrée de jeu que le commissaire est tenu au secret en ce qui concerne les renseignements figurant dans une déclaration.
Pourquoi pas? Pourquoi ne pas lier cela à des rapports de transparence? Pourquoi ne pas avoir recours à la publicité négative?
En résumé, il existe trois types d'incitatifs financiers que l'on pourrait utiliser, et j'ai l'impression qu'aucun d'entre eux n'est exploité de façon optimale dans la mesure législative proposée.
:
Non. Je parle d'un organisme qui détient mes renseignements personnels. Dans certains cas, ces renseignements pourraient être divulgués à des organismes d'application de la loi ou des organisations du secteur privé.
Dans le contexte de l'application de la loi, il s'agit d'un mandat, et dans la foulée de la décision Spencer, il semble très clair qu'il faudra désormais un mandat, ou qu'il devrait y avoir un mandat.
Dans le secteur privé, le projet de loi a pour effet d'indiquer que des renseignements peuvent être divulgués volontairement sans mandat et sans une surveillance quelconque des tribunaux.
Ce que je dis, c'est qu'au cours des dernières années, en vertu de la LPRPDE, nous avons vu des cas où des organismes ont indiqué vouloir identifier des abonnés pour pouvoir intenter des poursuites contre eux. Dans de tels cas, ces organismes mènent une enquête ou entreprennent un processus judiciaire. Le tribunal examine les circonstances liées au dossier pour déterminer s'il convient d'ordonner la divulgation et d'établir des modalités sur les renseignements pouvant être divulgués.
Le projet de loi a pour effet d'élargir le recours à ce genre de divulgation volontaire.
:
Merci, monsieur le président.
Je trouve intéressant de pouvoir entendre tous les témoignages avant d'avoir l'occasion d'intervenir.
J'ai par exemple noté que Mme Lawson et M. Geist nous ont servi des mises en garde assez similaires. Ainsi, Mme Lawson a indiqué: « Il nous faut absolument viser juste » et M. Geist a dit: « Nous devons viser juste ».
Il est bien évident que dans le cadre de nos audiences, il faut comprendre que « juste » signifie en fait « juste comme le témoin l'entend ». Nous avons reçu des témoins qui nous ont présenté des points de vue complètement différents. Pour certains « viser juste » c'est, par exemple, aller dans le sens de ceux qui soutiennent que les dispositions sur le consentement vont trop loin, comme nous l'avons entendu au cours de notre dernière séance. Je ne crois toutefois pas que cela corresponde à votre propre définition de « viser juste ».
Quelqu'un a fait valoir que notre régime de signalement des atteintes à la sécurité des données est trop onéreux. Si nous décidions d'intervenir dans ce sens-là, je suis pas mal persuadé que vous jugeriez tous les deux que nous n'avons pas « visé juste ». Chaque fois que j'entends une formulation semblable, cela me ramène à nos audiences sur les mesures antipourriels, les droits d'auteur et même la facturation à l'utilisation. Ce qui apparaît juste pour certains ne l'est pas nécessairement pour tout le monde. Comme ce fut le cas avec ces enjeux, il nous faut pour ce projet de loi trouver la position d'équilibre entre des points de vue extrêmement divergents.
Si je considère les trois aspects qui ont été soulevés, je trouve intéressant...
Madame Lawson, je vais m'adresser d'abord à vous concernant l'article 20. Vous avez formulé des réserves au sujet de cet article et notamment quant aux dispositions du projet de loi en matière de confidentialité.
:
Je n'hésiterais donc pas à affirmer que la nouvelle disposition contenue dans ce projet de loi a du mordant.
J'aimerais que nous discutions également de l'article 6 proposé, car j'ai trouvé intéressant votre commentaire au sujet de ce problème aussi visible qu'un éléphant dont personne ne veut parler. Il était question du simulacre de consentement que les entreprises obtiennent.
D'après la lecture que je fais du projet de loi et comme vous l'avez vous-même signalé, je constate que l'on utilise l'expression « un individu ». On peut ainsi lire que le consentement n'est
valable que s'il est raisonnable de s'attendre à ce
— et c'est la portion qui vous pose problème, mais qui me plaît beaucoup —
qu'un individu visé par les activités de l'organisation
— donc essentiellement n'importe quel individu —
comprenne la nature, les fins et les conséquences de la collecte, de l'utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
Cette mesure s'applique donc à tout le monde. Elle ne cible pas uniquement les enfants ou un groupe particulier de personnes vulnérables. Le consentement n'est valable que s'il est raisonnable de s'attendre à ce qu'un individu visé par les activités de l'organisation comprenne la nature et les fins et les conséquences de la collecte des renseignements.
Vous avez parlé d'un problème évident dont personne ne veut discuter, et je suis tout à fait d'accord avec vous. Je me dis souvent qu'il est trop facile d'exiger un simple clic de souris pour permettre à une personne d'accéder à du contenu sur Internet. Je pense que l'on précise bien ici que chacun doit pouvoir comprendre la nature, les fins et les conséquences d'un tel geste. N'êtes-vous pas du même avis?