Passer au contenu
;

INDU Réunion de comité

Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.

Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

Publication du jour précédent Publication du jour prochain
Passer à la navigation dans le document Passer au contenu du document






Emblème de la Chambre des communes

Comité permanent de l'industrie, des sciences et de la technologie


NUMÉRO 037 
l
2e SESSION 
l
41e LÉGISLATURE 

TÉMOIGNAGES

Le jeudi 12 mars 2015

[Enregistrement électronique]

(1140)

[Traduction]

    Bienvenue à la 37e séance du Comité permanent de l'industrie, des sciences et de la technologie.
    Je vais présenter très rapidement nos invités, mais j'ai un rappel pour tous les membres présents. Il pourrait peut-être y avoir des conversations informelles entre les partis afin que nous puissions commencer l'étude article par article le 31 mars. Actuellement, nous n'avons pas d'autres témoins. Pour diverses raisons, bon nombre des témoins proposés par les partis ont décidé de ne pas témoigner devant le comité. Par conséquent, si tout le monde est prêt, nous pouvons rapprocher un peu la date de l'étude article par article.
    Je vous laisse en parler de façon informelle, puis vous pourrez dire au greffier ou me dire si vous êtes prêts pour cette éventualité.
    Nous accueillons aujourd'hui Micheal Vonn, directrice de la politique de l'Association des libertés civiles de la Colombie-Britannique.
    De l'Association des banquiers canadiens...
    Est-ce les représentants de l'Association des banquiers canadiens qui sont restés pris sur l'aire de trafic l'autre jour? Non. C'était l'assurance...? Désolé. J'allais vous offrir nos très vifs regrets pour le temps que vous avez dû passer dans un avion avant de venir ici, mais je vais réserver cela pour les bonnes personnes.
    ... Nous avons le plaisir d'accueillir Linda Routledge, directrice Consommation, et William Crate, directeur, Sécurité et renseignement.
    Nous accueillons aussi Meghan Sali, coordonnatrice des campagnes d'OpenMedia.ca.
    Enfin, nous accueillons Jason McLinton, directeur principal, Relations avec le gouvernement fédéral, et Karl Littler, vice-président, Affaires publiques, du Conseil canadien du commerce de détail.
    Il y a un problème sur mon ordre du jour. Cela ne se reproduira pas.
    Ce n'est pas une journée facile.
    Je sais. C'est très difficile.
    Nous allons suivre l'ordre du jour que nous avons entre les mains et commencer par la déclaration préliminaire de Mme Vonn.
    Comme on vient de le dire, je m'appelle Micheal Vonn. Je suis la directrice des politiques de l'Association des libertés civiles de la Colombie-Britannique. Nous sommes bien sûr une société non partisane sans but lucratif et l'une des organisations de défense des libertés civiles et des droits de la personne les plus anciennes et les plus actives du pays. La protection des renseignements personnels est un dossier important pour notre association, et nous sommes donc très reconnaissants de l'invitation que vous nous avez lancée pour vous parler du projet de loi S-4. De plus, nous sommes tout particulièrement heureux de pouvoir en discuter avec vous avant la deuxième lecture, puisque la portée du projet de loi est encore ouverte à la discussion.
    Notre association aimerait appuyer et rappeler bon nombre des préoccupations et des recommandations qui ont déjà été formulées au comité par des témoins représentant la société civile et le milieu universitaire. Par exemple, nous appuyons fortement la position de la FIPA de la Colombie-Britannique selon laquelle il est urgent d'étendre la portée de la LPRPDE aux partis politiques fédéraux.
     Nous souscrivons aussi à la position du centre national pour la défense de l'intérêt public selon laquelle les accords de conformité sont d'une aide limitée pour protéger les droits des Canadiens à la vie privée et estimons qu'il est grand temps de donner au commissaire à la protection de la vie privée des pouvoirs de rendre des ordonnances, comme ceux dont bénéficient ses homologues provinciaux. Selon nous, il est inacceptable que les droits législatifs à la vie privée que les tribunaux caractérisent comme étant des droits quasi constitutionnels soient réglementés, à l'échelon fédéral, principalement grâce à la persuasion morale et sans mesures d'application efficaces. Selon nous, le projet de loi S-4 ne permet pas de régler ce grave problème qui ne date pas d'hier.
    Cependant, puisque mon temps est compté, je vais consacrer ma déclaration préliminaire à l'arrêt R. c. Spencer de la Cour suprême du Canada et ses répercussions pour le projet de loi S-4.
    Comme vous le savez tous très bien, l'arrêt Spencer porte sur les dispositions de la LPRPDE qui permettent la divulgation d'information sans consentement aux institutions gouvernementales lorsque celles-ci ont prouvé leur autorité légitime de l'obtenir. Dans cette affaire, la question consistait à déterminer si les policiers qui voulaient obtenir sans mandat des renseignements sur les abonnés auprès d'un fournisseur d'accès Internet avaient les pouvoirs nécessaires pour le faire. La réponse à cette question dépend de s'il y avait une attente raisonnable en matière de vie privée relativement aux renseignements d'abonnés des consommateurs.
    La Cour suprême du Canada a tranché cette question sur laquelle les tribunaux inférieurs restaient divisés et a conclu qu'il y avait une attente raisonnable en matière de vie privée relativement aux renseignements d'abonnés et qu'il était raisonnable pour les utilisateurs des services Internet de s'attendre à ce qu'une simple demande de la police n'entraîne pas l'obligation de communiquer des renseignements ni de contourner l'interdiction générale prévue dans la LPRPDE concernant la communication sans consentement de renseignements personnels.
    Aux fins de l'application de l'article 8 de notre Charte touchant le droit à la protection contre les fouilles, les perquisitions ou les saisies abusives, une demande adressée par un agent de police à un fournisseur d'accès Internet pour demander la divulgation volontaire de renseignements sur les abonnés représente une fouille, et une fouille sans mandat est présumée déraisonnable selon l'analyse de l'article 8 que vous trouverez dans la décision R. c. Collins. Il revient à la Couronne de réfuter cette présomption en montrant trois choses: premièrement, que la fouille est autorisée par la loi; deuxièmement, que la loi elle-même est raisonnable; et, troisièmement, que la fouille est réalisée de façon raisonnable.
    Et maintenant, la question dans l'arrêt Spencer consistait à déterminer si la disposition de la LPRPDE permettant apparemment la divulgation d'information sans consentement aux autorités policières l'autorisait vraiment. La cour a dit que ce n'était pas le cas. Si c'était le cas, a dit la cour, au paragraphe 70:

[...] une demande de renseignements personnels faite par la police rendrait pratiquement sans effet les protections prévues par la LPRPDE [...]
    La cour a dit que, bien sûr, les policiers ont l'autorité légitime de poser des questions liées à des sujets qui ne font pas l'objet d'une attente raisonnable en matière de vie privée, et, bien sûr, les policiers ont le pouvoir légitime de réaliser des fouilles sans mandat lorsque les situations l'exigent. Cependant, l'« autorité légitime » — pour reprendre le libellé actuel de la LPRPDE — exige plus qu'une simple demande. C'est l'enseignement que nous tirons de l'arrêt Spencer.
     Par conséquent, nous affirmons qu'il faut utiliser le projet de loi S-4 pour modifier la disposition visée par l'arrêt Spencer, une disposition qui porte tellement à confusion qu'il a fallu se rendre devant la Cour suprême du Canada pour obtenir une interprétation définitive. De plus, même si certains cas de divulgation volontaire très limités et très précis restent viables aux termes de cette disposition après l'arrêt Spencer, à part dans des circonstances contraignantes, de telles divulgations exigeraient un avis juridique.
(1145)
    Il est de toute évidence déraisonnable de conserver une disposition qu'on ne peut pas comprendre facilement et qui exige une analyse en vertu de la Charte pour être utilisée de façon appropriée. Comme nous l'avons fait valoir dans notre rapport sur l'accès autorisé de 2012, la meilleure approche consiste à tout simplement éliminer la disposition.
    Sinon, nous affirmons que l'expression « autorité légitime » pourrait être remplacée par l'expression « autorité législative » pour plus de clarté. Cependant, la constitutionnalité de ladite autorité législative sera elle aussi, bien sûr, au bout du compte, question de débat.
    La question subséquente de la constitutionnalité d'autorités législatives expresses de divulguer de l'information, à la lumière de l'arrêt Spencer de la Cour suprême du Canada, a poussé le comité spécial à examiner la PIPA en Colombie-Britannique et à demander un resserrement de ses dispositions sur la divulgation volontaire aux termes de la loi.
     Nous tenons à avertir le comité qu'il y a au moins deux raisons pour lesquelles nous ne pouvons pas utiliser les lois sur la protection des renseignements personnels de l'Alberta et de la Colombie-Britannique touchant le secteur privé pour nous assurer que les expansions proposées aux divulgations volontaires dans le projet de loi S-4 seront probablement bien reçues.
    Premièrement, il y a une préoccupation bien réelle que ces dispositions de la PIPA ne sont peut-être pas constitutionnelles compte tenu de l'arrêt Spencer.
    Deuxièmement, même s'il y a eu peu de remises en question dans le passé relativement à ces dispositions jusqu'à présent, ce ne sera peut-être pas le cas dans les domaines régis par la LPRPDE, qui, évidemment, incluent les télécommunications.
    J'aurais autre chose à vous dire à ce sujet, mais je vais attendre les questions.
    Merci beaucoup.
    Merci beaucoup, madame Vonn.
    Nous allons passer à l'Association des banquiers canadiens.
    Veuillez s'il vous plaît nous présenter votre déclaration préliminaire.
    Merci, monsieur le président, et merci de l'occasion que vous nous offrez aujourd'hui.
    Le secteur bancaire a toujours été un chef de file en matière de protection de la vie privée. Étant donné la nature des services offerts par les banques à des millions de clients dans les collectivités partout au Canada, les banques sont devenues des gardiens fiables d'une importante quantité de renseignements personnels, ce qui fait de la protection des renseignements personnels des clients un pilier des services bancaires. Les banques prennent très au sérieux cette responsabilité. Elles se sont engagées à protéger les renseignements personnels des clients et à respecter les exigences imposées par les lois en matière de renseignements personnels, mais également les attentes de leurs clients.
    Nous apprécions l'occasion de pouvoir apporter notre soutien à de nombreuses dispositions de ce texte de loi, notamment celles qui portent sur les avis d'atteinte aux mesures de sécurité des renseignements personnels ainsi que sur l'exploitation financière. Toutefois, nous sommes préoccupés par les modifications amenant l'élimination des organismes d'enquête. En fait, l'élimination de ces organismes créera de l'incertitude et pourra grandement limiter le type d'information que les banques partagent actuellement en vue d'empêcher les activités criminelles et terroristes.
    Le secteur bancaire appuie les dispositions de la Loi sur la protection des renseignements personnels numériques obligeant les organisations à aviser les individus en cas d'atteinte à la sécurité de leurs renseignements personnels, lorsqu'il existe un risque réel de dommages considérables. En fait, les banques le font déjà dans les rares cas pareils afin que les individus visés puissent se protéger contre la fraude et toute autre mauvaise utilisation de leurs renseignements personnels. Nous sommes en faveur de la déclaration de ces cas graves d'atteinte à la sécurité au Commissariat à la protection de la vie privée du Canada et nous sommes en faveur de donner au commissaire de nouveaux pouvoirs de supervision garantissant la conformité des organisations avec ces nouvelles dispositions.
    Nous sommes prêts à travailler avec le gouvernement sur les lignes directrices ou les règlements qui détaillent la mise en place de ces dispositions, mettant en place ainsi un format efficace pour encadrer l'envoi d'avis dans les délais impartis. Il est important pour toutes les parties de collaborer à la protection des renseignements personnels de tous les individus au Canada. Le projet de loi S-4 crée un environnement efficace à cette fin.
    Voilà des années que l'ABC réclame des modifications de la loi afin de protéger les aînés et les personnes vulnérables contre l'exploitation financière. Nous félicitons le gouvernement d'avoir ajouté une importante modification au projet de loi S-4 qui permettrait à une banque d'aviser un membre de la famille, ou le représentant autorisé, d'un client si elle soupçonne un cas d'exploitation financière. Lorsque les employés d'une succursale sont témoins d'actes pouvant supposer de l'exploitation financière, ils doivent être en mesure de protéger le client et son épargne.
    Actuellement, sous le régime de la LPRPDE, une banque peut signaler les cas d'exploitation financière soupçonnés uniquement aux institutions étatiques, telles que la police et le bureau du tuteur et curateur public, et seulement si elle a des motifs raisonnables de croire qu'il y a eu une contravention à la loi. Or, le comportement suspect dont pourrait être témoin le personnel des banques ne dénote pas nécessairement une contravention à la loi. Il peut donc s'agir d'un vrai cas d'exploitation financière, sans que le personnel de la banque puisse agir efficacement pour l'empêcher. Même lorsque les employés d'une banque soupçonnent des agissements répréhensibles et signalent leur soupçon d'exploitation, on leur répond souvent que la police ou le bureau du tuteur et curateur public n'a pas les ressources suffisantes et n’a parfois pas non plus le mandat pour entreprendre une enquête.
    Notre soutien à l'égard de cette disposition est guidé par l'intérêt supérieur de nos clients, plus particulièrement ceux qui sont les plus susceptibles de devenir victimes d'exploitation financière, tels que les aînés. Les banques veulent s'assurer que leur personnel possède les capacités de protéger les clients contre l'exploitation financière. Cette disposition est un excellent outil à cette fin.
     Bien que nous soyons en faveur de la majeure partie du projet de loi S-4, nous demeurons préoccupés par certaines des modifications proposées qui pourraient limiter la capacité des banques de protéger contre le crime leurs clients, leurs employés, les collectivités et le secteur financier.
    Les règlements actuels de la LPRPDE prévoient une liste d'organismes d'enquête permettant à des organisations de partager des renseignements personnels, tel que prévu dans la loi. Le Bureau de prévention et d'enquête du crime bancaire (BPECB) de l'ABC est l'un des premiers organismes d'enquête approuvés par l'État et n'a pas cessé ses activités depuis près de 15 ans. Les politiques et les procédures de partage de l'information, entre les diverses organisations, qui sont établies par le BPECB sont bien comprises par les banques et les autres institutions financières participantes. C'est cette relation formelle qui permet aux banques de détecter, de prévenir et de neutraliser les activités criminelles, notamment le vol de données et de renseignements personnels, l’abus de confiance criminel, les produits de la criminalité, le blanchiment d'argent, le financement du terrorisme, la cybercriminalité, les vols de banque et les atteintes à l'intégrité physique de l'infrastructure essentielle.
(1150)
    Le projet de loi propose de remplacer les organismes d'enquête par un cadre de communication et de partage de renseignements personnels entre organisations. À notre avis, les nouvelles dispositions, spécifiquement l'énoncé de l'alinéa 7(3) (d.2), n'accorderaient pas aux banques la même portée actuelle que celle qu'ont les organismes d'enquête pour détecter, prévenir et neutraliser la gamme complète d'activités criminelles. Plus particulièrement, nous craignons que les modifications proposées limitent la communication aux situations où elle « est raisonnable en vue de la détection d'une fraude ou de sa suppression ou en vue de la prévention d'une fraude ». Bon nombre des exemples d'activité criminelle que je viens de citer ne peuvent pas être définis comme « fraude ».
    Si ces dispositions sont adoptées dans leur formulation actuelle, nous pensons que la capacité des banques de protéger le système financier, ainsi que leurs clients, des activités criminelles sera fortement entravée.
    Nous demandons donc au comité d'envisager d'apporter des changements au projet de loi S-4 de façon à permettre aux organismes d'enquête désignés, tels que le BPECB, de poursuivre leur important travail. Sinon, si le comité désire maintenir son approche, nous recommandons que le texte de loi soit modifié afin que les institutions financières puissent partager les renseignements nécessaires pour détecter et prévenir les types d'activités criminelles graves outre la fraude.
    En conclusion, je réitère le soutien du secteur bancaire à de nombreux aspects du projet de loi S-4 et demande au comité de bien vouloir envisager l'amendement de certaines parties en vue de protéger les Canadiens des crimes financiers.
    Nous serons heureux de répondre à vos questions.
    Merci beaucoup, madame Routledge.
    Nous allons maintenant passer à la déclaration préliminaire de Mme Sali.
    Merci, monsieur le président.
     Bonjour, je m'appelle Meghan Sali. Je représente aujourd'hui OpenMedia, une organisation sans but lucratif qui s'efforce de protéger les droits numériques des Canadiens. Je vais organiser mes remarques d'aujourd'hui en traitant principalement d'un enjeu critique lié au projet de loi S-4, qui, s'il est adopté dans sa forme actuelle, pourrait exposer les Canadiens à une exploitation indue de leurs données privées.
    Le paragraphe 6(10) propose d'élargir la communication volontaire de renseignements de nature délicate par une entreprise privée, et principalement, selon nos estimations, par des fournisseurs de services de télécommunications. La disposition permettrait aussi aux fournisseurs de services en cause de fournir cette information à quiconque sans avoir à obtenir le consentement des personnes visées.
     Aujourd'hui, je vais aborder rapidement quelques éléments centraux de cet enjeu, y compris la nature délicate des renseignements de base des abonnés, le cadre de divulgation trop général du projet de loi S-4 et le manque de confiance à l'égard des entités demandant la divulgation.
    Prenons un cas courant de recours à de telles dispositions: imaginez une entreprise privée qui veut poursuivre des clients de fournisseurs d'accès à Internet à la lumière d'activités en ligne anonymes constatées. Avant de pouvoir procéder, cette entreprise aimerait que le FAI précise qui utilise l'adresse IP en communiquant volontairement les renseignements de base des abonnés. Compte tenu du rapport produit tout juste l'année dernière par le commissaire à la protection de la vie privée qui décrit de quelle façon les identifiants en ligne peuvent être extrêmement révélateurs, et peuvent éventuellement donner accès à des renseignements sur l'état de santé de la personne, ses points de vue religieux, son orientation sexuelle, ses affiliations politiques et encore plus, l'argument selon lequel il ne faut pas considérer cette information comme étant « de base » est extrêmement convaincant.
     Comme vous le savez, le projet de loi S-4 arrive aussi tout juste après un arrêt de la Cour suprême du Canada selon lequel les Canadiens ont une attente raisonnable en matière de vie privée à l'égard de ce type d'information. Dans l'arrêt Spencer, au sujet des adresses IP, la Cour suprême a déclaré ce qui suit:
L’utilisateur n’est pas en mesure d’exercer un contrôle total à l’égard de la personne qui peut observer le profil de ses activités en ligne et il n’est pas toujours informé de l’identité de celle-ci. Or, sous le couvert de l’anonymat — en protégeant le lien entre l’information et l’identité de la personne qu’elle concerne — l’utilisateur peut en grande partie être assuré que ses activités demeurent confidentielles.
    Ou, comme un de nos partisans, Shawn, l'a écrit sur notre site Web:
Nous avons un droit à la vie privée et le droit de ne pas faire l'objet de critiques ou de surveillance en fonction de métadonnées.
    De plus, un certain nombre de tribunaux ont souligné le besoin d'offrir des protections des renseignements personnels pour prévenir les abus des entreprises privées qui tentent de poursuivre des clients de FAI. Comme OpenMedia l'a fait dans le cadre de ses exposés précédents, il a invité des citoyens à communiquer leurs préoccupations au sujet du projet de loi S-4 pour étayer mon témoignage d'aujourd'hui. Je crois que les députés doivent mettre leur expérience en tant que Canadiens à l'avant-plan dans le cadre de ces délibérations.
    Dave Carter a dit ce qui suit dans un commentaire formulé sur notre site Web:
Aucune entreprise, publique ou privée, ne devrait avoir le droit d'avoir accès à mes renseignements personnels et privés sans suivre une procédure appropriée et en obtenant un mandat approuvé par un tribunal. C'est un peu comme si un étranger se fait faire un double de la clé de votre résidence et entre chez vous comme bon lui semble pour fouiller dans vos tiroirs de bas et de sous-vêtements.
     Je vais maintenant passer à mon deuxième point. Le cadre sous-jacent au projet de loi S-4 permet la communication au cours d'enquêtes sur la violation d'un accord ou sur une contravention à des lois fédérales ou provinciales qui a été commise ou est en train ou sur le point de l'être. Des experts et le commissaire à la protection de la vie privée ont indiqué que ce cadre est trop général, et que permettre la divulgation volontaire de renseignements personnels simplement parce qu'une enquête est menée pourrait entraîner une violation du droit à la vie privée. Fait troublant, la portée de telles enquêtes privées n'est pas définie dans le projet de loi.
    Un autre de nos partisans, K. A., nous a dit ce qui suit sur notre site Web:
Une loi qui permet à une entreprise privée de communiquer des renseignements personnels de particuliers pour des simples soupçons de méfait accorde un pouvoir trop général. Cela permet à une entreprise privée, même une entreprise qui est directement intéressée par certains résultats [...] de devenir accusateur, juge et jury de particuliers qui ne se doutent de rien.
    Cela m'amène à mon dernier point, qui concerne la question de la confiance. Comme je l'ai mentionné, si nous devions divulguer des données qui sont de nature extrêmement délicate en vertu d'un cadre très permissif, sans surveillance, ni responsabilité, ni consentement des citoyens, on pourrait s'attendre, en général, à avoir un très haut niveau de confiance à l'égard de l'éthique des entités en cause. Le projet de loi arrive à une période où les avis de droit d'auteur et les règles connexes, qui ont été adoptés en janvier, sont exploités et déformés. Plus précisément, les entités des médias et leurs sociétés ont envoyé à des Canadiens des avis d'atteinte au droit d'auteur trompeurs et, dans certains cas, ostensiblement abusifs. Dans bon nombre de ces avis, on profère des menaces de poursuites majeures pouvant atteindre 150 000 $, on exige des règlements à des personnes avant toute procédure judiciaire et on menace même des utilisateurs de leur interdire accès à Internet relativement à des accusations de violation non fondées. Certains avis mentionnaient même des activités en ligne auxquelles les utilisateurs ne s'étaient même pas adonnés, et ces utilisateurs avaient encore moins obtenu les fichiers en question.
    Un partisan, qui a demandé à rester anonyme, nous a dit ce qui suit par courriel:
J'ai [...] récemment reçu deux avis d'atteinte au droit d'auteur d'IP-Echelon qui [...] m'accusait d'avoir téléchargé l'émission Girls de HBO, une émission dont je n'avais même pas entendu parler.
    Un autre partisan a, par hasard, été accusé d'avoir téléchargé la même émission de HBO. Il nous a transmis la réponse qu'il a envoyée à Telus, son FAI. Voici ce qu'il a dit:
Je ne connais pas cette émission et je ne trouve nulle trace d'avoir téléchargé ou écouté en continu une telle émission. Puisque la lettre contient des menaces et ne fournit aucune preuve des affirmations qu'elle contient, j'aimerais bien que vous me fournissiez une preuve qu'un tel événement a eu lieu.
(1155)
    Depuis janvier 2015, OpenMedia a vu plus de 11 000 Canadiens parler de cet enjeu, et ce, seulement sur son site Web. Heureusement, les titulaires des droits et leurs sociétés n'ont pas accès aux renseignements personnels liés aux adresses IP où les avis sont envoyés. Cet élément essentiel de l'avis et des dispositions connexes, c'est qu'une entité privée doit obtenir une ordonnance d'un tribunal pour avoir accès aux renseignements personnels d'un abonné. Le projet de loi S-4 minerait cette protection, qui, de toute évidence, est nécessaire et nuirait à la surveillance connexe par les tribunaux.
    La question que vous devez vous poser est la suivante: compte tenu du fait que certaines sociétés ont déjà commis des abus liés aux avis et aux dispositions connexes, pourquoi leur donnerait-on un accès non autorisé aux renseignements personnels de nature délicate de Canadiens innocents? Pourquoi remettre nos droits à la vie privée entre les mains de personnes qui ne sont pas dignes de confiance?
    En conclusion, je tiens à souligner que nous approuvons les mesures prises par le gouvernement, en particulier en ce qui concerne les questions touchant les télécommunications et les droits d'auteur, pour s'assurer que les consommateurs sont traités de façon équitable et respectueuse par les entreprises qui fournissent des services aux Canadiens. Cependant, ce legs positif sera mis en danger si l'on conserve le paragraphe 6(10), puisque plus de Canadiens seront exposés à des atteintes à leur vie privée et, éventuellement, au harcèlement d'entreprises qui ont montré qu'elles ne méritaient pas notre confiance.
    Merci pour le temps que vous m'avez accordé. Je me ferai un plaisir de répondre à vos questions.
(1200)
    Merci, madame Sali.
    Nous allons maintenant passer au Conseil canadien du commerce de détail.
    Je crois que la plupart d'entre vous connaissent le CCCD, qui est la voix des détaillants canadiens depuis 1963. Nous sommes une association sans but lucratif financée par l'industrie. Nous représentons plus de 45 000 commerces de tous types partout au pays, de commerces indépendants jusqu'aux épiciers, en passant par les détaillants en ligne et les grandes surfaces.
     Nous tenons à remercier le comité de son invitation à comparaître aujourd'hui. Même si nous ne sommes pas aussi bien placés que nos homologues de l'ALCCB et d'OpenMedia pour commenter le projet de loi S-4 dans ses moindres détails, nous serions heureux de formuler certaines observations générales du point de vue du commerce de détail.
    Dans l'ensemble, les détaillants appuient le texte législatif proposé, mais croient qu'on pourrait l'améliorer à certains égards, ce dont je laisserai mon collègue vous parler.
     De façon générale, le projet de loi S-4 atteint un juste équilibre qui permet de protéger les renseignements personnels numériques et d'empêcher la fraude numérique et l'exploitation financière tout en reconnaissant les forces de la LPRPDE et son approche avant-gardiste et neutre sur le plan technologique. Plus précisément, nous appuyons la précision concernant l'exclusion des coordonnées d'affaires, puisque ces dernières n'étaient manifestement pas censées être visées. La précision prévue à l'article 4 fera en sorte que les entreprises seront mieux outillées pour mener leurs activités courantes. Nous appuyons également la disposition qui donne une plus grande latitude pour régler les atteintes aux exigences de la loi, notamment la disposition sur les accords de conformité volontaire de l'article 15. Nous appuyons aussi le fondement des motifs raisonnables de déclaration proposés à l'article 10.1.
    Pour ce qui est de la question du consentement, à l'article 5, nous soulignons qu'il prévoit que le consentement est invalide, sauf si l'utilisation qui est faite de l'information est communiquée clairement dans des termes que les intéressés sont à même de comprendre. Nous sommes évidemment d'accord avec ce principe. Nous comprenons que l'objectif de cet article est de protéger les populations vulnérables comme les enfants.
    Nous n'adoptons pas la position de certains des témoins précédents selon laquelle cette proposition est superflue et devrait être retirée. Cependant, nous serions favorables à l'inclusion d'une disposition réglementaire qui préciserait les groupes vulnérables visés. Même si cela peut être difficile à faire, une disposition réglementaire pourrait proposer une liste non exhaustive, y compris les exemples évidents comme les mineurs, les personnes qui ont des déficiences cognitives et ceux qui n'ont pas une connaissance suffisante de la langue dans laquelle ils sont servis. De plus, des lignes directrices non normatives produites par le commissariat sur les pratiques exemplaires appropriées pourraient fournir aux détaillants des directives pratiques.
    En ce qui concerne la tenue d'un registre, nous soulignons que l'article 10.3  proposé exige la tenue d'un registre des atteintes conformément aux prescriptions réglementaires. Les détaillants sont favorables à l'inclusion d'un critère sur l'importance, surtout pour ce qui est de la tenue d'un registre, puisque cela assurerait une plus grande clarté et permettrait de limiter la tenue de dossiers lourds et d'une utilité limitée en cas de violation technique, qui n'entraîne aucun préjudice important prévisible. Nous pensons ici à des situations comme les cas où l'écran d'un ordinateur est laissé sans surveillance ou un classeur reste ouvert tandis qu'une tierce partie passe par là. Nous voulons éviter la tenue de registres triviaux et nous assurer que l'importance de l'atteinte justifie la tenue de tels dossiers.
    Nous suggérons aussi l'ajout d'une disposition qui préciserait un délai de conservation raisonnable des registres. Ce pourrait être un an, mais nous sommes évidemment ouverts sur cette question. Ce que nous ne voulons pas, c'est une obligation de conserver des registres de façon permanente, ce qui ne serait pas utile du point de vue de l'intérêt public et serait une lourde responsabilité pour les détaillants.
    Si vous le permettez, monsieur le président, mon collègue, Jason McLinton, formulera deux autres observations et conclura en notre nom.
    Les détaillants prennent note avec intérêt de l'article en vertu duquel le Commissariat à la protection de la vie privée possède le pouvoir discrétionnaire apparemment sans restrictions de communiquer tous les renseignements qu'il détient lorsqu'il estime qu'il est dans l'intérêt public de le faire. Les détaillants aimeraient bien que ce droit s'assortisse de certaines limites raisonnables, parce que, et on peut les comprendre, la communication sans paramètres de renseignements d'affaires, qui peuvent être de nature délicate, risquerait de causer un préjudice grave et irrémédiable à la réputation des entreprises.
    Notre dernier commentaire concerne le système de déclaration unique et la conformité. À ce sujet, nous soulignons que l'Alberta a légiféré et que d'autres provinces et administrations envisagent aussi de le faire. Nous serions favorables à l'inclusion d'une disposition qui permettrait la mise en place d'un système de déclaration unique et un seul système pour les accords de conformité et toutes les autres mesures liées à la conformité, comme d'autres parties envisagent de le faire au moyen d'une loi. Par exemple, le Commissariat à la protection de la vie privée pourrait avoir la capacité d'éliminer certaines exigences en matière de déclaration lorsqu'un avis adéquat a déjà été publié dans une autre administration et que la question a donc déjà été réglée. Cela éviterait les cas de double déclaration inutile, qui donne lieu à un fardeau administratif, à différentes formes de déclaration et à la multiplication des exigences en matière de conformité.
    En guise de conclusion, les détaillants appuient le projet de loi, mais croient qu'on pourrait l'améliorer en y apportant certains amendements ciblés. Nous serions bien sûr ravis de travailler avec le comité, Industrie Canada et le Commissariat à la protection de la vie privée pour aider à définir ces améliorations.
    Merci.
(1205)
    Merci beaucoup, monsieur McLinton.
    Chers collègues, en raison des votes, nous n'avons pas beaucoup de temps, alors tous les tours dureront cinq minutes.
    Monsieur Daniel, veuillez commencer.
    Merci, monsieur le président.
    Merci aux témoins d'être là.
    Ma première question est destinée à Mme Sali.
    Croyez-vous que les nouvelles dispositions du projet de loi S-4 sur la validité du consentement renforceront la protection des renseignements personnels en ligne des enfants et, en fait, l'information de tout le monde? Souvent, le consentement demandé est si complexe, que je ne crois connaître personne qui ait lu la déclaration au complet.
    Avez-vous quelque chose à nous dire à ce sujet?
    L'une des choses que nous avons soulignées, c'est qu'une étude de 2012 a révélé qu'une bonne partie du consentement donné l'est par la signature d'accords sur la divulgation et des accords de service. En fait, une étude de 2012 a révélé qu'il faudrait 72 jours de travail à une personne pour lire toutes les conditions de service qu'elle signe en une année.
    Malheureusement, nous ne croyons pas que ce soit une attente raisonnable. On ne peut pas s'attendre à ce que les gens puissent lire et comprendre une bonne partie des choses qu'on leur demande de signer, surtout les enfants. Je ne crois pas que ces dispositions vont assez loin.
    Merci.
    Est-ce qu'un autre témoin a quelque chose à ajouter à ce sujet?
     [Note de la rédaction: inaudible] ... utile quant à la détermination de ce qu'il faut faire en ce qui concerne le consentement, c'est que cela révèle aux organisations en cause que l'utilisation de grands ensembles de données et de métadonnées... le genre d'analyses de données auxquelles beaucoup de personnes ne pensent même pas lorsqu'elles consultent les déclarations simplifiées de consentement. Elles ne doivent pas oublier l'utilisation moderne qu'on fait des données, et il faut dire aux gens de quelle façon on envisage d'utiliser ces nouveaux outils d'analyse. Selon nous, c'est l'un des avantages de l'accent mis sur le consentement.
    Selon moi, il faut aussi mentionner qu'il y a beaucoup de choses cachées dans ces déclarations — comme l'utilisation des données à des fins commerciales, entre autres — que l'on signe, sans pour autant être vraiment d'accord avec ces utilisations.
    Ma prochaine question est destinée au Conseil canadien du commerce de détail.
     Vous avez déclaré appuyer l'approche fondée sur le risque en matière de déclaration des atteintes aux données des particuliers. Selon vous, le projet de loi S-4 établit-il des seuils appropriés quant aux déclarations aux particuliers?
    En ce qui concerne les déclarations, je crois que c'est tout à fait approprié. Ce que je comprends du libellé du projet de loi, c'est qu'il doit y avoir une attente raisonnable de préjudice important pour la personne. Il y a une certaine définition de cette notion, mais je crois que cela donne la marge de manoeuvre requise pour qu'on puisse évaluer les situations au cas par cas. Je suis d'accord avec le libellé du projet de loi.
    Les représentants des autres groupes veulent-ils formuler des commentaires à ce sujet?
    J'aimerais ajouter quelque chose à ce que mon homologue a dit.
    Nous nous sommes inscrits en faux — et je me rends bien compte que vous parlez de déclaration et non de consignation — relativement à la façon dont les exigences redditionnelles sont présentées, et je crois qu'il devrait y avoir un critère permettant de cerner les atteintes importantes. Nous pouvons très bien imaginer des situations où il y a eu une atteinte et où le détaillant et le consommateur peuvent régler le dossier sur place de façon informelle. Même si, techniquement, il y a eu une atteinte, le client peut déterminer qu'il n'y a pas de risque de préjudice important. Je pense tout particulièrement aux domaines qui sont plus subjectifs, comme l'humiliation, ou je ne sais quoi d'autre.
    Nous pourrions imaginer une situation où il ne semblerait pas nécessaire de conclure qu'il faut envoyer un avis officiel à la personne et au commissariat après avoir eu une discussion officieuse avec le consommateur. Nous croyons qu'il y a des situations mitoyennes, en quelque sorte, où un règlement informel in situ entre le détaillant et le consommateur est approprié.
(1210)
    Merci.
    Le projet de loi S-4 inclut de nouvelles dispositions qui aideront les organisations à prévenir et à combattre la fraude. De quelle façon est-ce que ces dispositions appuieront et faciliteront davantage ces activités? Je pose la question à l'Association des banquiers.
    De nos jours, les banques canadiennes sont déterminées à travailler en collaboration pour prévenir, déceler et éliminer les crimes commis au Canada et intervenir dans ces situations. Nous faisons cela dans le cadre de notre organisme d'enquête, le Bureau de prévention et d'enquête du crime bancaire. C'est cet organisme qui assure actuellement un environnement sécuritaire.
    Notre préoccupation, c'est que le projet de loi proposé n'influera pas du tout sur l'aspect des enquêtes. Essentiellement, nous voulons faire remarquer que le projet de loi, et tout particulièrement l'alinéa d.2), pourrait miner la capacité du secteur bancaire de communiquer de l'information dans le cadre de cas non liés à des fraudes.
    Merci beaucoup, monsieur Crate. Je suis désolé, c'est tout le temps que nous avons.
    Madame Nash.
    Merci à tous les témoins d'être là. Je crois que tous les membres du comité et vous aussi voulez mettre à jour notre législation sur la protection des renseignements personnels. Selon nous, il est grand temps de le faire. Bien sûr, nous avons tous intérêt à nous assurer que nos transactions sur Internet et nos transactions financières sont sécuritaires et protégées.
    Madame Sali, vous avez mentionné que, à partir de votre numéro de FAI, on peut obtenir par inadvertance plein de renseignements de nature financière ou médicale à votre sujet. Pouvez-vous expliquer au commun des mortels, à la grande majorité d'entre nous, qui utilisons Internet et qui donnons notre consentement sans trop y penser, le genre de renseignements qu'on pourrait ainsi révéler, et pourquoi cela vous préoccupe?
    Absolument. Comme je l'ai souligné dans mon exposé, les métadonnées peuvent révéler des choses extrêmement personnelles au sujet des gens, ce qui se fait aussi l'écho des points soulevés par Mme Vonn selon lesquels les gens ne savent souvent pas ce qui est révélé. Comme je l'ai dit, cela peut inclure l'historique de navigation sur le Web, alors c'est un peu comme regarder les appels faits à partir d'un téléphone cellulaire.
    Les métadonnées d'un cellulaire peuvent nous permettre d'apprendre à qui la personne a parlé et pendant combien de temps. On ne peut pas connaître le contenu de l'appel téléphonique, mais on peut apprendre combien de fois une personne a parlé à telle ou telle autre, combien de fois elle consulte le site Web de sa banque et l'adresse de ce site ainsi que l'adresse de tous les autres sites consultés. Cela peut définitivement révéler des tendances en matière de comportement qui en disent beaucoup sur une personne.
    C'est donc le genre d'information qui mettrait en lumière le fait que je cherche un véhicule sur Internet. Et, par la suite, je reçois des publicités d'automobiles à l'écran. Est-ce le genre de choses qu'on peut faire?
    Oui, absolument. Et il ne fait aucun doute qu'il pourrait s'agir d'information beaucoup plus délicate que cela...
    Oui, si c'était aussi dangereux.
    Oui. Parmi les renseignements qui sont peut-être de nature plus délicate que l'achat d'un véhicule, mentionnons les gens qui cherchent des conseils médicaux, ou d'autres qui cherchent des sources de renseignements politiques. Ce sont des choses au sujet desquelles les gens ont une attente raisonnable de protection de la vie privée. Ils ne s'imaginent même pas que quiconque pourrait obtenir cette information simplement en regardant la navigation à partir de leur adresse IP.
    Une autre des choses qui nous préoccupent au sujet du projet de loi, c'est qu'il ne limite pas l'information qui peut être révélée relativement à l'adresse IP. En fait, la communication peut inclure tous les renseignements personnels que l'entreprise a conservés au sujet de la personne et qui, selon elle, peuvent raisonnablement servir dans le cadre de l'enquête. Cela pourrait donc littéralement inclure les registres de courriels, tous les renseignements que l'entreprise a recueillis sur la personne. Nous trouvons cette situation très préoccupante.
    Merci.
    Madame Vonn, vous venez de Colombie-Britannique. Vous avez entendu le témoignage selon lequel, lorsqu'il y a des problèmes, lorsqu'il y a des atteintes non justifiées ou des atteintes sans consentement, le commissaire à la protection de la vie privée provincial a le pouvoir de rendre des ordonnances. Ce n'est pas le cas du commissaire fédéral à la protection de la vie privée. Selon vous, le pouvoir de rendre des ordonnances a-t-il renforcé la législation en Colombie-Britannique et a-t-il amélioré l'application de la loi?
    Je crois qu'il faut absolument fournir au commissaire à la protection de la vie privée un pouvoir de rendre des ordonnances. Comme je l'ai dit, rien n'indique ici qu'un commissaire à la protection de la vie privée bénéficiant d'un pouvoir de rendre des ordonnances n'a pas toujours agi de la façon de la plus raisonnable qui soit. Certains se demandent si ce pouvoir ne sera pas utilisé de façon trop sévère, et si les organisations qui font des erreurs par inadvertance seront dépeintes comme de mauvais joueurs et ainsi de suite? Ce n'est tout simplement pas ce qu'on constate partout au pays, là où les commissaires à la protection de la vie privée possèdent de tels pouvoirs de rendre des ordonnances. Les commissaires peuvent continuer à utiliser la persuasion morale, à promouvoir les pratiques exemplaires et à utiliser tous les autres outils pédagogiques qui s'offrent à eux, mais ils possèdent quand même ce pouvoir, au besoin.
    Pour expliquer aux gens — dans notre cas, aux Britanno-Colombiens — que leurs droits à la vie privée sont applicables... Laissez-moi vous dire que les Canadiens sont fort surpris d'apprendre que leurs droits à la vie privée accordés par la législation fédérale sont en fait extrêmement difficiles à appliquer et exigent énormément de ressources pour l'être.
(1215)
    Merci.
     Nous avons entendu dire que le projet de loi S-4 est fondé sur les projets de loi de l'Alberta et de la Colombie-Britannique, mais nous croyons savoir que la Colombie-Britannique a récemment réalisé un examen de sa PIPA, la loi provinciale, à la lumière de l'arrêt Spencer de la Cour suprême. Durant notre dernière réunion, nous avons rencontré Vincent Gogolek, de la Freedom of Information and Privacy Association de la Colombie-Britannique. Il a dit que, ce qui est arrivé, c'est que la portée de la PIPA, la loi de la Colombie-Britannique, a été réduite. De son côté, le ministre Moore estime actuellement que le projet de loi S-4 à l'étude est conforme à l'arrêt Spencer. Vous semblez voir les choses différemment. Pouvez-vous nous préciser votre pensée?
    Soyez très brève, s'il vous plaît.
    Nous n'avons pas encore limité la portée de ces dispositions en Colombie-Britannique. À la lumière de l'arrêt Spencer, la commissaire à la protection de la vie privée a recommandé de les limiter aux déclarations liées à l'organisation en question, ce qui exclurait les tierces parties...
    Merci beaucoup de cette brève réponse.
    Monsieur Warawa, vous avez cinq minutes.
    Merci, monsieur le président.
    Merci aux témoins.
    Je vais limiter mes propos et mes questions au thème de la protection des renseignements personnels et à ce qui nous attend.
     Comme vous le savez, la LPRPDE a été promulguée en 2000 et elle est entrée en vigueur progressivement de 2001 à 2004. De plus, on procède habituellement à des examens législatifs des lois fédérales, et l'examen législatif de la LPRPDE a eu lieu, si je ne m'abuse, en 2006 ou en 2008. Ma question visera à déterminer s'il faut continuer à discuter des possibles amendements au projet de loi ou s'il faut plutôt aller de l'avant, obtenir un consensus au sujet du projet de loi S-4 et poursuivre le processus. Sinon, il faut laisser tomber le projet de loi S-4 et laisser le prochain parlement s'en occuper.
     Monsieur le président, vous avez recommandé de commencer l'étude article par article le 31, parce que, à la lumière des observations reçues et des témoignages, de façon générale, le public et les témoins sont favorables au projet de loi S-4. Certains amendements ont été suggérés, mais on peut apporter ces changements par règlement après les amendements et l'adoption du projet de loi, si c'est bien ce qui se produit. Nous avons très peu de temps pour faire adopter le projet de loi au cours de la présente législature. Si nous ne le faisons pas, ce sera fait au cours de la prochaine, et nous travaillons déjà là-dessus depuis près de un an.
    C'est sur cette situation que portera ma question. Faut-il aller de l'avant ou nous suggérez-vous de mettre les freins?
     Pour commencer, j'aimerais me tourner vers l'Association des banquiers canadiens. Vous avez beaucoup participé à l'examen judiciaire. Vous avez comparu devant le comité, avez exprimé un soutien général à l'égard de la LPRPDE et avez ensuite formulé un certain nombre de recommandations de changements qui figurent dans le projet de loi S-4. Pouvez-vous nous parler de certains des changements que vous êtes heureux de voir dans le projet de loi S-4?
    Bien sûr, la disposition sur l'exploitation financière en est une que nous jugions très importante. Nous étions aussi favorables à l'avis sur les atteintes et au cadre redditionnel. C'est quelque chose que les banques font depuis des décennies, depuis l'entrée en vigueur de la LPRPDE, et c'est très certainement un aspect positif.
    Il y en avait deux ou trois autres. La législation ne disait pas clairement que les banques de l'annexe III étaient visées, et le projet de loi corrige là aussi le tir. Il y a donc un certain nombre de choses que nous appuyons.
    De façon générale, vous êtes favorables à ce qu'on aille de l'avant avec le projet de loi S-4? C'est exact?
    Si nous pouvions obtenir un seul amendement, qui permettrait de renforcer la capacité des banques de communiquer de l'information afin de prévenir, déceler et empêcher des activités criminelles, pas simplement la fraude...
(1220)
    Le projet de loi S-4 renforce-t-il la protection des aînés et des groupes vulnérables?
    Oui, il la renforce.
    Monsieur le président, il est très important de le souligner.
    Monsieur Littler, vous avez confirmé l'appui de votre organisation, le Conseil canadien du commerce de détail, et vous avez mentionné qu'on pourrait utiliser la réglementation pour identifier les groupes vulnérables. C'est exact?
     C'est exact. Il y a un certain nombre de dispositions précises du projet de loi que nous appuyons; j'ai souligné précisément l'exemption touchant les coordonnées d'affaires, qui est importante. Nous appuyons le genre de solution de rechange, pour ainsi dire, que permettent les accords de conformité volontaire. Il y a aussi d'autres aspects. Tout compte fait, si l'article est adopté tel quel, même s'il n'est pas dit explicitement qu'il englobe la protection des personnes vulnérables, nous espérons seulement obtenir des éclaircissements à ce sujet par voie réglementaire, mais, en général, nous sommes favorables à l'adoption du projet de loi S-4.
    Merci.
    Monsieur Regan, vous avez maintenant cinq minutes.
    Merci beaucoup, monsieur le président.
    Merci aux témoins d'être là aujourd'hui.
    Je vais commencer par M. Littler. Vous avez mentionné la possibilité d'inclure une disposition qui permettrait à un client de dire à l'un de vos membres détaillants que, essentiellement, il renonce à ses droits relativement à un événement qui a eu lieu. Vous lui diriez qu'il y a eu un problème, et ce client vous dirait que ce n'est pas grave. Dans une telle situation, selon vous, quel genre de déclaration faudrait-il envisager? De quelle façon pourrions-nous être convaincus que la personne a vraiment été bien informée des possibles dangers auxquels elle a été exposée? Nous ne pouvons tout simplement pas présumer que l'entreprise fera ceci ou cela pour cette personne.
    Je crois que cela dépendra des circonstances. Je ne veux pas faire preuve d'une imagination débordante. Si la pointure des souliers d'une personne est révélée à un autre client qui passe par là, c'est un problème qu'on peut évidemment résoudre sur place.
    Les genres de préjudices prévus sont très variés, il y a de tout, de l'humiliation aux préjudices corporels, en passant par d'importants préjudices financiers. Je ne crois donc pas qu'il y a une seule réponse à cette question. De toute évidence, le principe de la vulnérabilité du plaignant s'applique ici. Dans les situations où une personne raisonnable dirait qu'il y a un risque de préjudice important, je crois qu'il faudrait appliquer le cadre redditionnel à la lettre et envoyer un rapport officiel à la personne et au commissariat.
    Dans les situations peut-être un peu plus subjectives, s'il était possible d'obtenir un consentement relativement à certaines choses, j'imagine qu'on pourrait utiliser un cadre normatif semblable de façon à permettre à une personne de convenir qu'il n'y a pas eu de problème. Mais il ne faut pas oublier que, dans ce cas, il y aurait quand même eu une atteinte, en quelque sorte, et il faudrait tout de même tenir un registre, afin que cette personne puisse revenir plus tard et dire: « J'ai bien réfléchi, et je ne suis pas d'accord ». Au moins, un dossier aurait été créé.
    Nous essayons d'envisager quelque chose comme une solution mitoyenne. L'un n'empêcherait pas l'autre. Rien dans le projet de loi n'interdit un certain processus de règlement informel, parce que, si on ne satisfait pas au critère du risque raisonnable de préjudice important, on peut tout de même produire un avis et adopter un processus de règlement informel dans les situations moins graves, et cela pourrait selon toute vraisemblance se faire entre le client et le détaillant. La situation serait consignée par le détaillant systématiquement aux termes de l'article 10.3 proposé.
    Vous devez aussi garder à l'esprit qu'il y a des situations où on n'atteindrait même pas le niveau prévu à l'article 10.3, et où l'atteinte est de nature tellement technique qu'elle ne satisfait pas non plus au critère des autres articles. Pour ainsi dire, nous avons envisagé trois scénarios: un dans lequel il n'y a pas vraiment d'infraction, même si, techniquement, il y a eu une atteinte aux protocoles de sécurité; une où le problème peut être résolu de façon informelle tout en étant consigné; et un genre de troisième niveau, où la situation satisfait au critère des motifs raisonnables et où il faut produire un rapport à la personne et au commissariat.
    Je peux imaginer une situation où une entreprise avec laquelle je fais affaire sur Internet m'informe qu'il y a eu un genre d'atteinte. Je pourrais bien avoir examiné la situation et convenu qu'il n'y avait là rien de trop grave et avoir renoncé à mon droit de déposer une plainte ou à tout autre processus, mais la question demeure: il faut savoir si les gens sont bien informés.
    Les autres témoins ont-ils des points de vue différents sur la façon de gérer cette situation? Et aimeraient-ils nous en parler?
(1225)
    Ma position est peut-être différente de celle de certains de mes homologues du groupe, mais, selon moi, l'objectif de l'obligation redditionnelle n'était pas la mise sur pied d'une structure bureaucratique et lourde qui ne sert à rien: c'était en fait l'un des outils permettant aux organisations de réfléchir à ce qui se passe, en ce sens qu'une lettre envoyée à la mauvaise personne peut découler d'une erreur humaine, cinq lettres envoyées à la mauvaise personne peuvent encore relever de l'erreur humaine, mais ce n'est peut-être plus le cas lorsqu'il y en a 20. À ce moment-là, il faut peut-être entreprendre un examen administratif des systèmes. En tant qu'outil de formation — parce qu'il faudra, bien sûr, consigner ces situations, même celles qui auront été réglées de nature informelle et celles qui sont très mineures —, ce serait une méthode utile qui permettrait aux organisations de réfléchir, encore une fois, non pas dans un but punitif, mais pour les aider à bien évaluer leurs pratiques.
    Comme je l'ai déjà dit, le fait de tout consigner et de respecter l'obligation, qui consiste essentiellement à prendre en note toutes les divulgations, même celles qui semblent anodines, sont de nature technique ou semblent ne représenter aucun risque, aide les organisations à réfléchir à leurs pratiques, et, selon nous, cela peut être formateur.
    Merci beaucoup, monsieur Regan et madame Vonn.
    Nous allons maintenant passer à M. Carmichael.
    Merci, monsieur le président.
    Bienvenue aux témoins.
    J'aimerais commencer par l'Association des banquiers canadiens. Sentez-vous libres de décider qui répondra à mes questions.
    Dans votre déclaration préliminaire, vous avez parlé d'exploitation financière, et, plus précisément, de l'exploitation visant les personnes les plus vulnérables. Dans vos commentaires, vous avez dit que la LPRPDE limitait beaucoup les choses que vous pouvez déclarer lorsque vous constatez un cas potentiel d'exploitation d'aîné ou de fraude contre des aînés, des choses qui se passent et qui sont inappropriées.
     Je crois comprendre que le projet de loi S-4 résout en grande partie ce problème. Pouvez-vous nous parler de ce qui vous aide et de ce qui ne vous aide pas à soutenir vos membres afin qu'il puissent appuyer leurs clients les plus vulnérables et les aider à améliorer leur sort?
    En règle générale, c'est dans les succursales des banques qu'on constate des cas d'exploitation financière potentielle ou soupçonnée. Il pourrait s'agir d'un client qui se présente avec un soignant ou une autre personne pour faire une transaction qui semble suspecte. Actuellement, la première mesure que prend une banque, c'est d'éloigner le client de l'exploiteur soupçonné afin de pouvoir parler au client en privé et déterminer ce qu'il veut faire. Cependant, dans certains cas, ce n'est pas possible, alors il n'y a qu'un soupçon.
    Souvent, le montant d'argent n'est peut-être pas important, et ce n'est peut-être pas une fraude. Notre capacité de communiquer avec la police ou le tuteur et curateur public pour leur demander leur aide est limitée parce qu'il n'y a pas eu d'infraction à une loi ni de fraude.
     Ce que nous voulons, et ce que le projet de loi S-4 nous donne, c'est la capacité de transférer le dossier à l'échelon supérieur et de mener une enquête plus approfondie — parce que, au sein des banques, il y a un processus de transfert à l'échelon supérieur —, afin que nous puissions déterminer s'il y a une autre personne avec laquelle nous pouvons communiquer qui pourrait aider notre client à ne pas être exploité. Il peut s'agir d'un parent, d'un frère ou d'une soeur, ou de ce genre de personne. Nous pourrions évaluer la situation et essayer de déterminer au mieux de notre capacité si la personne est impliquée dans l'exploitation — nous reconnaissons que, dans de nombreux cas, c'est un membre de la famille —, et nous ferions de notre mieux pour déterminer si la personne avec laquelle nous communiquons est de mèche ou non.
    C'est là où le projet de loi S-4 pourrait nous aider.
     Le projet de loi S-4 vous donne cette capacité.
    Je crois que c'est important, parce que c'est un problème de plus en plus fréquent...
    Absolument.
    ... et lorsqu'une déclaration est possible, on veut savoir que l'intervenant qui recevra le rapport en prendra note et pourra intervenir.
     Je vais passer au Conseil canadien du commerce de détail. J'aimerais citer votre déclaration d'ouverture sur le consentement dans le projet de loi S-4. Dans le paragraphe en question, vous dites: « Nous constatons que le projet de loi renferme une disposition précisant que le consentement est invalide, sauf si l'utilisation qui est faite de l'information est communiquée clairement, dans des termes que les intéressés sont à même de comprendre ».
    Pouvez-vous nous en dire plus à ce sujet et nous dire en quoi cela sera bénéfique pour vos membres?
    En lui-même, cet article dit relativement peu de choses sur les protections escomptées, et nous avons compris, grâce aux commentaires formulés par le ministre durant un témoignage précédent, que l'objectif principal était de protéger les personnes vulnérables. C'est bien sûr une mesure à laquelle nous sommes totalement favorables.
    D'autres témoins ont dit que cet article était superflu et que, en fait, de façon prospective, le cadre actuel protège suffisamment les personnes vulnérables. Nous ne sommes pas des experts de ce genre de choses, mais nous tenons à souligner que nous n'avons rien à redire à la prémisse sous-jacente. En fait, là où ce serait bénéfique pour nous, c'est si vous précisiez les groupes que cette disposition doit protéger. J'en ai nommé quelques-uns, mais je sûr que ma liste n'est pas exhaustive. Nous aimerions qu'un règlement soit là pour préciser l'identité des groupes, et, comme je l'ai déjà dit, la liste n'aurait pas à être exhaustive.
    Pour dire les choses franchement, selon moi, la raison pour laquelle les détaillants ont besoin d'une orientation, c'est qu'il y a beaucoup de scénarios possibles. La tâche de déterminer si une personne est mineure est différente s'il s'agit d'une situation en personne ou d'une transaction en ligne. Dans un cas, il faut, selon toute vraisemblance, se fier aux contrôles parentaux des appareils intelligents ou autres. Dans la plupart des cas, si une personne dit avoir l'âge requis, on ne peut pas savoir avec certitude si l'on obtient vraiment un consentement valide. En magasin, c'est assez facile de savoir si la personne a huit ans, mais ce n'est pas peut-être pas aussi facile de déterminer si elle est majeure ou si c'est bel et bien le bon critère à appliquer à tout coup. Il y a beaucoup de paramètres subjectifs lorsqu'il est question de déterminer si une personne maîtrise la langue. Par conséquent, ce dont nous avons surtout besoin, ce sont des lignes directrices plus précises. Nous estimons que cette disposition est très générale. Nous espérons voir les choses se préciser.
(1230)
    Merci, monsieur Littler.
    C'est tout le temps que nous avions.
    Nous allons maintenant passer à Mme Borg, pour cinq minutes.

[Français]

     Merci beaucoup, monsieur le président.
     Je remercie également les témoins de leur présence parmi nous aujourd'hui.
     Je suis désolée d'être en retard. Le fait d'être députée comporte toujours des imprévus. Je suis sincèrement désolée d'avoir manqué le témoignage de certaines personnes qui comparaissent devant nous aujourd'hui. Si je pose une question redondante, je m'en excuse également.
    Ma première question s'adresse à Mme Sali, mais Mme Vonn voudra peut-être y répondre également.
     Des témoins qui ont comparu devant nous ont soutenu que, pour limiter les abus relatifs au partage de renseignements sans consentement, il serait nécessaire de mettre en place un mécanisme de surveillance qui permettrait de s'assurer de contrer les abus. Appuyez-vous cette suggestion? Selon vous, à quoi pourrait ressembler un tel mécanisme?

[Traduction]

    Je ne vais pas aborder la question du mécanisme qu'on pourrait mettre en place, puisque je ne suis pas une experte en la matière. Je suis certes favorable à l'idée d'un système permettant d'informer les gens de ce qui se passe. Si cela ne met pas une enquête en péril — et cette précision figure dans le projet de loi —, nous croyons à coup sûr qu'il faut toujours informer la personne dont les renseignements personnels sont communiqués. De plus, nous sommes aussi favorables à l'idée que, s'il y a une enquête en cours et que la communication d'information pourrait nuire à l'enquête, il faut aussi le dire à la personne dès que ce n'est plus le cas. Comme on l'a déjà dit, les renseignements personnels des personnes sont, de toute évidence, extrêmement révélateurs de leur vie et de leurs activités personnelles. Comme l'a confirmé l'arrêt Spencer, les gens ont une attente raisonnable de protection de la vie privée à l'égard de cette information. Nous croyons vraiment qu'il devrait y avoir un genre de système redditionnel en place pour dire aux gens que leurs renseignements personnels ont été communiqués et à qui ils l'ont été.

[Français]

    Merci.
    Madame Vonn, avez-vous des commentaires à formuler à ce sujet?

[Traduction]

    Je peux me faire l'écho de la préoccupation touchant l'omission d'aviser. Nous n'avons pas le même système qu'aux États-Unis, où, essentiellement, le tiers détenteur de l'information devient le gardien responsable de la protection des droits. S'il s'agit de nos renseignements et si nous sommes avisés, nous sommes très susceptibles de nous opposer à leur utilisation. Je ne vois pas comment on pourrait en faire fi si nous voulons vraiment protéger les droits individuels.
(1235)

[Français]

     Merci beaucoup.
    Madame Sali, je vais citer ce qu'a dit votre directeur exécutif. Je vais lire la citation en anglais parce que je n'ai pas la version française. Elle se lit comme suit:

[Traduction]

    [...] ce projet de loi, même s'il est le bienvenu, ne fait presque rien pour s'attaquer au sérieux problème que présente la surveillance gouvernementale continue des Canadiens respectueux des lois.

[Français]

    On a l'occasion d'étudier ce projet de loi avant la deuxième lecture, ce qui nous permet de présenter d'autres amendements à la LPRPDE qui ne sont pas nécessairement inclus dans le projet de loi S-4. C'est, selon moi, une occasion en or. Malheureusement, le gouvernement semble convaincu que nous allons adopter le projet de loi tel quel, peu importe les amendements suggérés par tous nos témoins, ce qui est vraiment dommage.
    Croyez-vous que notre comité pourrait améliorer certains aspects de ce projet de loi à la lumière des propos de votre directeur exécutif?

[Traduction]

    Oui. Nous aimerions bien qu'un amendement élimine complètement les divulgations volontaires sans avis. Comme Mme Vonn l'a souligné, nous croyons que les divulgations volontaires mettent les fournisseurs de services de télécommunications — surtout en ce qui concerne les intérêts de leurs clients — dans la position de gardien des renseignements de leurs clients; ils peuvent décider quels renseignements ils transmettent à n'importe quelle autre entreprise ou, en fait, à toute autre entité qui mène une enquête. Comme nous l'avons déjà dit, l'enquête peut porter sur différentes choses, et pas simplement ce qui a été mentionné précédemment. Cela peut exposer les Canadiens à des problèmes comme des trolls des droits d'auteur, des poursuites stratégiques visant à miner la liberté d'expression, des tentatives pour découvrir l'identité de dénonciateurs grâce à des poursuites non fondées ou, éventuellement, à plein d'autres préjudices.
    Par conséquent, la modification que nous souhaitons, c'est l'élimination des divulgations volontaires sans avis.

[Français]

    Merci beaucoup.

[Traduction]

    Merci.
    Nous allons maintenant passer à Mme Gallant, pour cinq minutes.
    Merci, monsieur le président.
    Ma première question est destinée à l'Association des banquiers canadiens. Parmi ce que vous avez décrit, quels éléments du cadre proposé touchant les organismes d'enquête vous préoccupent?
    C'est particulièrement l'alinéa d.2), parce qu'il limite la communication de renseignements au cas de fraude, et ne la permet pas pour des motifs de prévention, de détection et de suppression. Pour situer les choses dans leur contexte, les banques font face à des menaces persistantes en constante évolution. Et l'ingrédient secret, selon moi, dans le milieu de la sécurité bancaire, c'est la prévention et la détection, parce que, une fois qu'une situation, un événement, ou un crime se produit, il est trop tard. Nous consacrons beaucoup d'efforts à la prévention et à la détection.
    Par exemple, nous constatons que beaucoup d'organisations criminelles s'intéressent au vol d'identité, c'est-à-dire le vol de renseignements de consommateurs. Elles s'adonnent à ce genre d'activité. Vous le constatez probablement vous-mêmes en ligne, sous la forme d'hameçonnage. Ce n'est pas de la fraude. C'est du vol d'information. Si nous pouvons cerner ces situations rapidement en communiquant entre nous certains renseignements — des adresses IP, par exemple, que nous pouvons faire bloquer —, les intervenants pourront alors commencer à porter attention aux comptes ou aux renseignements à risque. Au bout du compte, je crois que c'est bien mieux que de mener des enquêtes et de simplement réagir. Nous craignons simplement que la législation ne le permette pas à l'avenir.
    Si j'ai bien compris, ce ne sont pas des aspects du nouveau cadre qui vous préoccupent, c'est ce que vous venez de décrire?
    Oui. Ce que nous aimerions que le comité envisage pour notre secteur, c'est plus de latitude. Je pourrais suggérer de remplacer le mot « fraude » par « crime », parce que, à ce moment-là, on couvre tout.
    Merci.
    Je vais m'adresser au Conseil canadien du commerce de détail. Au moment de l'examen de la LPRPDE, votre organisation a déclaré que le cadre actuel régissant les organismes d'enquête nuisait à la lutte contre le crime organisé dans votre secteur. Pouvez-vous nous en dire plus à ce sujet s'il vous plaît?
    Pour commencer, permettez-moi de préciser que l'examen a eu lieu deux ou trois générations avant mon arrivée au sein de l'organisation, mais, oui, je crois que les détaillants, même s'ils ne sont pas nécessairement à l'origine des amendements apportés à la LPRPDE, seraient généralement favorables à tout ce qui pourrait permettre le règlement rapide des situations qui se produisent ou qui sont sur le point de se produire. Permettez-moi de rappeler ce que mon collègue a dit: en général, le secteur du commerce de détail est favorable au projet de loi, non pas seulement en raison des dispositions précises qui figurent dans le projet de loi, mais parce qu'il vient appuyer la LPRPDE, relativement à laquelle ils affichent déjà un très haut niveau de conformité, et qui fonctionne très bien, surtout compte tenu de son approche axée sur les résultats et neutre sur le plan de la technologie.
(1240)
    Je vais m'adresser à nouveau à l'Association des banquiers canadiens. Les institutions financières fournissent aussi des produits d'assurance prêt. Quels aspects de la LPRPDE ou du projet de loi S-4 empêchent le système bancaire d'avoir accès aux métadonnées ou aux renseignements médicaux sur un demandeur d'assurance dans le même cadre auquel sont assujetties les banques? Je pose la question, parce que le fait que la banque qui envisage de faire un prêt connaisse les renseignements médicaux du client pourrait nuire au prêteur. Ce que vous avez dit précédemment, c'est que vous aimeriez pouvoir communiquer plus de renseignements afin de prévenir des crimes. De quelle façon les clients peuvent-ils savoir que cette limite sera respectée?
    Il y a une disposition précise dans la Loi sur les banques qui l'interdit.
    Merci. Je n'ai pas d'autres questions.
    D'accord.
    Madame Borg, vous avez jusqu'à cinq minutes.

[Français]

     Merci beaucoup, monsieur le président
     Finalement, je vais avoir la possibilité de poser ma dernière question.
    Madame Vonn, ma collègue, Mme Nash, a commencé à parler de l'affaire Spencer et de la situation en Colombie-Britannique à la suite de cet arrêt ainsi que de la réaction formulée jusqu'à présent de la part du commissaire et du Comité permanent de l'industrie, des sciences et de la technologie. Si ma compréhension est bonne, votre organisation a assisté à la révision de la Personal Information Protection Act à la suite de l'arrêt Spencer. Est-ce exact?

[Traduction]

    Non, je suis désolée, ce n'est pas le cas. Nous avons formulé des observations écrites, mais nous n'avons pas pu participer en personne.

[Français]

    Vous avez quand même transmis des commentaires par écrit.

[Traduction]

    Oui.

[Français]

    Nous avons reçu une lettre du commissaire à la protection de la vie privée qui indique que le projet de loi S-4 a été rédigé pour refléter un peu le modèle de la Colombie-Britannique. Il est censé ressembler à ce modèle, mais des suggestions ont été changées à la suite de ce rapport. Selon moi, cela remet donc un peu en question ce qu'on retrouve dans le projet de loi S-4. Êtes-vous d'accord avec moi à ce sujet? Pensez-vous qu'on devrait trouver une manière de respecter également les recommandations de ce rapport pour qu'on puisse avoir cette cohésion?

[Traduction]

    Oui. Je crois qu'on peut obtenir une cohésion entre les lois si l'on tient compte de l'analyse sur la divulgation volontaire dans l'arrêt Spencer.
    Je comprends ce que le membre a dit sur l'année qui s'est écoulée. Nous aimerions aller de l'avant, cela s'impose depuis longtemps. Cependant, durant l'année, la cour a rendu une décision qui modifie la notion de renseignement personnel et la façon dont il faut protéger ces renseignements. La disposition la plus problématique dont on entend constamment parler à ce sujet, c'est celle touchant les divulgations volontaires, sauf dans le cas de la protection des personnes vulnérables contre la fraude et l'exploitation, etc.
    Les commissaires à la protection de la vie privée de la Colombie-Britannique et de l'Alberta demandent maintenant la réévaluation de la portée de cette disposition. Je crois qu'il faut absolument que les membres du comité participent à ce qui, en fait, est devenu un débat national sur la portée souhaitée. Essentiellement, il serait logique d'éliminer cet aspect du projet de loi afin qu'on puisse aller de l'avant avec les bonnes dispositions non litigieuses du projet de loi.

[Français]

    Merci.
    Madame Sali, je crois que votre organisme a participé à cette révision de la Personal Information Protection Act. Avez-vous peut-être des commentaires à formuler à cet égard?

[Traduction]

    Je ne suis pas complètement sûre que nous ayons participé au processus d'examen de la PIPA. C'est un peu avant mon arrivée au sein de l'organisation.
    Mais, si vous me le permettez, j'aimerais mentionner, puisque vous venez de poser la question à Mme Vonn, que certains ont fait valoir que l'approche en Alberta et en Colombie-Britannique est tout à fait correcte et non problématique. Cependant, une chose que nous avons constatée — et, à ce sujet, je me fais l'écho du témoignage de M. Geist —, c'est que la personne dont les renseignements ont été divulgués n'est pas nécessairement informée de la divulgation en tant que telle. Souvent, l'objectif c'est justement de divulguer l'information sans obtenir le consentement de la personne et sans que celle-ci le sache, ce qui signifie que la personne visée aurait beaucoup de difficulté à savoir que ses renseignements ont été divulgués et, en fait, ne pourrait pas se plaindre; ou encore, il n'y aurait aucune preuve de préjudice dans ces cas, puisqu'elle ne l'aurait pas su.
    Je crois que les affirmations formulées par certaines personnes selon lesquelles les règles de la Colombie-Britannique et de l'Alberta ne sont pas préjudiciables sont malheureusement fausses.

[Français]

    Merci.
    Combien de temps me reste-t-il, monsieur le président?
    Le président: Il vous reste une minute.
    Mme Charmaine Borg: Je poserai maintenant une question à M. McLinton et à M. Littler.
    Le projet de loi S-4 prévoit l'instauration d'un mécanisme d'avertissement pour les atteintes aux données. Vous semblez favorables à cela. Selon le modèle proposé par le projet de loi S-4, cela va demander aux organisations d'évaluer elles-mêmes si le risque peut poser un préjudice qui serait grave ou non. Selon vous, sera-t-il facile pour vos membres de faire cette évaluation? Vous attendez-vous à recevoir un certain accompagnement pour bien respecter ces mesures?
(1245)

[Traduction]

    À la lumière des discussions que nous avons eues avec nos membres, je crois que, premièrement, il y a déjà, comme je l'ai mentionné, un très haut niveau de conformité avec les exigences de la LPRPDE. Au bout du compte, comme M. Littler l'a souligné, c'est vraiment une question de la taille de l'organisation. Nous représentons des détaillants de toute taille, des petits commerces familiaux aux plus gros magasins grande surface en passant par les épiciers. Des évaluations sont déjà réalisées à tous les niveaux, certaines évaluations sont plus complexes que d'autres, parce que, au bout du compte, les clients de nos organisations sont ce qu'elles ont de plus précieux.
    Ces évaluations ont cours actuellement, mais j'imagine que, au sein des plus petites entreprises de vente au détail, la structure est peut-être un petit peu moins officielle. Le niveau de conformité avec la LPRPDE est élevé, et nos membres réalisent déjà des évaluations.
    Merci beaucoup.
    Nous allons maintenant passer à notre dernier intervenant, M. Lake.
    Pour commencer, j'aimerais poser une question rapide par simple curiosité.
    Meghan, vous êtes de Vancouver, c'est exact?
    Oui.
    Nous accueillons l'Association des libertés civiles de la Colombie-Britannique. Avant, nous avons accueilli la Freedom of Information and Privacy Association de la Colombie-Britannique. Il semble y avoir un noyau dans la région de Vancouver et du Lower Mainland. Ça pique ma curiosité, et j'ai fait quelques recherches.
    C'est intéressant de savoir que Vincent Gogolek, que nous avons rencontré mardi et qui représente la Freedom of Information and Privacy Association de la Colombie-Britannique, est l'ancien directeur des politiques de l'Association des libertés civiles de la Colombie-Britannique.
    Philippa Lawson, qui a aussi témoigné mardi, a indiqué sur sa page LinkedIn qu'elle est consultante, et que ses clients récents incluent l'Association des libertés civiles de la Colombie-Britannique et la Freedom of Information and Privacy Association de la Colombie-Britannique.
    Vous avez tout à fait raison. La protection des renseignements personnels est une préoccupation croissante parmi les Canadiens, mais, le nombre d'intervenants du milieu juridique possédant une expertise en la matière croît. Il s'agit d'un milieu qui évolue. En fait, nous sommes peu nombreux sur le terrain.
    Et vous parlez d'une seule voix, ou à plusieurs voix, devant le comité, semble-t-il.
    Nous ne sommes pas toujours à l'unisson, mais, très souvent, nous trouvons un consensus.
    D'accord. Je vous écoutais, et je trouvais cette situation intéressante.
    Je m'adresse maintenant aux représentants des banques. Je crois comprendre que votre plainte principale, c'est que l'article sur les organismes d'enquête du projet de loi est trop restrictif. Je crois que cela se trouve aux alinéas 7(3)d.1) et 7(3)d.2). C'est bien votre préoccupation principale?
    Oui, et tout particulièrement l'alinéa proposé 7(3)d.2). Il s'agirait d'un recul par rapport aux pouvoirs que nous avons en ce moment.
    Les témoins du groupe précédent dont je viens de parler semblaient tous dire que c'était peut-être le contraire.
    Je crois bien tous vous avoir entendu dire, et presque tous de la même manière, que c'était exactement l'opposé.
    Nous avons entendu d'autres intervenants nous dire des choses semblables à ce que les représentants des banques nous disent. On dirait que nous avons peut-être trouvé un équilibre entre les deux; c'est ce qui se passe habituellement avec des textes législatifs comme celui-ci.
    Pour ce qui est des représentants du secteur du commerce de détail, vous avez parlé de l'article proposé 6.1, qui figurerait dans le nouveau texte législatif. Vous dites qu'il faut préciser la notion de personnes vulnérables. C'est exact?
    C'est exact. Cependant, ce n'est pas notre préoccupation principale. En somme, notre préoccupation principale c'est le fardeau administratif indu. C'est le fil conducteur, afin qu'on puisse préciser la notion de consentement.
    En ce qui concerne les exigences redditionnelles?
    Les exigences redditionnelles, la tenue de registres et toutes les autres exigences qui sont mentionnées.
    C'est intéressant, vous n'êtes pas les premiers à nous le dire.
    Les personnes qui parlent un peu d'une seule voix de l'autre côté diraient que c'est le contraire, qu'il faut plus de rapports et plus d'avis.
    Êtes-vous en désaccord avec cette position?
    Non. Il faut faire une distinction entre la consignation et la déclaration.
    Nous sommes préoccupés par le fardeau lié à la consignation. L'article sur la consignation utilise un libellé très précis et vise, essentiellement, toutes les atteintes aux mesures de sécurité. Nous pouvons imaginer des situations dans lesquelles cette exigence créerait le fardeau excessif puisqu'il faudrait consigner des atteintes qui n'auront aucun préjudice prévisible, et cela créerait des obligations illimitées de...
(1250)
    J'ai peu de temps, mais j'aimerais vous demander si, selon vous, les atteintes dont on parle sont des choses qu'il faut éviter? Pouvez-vous reconnaître que ces atteintes doivent être évitées? Prenons le fait de laisser ouvert un écran sur lequel il y a des renseignements personnels, je crois que c'est l'exemple que vous avez utilisé.
    Si quelqu'un s'éloigne de son bureau pour aller chercher du café pendant qu'une autre personne est dans la même pièce et qu'on ne peut pas savoir avec certitude si cette dernière est allée de l'autre côté du bureau... Je crois qu'il doit y avoir un seuil permettant de déterminer ce qui est un risque important.
    Mais ce serait probablement une bonne pratique, lorsqu'il y a des renseignements personnels sur un écran, de l'éteindre, non?
    Bien sûr, c'est une bonne pratique.
    Par conséquent, puisque nous essayons de mettre en place cette pratique commune partout, le fait d'avoir un mécanisme qui permet simplement de consigner ce genre d'événements pour nous rappeler que c'est quelque chose à éviter — bien sûr, on mène des consultations pour savoir la forme que cela prendra, et je suis sûr que vous nous ferez connaître votre opinion à ce sujet — ce ne serait peut-être pas si lourd, en fait. Et, au bout du compte, on ne devrait plus le faire, non?
    Je crois que nous voyons les choses différemment.
    Selon moi, il y a probablement un seuil en dessous duquel — que ce soit la période durant laquelle un classeur est resté ouvert ou un écran a été laissé sans surveillance — le risque n'est pas assez élevé, et la tenue d'un registre n'est pas nécessaire, surtout s'il ne semble pas y avoir d'exigence touchant la durée de conservation de ces registres.
    Je prévois que, comme l'Association des banquiers canadiens et tous les autres, tous les témoins ici présents, vous ferez valoir vos opinions durant le processus de consultation pour vous assurer que les mesures prises sont raisonnables.
    Merci beaucoup, monsieur Lake.
    Merci aux témoins.
    J'essaie habituellement de ne pas intervenir du tout, puisque je suis le président, mais je voulais demander aux représentants de l'Association des banquiers canadiens si, actuellement, ils interagissent régulièrement avec le commissaire à la protection de la vie privée de sorte que — pas, évidemment, au cas par cas, mais globalement — il y a une communication de données regroupées, tous les trimestres ou tous les semestres, sur la façon dont les enquêtes ont été menées et les renseignements personnels des personnes, protégés.
    Avez-vous ce genre d'interactions redditionnelles régulières avec le Commissariat à la protection de la vie privée?
    Les divisions responsables de la conformité des banques ont une relation très étroite avec le Commissariat à la protection de la vie privée. Souvent, lorsqu'elles ont une question au sujet de la conformité, elles communiquent avec le commissariat.
    En tant qu'association, nous organisons une réunion annuelle avec les organismes de réglementation, alors nous avons l'occasion d'échanger avec eux. Cependant, il est évident que les banques interagissent régulièrement avec le Commissariat à la protection de la vie privée et en cas d'atteintes — dans les rares cas où cela se produit — afin de rester au fait de ce qui se passe et de pouvoir contrôler ce qui se produit et de prodiguer des conseils sur la façon dont nous gérons les choses.
    Nous avons participé à l'élaboration des directives du commissaire à la protection de la vie privée sur les avis et les rapports relatifs aux atteintes à la sécurité. Évidemment, les banques appliquent ces lignes directrices.
    Je pose la question, parce que vous bénéficiez d'un très haut niveau de confiance et que vous avez aussi de grandes responsabilités en raison de la nature des crimes d'aujourd'hui et de l'innovation dont font preuve les délinquants. Je voulais simplement que les membres du comité puissent entendre parler rapidement de cette relation.
    Merci beaucoup, chers collègues.
    Merci beaucoup aussi à nos témoins. Encore une fois, je vous présente mes excuses au nom du comité. Nous avons été retenus à la Chambre par l'application régulière de la démocratie.
    La séance est levée.
Explorateur de la publication
Explorateur de la publication
ParlVU