INDU Réunion de comité

    Bonjour, mesdames et messieurs. Bonjour à tous.

    Bienvenue à la 38^e séance du Comité permanent de l'industrie, des sciences et de la technologie.

    Merci aux témoins d'être venus ici aujourd'hui. Je vais les présenter: Mme Catherine Romanko, tutrice et curatrice publique de Tuteur et curateur public de la Colombie-Britannique; M. Douglas Brown, tuteur et curateur public, de Tuteur et curateur public du Manitoba; Mme Janet Cooper, vice-présidente, Affaires professionnelles, de l'Association des pharmaciens du Canada; et à titre personnel, M. Avner Levin, professeur agrégé et directeur, Institut de la cybercriminalité et de la vie privée, Ryerson University.

    Nous allons les entendre dans cet ordre, du moins pour leur déclaration préliminaire.

    J'aimerais aviser les membres du fait qu'un autre comité viendra ici après nous; nous allons donc nous efforcer de terminer cinq minutes plus tôt que notre heure habituelle.

    Nous allons entendre pour commencer la déclaration de Mme Romanko.

    Merci, monsieur le président.

    Bonjour. Je suis la tutrice et curatrice publique de la Colombie-Britannique. Je vous remercie de me donner l'occasion de parler aujourd'hui du projet de loi S-4. En plus de mon exposé verbal, j'ai présenté des observations écrites. Mes commentaires, aujourd'hui, concerneront exclusivement le paragraphe 6(10) du projet de loi S-4, une disposition proposée visant à permettre aux organismes sous réglementation fédérale et, en particulier, les institutions financières, de signaler leurs préoccupations relativement à l'exploitation financière potentielle d'un client, à l'insu ou sans le consentement du client, à une institution gouvernementale qui a le pouvoir de mener une enquête et de prendre des mesures appropriées en conséquence.

    Le pouvoir de réagir à des cas soupçonnés d'exploitation financière est en général dévolu aux autorités provinciales et territoriales, qui peuvent mener des enquêtes au civil, et aussi, en particulier, aux tuteurs et curateurs publics de toutes les régions du pays. Le Tuteur et curateur public de la Colombie-Britannique a participé au processus de consultation étalé sur plusieurs années qui a mené à l'élaboration des dispositions de lutte contre l'exploitation financière qui se retrouve dans le paragraphe 6(10). Mon bureau soutient l'objectif de l'amendement proposé concernant la lutte contre l'exploitation financière, et il présente trois recommandations visant à rendre cette disposition plus précise de façon qu'elle soit plus efficace et, deuxièmement, à réduire le risque de préjudice causé à une personne faisant l'objet d'un signalement et qui pourrait être une victime potentielle de l'exploitation financière.

    Mes recommandations sont fondées sur l'expérience de mon bureau dans la lutte contre l'exploitation financière, et je vais présenter ces recommandations à la fin de mes commentaires.

    Je vais vous donner un peu de contexte; le Tuteur et curateur public de la Colombie-Britannique est une corporation simple constituée en vertu des lois de la province. Mon bureau offre des services de fiducie et des services de protection aux adultes vulnérables, aux personnes frappées d'incapacité mentale et, aux enfants mineurs. Nous gérons le patrimoine des personnes décédées ou disparues, lorsque personne d'autre n'est capable de le faire ou qualifié pour le faire. Nous comptons environ 29 000 clients et nous gérons pour près de 900 millions de dollars d'actifs privés pour nos clients.

    Le Tuteur et curateur public de la Colombie-Britannique exerce plusieurs fonctions réglementaires, et a entre autres la responsabilité de mener des enquêtes sur des allégations d'exploitation financière, ce qui comprend la négligence et l'autonégligence financière des adultes frappés d'incapacité mentale. La loi définit l'exploitation financière, la négligence financière et l'autonégligence financière, et ces définitions orientent les enquêtes menées par le Tuteur public de la Colombie-Britannique, mais, de manière générale, l'exploitation est un acte commis par une tierce partie. La négligence, c'est l'omission d'agir d'une tierce partie et l'autonégligence, c'est l'omission par une personne de gérer ses propres affaires, et elle est due en général à l'incapacité mentale.

    Lorsque mon bureau reçoit de l'information selon laquelle un adulte pourrait être frappé d'incapacité mentale et pourrait être une victime de l'exploitation financière, le Tuteur et curateur public de la Colombie-Britannique a, en vertu de la loi, le mandat d'enquêter sur les circonstances. Mon bureau a le pouvoir d'obtenir la divulgation d'informations financières de représentants personnels, par exemple un fondé de pouvoir qui a obtenu une procuration permanente, et des institutions financières dans lesquelles un adulte pourrait détenir des actifs. Si mon bureau a des motifs de croire que les biens d'un adulte doivent faire l'objet d'une protection immédiate, le Tuteur et curateur public de la Colombie-Britannique a le pouvoir d'ordonner aux institutions financières, essentiellement, de geler des comptes bancaires pour qu'il soit impossible d'effectuer un retrait dans un compte ou d'effectuer des transactions à partir de ces comptes, d'arrêter la vente de biens et de prendre toute autre mesure raisonnable nécessaire pour empêcher la dilapidation ou le détournement des biens de l'adulte.

    Chaque année, mon bureau répond à quelque 1 600 allégations d'exploitation financière soupçonnée. Dans environ 1 200 cas, il mène une enquête complète et, dans environ 400 cas, au terme de l'enquête, le Tuteur et curateur public est désigné curateur aux biens, ce qui lui permet d'agir en tant que tuteur aux biens et de gérer les affaires financières et juridiques de l'adulte, de façon permanente.

    L'expérience acquise par mon personnel, qui répond aux allégations d'exploitation financière, nous a fait comprendre le rôle critique joué par les institutions financières, qui peuvent cerner les cas d'exploitation financière potentielle et s'assurer que les adultes vulnérables reçoivent l'aide et le soutien dont ils ont besoin, lorsqu'ils en ont besoin, de façon à limiter ou empêcher l'exploitation financière.

    Les employés des banques sont souvent les mieux placés pour cerner les cas potentiels d'exploitation financière, car ils entretiennent des relations continues avec leurs clients et qu'ils connaissent les affaires financières de leurs clients. Même si, idéalement, un employé de la banque pourrait communiquer directement avec un client s'il a des préoccupations concernant une exploitation potentielle, dans bien des cas, cette communication ne serait tout simplement pas possible, ni prudente. Dans certains cas, les clients peuvent présenter une capacité mentale amoindrie, en raison d'une maladie mentale ou en raison des maladies dues au vieillissement, et il est difficile et souvent inutile de communiquer directement avec eux.

    Dans d'autres cas, le client pourrait être sous l'emprise ou le contrôle indu d'une autre personne, ce qui fait que, si le client était mis au courant de l'exploitation financière soupçonnée, cela aurait en fait pour conséquence de faire savoir à son exploiteur que ses manigances ont été découvertes et d'exposer le client à un risque plus important. Actuellement, la LPRPDE permet aux institutions financières de signaler des cas d'exploitation financière aux autorités compétentes, par exemple les services de police, lorsqu'elles ont des motifs raisonnables de croire qu'il y a eu infraction à une loi.

    Cependant, s'il n'y a pas eu d'infraction, les mesures que les organismes sous réglementation fédérale peuvent prendre sont limitées par la loi, et ce, même s'ils soupçonnent un cas d'exploitation financière, et c'est pourquoi mon bureau répond, évidemment, à des allégations d'exploitation, non pas à des cas certains. Aucun crime n'a encore été commis. Permettre aux institutions financières de réagir et de signaler des préoccupations touchant des cas potentiels d'exploitation financière à des organismes comme le Tuteur et curateur public de la Colombie-Britannique, à qui la loi confère le pouvoir de mener une enquête et de prendre des mesures pour protéger les biens d'un adulte vulnérable, au besoin, c'est essentiel pour réduire l'occurrence ou la continuation de l'exploitation financière.

    Le Tuteur et curateur public de la Colombie-Britannique présente trois recommandations visant à préciser l'amendement proposé qui vise le sous-alinéa 7(3)d.3) de la LPRPDE. Voici ses recommandations.

    Premièrement, il faudrait préciser que les autorités provinciales, et en particulier les tuteurs et curateurs publics, qui sont autorisés à réagir en cas d'exploitation financière, sont compris dans l'expression « institution gouvernementale » à qui une organisation peut signaler un cas d'exploitation financière. La LPRPDE, actuellement, ne définit pas l'expression « institution gouvernementale », et le projet de loi S-4 ne propose pas lui non plus de définition.

    Le problème, ici, c'est qu'il s'agit d'une loi fédérale qui régit des organismes sous réglementation fédérale. Les tuteurs et curateurs publics relèvent de la compétence provinciale. Nous voulons nous assurer que la loi est claire et que le signalement peut être fait à un organisme provincial. La loi comprend des pouvoirs de réglementation, qui permettraient l'adoption d'un règlement visant à définir l'expression « institution gouvernementale ».

    En établissant clairement que les organismes sont autorisés à transmettre un signalement aux institutions gouvernementales des provinces et des territoires, et en particulier aux tuteurs et curateurs publics de tout le pays, on aidera les institutions financières à assurer l'efficacité des signalements. Une autre solution, bien sûr, consisterait à tout simplement fournir une définition directement dans la loi. D'une façon ou d'une autre, une définition serait très utile.

    Deuxièmement, il faudrait supprimer la mention « parent le plus proche » de la liste des personnes et des institutions gouvernementales à qui les organismes peuvent signaler des préoccupations concernant un cas potentiel d'exploitation financière. dans les cas d'exploitation financière, les exploiteurs, en particulier ceux qui s'en prennent à des adultes vulnérables, font souvent partie des parents les plus proches. La divulgation d'une préoccupation d'exploitation financière potentielle d'un proche parent pourrait avoir comme conséquence de mettre l'exploiteur au courant du fait que son crime a été découvert et, pour finir, exposer l'adulte vulnérable à un risque de préjudice accru, ou du moins exposer ses biens à un risque de préjudice accru.

    Troisièmement, il faudrait reconnaître explicitement, dans les dispositions proposées, les cas de négligence financière et d'autonégligence financière, parallèlement aux cas d'exploitation financière. De nombreuses autorités provinciales ont de par la loi le pouvoir de mener une enquête et de fournir de l'aide aux personnes qui sont non seulement victimes d'exploitation financière mais également victimes de négligence et d'autonégligence financière, dont les conséquences sont tout aussi dévastatrices. En fait, les indices de problèmes financiers potentiels sont semblables, qu'il s'agisse d'exploitation, de négligence ou d'autonégligence. En permettant aux institutions financières de signaler des préoccupations touchant des cas d'exploitation financière, de négligence et d'autonégligence concernant leurs clients, à mon avis, on protégerait les intérêts des Brittano-Colombiens vulnérables.

    C'étaient là mes commentaires. Merci beaucoup. Je répondrai avec plaisir à vos questions.

    Merci beaucoup.

    Nous donnons maintenant la parole à M. Brown, s'il vous plaît.

    Merci de me donner la possibilité de commenter le projet de loi S-4, la loi sur la protection des renseignements personnels numériques. Je m'appelle Douglas Brown et je suis tuteur et curateur public de la province du Manitoba.

    Mes commentaires, aujourd'hui, se limiteront au paragraphe 6(10) du projet de loi qui modifierait la Loi sur la protection des renseignements personnels et les documents électroniques afin de permettre la divulgation de renseignements personnels concernant une personne à un organisme ou à une institution gouvernementale dans les cas où on soupçonne qu'une personne pourrait être victime d'exploitation financière. Le Tuteur et curateur public du Manitoba est en faveur de cet amendement, qu'il voit comme une mesure positive permettant d'établir un équilibre nécessaire entre le besoin de protéger les renseignements personnels et la divulgation de ces informations qui permettraient de cerner des cas d'exploitation financière et d'en éviter les conséquences dévastatrices.

    Le Tuteur curateur public du Manitoba (TCP) est une corporation simple constituée en vertu de la Loi sur le tuteur curateur public du Manitoba et fonctionne à titre d'organisme de service spécial du gouvernement provincial. Le TCP gère et protège les affaires des Manitobains incapables de le faire eux-mêmes et qui ne connaissent personne qui soit capable de le faire ou prêt à le faire. Cela comprend les adultes frappés d'incapacité mentale, les adultes vulnérables et la succession et les enfants de personnes décédées. Le TCP gère les affaires d'environ 5 800 clients, successions et fiducies, ce qui représente environ 230 millions de dollars de biens dont notre bureau assure l'administration.

    Le TCP intervient dans la gestion des affaires financières d'une personne pour toutes sortes de raisons. Le plus souvent, il est désigné par le psychiatre en chef de la province, en vertu de la Loi sur la santé mentale ou d'une ordonnance prise en vertu de la Loi sur les personnes vulnérables ayant une déficience mentale, deux lois du Manitoba. Le TCP peut également être désigné par un juge de la Cour du Banc de la Reine du Manitoba et être chargé de prendre des mesures dans diverses situations. Lorsque le TCP intervient, il mène une enquête afin de dresser et d'enregistrer une liste des biens que possède la personne dont il est chargé de gérer désormais les affaires. Cela comprend l'ensemble de ses biens, de ses investissements et de ses comptes dans des institutions financières. Malheureusement, il arrive que notre enquête nous permette de découvrir des preuves d'une possible exploitation financière. Dans le pire des cas, cette exploitation financière a fait perdre à la personne une grande partie ou la totalité de ses actifs financiers.

    On n'insistera jamais assez sur l'impact des pertes causées par l'exploitation financière. Alors que vous et moi pouvons choisir de quelle façon nous allons économiser, investir et planifier notre retraite en espérant disposer de ressources financières suffisantes pour vivre de manière indépendante et exercer un certain niveau de contrôle sur nos affaires, dans l'avenir, les gens qui ont été victimes d'exploitation financière ont perdu cette capacité d'indépendance et de contrôle sur leur avenir. Nous voyons souvent les effets négatifs sur la santé et le bien-être des victimes de l'exploitation financière. Plus souvent qu'autrement, une victime d'exploitation financière a peu de chances de se rétablir. Dans bien des cas, l'argent est disparu, et il est peu probable que l'auteur de ce crime rende l'argent.

    Des organismes comme les institutions financières peuvent jouer un rôle important en cernant les cas possibles d'exploitation financière grâce à leurs contacts constants avec le public. Selon mon expérience, ces institutions sont prêtes à collaborer avec les institutions gouvernementales lorsqu'elles soupçonnent un cas d'exploitation financière. Bien que, selon la loi en vigueur, les objectifs de protection des renseignements personnels soient clairement importants, les lois sur la protection des renseignements personnels ne devraient pas devenir, pour les personnes qui exploitent financièrement d'autres personnes, un paravent derrière lequel elles peuvent se cacher. Des amendements visant à permettre une divulgation contrôlée des renseignements personnels, dans des cas précis, peuvent toujours respecter les objectifs de la protection des renseignements personnels, mais ils donnent à la collectivité une paire d'yeux supplémentaires qui l'aidera à cerner et, espérons-le, à éliminer les cas d'exploitation financière. Je l'affirme catégoriquement à votre comité, c'est là le résultat à rechercher.

    J'ai passé en revue les amendements et les diverses observations qui ont été présentées au comité, et je donnerais mon appui à deux ou trois recommandations.

    Premièrement, la définition de l'expression « institution gouvernementale » doit être clarifiée. Le TCP et les organismes similaires des autres provinces ou territoires ont un rôle à jouer dans de tels cas, et ils devraient être inclus dans la définition. Il faudrait prendre soin de ne pas appliquer la définition trop strictement, car cela pourrait décourager la divulgation des informations. Un système raisonnable de freins et contrepoids consisterait à examiner le rôle de l'institution qui recevrait les informations et l'utilisation qu'elle pourrait en faire. Le TCP, quant à lui, est assujetti aux lois provinciales sur la protection des renseignements personnels. La loi nous confère de plus des pouvoirs spécifiques nous permettant de recueillir des renseignements qui devraient autrement rester protégés lorsque cela est nécessaire pour nous acquitter de nos fonctions, responsabilités et pouvoirs. Grâce à cette mesure de contrôle, vous pouvez vérifier comment l'information pourrait être utilisée, une fois qu'une institution gouvernementale l'a reçue.

    Deuxièmement, dans la plupart des cas, la personne qui en exploite financièrement une autre doit gagner la confiance de sa victime avant de pouvoir l'exploiter. Cela veut malheureusement dire que ce sont les parents et la famille, souvent, qui commettent cet acte d'exploitation financière. Une exigence visant à signaler des soupçons d'exploitation financière, dans tous les cas, à un proche parent pourrait faire courir à la victime un risque plus grand encore. Les organismes qui envisagent de faire un signalement devraient dans de tels cas agir avec une certaine discrétion et ne transmettre un signalement qu'à une institution gouvernementale, plutôt qu'à un proche parent, dans les cas où ce serait le proche parent qui pourrait participer à l'exploitation.

    Troisièmement, dans certains cas, une personne peut ne pas être victime d'exploitation financière, mais n'est plus capable de gérer elle-même ses affaires. Les indicateurs de l'exploitation financière et de la négligence financière sont souvent les mêmes, et un organisme qui envisage de signaler un cas d'exploitation financière soupçonné devrait pouvoir le faire, même s'il ne sait pas avec certitude quelle est la cause de l'activité financière inhabituelle ni si cette activité financière irrégulière est l'oeuvre d'une tierce partie ou encore de la personne elle-même. Cet organisme ne devrait pas avoir à déterminer cela avant de pouvoir faire un signalement à une institution gouvernementale. La perte de l'indépendance financière qui découle de la négligence est tout aussi importante que s'il s'agissait d'une perte financière causée par une tierce partie, et c'est pourquoi, encore une fois, il est de l'intérêt général que le problème soit cerné et réglé le plus rapidement possible.

    En conclusion, même si les objectifs de protection des renseignements personnels inscrits dans la loi en vigueur sont clairement importants, les avortages qu'il y aurait à permettre la divulgation de renseignements personnels d'une manière limitée et contrôlée constitueraient une mesure positive visant à déceler et, espérons-le, à éliminer les cas d'exploitation financière.

    Je vous remercie.

    Merci, monsieur Brown.

    Nous donnons maintenant la parole à Mme Cooper, s'il vous plaît, qui a une déclaration préliminaire à faire.

    Merci.

    Bonjour. Je m'appelle Janet Cooper. Je suis pharmacienne et j'occupe le poste de vice-présidente, Affaires professionnelles, à l'Association des pharmaciens du Canada. C'est un plaisir pour moi d'être ici aujourd'hui pour discuter du projet de loi S-4, loi modifiant la LPRPDE.

    L'Association des pharmaciens du Canada est un organisme national qui défend les intérêts des 39 000 pharmaciens du Canada. Les milieux de pratique des pharmaciens sont divers; ils travaillent dans des pharmacies communautaires, des pharmacies d'hôpitaux, en milieu universitaire, auprès de l'industrie et auprès du gouvernement.

    L'Association des pharmaciens du Canada et les membres de la profession défendent depuis longtemps le droit à la protection des renseignements personnels et à la confidentialité des renseignements des patients et, en 2001 déjà, l'association a fait partie d'un groupe de travail sur la protection de la vie privée, réunissant des organismes de fournisseurs de soins de santé divers, qui conseillait Santé Canada sur des questions de protection des renseignements personnels touchant spécifiquement les soins de santé. Depuis, l'association a comparu devant des comités parlementaires à de nombreuses occasions afin de faire part de ses points de vue sur les modifications de la LPRPDE.

    Aujourd'hui, l'engagement des pharmaciens à l'égard de la protection des renseignements personnels se reflète dans les codes de déontologie et les normes de pratique qui orientent notre profession, de même que dans le code de protection des renseignements personnels de l'association. Étant donné que les pharmaciens exécutent habituellement plus de 11 millions d'ordonnances chaque semaine et qu'ils offrent toute une gamme de nouveaux services étendus à leurs patients, dans presque toutes les administrations, le besoin d'assurer la confidentialité des renseignements personnels des patients n'a jamais été plus grand.

    Les pharmaciens communautaires ont été les premiers à se servir des dossiers numériques, et ils tiennent un registre des médicaments dispensés depuis plus de trois décennies. La plus grande partie des 600 millions d'ordonnances dispensées chaque année, qui représentent des dépenses de près de 30 milliards de dollars, sont en fait envoyées par voie électronique aux assureurs privés et aux régimes d'assurance-maladie publics, qui s'occupent du règlement des réclamations. La transmission de renseignements personnels sur les médicaments des patients se fait donc beaucoup par voie électronique.

    De plus en plus d'autres professionnels de la santé tiennent également des registres électroniques des renseignements médicaux sur les Canadiens, y compris les dossiers des médecins, les résultats des tests de laboratoire et les images diagnostiques. L'objectif des dossiers de santé électroniques est d'améliorer l'accessibilité et l'échange des renseignements sur le patient par des fournisseurs qui en ont besoin pour mieux soigner le patient et pour collaborer avec les membres d'autres professions.

    Par exemple, plusieurs administrations ont mis sur pied des systèmes de renseignement sur les médicaments qui donnent accès à un registre complet des médicaments dispensés, peu importe la pharmacie qui a exécuté l'ordonnance. Ce système améliore la sécurité et l'efficacité de la médication, soutient le processus de prescription, favorise le signalement d'effets secondaires indésirables et empêche la surconsommation de médicaments d'ordonnance. Nous espérons que, dans un avenir proche, toutes les ordonnances seront établies par voie électronique et transmises à la pharmacie choisie par le patient. Ce changement des dossiers de santé électroniques s'accompagne d'un besoin accru d'assurer la protection des renseignements personnels sur la santé et les médicaments des Canadiens.

    Je vous le dis tout de suite, l'association est en faveur des amendements du projet de loi S-4 qui ont trait à la protection des renseignements personnels sur la santé. Nous aimerions discuter en particulier de deux de ces amendements.

    Tout d'abord, l'association est en faveur de l'amendement qui permet la communication de renseignements personnels sans le consentement de l'intéressé lorsqu'il s'agit d'identifier un individu qui est blessé, malade ou décédé et de communiquer avec son parent le plus proche.

    Les pharmaciens, comme tout autre fournisseur de soins de santé, peuvent se retrouver dans la difficile situation où il doit composer avec des patients gravement malades, inconscients ou intoxiqués pour toutes sortes de raisons. Dans de telles circonstances, le pharmacien ou un autre professionnel de la santé peut impérativement devoir communiquer sur-le-champ avec un membre de la famille ou un proche parent pour les informer de l'état du patient ou pour obtenir des renseignements précieux sur les antécédents médicaux de celui-ci. Mais il est parfois tout simplement déraisonnable, voire impossible, de demander d'abord la permission ou le consentement de la personne concernée. Cette disposition donnerait aux pharmaciens et aux autres fournisseurs de soins de santé la certitude rassurante que, en cas de problème de santé urgent, ils ne contreviendraient pas à la LPRPDE s'ils agissent dans l'intérêt supérieur de leur patient en communiquant avec un proche parent ou avec un représentant autorisé.

    Deuxièmement, l'association est également en faveur de l'amendement du projet de loi S-4 selon lequel les organismes qui ont eu connaissance d'une atteinte à la vie privée doivent signaler cette atteinte au Commissariat à la protection de la vie privée et en aviser les personnes concernées, si les circonstances permettent raisonnablement de croire que cette atteinte représente un risque réel de préjudice important pour les personnes.

    Comme les pharmaciens ont accès à un volume important de renseignements délicats touchant la médication et la santé de leurs patients, tous les jours, une atteinte à la vie privée ou la divulgation de ces renseignements peuvent potentiellement constituer un risque pour le patient. Les patients qui prennent des médicaments contre le VIH, une maladie mentale ou une maladie infectieuse n'aimeraient certainement pas que tous leurs renseignements soient divulgués. Comme le précise le projet de loi, ce risque concerne entre autres la perte de possibilité d'emploi et le dommage à la réputation ou aux relations. C'est pourquoi l'association estime que, en cas d'atteinte à la vie privée, il serait raisonnable de signaler le cas à la personne concernée et au Commissariat à la protection de la vie privée de façon à atténuer tous les risques qui pourraient se présenter.

    Il est également raisonnable pour l'organisme concerné de tenir des registres appropriés de ces incidents, comme le projet de loi le prévoit.

    Même si cela ne concerne pas spécifiquement le projet de loi, j'aimerais remercier Santé Canada, qui a, cet été, adopté un changement de réglementation permettant aux pharmaciens de mieux protéger les renseignements personnels. La Loi sur les aliments et drogues exige des pharmaciens qu'ils conservent jusqu'à deux ans les dossiers des médicaments et, jusqu'à l'été dernier, le règlement exigeait que les ordonnances soient conservées en format papier, même si, de plus en plus, les dossiers des médicaments sont maintenant conservés sous forme électronique. En juillet dernier, Santé Canada a réinterprété le règlement et permis que les dossiers des médicaments soient conservés sous forme électronique. En plus d'offrir une solution plus efficiente pour les pharmaciens, les registres électroniques sont plus sûrs et mieux sécurisés, en ce qui concerne la protection des renseignements personnels.

    Merci, monsieur le président, et merci aux membres du comité de m'avoir donné l'occasion de vous parler aujourd'hui du projet de loi S-4. Je répondrai avec plaisir à vos questions.

    Merci beaucoup, madame Cooper.

    Nous donnons maintenant la parole à M. Levin.

    Merci, monsieur le président. Merci de m'avoir invité à comparaître devant votre comité. Je suis désolé, mais je ne suis pas bilingue, et je vais formuler mes commentaires en anglais. Je suis professeur agrégé et je dirige l'Institut de la cybercriminalité et de la vie privée de l'Université Ryerson. Je comparais à titre personnel. Je mène des recherches concernant la protection des renseignements personnels, et j'ai eu le bonheur de comparaître également devant le Comité de l'accès à l'information, de la protection des renseignements personnels et de l'éthique.

    Je ne vais pas répéter les commentaires des témoins que vous avez entendus plus tôt, dans les séances précédentes. Je considère que les audiences que mène aujourd'hui votre comité sont un signe selon lequel le gouvernement aimerait examiner quelques amendements avant d'adopter le projet de loi. Je reprendrais ce qu'ont dit des témoins précédents, car je pense que le comité devrait examiner les amendements suivants.

    Premièrement, je crois que le comité devrait examiner la possibilité de donner au commissaire le pouvoir de rendre des ordonnances, en s'appuyant sur l'article 12.1 de la LPRPDE. L'article 52 de la Loi de la Colombie-Britannique ou de l'Alberta sur la protection des renseignements personnels est certainement un bon modèle à suivre. Cela n'empêcherait pas de conserver la disposition du projet de loi qui concerne les accords de conformité, disposition qui formerait le nouvel article 17.1. Je serais heureux de faire part de mes motifs et de mes réflexions à ce sujet, si nous avons le temps plus tard, pendant la période de questions, mais d'autres témoins ont déjà soulevé ce point.

    Deuxièmement, je suggérerais au comité de supprimer l'alinéa 7(3)c.1). Cela éliminerait la possibilité qu'une institution gouvernementale demande des renseignements personnels sans être assujettie à un contrôle judiciaire. Je crois que des témoins précédents ont déjà soulevé ce point, je vais donc y revenir pendant la période de questions, si quelqu'un y voit un intérêt.

    Troisièmement, je ne toucherais pas à l'alinéa 7(3)d). Autrement dit, je ne crois pas que le comité devrait permettre à des organismes d'échanger de l'information avec d'autres organismes. Je crois que le comité devrait laisser intactes les dispositions de la LPRPDE qui concernent l'organisme d'enquête, et ce point a déjà été soulevé.

    J'aimerais profiter de mon tour de parole pour présenter au comité un élément nouveau, à ce que je sache, qui touche la question de la protection des renseignements personnels en milieu de travail, dont il est question dans ce projet de loi. Au meilleur de ma connaissance, ce sujet n'a pas encore été abordé. Selon la LPRPDE, les renseignements personnels d'un employé des entreprises fédérales sont protégés, et il est impossible de les recueillir, de les utiliser ou de les communiquer sans le consentement de l'employé. C'est ce que dit l'alinéa 4(1)b) de la LPRPDE actuellement en vigueur.

    Le projet de loi S-4 propose une nouvelle disposition, l'article 7.3, qui porte sur ce type de relations d'emploi et qui prévoit que le consentement de l'employé ne sera plus nécessaire. Les employeurs devront plutôt aviser l'employé concerné. C'est ce que prévoit le nouveau paragraphe 7.3, et l'employeur pourra, après avoir donné cet avis, recueillir, utiliser ou communiquer des renseignements personnels si, et je cite le projet de loi, « cela est nécessaire pour établir ou gérer la relation d'emploi [...] ou pour y mettre fin ». C'est dans le nouveau paragraphe 7.3.

    À mon avis, selon le libellé actuel, cette disposition constitue une malheureuse érosion de la vie privée en milieu de travail, qui ne tient pas compte des observations précédentes du Commissariat à la protection de la vie privée ni des décisions de la Cour fédérale. Je souligne à l'intention du comité que la Cour fédérale a rendu une décision dans Eastmond et une autre dans Wansink. Je pourrais transmettre plus tard au comité le texte complet. Les implications dépassent le cadre des employés des entreprises fédérales. Les arbitres du travail, lorsqu'il s'agit de ces employés qui sont syndiqués, cherchent dans la LPRPDE ainsi que dans les lignes directrices du Commissariat à la vie privée une orientation et des références. Dans les provinces où il n'y a pas de loi s'appliquant au secteur privé, les employeurs cherchent une orientation dans la LPRPDE, même s'ils ne sont pas directement régis par cette loi.

    L'amendement proposé semble aligné sur les lois en matière de protection des renseignements personnels de la Colombie-Britannique et de l'Alberta, mais je crois que ce n'est pas le cas. Selon ces lois provinciales — écoutez-moi bien, s'il vous plaît —, la collecte, l'utilisation et la communication doivent être raisonnables au regard des objectifs que j'ai énumérés. Il s'agit, à titre documentaire, des articles 13, 16 et 19 de la Loi de la Colombie-Britannique. Voici un extrait de l'alinéa 13(2)b) de la Loi de la Colombie-Britannique:

    Le nouvel article 7.3 ne renvoie aucunement à une norme sur le caractère raisonnable. J'imagine que c'est peut-être parce que la LPRPDE a inclus cette norme dans le paragraphe 5(3):

    J'espère que le comité conviendra avec moi que le paragraphe 5(3) actuellement en vigueur renvoie à des fins qu'une personne raisonnable estimerait acceptables, mais qu'il ne dit rien sur le caractère raisonnable de la collecte, de l'utilisation ou de la communication. Si vous voulez vous fonder sur le modèle de la Colombie-Britannique et de l'Alberta, il faudra bien sûr établir que la collecte, l'utilisation et la communication devraient être raisonnables. Les fins touchant la gestion, et ainsi de suite, de la relation d'emploi sont déjà, faut-il le dire, raisonnables.

    À mon avis, le libellé actuel du projet de loi, si je puis utiliser un exemple extrême, permettrait à un employeur d'installer des caméras de télévision en circuit fermé dans les toilettes du milieu de travail, à des fins de gestion du milieu de travail, à condition d'avoir affiché un avis. Je dirais que, s'il s'agit de gérer un lieu de travail, et de s'assurer, le cas échéant, que les installations sont propres et bien entretenues, c'est une mesure raisonnable. Mais la collecte de renseignements personnels ne serait pas raisonnable, dans un tel cas. C'est la distinction que je désire porter à l'attention des membres du comité, et je ne crois pas que personne en ait encore parlé jusqu'ici.

    Je suggérerais deux simples amendements, en conséquence. Un amendement consisterait à tout simplement ajouter les mots « raisonnable et » avant le mot « nécessaire », de façon que la disposition modifiée, qui constituerait le nouveau paragraphe 7.3a), serait ainsi libellée: « recueillir, utiliser ou communiquer [des renseignements personnels...] si cela est raisonnable et nécessaire pour établir ou gérer la relation d'emploi entre elle et lui, ou pour y mettre fin ». Vous pourriez aussi envisager de modifier la disposition en empruntant le libellé utilisé dans le cadre législatif du Québec. L'article 2087 du Code civil du Québec exige que les employeurs protègent la dignité des employés; le comité pourrait donc envisager une formulation différente, par exemple: « recueillir, utiliser ou communiquer des renseignements personnels [...] pour protéger la dignité de la personne, si cela est nécessaire pour établir ou gérer la relation d'emploi ou pour y mettre fin. »

    J'aimerais soulever un dernier point à ce sujet, monsieur le président, avant de conclure ma déclaration. Je pense en effet que l'employé ne peut pas donner un consentement significatif aux pratiques de son employeur, dans le cadre d'une relation d'emploi. En ce sens, je crois qu'il est utile de commencer à réglementer la conduite des employeurs dans de telles circonstances. J'aimerais en dire plus sur la question du consentement, mais, encore une fois, je crois que vous avez déjà entendu des témoins à ce sujet, dans des séances précédentes.

    Je n'en dirai pas plus sur le sujet de la vie privée au travail. Je répondrai avec plaisir à vos questions, si nous en avons le temps.

    Encore une fois, merci de m'avoir invité à comparaître aujourd'hui.

    Merci beaucoup, monsieur Levin.

    Chers collègues, nous allons faire des tours de huit minutes et nous allons commencer par M. Daniel.

    Merci, monsieur le président, et merci aussi aux témoins d'être venus ici.

    Il s'agit de toute évidence d'un sujet intéressant, qui a donné lieu à beaucoup de discussions et de commentaires.

    Monsieur Levin, s'il vous plaît, en quoi à votre avis est-ce que le signalement obligatoire d'une atteinte à des données personnelles permettrait de réduire le risque de vol d'identité?

    Le signalement obligatoire d'une atteinte est, bien sûr, une mesure utile que demandent depuis de nombreuses années les défenseurs de la vie privée. Je considère que c'est une mesure nécessaire qui, de fait, nous permettra de nous harmoniser avec les autres administrations. Pendant les études du Comité de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre, nous avons également expliqué que nous aimerions un jour que les organismes aillent au-delà du signalement des atteintes qui se sont produites et qu'elles fassent preuve d'une certaine transparence au sujet des attaques dont elles ont été victimes.

    De toute évidence, notre intention est non pas que les organismes aient à faire état de leurs propres vulnérabilités, mais qu'ils rendent compte, dans l'ensemble, par exemple par le truchement de leur organisme représentant, notamment l'Association des banquiers canadiens, dans le cas des banques, des diverses attaques subies, du nombre d'incidents et de leurs auteurs. C'est très important, je crois, au moment d'élaborer des politiques publiques.

    Sans aucun doute, le fait de demander aux organismes d'aviser les personnes concernées, en cas d'atteinte, comme cela a été suggéré dans le projet de loi, est une modification bienvenue et bien mesurée.

    Je vous remercie.

    Poursuivons sur le même sujet. Pensez-vous que nous devrions adopter des lois obligeant les fabricants de systèmes et de logiciels informatiques à prévenir les atteintes?

    Je crois que si les lois permettaient d'arriver à ce résultat, d'autres administrations l'auraient déjà essayé. Mais je crois que le comité pourrait jeter un oeil sur les obligations et responsabilités des grandes entreprises et des principaux fournisseurs de plateformes qui, aux États-Unis, ont déjà commencé à assumer certaines responsabilités touchant les vulnérabilités relevant de leur sphère de compétence. Microsoft, par exemple, a mis sur pied un centre d'intervention en cas de menace qui examine les menaces. Ce sont des activités qui me semblent appropriées et dont ces entreprises devraient prendre la responsabilité, étant donné, tout simplement, que leurs logiciels sont si populaires. Cela ne concerne pas seulement Microsoft; c'est aussi le cas de Facebook et des médias sociaux, et de nombreuses autres sortes de plateformes populaires.

    Merci.

    Madame Cooper, il est évident que l'Association des pharmaciens joue un rôle critique dans la vie de presque tout le monde, car je ne connais personne qui ne prend pas de médicaments sous une forme ou une autre. Mais seriez-vous d'accord pour dire qu'un organisme de réglementation, par exemple l'ordre des pharmaciens de la province, devrait avoir la possibilité d'obtenir des renseignements afin de mener une enquête sur des cas possibles de méfait qu'auraient commis ses propres membres?

    Oui, je serais d'accord. Je crois que ce projet de loi leur permettra d'obtenir des renseignements et, en particulier, des renseignements qui pourraient parfois concerner l'ensemble des administrations, les différentes provinces. À l'heure actuelle, de nombreux pharmaciens sont limités à ce qui se passe dans leur province. Et cela ne concerne pas seulement les pharmaciens. Cela concerne également les médecins, et il arrive que le médecin d'une province transmette son ordonnance à une pharmacie sur Internet, ce qui n'est pas approprié. Cela ne respecte pas les normes de soins. Mais la pharmacie vend le médicament dans une autre province, et c'est pourquoi il est très difficile de mener une enquête et de régler le problème. Je crois que, si on soupçonne un méfait, cela donnerait un meilleur accès à l'information.

    Est-ce que votre organisme s'intéresse de manière prospective à la question des ordonnances sur Internet, de l'absence de frontières et de limites dans ce domaine?

    Cela fait au moins 15 ans que nous nous intéressons de près à tout ce dossier des ordonnances sur Internet, car cela soulève de nombreuses préoccupations. Un grand nombre de pharmacies sur Internet ont l'apparence de pharmacies canadiennes légitimes, alors que ce n'est pas le cas. Elles se trouvent quelque part à l'étranger, et rien ne garantit que le médicament que vous commandez contiendra un ingrédient actif. Il peut s'agir d'une contrefaçon. Il pourrait contenir des substances chimiques nocives. C'est une situation très préoccupante, et il est difficile d'assurer un contrôle et de faire respecter la loi. Nous espérons que certaines dispositions de la loi donneront davantage de moyens de régler le problème à nos organismes de réglementation de même qu'aux organismes d'exécution de la loi.

    C'est excellent.

    Votre organisation, dans le passé, a déjà demandé une modification de la LPRPDE qui aurait permis l'échange d'information sur les ordonnances à des fins de recherche quelconques. Est-ce que l'exception proposée concernant le consentement à l'information sur le produit du travail répond à cet objectif?

    À l'époque où la LPRPDE a été présentée, il y avait beaucoup de préoccupations concernant la possibilité qu'elle mine la capacité des professionnels de la santé de collaborer et de s'occuper de leurs patients, au quotidien. Beaucoup de choses ont été faites. Il y a eu toutes les choses liées à la trousse d'outils de sensibilisation à la LPRPDE. Au bout du compte, la loi n'a pas été un obstacle. Les soins ont progressé, avec le consentement implicite et tout le reste.

    Pour ce qui est du produit du travail, nous affirmons depuis un certain temps qu'il est vraiment important que les chercheurs examinent des données anonymisées: les habitudes d'ordonnance, l'utilisation des médicaments sur ordonnance et d'autres choses de ce genre. Il se peut que le nom du médecin figure dans ces données, mais certainement pas le nom du patient. Il est important d'avoir accès à l'information sur l'utilisation des médicaments et à la base de données nationale sur l'utilisation des médicaments sur ordonnance de l'ICIS, qui contient aussi de l'information provenant des provinces.

    Pardonnez mon ignorance au sujet de votre industrie ou de votre rôle, mais quelles recherches menez-vous avec toutes ces données?

    Notre association n'en mène pas, mais il y a beaucoup d'universités et d'organismes qui se penchent sur l'utilisation adéquate et l'innocuité des médicaments. Il est donc très important d'obtenir ces données sur les habitudes d'ordonnance et sur l'utilisation des médicaments. Nous dépensons plus de 30 milliards de dollars en médicaments sur ordonnance, et près de la moitié de cet argent vient des fonds publics. Il y a toutefois beaucoup de préoccupations. Les médicaments sont-ils pris de façon adéquate? Sont-ils prescrits adéquatement? Font-ils l'objet d'une surveillance? Sont-ils sécuritaires? Il y a aussi la question de l'abus de médicaments sur ordonnance. Il y a par ailleurs beaucoup de coûts liés à une utilisation des médicaments qui n'est pas tout à fait adéquate. Il faut vraiment qu'il y ait des études portant sur l'innocuité, l'efficacité, les questions de ce genre.

    D'accord, merci.

    Je m'adresse maintenant aux représentants du Tuteur et curateur public. Vous avez un rôle qui est vraiment difficile à jouer. Je pense qu'il a été question de 1 600 personnes. Est-ce la pointe de l'iceberg, ou croyez-vous que vous examinez la plupart des cas d'exploitation survenant dans les institutions financières en question, l'exploitation de gens qui ne peuvent pas nécessairement comprendre ce qui se passe?

    Merci d'avoir posé la question.

    Je pense qu'il s'agit effectivement de la pointe de l'iceberg. Il y a plusieurs facteurs à prendre en compte. Le premier, c'est que le public est de plus en plus conscient de l'existence de l'exploitation financière ou du risque d'exploitation financière. Je pense que nous avons pu le constater à l'échelon national, et assurément à l'échelon provincial. Les institutions financières en parlent de plus en plus et offrent de plus en plus de formation à leur personnel sur le sujet. Je pense que le nombre de cas signalés va augmenter au fur et à mesure que la population va être sensibilisée.

    L'autre facteur, qui touche particulièrement la Colombie-Britannique, ce sont les changements de nature démographique qu'entraîne le vieillissement de la population. Les statistiques montrent que l'incidence de la démence augmente fortement après l'âge de 85 ans. Sans entrer dans les détails, nous savons aussi que, de façon générale, la population vieillissante a tendance à devenir plus vulnérable. Ce n'est pas le cas de tous, mais c'est le cas de beaucoup de gens. C'est la vulnérabilité, et pas nécessairement l'incapacité, qui crée une possibilité d'exploitation.

    Je pense qu'il s'agit de la pointe de l'iceberg. Je pense que, même en ce moment, tous les cas d'exploitation ne nous seront pas signalés. Je m'attends effectivement à ce qu'il y ait une tendance à la hausse.

    Merci, madame Romanko, c'était tout le temps que nous avions.

    Nous allons maintenant passer à Mme Nash.

    Merci à tous les témoins d'être ici aujourd'hui. Le sujet du jour est très intéressant et a une très vaste ampleur.

    Monsieur Levin, j'aimerais commencer par vous. Votre exposé ne portait pas directement sur l'objet de ma question, mais vous y avez fait allusion. Plusieurs témoins nous ont parlé des dispositions contraires à la protection des renseignements personnels du projet de loi, et précisément de celle qui précise que l'information peut être divulguée sans le consentement de la personne concernée ou sans qu'elle ne le sache si l'information sert dans le cadre d'une enquête sur le non-respect d'une entente ou une infraction à une loi fédérale ou provinciale. Pensez-vous que cette disposition est nécessaire ou qu'elle est de trop grande portée? Croyez-vous qu'elle est conforme à l'arrêt Spencer?

    Merci beaucoup de m'avoir posé la question.

    Je vais répéter ce que d'autres témoins avec qui je suis d'accord ont dit. Je pense que la disposition actuelle a une trop grande portée. Je pense qu'elle vient corriger une situation qui n'a pas à l'être, comme le comité l'a entendu affirmer par les banquiers. Ceux qui ont témoigné devant le comité se sont dits tout à fait satisfaits du modèle d'organisme d'enquête qui existe dans le domaine. Il y a des organismes d'enquête de bonne réputation qui se penchent sur les cas de fraude et sur les choses qui préoccupent l'ensemble des Canadiens et qui ont trait au vol d'identité.

    Je pense que d'autres témoins vous ont aussi fait remarquer que vous risquez d'être induits en erreur si vous vous contentez d'examiner les dispositions similaires qui sont adoptées en Colombie-Britannique et en Alberta, puisque les provinces ne s'occupent pas des organisations comme les grandes entreprises de télécommunication et les fournisseurs d'accès à Internet, qui sont visés directement par la LPRPDE. C'est pour cette raison que j'ai recommandé au comité de ne pas toucher au modèle. Vous devriez conserver le modèle qui existe dans le cadre de la LPRPDE et ne pas apporter les modifications proposées.

    Pour ce qui est de l'autre point que vous avez abordé dans votre question, il est clair que le message transmis par l'arrêt Spencer est que les Canadiens sont en droit d'avoir des attentes en matière de vie privée pour ce qui est de toute cette information. Comme je mène des recherches sur la question, lorsque je vois un projet de loi qui contient beaucoup de bonnes dispositions relativement au respect de la vie privée, mais aussi beaucoup d'exceptions qui permettent aux gens de faire des choses sans obtenir le consentement ou l'accord des personnes concernées, à mes yeux, cela pose problème, étant donné que la Cour suprême affirmait l'été dernier que nous avons tous des attentes raisonnables en matière de respect de la vie privée par rapport à ce genre d'information.

    Merci.

    J'aimerais vous poser une question au sujet des avis d'atteinte. Le seuil est passablement élevé; il s'agit d'un « risque réel de préjudice grave ». S'agit-il du bon seuil, selon vous? Certains témoins nous ont suggéré un système à deux étapes dans le cadre duquel le Commissariat à la protection de la vie privée serait informé de toutes les atteintes et déciderait des cas où la personne concernée serait avisée de l'atteinte. Pensez-vous que le mécanisme prévu actuellement par le projet de loi S-4 laisse l'industrie elle-même prendre la décision? S'agit-il de la bonne façon de faire?

    La décision est effectivement laissée à l'industrie, mais je pense que ce qui compte davantage, c'est que la norme soit assez élevée. Je sais qu'il y a eu beaucoup de débats au sujet du libellé adéquat, et la norme établie est au bout du compte assez élevée.

    De par mes recherches, je suis tout autant préoccupé par les tentatives d'atteinte que par les atteintes elles-mêmes. Je suis également préoccupé par le fait que les organisations ne divulguent pas de données regroupées sur les tentatives d'attaque qu'elles subissent et de ce que nous appelons les vecteurs d'attaque, c'est-à-dire la provenance de l'attaque. Beaucoup des choses que nous disons souvent aux gens... Par exemple, les banques disent tout le temps à leurs clients qu'ils doivent protéger leur mot de passe et leurs autres renseignements personnels, mais nous n'avons pas d'information fiable sur l'origine des attaques. Elles peuvent venir de l'étranger, de pirates informatiques, et ne pas être attribuables à la négligence des clients.

    Les attaques sont tout aussi importantes que les avis en tant que tels d'après les recherches que je mène. C'est pour cela que je pense que le système avise les gens, du moins d'après ce qu'on peut voir dans les autres pays. Pour ce qui est de savoir si c'est la meilleure façon de protéger les Canadiens, au bout du compte, je pense que d'autres mesures pourront être prises plus tard au besoin, lorsque nous pourrons déterminer si le système fonctionne bien ou non. Je suis préoccupé par le fait que, pour l'instant, il n'y a rien au sujet des attaques potentielles et seulement de l'information au sujet des atteintes survenues.

    Merci.

    Je voudrais vous poser une question au sujet de l'échange de renseignements entre entreprises dans le contexte d'une éventuelle transaction, échange qui serait permis dans le cadre du projet de loi S-4 sans le consentement de la personne concernée et sans qu'elle ne le sache. Cette disposition est-elle nécessaire? Permet-elle un juste équilibre entre le respect de la vie privée et le besoin des entreprises d'obtenir certains renseignements?

    Je crois comprendre que cette disposition a été demandée par les entreprises parce que, dans le contexte des fusions et acquisitions, il serait fastidieux pour elles de demander le consentement de chacun des clients et que les renseignements concernant la clientèle ne sont pas utilisés pour faire quoi que ce soit dans ce contexte. Elle sont simplement transmises à une partie par une autre. Il s'agit d'une disposition qui existe en Colombie-Britannique et en Alberta et qui y est libellée de la même façon, et son application n'a causé aucun problème important.

    À mes yeux, il ne s'agit pas en soi d'une idée troublante. Il s'agit de faciliter les affaires. J'espère que personne ne trouvera moyen d'utiliser la disposition à mauvais escient, puisque le but est assez clair, d'après moi.

    Merci.

    Il ne me reste que peu de temps, mais je voulais poser une question à Mme Cooper au sujet des pharmaciens.

    Il y a une préoccupation au sujet du produit du travail: il est arrivé que l'historique de prescription de médecins ait été rendue accessible à des sociétés pharmaceutiques qui ont acheté ces renseignements auprès de pharmaciens à des fins de marketing. À l'heure actuelle, on craint, aux États-Unis, par exemple, que cela ne mène à un marketing ciblé, que cela fasse augmenter les coûts des soins de santé, et, en réalité, les renseignements en question soient communiqués sans le consentement des médecins concernés et sans qu'ils ne le sachent.

    Je sais qu'il y a une disposition que les médecins ont le choix de respecter ou non au Québec et que la Colombie-Britannique a décidé d'interdire cette pratique. Avez-vous quelque chose à dire là-dessus? Est-ce que les pharmaciens sont préoccupés par cette situation?

    Ils le sont. Nous sommes en faveur de la collecte de renseignements sur les ordonnances, mais les données ne devraient pas contenir le nom du médecin ni celui du patient, évidemment.

    Nous entendons aussi parler du fait que, parfois, les résultats permettent de cerner un secteur où, pour un code postal, il y a seulement deux spécialistes, par exemple, ce qui fait qu'il est assez évident que ce sont ces deux médecins qui prescrivent les médicaments. Cela influence les représentants de la société pharmaceutique qui vont parler aux médecins, et les médecins sont étonnés qu'autant d'information soit accessible.

    Il est vraiment important que nous recueillions ces renseignements pour veiller à ce que les médicaments soient utilisés adéquatement. Le problème, actuellement, c'est que les représentants vont voir les médecins et que ceux-ci prescrivent habituellement leurs nouveaux produits. Il peut y avoir sur le marché un médicament générique tout aussi efficace et beaucoup moins cher qui devrait être utilisé, s'il existe depuis plus longtemps et si nous avons plus d'information sur son innocuité, et il faut donc vraiment éviter la situation où ce genre de marketing très ciblé est possible et où l'information est si largement accessible.

    Nous voyons certainement qu'il est important de permettre au chercheur d'accéder à l'information pour que les médicaments sur ordonnance soient utilisés adéquatement, mais pas aux fins de marketing dont nous entendons parler.

    Malheureusement, c'est tout le temps que nous avons.

    Nous allons maintenant passer à M. Warawa.

    Merci, monsieur le président.

    Merci aux témoins d'être venus.

    Mes questions ont porté sur les changements spectaculaires survenus au sein de l'industrie numérique depuis l'adoption de la LPRPDE, en 2000. Je pense que les choses ont énormément changé depuis l'entrée en vigueur de cette loi. En fait, elle est entrée en vigueur sur trois ans, de 2001 à 2004. Ensuite, comme d'habitude, il y a eu une révision judiciaire, un examen parlementaire, qui a commencé en 2006-2007. Je pense que certains d'entre vous y ont participé et ont présenté un mémoire ou ont témoigné.

    Le projet de loi S-4 contient, je crois, des mises à jour importantes par rapport à ce que nous avons vu lorsque la loi a été établie en 2000. À l'égard de ce que propose maintenant le projet de loi  S-4, le monde a changé. La technologie a énormément changé. Le changement touche aussi le nombre de personnes qui utilisent des technologies numériques pour les courriels, les opérations bancaires et le reste.

    Nous avons entendu vos témoignages. Nous avons créé le projet de loi S-4. Il contient d'importantes mises à jour des lois en vigueur concernant la protection des renseignements personnels dans le secteur privé qui vont protéger les consommateurs en ce qui a trait à leurs renseignements personnels, que ceux-ci aient été volés ou perdus.

    À l'heure actuelle, la loi n'oblige pas une entreprise à informer les consommateurs lorsque survient une brèche dans la sécurité des données. En ce moment, une entreprise qui subit une attaque informatique peut décider de ne pas en informer sa clientèle, mais les modifications apportées dans le projet de loi S-4 font inciter fortement les entreprises à signaler les attaques subies et imposeront des amendes pouvant atteindre 100 000 $ par personne lorsqu'une entreprise manque à son obligation d'aviser le consommateur.

    Le projet de loi met aussi un accès très important sur la protection des personnes vulnérables, à la fois les jeunes et nos aînés.

    Madame Romanko, vous avez abordé la question, comme M. Brown, et c'est la raison d'être des organisations que vous représentez.

    L'Association des banquiers compte parmi les nombreuses associations à avoir vraiment appuyé le projet de loi S-4. Elle a applaudi aux amendements du projet de loi qui permettront aux banques et aux institutions financières d'aviser les curateurs publics, les services de police ou les membres de la famille lorsqu'elles auront des preuves d'exploitation financière. Je pense que vous avez aussi fait allusion à l'exploitation qui peut être le fait des membres de la famille. Les banques seront maintenant en mesure de déterminer la meilleure façon d'aborder ces situations graves et de protéger les personnes vulnérables. Elles ne peuvent pas le faire en ce moment.

    Nous avons aussi entendu le témoignage du commissaire à la protection de la vie privée au sujet des outils nécessaires à l'exécution de ses fonctions. Il n'avait pas suffisamment de temps pour agir. Il disposera maintenant du temps nécessaire, grâce aux modifications apportées par le projet de loi S-4.

    Si vous pouviez simplement parler de l'évolution des choses et des changements apportés par le projet de loi S-4 pour mettre à jour la LPRPDE.

    Madame Romanko.

    Merci.

    Oui, je serais ravie de vous en parler. Évidemment, mes observations se limiteront très strictement à la capacité des institutions financières de signaler les cas d'exploitation.

    Le Tuteur et curateur public de la Colombie-Britannique a collaboré étroitement avec l'Association des banquiers canadiens lorsque les modifications proposées ont été présentées. Nous étions très en faveur d'une modification qui viendrait permettre aux institutions financières de signaler proactivement les problèmes, sans attendre que la loi ait été enfreinte.

    C'est cette mesure proactive qui protégerait le mieux les personnes vulnérables selon nous. La responsabilité des enquêtes incombe ensuite aux organismes provinciaux, aux tuteurs et curateurs publics, qui doivent faire ce que la loi leur permet déjà de faire.

    Ce qui manquait, c'était la possibilité de signaler les cas de façon proactive. Le projet de loi S-4 prévoit cette possibilité, je crois, à l'alinéa 7(3)d.3). Je pense qu'il s'agit d'une mesure positive.

    Monsieur Brown.

    Je peux même aller un peu plus loin.

    Avant d'être nommé tuteur et curateur public, j'ai été directeur de la division de l'application de la loi de la Commission des valeurs mobilières du Manitoba pendant une douzaine d'années. La tendance dont vous avez été témoin au cours des deux dernières générations, c'est que les gens gèrent de plus en plus leurs finances eux-mêmes. Il ne s'agit plus simplement de comptes d'épargne et d'autres comptes bancaires. Il y a des gens qui investissent dans des fonds mutuels et dans d'autres produits. Cette réalité est plus complexe qu'avant, et, si on envisage l'aspect négatif de la chose, cela crée probablement davantage de possibilités d'exploitation, par exemple lorsqu'une personne gère de l'argent par de nouveaux moyens.

    L'autre chose — et nous en avons parlé brièvement avant d'entrer —, c'est le changement, surtout dans le secteur bancaire, qui touche les services bancaires électroniques, par Internet. Il y a de moins en moins de contacts directs, en personne, dans les succursales, comme il y a une ou deux générations. C'est là aussi quelque chose qui vient rendre la situation plus complexe, lorsqu'il n'y a pas... Alors qu'il y a 20 ans on faisait affaire avec le directeur de la succursale la plus proche, qu'on voyait une fois toutes les deux semaines, disons, simplement en passant à la succursale, ce genre de contacts n'existe plus.

    Les choses évoluent, et le phénomène va s'accentuer avec les nouvelles générations. Cela ne change rien à la nécessité d'adopter le projet de loi, de signaler les cas. Je pense que nous allons être obligés de nous adapter dans nos divers rôles et d'essayer de trouver des façons de continuer à cerner les cas où il peut y avoir exploitation et de les signaler dans le contexte de ces nouveaux modes de prestation du service.

    Nous avons neuf semaines de travail devant nous, y compris les semaines de relâche, et encore beaucoup de choses à faire avant la conclusion de la présente législature.

    Est-il important que nous adoptions le projet de loi S-4 au cours de la présente législature, ou pensez-vous que nous devrions attendre? Allons-nous laisser les gens dans un état de vulnérabilité si nous n'adoptons pas le projet de loi S-4?

    Les gens demeurent vulnérables tant que le projet de loi n'est pas adopté.

    Il y a des organisations, selon la définition du projet de loi, qui n'estiment pas avoir la capacité juridique de signaler les cas où elles ont cerné des possibilités d'exploitation. Sur le plan de la protection du public, je ne comprends pas bien pourquoi nous tolérons cette situation.

    Je pense que la plupart des choses que j'ai lues concernant le projet de loi peuvent être réglées au moyen de la réglementation. Il sera par exemple possible de définir les termes « organisations gouvernementales » et « institutions gouvernementales » dans le règlement.

    Je pense que nous avons l'occasion d'au moins faire le premier pas, d'instaurer certains mécanismes de protection, et puis, comme dans le cas de tout autre texte législatif, de voir comment les dispositions législatives s'appliqueront concrètement. Il sera toujours temps d'apporter des modifications ultérieurement.

    Merci beaucoup, monsieur Warawa.

    Nous allons maintenant passer à Mme Sgro.

    Merci beaucoup, monsieur le président.

    Bienvenue, et merci de partager votre temps avec nous et de nous faire part de vos connaissances sur cet enjeu.

    Monsieur Levin, les pénalités dont nous parlons sont minimalement de 10 000 $ pour les personnes qui ne font pas de signalement.

    De nos jours, il semble y avoir une façon très facile de porter atteinte à la vie privée des gens. Constamment, partout où vous allez, on vous demande de cocher une case à côté de laquelle il est écrit « je consens ». Un logiciel que j'ai regardé hier contenait sept pages. Bon, je ne vais pas lire ces sept pages — je suis simplement franche — et je ne crois pas que quiconque n'est pas un expert en haute technologie et n'a pas une raison spécifique de les lire le fera. Toutefois, afin d'avoir accès à ce programme en particulier, j'ai fait défiler les sept pages et j'ai cliqué « je consens ». J'ai tendance à penser que c'est ce que font beaucoup de gens.

    Pourriez-vous commenter à ce sujet? En fait, l'objectif du projet de loi S-4 est d'améliorer la législation relative à la protection des renseignements personnels et de renforcer la confiance des gens à son égard. Je crois que c'est ce que nous voulons tous faire.

    Merci beaucoup pour la question.

    Je crois que l'enjeu réel tient à ce qui arrive avec l'économie numérique et les services, comme vous pouvez le voir. Sans aucun doute, depuis que la LPRPDN est entrée en vigueur, le concept de consentement a changé. Au lieu de nous protéger en tant que personne, elle fournit des échappatoires aux entreprises, c'est-à-dire ces sept pages de jargon juridique qui visent à établir que nous, en tant que personnes, avons consenti à des pratiques plus larges de collecte, d'utilisation et de divulgation de nos renseignements personnels.

    L'idée selon laquelle, de nos jours, nous pouvons fournir un consentement éclairé est caduque, et elle l'est depuis un certain temps. C'est pourquoi, dans le milieu universitaire, si nous parlons d'un cadre de protection des renseignements personnels pour le XXI^e siècle, la question de savoir si nous ne devrions pas aller plus loin que de simplement nous concentrer sur le consentement comme étant une porte d'entrée, comme le fait de dire que si quelqu'un donne son consentement il n'y a aucun problème, constitue un aspect important. Nous devrions vraiment restreindre ce que les entreprises font avec les renseignements qu'elles recueillent. Il devrait y avoir beaucoup plus de règlements relativement à l'utilisation et à la divulgation qui empêcheraient les organisations de dire: « eh bien, la personne a coché une case ici; par conséquent, je peux aller de l'avant et faire ce que je veux. »

    Il s'agit d'une préoccupation importante, surtout quand vous parlez de ce nouveau genre d'analytique des mégadonnées par l'entremise de laquelle les entreprises tentent de recueillir beaucoup de renseignements, faire ce que nous appelons une analyse à structure non imposée, chercher des corrélations et faire le type d'analyses prévisionnelles qui font la une des journaux. Par exemple Target a avisé la famille d'une adolescente que celle-ci était enceinte. Le père n'était pas au courant, mais les membres du personnel de Target le savaient parce que ce sont eux qui ont inscrit les données.

    À notre époque, nous avons besoin de règlements concernant l'utilisation; nous ne saurions nous concentrer strictement sur le consentement. Les organisations trouveront des échappatoires. Elles utiliseront du jargon juridique et rédigeront de longs accords. Cela n'a pas aidé jusqu'à maintenant.

    Croyez-vous que nous avons l'occasion de resserrer d'une certaine façon les règlements qui concernent ce secteur en particulier?

    Si ce n'est pas dans cette version du projet de loi, certainement, j'aimerais voir cela dans le règlement, puisque le projet de loi dans sa forme actuelle suit toujours l'ancien modèle. Ne vous méprenez pas: même si j'énonce ces opinions en tant que particulier, les commissaires à la protection de la vie privée vous diront à quel point le consentement est important. Je ne suis pas en désaccord avec l'idée en principe. Simplement, en pratique, elle ne fonctionne pas. Nous devons réfléchir à la façon dont nous pouvons la renforcer et la soutenir. Peut-être qu'un règlement serait l'outil approprié pour cela.

    Serait-il possible de faire cela en modifiant le projet de loi S-4?

    Eh bien, si vous voulez vraiment envisager cette possibilité, j'intégrerais des restrictions sur la façon dont les entreprises utilisent et divulguent les renseignements afin que le consentement ne débouche pas sur une entente et ne fasse pas en sorte que tout est permis. Plutôt, les entreprises ne pourraient utiliser ces renseignements qu'à certaines fins.

    Vous pouvez demander de nombreuses façons, peut-être par l'entremise d'un règlement, à des entreprises de communiquer à nouveau avec un client à des moments clés afin de lui dire: « je souhaite utiliser votre information de cette façon maintenant. Y consentez-vous à ce moment précis, oui ou non? » Sur le plan technologique, ces outils sont tous disponibles, mais nous n'avons pas le cadre juridique qui forcera les entreprises à agir de la sorte.

    Dans le processus de pénalités qui exige que les entreprises signalent toutes les violations et atteintes, l'une des préoccupations qu'ont exprimées certains de nos témoins tenait à la possibilité que les entreprises ne fassent pas ces signalements. Ce serait une tâche trop lourde. Elles ne vont pas signaler toutes les atteintes. Elles prendront le risque de ne pas le faire et de payer une amende, éventuellement, étant donné que de si nombreuses atteintes ont lieu quotidiennement.

    En ce qui a trait à l'application, une partie du problème concerne le rôle du commissaire. Le commissaire, qui n'a pas la capacité qu'ont les autres commissaires de délivrer des ordonnances aux entreprises, n'est pas vu par les entreprises, et, particulièrement, par les petites entreprises...

    Nous constatons un grand nombre de cas de non-conformité simplement parce que les conséquences, dans l'esprit des entreprises, ne sont pas aussi réelles que les conséquences, disons, d'une infraction en matière de santé et sécurité pour une municipalité. Le commissaire doit avoir davantage de pouvoirs afin d'être réellement traité comme une autorité de réglementation et non pas comme un protecteur du citoyen. Dans l'ancien modèle, le commissaire était un protecteur du citoyen qui réglait les conflits entre les consommateurs et les entreprises. Je crois qu'il faut que le commissaire devienne une autorité de réglementation.

    Si nous donnons au commissaire le pouvoir d'appliquer ces dispositions, les grandes et petites entreprises le prendront plus au sérieux.

    C'est très exact.

    Madame Cooper, aimeriez-vous ajouter quelque chose à ce sujet?

    Oui.

    Assurément, en tant qu'association professionnelle représentant des pharmaciens, nous trouvons qu'une certaine partie de ce débat ne correspond pas à notre mandat et à mon expertise en particulier, contrairement à celle de M. Levin. Toutefois, je partage ces préoccupations, davantage en tant que simple Canadienne: nous autorisons beaucoup de choses quand nous cochons ces cases.

    Je regarde la jeune génération. Récemment, j'ai assisté à une réunion d'Inforoute Santé du Canada, et cette organisation a effectué certaines recherches auprès de Canadiens et de groupes de discussion. J'ai été surprise d'apprendre que de nombreux Canadiens ne sont pas préoccupés par la protection de leurs renseignements personnels. Par exemple, ils présument simplement que chaque pharmacie dans la province; vous savez, le Pharmaprix ici partage ses renseignements avec le Pharmaprix plus loin dans la rue. Ce n'est pas le cas, mais les gens le présument et ils s'y attendent.

    Je crois que, en tant que société, nous faisons face à de réels défis, et nous cochons beaucoup de choses. Je suis personnellement d'accord avec l'idée de chercher à mieux réglementer ce que les entreprises peuvent faire avec ces données, parce qu'il y a beaucoup de renseignements qui parviennent à un point de vente, grâce aux ventes en ligne, aux recherches effectuées sur Google, et tout ce genre de choses, et nous devons nous pencher là-dessus.

    Je ne pourrais vraiment pas me prononcer sur le fait de savoir si cela devrait être prévu dans le cadre d'une loi ou d'un règlement qui en traiterait, mais je suis moi aussi préoccupée.

    Nous devrons nous en occuper lorsque nous nous attaquerons à l'ensemble des préoccupations.

    Mme Janet Cooper: Oui.

    L'hon. Judy Sgro: D'accord, merci.

    Merci beaucoup.

    Nous allons maintenant passer à Mme Gallant.

    Merci, monsieur le président.

    Ma première question s'adresse à Mme Romanko. L'exploitation financière qui vous est signalée comprend-elle la vente de véhicules à des personnes souffrant de démence? Par exemple, si on a vendu une voiture à une personne âgée et que cette personne n'est pas en mesure de conduire ou n'a pas de permis, est-il possible de vous signaler cette vente comme constituant de l'exploitation financière?

    Oui, c'est possible. Le cas qui a récemment été présenté dans les médias est passé par notre bureau au tout début du processus. Les circonstances peuvent être signalées comme étant un cas d'exploitation, mais quand il s'agit d'un commerçant, il est plus probable que ce soit la police, et non le tuteur et curateur public, qui doive juger si la transaction était légitime, et tout le reste. Il est peu probable que nous participions à une poursuite contre le vendeur du véhicule, soit le commerçant. Nous visons davantage à protéger l'adulte.

    Ce que nous pourrions faire dans ces circonstances, c'est d'examiner les affaires de l'adulte afin de déterminer s'il y a des ressources en place et des façons de protéger l'adulte. Le tuteur et curateur public doit-il commencer à participer d'une façon continue en tant que comité, par exemple, afin de gérer les affaires de l'adulte?

    Certains types de situations ne peuvent simplement pas être évités. Des personnes qui ont un représentant juridique, mais qui sont inaptes peuvent effectuer des transactions sans que le vendeur sache que la personne est inapte, et, présumément, qu'elle s'est engagée dans une situation qui n'est peut-être pas dans son intérêt. Certaines dispositions de la loi de la Colombie-Britannique pourraient peut-être annuler la transaction afin de protéger l'adulte vulnérable, mais certaines choses sont très difficiles à protéger. Notre bureau ne participerait que dans le but de protéger l'adulte, et non pas nécessairement dans le but d'annuler la transaction ou de poursuivre le vendeur.

    D'accord. Si un établissement financier était impliqué ou s'il était question d'une pratique d'octroi de prêts... selon votre expérience, une institution financière a-t-elle déjà signalé un cas d'exploitation qui concernait un prêt et non le retrait d'un dépôt?

    Les prêts ne font pas particulièrement partie de notre expérience, sauf s'il s'agit d'une situation où un adulte vulnérable vient à la banque accompagné d'une personne qui fait partie de sa vie depuis peu et que des retraits inhabituels sont effectués et que des prêts sont accordés à cette nouvelle personne. Ce genre de choses nous est signalé. En ce qui a trait aux prêts qui sont accordés par la banque à des adultes vulnérables, ce n'est pas quelque chose dont je parle.

    D'accord, merci.

    Madame Cooper, est-ce que vous ou les membres de l'Association des pharmaciens du Canada savez si vous avez été victimes d'une atteinte à la protection des données?

    À ce que je sache, ces renseignements n'ont pas été divulgués. Je crois qu'il y a eu certains incidents extrêmement isolés — vous savez, un membre du personnel de la pharmacie pourrait avoir regardé le dossier d'un patient — mais de très bons processus sont en place afin de cerner ces cas. Dans des provinces comme la Colombie-Britannique, il existe un système d'information à l'échelle de la province qui contient tous les médicaments que chaque pharmacie peut obtenir. C'est la même chose pour des atteintes à la vie privée au sein d'un hôpital, ou chez tout autre fournisseur. L'atteinte est détectée dans une certaine mesure. Dans quelle mesure ces atteintes sont signalées, je ne le sais pas.

    Toutefois, en ce qui a trait à l'atteinte à l'information sur l'ordonnance, je n'ai pas souvenir que cela soit arrivé malgré le fait que des dossiers électroniques contenant les données sur les ordonnances sont utilisés depuis environ trente-cinq ans.

    Les pharmacies effectuent-elles des vérifications en ce qui a trait aux personnes qui accèdent...? Un employé, pour n'importe quelle raison, peut-il jeter un coup d'oeil au profil d'un client pour voir quelle médication il prend?

    Dans les provinces qui utilisent un système d'information sur les médicaments à l'échelle de la province, il s'agit d'un système gouvernemental, et cela est donc vérifié. Il est possible d'identifier les personnes qui accèdent à des renseignements alors qu'ils ne le devraient pas. Ce n'est pas unique au secteur de la pharmacie non plus.

    Seriez-vous en mesure d'expliquer comment l'information sur les ordonnances pourrait être utilisée à des fins de recherche dont pourraient profiter les patients? Vous avez utilisé cette expression plus tôt au moment de répondre à une question, mais pourriez-vous approfondir le concept et expliquer aux gens ici présents la façon dont les patients en général profiteraient de ce type de recherche fondé sur des habitudes de prescription?

    Tout cela fait partie d'un processus de surveillance post-commercialisation visant à rassembler un grand nombre de renseignements sur la sécurité. Avant que les médicaments n'arrivent sur le marché, ils sont testés au sein d'un groupe assez limité et souvent homogène. Quand ils deviennent disponibles sur le marché et qu'ils sont utilisés en pédiatrie ou qu'ils sont prescrits à des personnes âgées ou à des gens souffrant de dysfonctionnement rénal, ils n'ont probablement pas été testés au sein de certaines de ces populations, donc, il est très important d'obtenir ces renseignements.

    La majorité des programmes d'assurance-médicaments, particulièrement les régimes gouvernementaux, ont une liste des médicaments assurés et dont l'accès est restreint. Elles veulent savoir que les médicaments auxquels l'accès est restreint à cause de leur coût ou de préoccupations pour la sécurité sont utilisés de façon appropriée et par les bons patients. Si vous ne recueillez pas cette information, vous ne serez pas en mesure d'effectuer des recherches là-dessus.

    Je ne comprends pas comment il est possible de tirer des conclusions en ce qui a trait aux habitudes de prescription quand vous n'avez pas réellement connaissance de la façon dont un patient réagit à ce qui lui est prescrit.

    En ce qui a trait aux résultats cliniques pour cette personne en particulier?

    Ce que vous venez de décrire exige de savoir comment le patient réagit à la médication. Cela n'est pas indiqué sur une ordonnance.

    Nous commençons à en savoir davantage à ce sujet grâce à une meilleure intégration des signalements des effets indésirables et des résultats cliniques. La Colombie-Britannique possède un système intégré assez impressionnant... Ils peuvent regarder les résultats cardiaques selon l'utilisation de médicaments cardiaques, ce genre de choses. Ce sont tous des chercheurs très éduqués. La plupart de ceux qui participent le plus à cette recherche proviennent de facultés de médecine ou de pharmacie.

    Donc, vous ne comparez pas des résultats réels par patient; vous comparez des statistiques à des statistiques.

    C'est exact. Quand vous regardez la recherche clinique, il s'agit du nombre de personnes qui ont été traitées et de leurs résultats comparativement à un groupe témoin qui ne prend pas de médicament ou qui prend une autre médication, ce genre de choses.

    Merci.

    Merci, madame Gallant.

    Nous passons maintenant à Mme Borg.

     Vous disposez de huit minutes.

    Merci, monsieur le président.

    Je remercie beaucoup les témoins de leur présence aujourd'hui.

    Ma première question s'adresse à M. Levin.

    J'ai eu l'occasion d'entendre vos témoignages au Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique. Vous avez déjà dit qu'il fallait que les entreprises soient motivées à protéger les renseignements personnels des individus.

     À mon avis, ce que prévoit le projet de loi S-4 est une amélioration, mais cela ne va pas assez loin pour encourager comme il se doit des entreprises comme Google et Facebook à protéger les renseignements personnels des individus. Vous avez mentionné brièvement être favorable aux ententes de conformité, mais en précisant qu'il faudrait qu'elles prévoient davantage de pouvoirs.

    J'aimerais que vous me donniez davantage d'explications à ce sujet.

    Si je comprends bien la question — et merci de l'avoir posée —, vous me demandez ce dont nous avons besoin au-delà des ententes de conformité qui font actuellement partie du projet de loi.

    Je crois que ce dont nous avons besoin, c'est que le commissaire puisse, au bout du compte, rendre une ordonnance et ordonner aux entreprises de se conformer à ce que le commissaire a conclu. Il existe un processus de discussion, des conclusions et une entente de conformité, mais, ce que nous savons actuellement, c'est qu'au bout du compte, le commissaire peut ensuite se présenter au tribunal et demander une ordonnance.

    Nous avons vu un excellent exemple dans le cas de la recherche qui a été effectuée par le commissaire sur Facebook il y a quelques années — une recherche très rigoureuse sur Facebook effectuée par le commissaire adjoint à la protection de la vie privée, qui est maintenant le commissaire à la protection de la vie privée de la Colombie-Britannique — et qui a beaucoup attiré l'attention des médias, qui a permis de tirer de nombreuses conclusions et qui a suscité de nombreuses recommandations. Ensuite, Facebook dit que c'est merveilleux, passe à autre chose et continue à agir comme si de rien n'était. Facebook n'a pas tenu compte du Canada ni de l'autorité chargée de la réglementation, puisque cette autorité n'a pas le pouvoir de lui ordonner de se conformer. La seule solution possible serait peut-être de traîner Facebook devant les tribunaux.

    Afin que les grandes entreprises prennent le contexte canadien au sérieux, le commissaire doit être en mesure de leur dire qu'elles doivent se conformer à une certaine décision ou à une certaine demande. Ce qui me déconcerte, c'est que cela est très commun au sein des régimes de protection des données. Vous voyez que les entreprises traitent l'Europe différemment, étant donné que les commissaires, là-bas, ont la capacité de faire appliquer les règlements et de délivrer des ordonnances. Vous pouvez même voir qu'elles traitent les commissaires provinciaux différemment, parce qu'ils ont cette capacité au sein de leur province. Il n'y a que le commissaire à la protection de la vie privée du Canada dont la portée des pouvoirs est aberrante.

    Je ne comprends pas pour quelles raisons contraignantes une exception dans ce cas fait en sorte que le commissaire à la protection de la vie privée du Canada ne peut pas avoir le pouvoir de délivrer des ordonnances, pouvoir qu'ont tous les autres commissaires.

     Merci beaucoup.

    J'aimerais également aborder la question du consentement, qui, je pense, nous préoccupe tous. Le fait qu'il y ait des formulaires de 10 pages que personne ne peut lire est en effet très préoccupant. Le projet de loi S-4 fait au moins une tentative qui permettrait peut-être de limiter les circonstances dans lesquelles le consentement serait considéré valable. C'est dans l'article 5 du projet de loi. Plusieurs témoins ont émis des commentaires différents sur cet article.

     Monsieur Levin, monsieur Brown et madame Romanko, comme vous traitez justement des personnes plus vulnérables, j'aimerais vous demander si, à votre avis, cet article est approprié dans sa forme actuelle ou s'il doit être modifié. Le cas échéant, que proposez-vous?

    Je crois que la disposition est bonne puisqu'elle fournit une plus grande clarté. Si nous devons rester avec un régime fondé sur le consentement, il faut quelque chose qui soit clair et non rédigé de façon vague. Ma préoccupation plus large au sujet du projet de loi S-4, actuellement, en 2015, tient au fait que nous avons vu que l'idée du consentement n'est pas réellement efficace. Nous avons besoin d'une protection bien plus forte dans d'autres secteurs, au moment de réglementer l'utilisation et la divulgation.

    Toutefois, selon moi, la formulation plus claire constitue un pas dans la bonne direction.

    Monsieur Brown, Madame Romanko, voulez-vous émettre des commentaires sur le contenu de l'article?

    Je ne crois pas pouvoir commenter cette disposition, mais je dirais qu'il faut garder à l'esprit qu'une personne qui est inapte mentalement au sens de la loi ne peut pas fournir un consentement valide. La protection ajoutée à cet égard est probablement nulle.

    D'accord, merci; c'est un bon point.

    J'imagine que vous alliez dire la même chose, monsieur Brown.

    Monsieur Brown, madame Romanko, j'aimerais aussi vous poser une question portant notamment sur la modification proposée, qui vise à permettre le partage de renseignements sans consentement dans le cas d'abus financiers. La disposition va comme suit:

    Je ne sais pas si vous pourrez répondre à ma question, mais je n'arrive pas à trouver un exemple où le consentement de la personne pourrait nuire à l'enquête. En vous basant sur votre expérience, vous pourriez peut-être me dire dans quels cas cette disposition s'appliquerait.

    Dans les cas d'exploitation financière, assez souvent, tout d'abord, l'individu qui exploite financièrement gagne la confiance de la personne que nous tentons de protéger. La raison pour laquelle cette disposition est importante, c'est qu'assez souvent, vous verrez une situation — disons qu'il s'agit d'une personne âgée qui va à la banque — dans laquelle, si vous dites à la personne « nous croyons que vous êtes peut-être victime d'exploitation financière », la première personne vers laquelle se tournera la personne âgée, c'est la personne qui l'exploite. Afin de briser ce cycle, il est très important, dans certaines situations, que l'institution financière soit en mesure de faire un signalement à l'institution gouvernementale, afin que l'enquête puisse échapper à l'influence de la personne qui pourrait très bien perpétrer l'exploitation financière.

     Merci.

    J'aimerais revenir sur la question du consentement. Je sais que je reviens souvent là-dessus, mais il s'agit d'une grande préoccupation.

    Un témoin a suggéré qu'on limite ou qu'on interdise la communication à des fins de recherche de renseignements personnels de mineurs ou d'aînés. Cela va un peu dans le même sens que ce qu'a proposé M. Levin. Selon moi, cela pourrait empêcher les gens d'avoir accès à certains services. Je ne sais pas comment on pourrait jouer avec cette question.

    J'aimerais que vous fassiez des commentaires là-dessus, monsieur Levin ou madame Romanko.

    Pouvons-nous avoir un commentaire, aussi bref que possible, d'une personne...

    Je ne suis pas certaine de pouvoir commenter à ce sujet.

    J'aimerais simplement dire, brièvement, qu'il s'agit d'un enjeu qui dépasse le cadre du projet de loi, puisqu'il s'agit de la façon dont vous identifiez et rendez anonymes les données. Ce sujet est assez technique, et il s'agit d'un débat entièrement distinct.

    Merci beaucoup, monsieur Levin.

    Nous passerons maintenant à M. Lake.

    Merci, monsieur le président.

    Merci aux témoins d'être ici aujourd'hui.

    Il est intéressant de constater que, lorsque nous élaborons des lois, il semble toujours y avoir trois catégories de modifications possibles. Tout le monde a suggéré des modifications de la loi. Il y a des gens qui veulent y ajouter un élément qui, selon eux, devrait y être; il y en a d'autres qui ne sont pas d'accord avec les changements proposés et qui ne veulent pas qu'ils soient apportés; enfin, il y a des changements techniques, puisque quelqu'un suggérera presque toujours une certaine formulation technique.

    Il est intéressant de constater que la première catégorie semble, dans un certain sens, correspondre à la plupart des choses que vous avez dites, Catherine. Vous parlez de clarté des pouvoirs provinciaux, mais je vous dirais que la loi, je crois au paragraphe 26(1) proposé, prévoit ce qui suit:

    Cela comprend ce qui est établi dans la loi existante:

    

    Nous avons donc la capacité de le faire par l'entremise de règlements, et je crois qu'un tel mécanisme vous satisferait. Je crois que vous voulez simplement que nous soyons au courant de la nécessité d'apporter certains éclaircissements à cet égard. Est-ce exact?

    Votre deuxième recommandation d'amélioration, soit la suppression de l'expression « plus proche parent », m'a intéressé.

    Pourquoi feriez-vous cela?

    La suppression a un objectif double.

    Aux termes de la loi, le « plus proche parent » n'a pas de droit d'accès aux renseignements personnels. Par ailleurs, le « plus proche parent » est souvent l'exploiteur. Si on l'inclut dans le choix des personnes à qui les institutions financières peuvent s'adresser, cela se fera peut-être au détriment du droit à la protection et à la vie privée. Il faut équilibrer le droit de l'adulte à la vie privée et le besoin de le protéger, et je crois que l'équilibre n'est pas atteint.

    Je trouve intéressant que vous conféreriez le droit d'être informé à un tuteur nommé, mais pas à un membre de la famille. J'ai dit cela parce que j'ai un fils âgé de 19 ans qui est autiste — divulgation complète. Si quelqu'un se rapprochait de lui et qu'il profitait de lui et l'exploitait sur le plan financier, j'aimerais être la première personne à en être informée, si je ne le savais pas déjà. Il serait étrange qu'on m'exclue de la liste de personnes qui seraient informées.

    En effet. Je comprends, et, dans la plupart des cas, c'est...

    Je présume que l'équilibre dans cette situation serait que, si le libellé du projet de loi restait tel quel, on comprendrait que l'institution financière aurait un pouvoir discrétionnaire plus vaste et qu'elle ne s'adresserait sûrement pas à une personne qu'elle croit être l'exploiteur. Je crois encore qu'il y a un risque à cet égard. Je crois qu'il y a une distinction à faire, comme vous l'avez mentionné, relativement au représentant autorisé, en ce sens qu'un représentant autorisé bénéficierait d'un pouvoir légal — conféré soit par la personne elle-même, au moyen d'une procuration ou d'une entente de représentation conclue aux termes des lois de la Colombie-Britannique, soit par la cour, qui le désigne comme représentant.

    Dans ces cas, le représentant autorisé est guidé par la loi. Il a un rapport fiduciaire avec l'adulte. Un autre ensemble de règles régissent son comportement. Oui, lui aussi peut s'écarter du droit chemin. Oui, c'est parfois lui l'exploiteur. Cependant, je crois qu'au moins il est plus susceptible... encore une fois, c'est une question d'équilibre entre le droit à la vie privée et le besoin de protéger l'adulte, qui peut être vulnérable. Il me semble plus justifié de permettre le signalement à une personne ayant un pouvoir légal qu'à une personne n'étant pas autorisée à recevoir des renseignements sur l'adulte.

    Cela dit, je crois qu'il est plus important que cette disposition soit adoptée que de voir l'expression « plus proche parent » supprimée. En d'autres termes, je ne voudrais pas empêcher l'adoption de cette disposition simplement en raison de la question du plus proche parent.

    D'accord.

    Votre troisième point portait sur la négligence et l'autonégligence. Je crois que cela correspond en quelque sorte à la première catégorie d'éléments qu'il pourrait être bon d'examiner à un certain moment dans l'avenir; cependant, dans l'intérêt de l'adoption d'une loi importante, nous pouvons probablement tenir cette discussion un peu plus tard.

    Je crois qu'en plus, monsieur Levin, votre premier point — j'ai toujours de la difficulté à noter tous les points et à me les rappeler parfaitement — portait sur l'ajout du pouvoir de rendre des ordonnances pour le commissaire. Cela ne figure pas du tout dans la loi, il ne s'agit pas d'un changement, mais c'est quelque chose que vous ajouteriez si vous rédigiez la loi. C'est un point que vous aimeriez voir ajouté.

    Vous savez, nous avons progressé beaucoup sans cette disposition particulière dans le secteur pour lequel vous êtes préoccupé. Est-ce exact?

    Oui, vous leur avez donné la capacité de conclure des accords de conformité, ce qui est beaucoup mieux que ce dont ils disposent maintenant, c'est-à-dire rien.

    Mais selon vous, peut-être la prochaine fois que nous discuterons de cette loi en particulier, nous devrions nous pencher sur le pouvoir de rendre des ordonnances.

    Eh bien, je dirais que vous devriez examiner ce point maintenant. Vous pouvez décider ce que vous déciderez.

    D'accord. C'est bien.

    Je crois que vous avez également proposé de supprimer l'alinéa 7(3)c.1).

    Oui.

    Encore une fois, ce n'est pas quelque chose de nouveau dans la loi. Cela existe déjà dans la loi. Si vous étiez le ministre, vous déploieriez des efforts pour que cet élément fasse partie de ce que nous faisons. Vous l'ajouteriez aux mesures prises.

    Je le supprimerais en raison de la décision rendue cet été dans Spencer. J'indiquerais clairement que le gouvernement souhaite que les organismes d'application de la loi obtiennent une autorisation judiciaire quand ils demandent des renseignements, car c'est ainsi que je comprends la décision Spencer.

    Je présume donc que, à l'avenir, peu importe si le projet de loi est adopté ou non, vous allez proposer ce point dans la prochaine mouture. D'accord.

    Avez-vous dit que l'alinéa 7(3)d) devrait être laissé tel quel?

    Oui.

    Pourriez-vous expliquer pourquoi?

    À l'heure actuelle, il existe un modèle d'organisme d'enquête dans le cadre duquel les banques, habituellement préoccupées par la fraude — des représentants vous ont présenté un exposé —, comptent sur des organismes d'enquête et échangent des renseignements par l'entremise de ces derniers. C'est de cette façon qu'elles abordent les problèmes de fraude.

    Le projet de loi aura pour effet d'éliminer cela et d'intégrer d'autres dispositions permettant aux organisations d'échanger des renseignements avec d'autres organisations. La portée trop vaste soulève des préoccupations, tout comme le fait que ce n'est pas ce que l'industrie demande réellement et que cela pourrait mener à la même situation observée dans le domaine des droits d'auteur — des entreprises violant la loi et envoyant aux gens des milliers d'avis leur disant qu'ils doivent respecter la Loi sur le droit d'auteur du Canada sans quoi il y aura des conséquences.

    C'est un secteur où nous ne voulons pas que les organisations disposent de ce que j'appellerais une capacité « illimitée » de s'adresser à d'autres organisations sans le consentement de la personne juste parce qu'elles croient qu'un accord a été violé.

    Mais y a-t-il...? C'est un système qui existe, je crois, en Colombie-Britannique et en Alberta, n'est-ce pas?

    M. Avner Levin: Oui.

    L'hon. Mike Lake: Je crois que ce système existe depuis longtemps. Qu'est-ce qui prouve que c'est ce qui s'est produit?

    Eh bien, ils n'ont pas de fournisseurs de services Internet, et la préoccupation à cet égard est principalement liée à ces fournisseurs.

    C'est étroitement lié aux fournisseurs de services Internet?

    Oui — qui sont régis par ces dispositions législatives.

    D'accord.

    Merci beaucoup, messieurs Levin et Lake.

    Madame Papillon, vous avez huit minutes.

     Si c'est possible, je vais laisser ma collègue poser la première question.

    Je vais poser une autre question, puis je céderai la parole à Mme Papillon.

    Monsieur Levin, en réponse à la question posée par ma collègue Mme Nash, vous avez dit qu'il faudrait avoir une idée des atteintes à la vie privée susceptibles de survenir, et pas seulement de celles qui ont déjà été commises.

    Comment peut-on mettre un tel système sur pied? Il me semble que c'est quelque chose qu'on peut envisager dans le futur. Comment pourrait-on encadrer ce système pour qu'il fasse partie de la loi ou du mécanisme relatif aux atteintes aux données? Pouvez-vous élaborer là-dessus?

    Merci de poser la question.

    Je crois que c'est une situation type dans laquelle les banques n'ont pas à faire état de leurs propres vulnérabilités, mais peuvent rendre compte, dans l'ensemble, par le truchement d'un organisme comme l'Association des banquiers canadiens, des diverses attaques subies au cours d'une certaine période et de leurs auteurs. Elles diront qu'elles ont été aux prises avec des personnes malicieuses de l'extérieur ou à l'interne. La Banque de Nouvelle-Écosse a été poursuivie dans le cadre d'un recours collectif en raison des agissements d'un employé malhonnête. L'accès aux renseignements personnels n'a pas fait l'objet d'une vérification adéquate par la banque.

    Nous devons être mis au courant pas seulement quand la situation survient et qu'une personne intente une poursuite, mais dans l'ensemble afin que nous puissions élaborer des politiques adéquates et nous demander ce sur quoi nous devrions mettre l'accent. Devrions-nous investir dans la protection de notre infrastructure nationale, dont les banques font partie? Devrions-nous dire aux clients d'accroître la sécurité de leurs mots de passe, etc.?

    Il y a des questions de base auxquelles nous ne pouvons répondre. Si nous obtenions des renseignements regroupés au sujet de diverses industries, cela serait très utile. Ce n'est pas ce que nous avons actuellement.

    J'aimerais revenir au projet de loi S-4. Comme on le sait, ce projet de loi donnerait au commissaire à la protection de la vie privée de nouveaux pouvoirs pour conclure des accords de conformité avec les organisations. Cependant, compte tenu du fait qu'il risque fortement d'y avoir un manque de ressources au bureau du commissaire, ne craignez-vous pas que ce dernier soit submergé par la tâche et qu'on lui déclare toutes les atteintes commises?

    Monsieur Levin, pouvez-vous répondre à cette question, s'il vous plaît?

    Je sais que le comité a posé au commissaire des questions sur les ressources et je crois qu'il a reçu une réponse très diplomatique. Je crois que cela fait partie de la transition que le commissariat doit effectuer, à la lumière des 15 dernières années où la loi s'est appliquée au secteur privé.

    Quand j'entends que le commissaire ne cesse de parler de la sensibilisation, cela me trouble, car les organismes de réglementation ne s'attachent pas beaucoup à la sensibilisation. On n'entend jamais le CRTC parler de sensibilisation. Cette organisation élabore des règles et modifie le paysage pour les entreprises qu'elle réglemente. Je crois que la même chose doit se produire pour le commissaire à la vie privée. Il doit passer au modèle d'organisme de réglementation. Si cela signifie qu'il doit réaffecter des ressources à l'interne ou obtenir des ressources supplémentaires à l'externe, je crois que c'est ce qui doit arriver.

    Cependant, si nous sommes préoccupés par la protection des renseignements personnels, nous devons compter sur un organisme de réglementation efficace à l'échelle nationale. Pour l'instant, il n'y en a pas. Comme nous l'avons dit précédemment, nous comptons sur un ombudsman qui tente de régler les plaintes.

    J'apprécie beaucoup vos commentaires.

    Une entreprise va devoir conserver le registre des atteintes à la disposition du Commissariat à la protection de la vie privée du Canada pour qu'il puisse les vérifier. Cependant, si le commissaire ne dispose pas des ressources nécessaires, je vois difficilement comment il pourrait le faire. Dans un tel cas, ces registres risquent d'être inutiles.

    Je vais continuer dans cette veine et vous demander votre opinion à ce sujet. Quelle serait la solution dans ce cas?

    Selon moi, pour donner une idée, il faut de toute évidence accroître les ressources du commissaire à la vie privée pour régler efficacement ces questions, comme lorsque la loi canadienne anti-pourriel a été mise en oeuvre et qu'il a fallu renforcer la capacité de gestion du service responsable du CRTC.

    Je ne sais pas si cela a été fait suffisamment ou pas, mais, selon moi, dans la loi, il faut établir le mécanisme concernant les travaux de l'organisme et les ressources suivent naturellement. Pourquoi conférer à quelqu'un des pouvoirs sans lui donner les ressources pour qu'il puisse faire son travail? Pour moi, cela n'a aucun sens.

    Cela me semble très logique.

    Qu'arriverait-il si une entreprise s'abstenait simplement de déclarer des atteintes afin de protéger sa réputation? Selon vous, la peur de contrevenir aux exigences de la loi est-elle suffisante pour s'assurer que les entreprises feront preuve de la diligence à cet égard?

    Je ne veux pas mettre toutes les entreprises dans le même sac. Je crois qu'il y a beaucoup d'organisations au Canada qui tentent de faire la bonne chose. Les grandes organisations canadiennes tentent certainement de respecter la loi et elles sont très préoccupées. C'est pour cette raison qu'elles comparaissent devant vous pour tenter de défendre cela et de faire valoir ce point de vue. Je ne veux pas dire que les gens ne souhaitent pas être en conformité, mais nous pourrions nous trouver dans des situations où, encore une fois, simplement en raison de la force des entreprises et d'une question urgente qui les touche, elles abordent certaines choses plus sérieusement que d'autres en raison des pénalités qu'elles croient qui seront imposées ou non.

    La loi leur donne le pouvoir discrétionnaire de décider, alors elles peuvent tout simplement prendre la décision. Je crois qu'il reste à voir s'il s'agit d'un système efficace ou non. Le temps nous le dira. Il se peut que ce soit quelque chose que nous examinions à nouveau et que nous déterminions que cela ne fonctionne pas bien, et nous devrons passer à un système à deux étapes ou abaisser de beaucoup le seuil pour assurer la conformité.

     Effectivement.

    Bien sûr, on présume toujours de la bonne foi et de la diligence des entreprises. Toutefois, nous sommes ici pour écrire un projet de loi, et il s'est passé beaucoup de temps avant qu'il ne soit soumis à l'étude du comité.

    Les questions soulevées ici l'ont aussi été au Sénat ainsi que lors des précédentes législatures. C'est la raison pour laquelle il est important de faire une loi « 2.0 », c'est-à-dire très actuelle, très moderne. Or on craint des lacunes à cet égard.

    J'aimerais demander aux autres témoins s'il y a des craintes liées au fait que l'on pourrait contrevenir aux exigences de la loi, toujours en présumant que toute personne est de bonne foi, au départ. Il faut s'assurer de la diligence des entreprises et voir si cette loi pourrait susciter certaines craintes. C'est l'endroit et le moment appropriés pour s'exprimer sur la question.

    Monsieur Brown, madame Romanko et madame Cooper, aimeriez-vous prendre la parole?

    Dans la disposition que j'ai commentée, l'article 10, à l'alinéa proposé d.3), une des mesures de protection est le fait que la déclaration est faite à une institution gouvernementale, et, comme je l'ai indiqué dans mes commentaires, l'institution elle-même, au moment d'être définie, aura probablement des limites quant à sa compétence et à ce qu'elle peut faire avec les renseignements. Par conséquent, en ce qui concerne la circulation des renseignements, du moins pour les dispositions que j'ai commentées, il s'agit probablement d'un système de freins et de contrepoids déjà intégré dans la loi.

    C'est effectivement le cas. De plus, l'importance des ressources a été soulevée à plusieurs reprises, et pas seulement par le commissaire à la protection de la vie privée. C'est ce point essentiel qui, pour moi, se dégage de cette rencontre.

    Quand on accorde plus de pouvoirs, on doit aussi accorder plus de ressources. On dit qu'il faut avancer davantage, mais cela nécessite forcément des ressources humaines et financières. Il faut être en mesure d'assurer cela, sinon, on se retrouve loin des objectifs, dans la pratique. C'est évident. À mon avis, c'est surtout ce point qu'il faudrait retenir.

    Merci.

    Merci, madame Papillon.

    Monsieur Lake, vous êtes le dernier à poser des questions.

    Merci encore, monsieur le président.

    Je ne crois pas que j'aurai besoin de beaucoup de temps. Je voulais effectuer un suivi auprès de Mme Romanko. Il y a eu une conversation au sujet de la disposition 5 ayant trait à l'article 6, la disposition sur le consentement, et vous avez formulé un commentaire qui, je crois, portait sur les gens ayant la capacité mentale de comprendre. Pourriez-vous répéter le point que vous avez soulevé à ce moment-là?

    Oui, la question avait trait au consentement et à l'effet de consentir à la divulgation de renseignements. J'expliquais simplement qu'une personne qui est considérée aux termes de la loi comme mentalement incapable ne peut fournir de consentement légal valide pour quoi que ce soit. Cela s'appliquerait également à une personne mineure. En Colombie-Britannique, l'âge de la majorité est 19 ans. Toute personne âgée de moins de 19 ans ne peut fournir de consentement, sauf pour certaines exceptions prévues par la loi. Par exemple, la personne peut consentir à un traitement si elle respecte le critère du mineur mature pour le traitement médical, mais elle ne pourrait pas, notamment, établir de relation contractuelle sans l'intervention de la cour.

    Il y a d'autres dispositions qu'il faut protéger. Mon point concernait le consentement d'une personne qui n'a pas la capacité de le donner aux termes de la loi.

    D'accord.

    Monsieur le président, je n'ai plus d'autres questions. Je pourrais remplir le temps. Je pourrais parler pendant six minutes, mais je ne crois pas avoir quelque chose à ajouter.

    Merci beaucoup.

    Un autre comité s'en vient, mais nous disposons encore de trois ou quatre minutes si quelqu'un veut présenter un point final — un de nos témoins. Je serais content de l'entendre.

    Monsieur Levin.

    Brièvement, on ne m'a pas posé de questions à ce sujet, mais j'aimerais que le comité se penche sur le point de la protection des renseignements personnels en milieu de travail que j'ai soulevé dans mes commentaires préliminaires, qui concerne le fait d'apporter ce que je considère comme une très petite, mais importante, modification à cette disposition. Selon ce que je comprends, le gouvernement n'avait pas l'intention d'éliminer la norme selon laquelle les employeurs doivent être raisonnables, et je suis préoccupé par le fait que le libellé actuel aura justement cet effet, même si ce n'est pas volontaire. Si le comité envisage des modifications, c'est un point sur lequel j'aimerais beaucoup qu'il se penche, du moins par rapport à ce que j'ai ajouté à la conversation aujourd'hui.

    Merci beaucoup.

    Merci.

    Madame Cooper.

    Quelques membres du comité ont posé des questions sur le produit du travail, et je veux juste clarifier que nous parlons de données anonymisées. Elles ne comportent aucune information pouvant servir à identifier directement le patient, et la recherche qui est effectuée fait l'objet d'une approbation éthique, c'est une recherche très structurée. Il est important de ne pas seulement recueillir des données sur l'utilisation de médicaments sur ordonnance, mais d'obtenir également d'autres données sur la santé, pour orienter l'élaboration de politiques et ce type de choses. Les données sont certainement anonymisées, et elles sont examinées par des comités d'éthique très rigoureux.

    Merci.

    Monsieur Brown.

    Je n'ai rien à ajouter.

    Madame Romanko.

    Je n'ai rien à ajouter.

    D'accord, merci beaucoup.

    Chers collègues, nous avons une réunion chargée ce jeudi à laquelle participeront bon nombre de témoins; nous nous reverrons à ce moment-là

    La séance est levée.