INDU Réunion de comité

    Bonjour, chers collègues.

     Bonjour à toutes et à tous.

    Je vous souhaite la bienvenue à la 40^e séance du Comité permanent de l'industrie, des sciences et de la technologie. Aujourd'hui, nous examinons le projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et des documents électroniques et une autre loi en conséquence.

    Nous avons le plaisir de recevoir trois experts, des fonctionnaires du ministère de l'Industrie. Lawrence Hanson est sous-ministre adjoint pour la science et l'innovation. Christopher Padfield est directeur général à la Direction générale des politiques numériques, et John Clare, directeur à la Direction de la politique sur la vie privée et la protection des données.

    Je vous remercie infiniment de vous joindre à nous, messieurs, et d'être ici pour répondre à nos questions.

    Chers collègues, comme vous pouvez le constater à la vue de la pile qui se dresse devant vous, il y a passablement d'amendements proposés au projet de loi. Je disais justement à mon bon personnel, ici, qu'un président ne fait jamais ce genre de choses assez souvent pour être parfaitement à l'aise, donc nous allons, avec votre patience, passer en revue tous les articles du projet de loi. Le personnel a gentiment procédé au regroupement des amendements.

    À moins que vous n'ayez des instructions particulières à me donner sur la façon de procéder, je vais commencer par les premiers articles, sur lesquels il n'y a pas d'amendement, après quoi nous allons nous pencher sur les articles faisant l'objet d'amendements.

    Est-ce que tout le monde est d'accord?

    Une voix: Oui.

    Le président: Cela semble convenu. Vous êtes toujours très volubiles en cette heure si matinale.

    Les articles 2 à 5 inclusivement sont-ils adoptés? Il n'y a pas d'amendement au sujet de ces articles.

    (Les articles 2 à 5 inclusivement sont adoptés.)

    (Article 6)

    Le président: Sur l'article 6, il y a un certain nombre d'amendements proposés, une vingtaine.

    Je dois vous dire que si l'amendement NDP-1 est adopté, aucun autre ne pourra être examiné, puisqu'on ne peut évidemment pas modifier plusieurs fois la même ligne.

    Nous allons étudier l'amendement NDP-1 pour commencer, il se trouve directement sur le dessus de notre pile. Il s'agit de la page 1 de la documentation.

    Madame Borg.

    Merci, monsieur le président.

    À la suite des différents témoignages que nous avons entendus et de plusieurs révélations dans les médias, les parlementaires et la société se sont rendu compte que, malheureusement, il y a beaucoup trop de cas où les exceptions prévues à la LPRPDE sont utilisées de façon trop large et trop vague. Il n'y a aucune transparence en ce qui concerne les exceptions qui permettent le partage de renseignements personnels sans consentement et sans mandat.

    Je pense que nous devons, aujourd'hui, élargir notre examen et ne pas étudier uniquement le projet de loi S-4 et la LPRPDE. C'est ce qu'on doit faire quand on étudie un projet de loi en deuxième lecture.

    Cela dit, je propose que l'article 7 de la LPRPDE soit abrogé pour remédier aux lacunes de cette loi qui permettent que des renseignements personnels soient partagés sans consentement et sans mandat.

    Monsieur Lake.

    Si possible, j'aimerais simplement demander aux fonctionnaires de nous expliquer un peu l'incidence de cet amendement.

    Merci, monsieur le président.

    En effet, cet amendement aurait essentiellement pour effet d'abroger l'article 7 de la LPRPDE, qui prévoit toutes les exceptions à l'obligation d'obtenir le consentement de l'intéressé pour recueillir, utiliser ou communiquer des renseignements personnels à son sujet. Cet amendement éliminerait toutes les exceptions à l'obligation d'obtenir le consentement qu'on trouve dans le projet de loi et signifierait qu'une entreprise ou une organisation devrait obtenir un consentement et informer la personne chaque fois qu'elle recueille, utilise ou communique des renseignements personnels dans quelque contexte que ce soit.

    Les exceptions établies sont là pour diverses raisons. Dans certaines circonstances, il n'est pas pratique d'obtenir le consentement de la personne si elle est blessée, malade ou décédée, et l'obtention du consentement peut parfois créer un conflit en droit. Par exemple, le paragraphe 7(3) permet de communiquer des renseignements sans le consentement de l'intéressé lorsque cette communication est exigée par assignation, mandat ou ordonnance d'un tribunal. Cet amendement viendrait éliminer toutes ces exceptions.

    Donc, même avec un mandat...?

    L'organisation serait contrainte de choisir entre respecter le mandat et contrevenir à la LPRPDE, ou refuser de respecter un mandat pour se conformer à la loi, il y a donc là un conflit en droit.

    On semble supprimer beaucoup de choses ici.

    Y a-t-il d'autres exemples? J'ai l'impression qu'il pourrait même y avoir d'autres exemples ou situations encore plus tirées par les cheveux, où l'on ne pourrait pas obtenir le consentement de la personne.

    Prenez le paragraphe 7(1). Il y a une exception à l'obligation d'obtenir le consentement pour les journalistes ou les artistes qui recueillent des renseignements personnels afin de préparer un article de journal, par exemple. Donc, si un journaliste voulait interroger quelqu'un sur vous, en votre qualité de député, selon cet amendement, il devrait obtenir votre consentement pour rédiger un article contenant le nom d'un politicien.

    Ce ne serait pas si mal.

    Des voix: Oh, oh!

    Donc en ce jour de budget, aujourd'hui par exemple, si quelqu'un voulait écrire un article sur Joe Oliver, il devrait obtenir son consentement.

    C'est exact.

    Ou si vous consultez des renseignements dans l'annuaire téléphonique, il s'agit de renseignements personnels. Si vous regardez le nom d'une personne, vous vous trouvez à recueillir des renseignements personnels à son sujet et à les utiliser. Techniquement, il faudrait obtenir son consentement.

    Je pense que nous en avons assez.

    Madame Sgro.

    Avant l'entrée en vigueur de la LPRPDE, que se serait-il passé?

    Il n'y avait aucune interdiction liée à la collecte, à l'utilisation ou à la communication de renseignements personnels.

    N'oublions pas que la LPRPDE crée cette interdiction générale. Elle prescrit qu'on ne peut pas recueillir, utiliser ou communiquer ce genre de renseignements sans le consentement de l'intéressé, sauf dans certaines circonstances. L'article 7 établit les circonstances dans lesquelles on peut recueillir, utiliser ou communiquer des renseignements sans consentement.

    Mais avant que la LPRPDE n'entre en vigueur...

    Les gens pouvaient recueillir, utiliser et communiquer des renseignements sans consentement, à n'importe quelle fin.

    Voulez-vous discuter davantage du NDP-1?

    Chers collègues, comme je l'ai mentionné, il y a une vingtaine d'amendements à cet article. Nous ne parlons que du NDP-1 en ce moment, et il y en a probablement plus près de 25 sur l'article 6.

    Avez-vous des propositions à me faire sur la façon de procéder? Je m'excuse, il y a probablement 45 amendements à l'article 6, puisque je viens de voir que les feuilles sont imprimées recto verso.

    Je pense qu'il y en a 21, seulement à l'article 6.

    Oui, madame Sgro.

    Comme tous les amendements déposés viennent des partis d'opposition et que le parti ministériel n'en a proposé aucun, d'un point de vue très pratico-pratique, pour la gestion du temps... Je ne serais pas du tout contre l'idée de consacrer les quatre prochaines séances à l'examen de tous ces amendements, mais pour comprendre clairement le temps que nous avons, si le gouvernement a l'intention de voter contre tous ces amendements, je pense que nous aurions besoin de le savoir avant de poursuivre la séance. Il détient la majorité, donc le processus d'amendement risque d'être très long.

    Quelle en serait la conséquence?

    Si vous votez contre tous ces amendements, les 40 vont être rejetés, et le projet de loi va être adopté dans sa forme actuelle.

    Voulez-vous proposer tous ces amendements en bloc?

    Non, je crois simplement que nous devrions avoir une discussion. Vous nous avez demandé si nous pouvions prévoir le temps à consacrer à tous ces amendements. Je souligne simplement que si le gouvernement compte voter contre tous ces amendements, nous devrions en discuter, faute de quoi nous allons perdre littéralement notre temps au cours des quatre prochaines séances.

    Je veux bien les examiner. Je crois simplement que nous devrions savoir quelle est l'intention du gouvernement et pourquoi il n'a déposé aucun amendement.

    Je pense qu'il serait bon d'entendre les arguments en faveur de ces amendements. N'oublions pas qu'il y a beaucoup de doublons dans les amendements de M. Hyer et de Mme May, si bien que la moitié de ceux de Mme May ne seront même pas déposés parce que M. Hyer va déposer les siens.

    Je crois qu'il serait logique de les regrouper, mais j'aimerais assurément entendre de quoi il s'agit et donner aux partis d'opposition la chance d'expliquer pourquoi ils proposent ces amendements. Dans les cas où il y a plus d'un député de l'opposition qui proposent des amendements presque identiques, je pense que nous pourrions certainement les regrouper, dans l'espoir d'en accélérer l'examen, mais qu'il serait préférable pour nous tous d'entendre les arguments des députés de l'opposition en faveur de ces amendements avant de prendre des décisions.

    Très bien.

    L'amendement NDP-1 est-il adopté?

    Voulez-vous que nous votions sur chacun d'eux?

    Oui.

    (L'amendement est rejeté. [Voir le Procès-verbal])

    Le président: Nous allons maintenant prendre l'amendement PV-2. Je pense que c'est celui de M. Hyer.

    Merci, monsieur le président.

    Comme vous le savez, les trois alinéas de cet amendement concernent la communication de renseignements dans le contexte des réclamations d'assurance. Notre amendement découle des recommandations du commissaire à la protection de la vie privée.

    Le projet de loi S-4 contient trois dispositions séparées qui permettent à une organisation de recueillir, d'utiliser et de communiquer la déclaration d'un témoin sans son consentement à la demande d'une société d'assurance. On ne nous a présenté aucune preuve ou analyse montrant que l'absence de ces dispositions créait un problème pour l'industrie. Nous déposons ces amendements dans l'espoir de limiter le risque des parties de pêche, si vous me permettez l'image.

    Monsieur Lake.

    Les témoins pourraient-ils nous expliquer brièvement l'incidence de cet amendement?

    Merci, monsieur le président.

    Ce problème a été mis en relief lors du premier examen législatif de la LPRPDE, en 2006-2007. La recommandation du comité, à l'époque, était que le gouvernement consulte les intervenants et le commissaire à la protection de la vie privée au sujet de l'utilisation des renseignements personnels contenus dans la déclaration d'un témoin pour le traitement d'une réclamation d'assurance.

    Des inquiétudes avaient été exprimées à l'époque, et il en avait été question pendant les consultations. Par exemple, si je suis témoin d'un accident, que j'affirme avoir vu une personne avoir une conduite dangereuse à une intersection et que cette déclaration de témoin est fournie à la police, certaines personnes dans l'industrie de l'assurance craignent que la personne ayant eu une conduite dangereuse à une intersection puisse refuser de consentir à l'utilisation de ses renseignements personnels — sur sa présence sur les lieux au moment de l'accident —- pour le traitement de la réclamation d'assurance.

    D'après les consultations, les intervenants (y compris les défenseurs de la protection de la vie privée) semblaient assez majoritairement d'accord, pour dire qu'on ne voulait pas créer de situations où des personnes pourraient se protéger de la responsabilité d'un accident en invoquant le respect de leur vie privée, sous prétexte que la déclaration du témoin ne pourrait pas être utilisée parce qu'elle contiendrait des renseignements personnels à leur sujet. Le but de la modification proposée dans le projet de loi S-4 est de prévoir une exception très limitée, pour que les sociétés d'assurance aient accès aux déclarations de témoins qui renferment des renseignements personnels, mais seulement pour le traitement d'une réclamation d'assurance.

    Avez-vous d'autres arguments à présenter? Êtes-vous tous d'accord?

    (L'amendement est rejeté. [Voir le Procès-verbal])

    Le président: Le suivant est l'amendement Libéral-1.

    Merci, monsieur le président.

    Je vais essayer d'être brève et d'aller droit au but. L'amendement que je propose limiterait cette exception aux circonstances dans lesquelles l'employé sait qu'un renseignement est recueilli et que l'information périphérique est recueillie dans un but qui respecte le travail original. Par exemple, des notes prises par l'examinateur pendant une entrevue correspondraient à cette définition.

    Monsieur Lake.

    Pour ne pas perdre de temps, j'aimerais demander aux fonctionnaires de nous en parler.

    Il semble que nous ayons six amendements, dont quelques doublons du Parti vert, donc il y en a peut-être quatre en tout qui portent sur le produit du travail. Vous pourriez peut-être nous expliquer l'incidence de ces amendements dans une seule et même réponse plutôt que je vous pose la question sur chacun d'eux.

    Tout à fait.

    Ce groupe d'amendements porte sur la structure de la LPRPDE. Il y a toujours une exception à la collecte, à l'utilisation et à la communication de renseignements. Ce groupe d'amendements porte sur les exceptions à la collecte et à l'utilisation de renseignements personnels qui sont le produit du travail d'une personne, de son emploi.

    Pris dans leur ensemble, les amendements proposés limitent l'exception prévue pour qu'elle ne s'applique qu'aux renseignements personnels créés au su ou avec le consentement de la personne et seulement aux renseignements personnels liés au produit de cette activité et non à son objet principal.

    Il faudrait d'abord que l'organisation veille à ce que le renseignement personnel créé dans le cadre de cette activité professionnelle... que la personne sache qu'elle l'a créée et qu'il s'agit d'un renseignement personnel qu'elle intègre au produit.

    Ensuite, le renseignement personnel doit être lié au produit de cette activité. Le terme utilisé en anglais est « incidental ». Il y a deux définitions d'« incidental » dans le dictionnaire Oxford. Selon la première, le mot qualifierait une chose moins importante, secondaire ou accessoire. Selon l'autre définition, il qualifierait une chose liée ou associée à une autre. Il faudrait donc faire une distinction entre la partie principale du produit du travail et ce qui y est lié.

    Voulez-vous en débattre?

    (L'amendement est rejeté. [Voir le Procès-verbal])

    Le président: Passons maintenant au PV-4.

    Monsieur le président, pour gagner du temps, vous voudrez peut-être regrouper le PV-4 et le PV-5. Je peux faire une brève...

    Ils sont tous deux de vous, monsieur Hyer?

    M. Bruce Hyer: Oui.

    Le président: Allez-y, s'il vous plaît, et présentez-nous les deux.

    Monsieur le président, ces amendements visent les exceptions concernant le produit du travail. Ils découlent des recommandations de l'ABC sur l'utilisation de renseignements au travail. Nous pouvons imaginer des scénarios où le libellé vague du projet de loi pourrait ouvrir la porte à des abus.

    Le relevé des frappes sur un clavier d'ordinateur, les dossiers sur les allées et venues, les images sur les bandes vidéo de surveillance constituent autant de renseignements personnels. Si ces dispositions sont conservées, elles devraient se limiter aux renseignements personnels que la personne produit dans le cadre de son emploi, en toute connaissance de cause.

    Voulez-vous l'avis des fonctionnaires, monsieur Lake?

    Observez-vous une tendance?

    S'il vous plaît, les fonctionnaires peuvent-ils nous dire ce qu'ils en pensent?

    Merci, monsieur le président.

    Cet amendement est essentiellement le même que l'amendement libéral, donc l'analyse est la même. Il faut avoir le consentement de la personne qui produit l'information, elle doit être informée de la situation, et les renseignements personnels doivent être liés au produit du travail.

    Très bien. Nous parlons ici des amendements PV-4 et PV-5.

    (Les amendements sont rejetés. [Voir le Procès-verbal])

    Le président: Merci infiniment. Passons maintenant au LIB-2.

    Merci, monsieur le président.

    Il est clair que c'est une question qui préoccupe bon nombre d'entre nous ce côté-ci de la table. L'ABC, entre autres, a signalé les problèmes potentiels que présentent ces dispositions. Il est clair que l'exception à la définition de « renseignements personnels » sur les produits du travail est généralement interprétée comme désignant les renseignements personnels non sensibles créés dans le cadre de l'emploi d'une personne, comme vous l'avez dit.

    Mais c'est toute la question du consentement qui continue de poser problème. Encore une fois, mon amendement va restreindre l'exception aux circonstances où l'employé serait au courant que le renseignement est recueilli et où l'utilisation prévue de ce renseignement serait conforme avec l'intention du travail original, comme dans le contexte d'une entrevue d'emploi.

    Le problème est le même ici. Vous devez savoir que nous sommes tous inquiets de cette question, ce côté-ci de la table. Ne croyez-vous pas qu'il y aurait moyen de clarifier la situation pour que la définition soit bien claire?

    Monsieur Clare.

    Je pense qu'il y a deux dispositions qui préviennent les problèmes que vous soulevez. La première se trouve à l'article 5 de la LPRPDE, qui dicte que toute collecte, utilisation et communication de renseignement doit être raisonnable dans les circonstances. Qu'on ait ou non obtenu le consentement d'une personne, que des exceptions s'appliquent ou non, le tribunal ou le commissaire à la vie privée qui examine la plainte dans le contexte de l'une de ces exceptions doit d'abord déterminer si l'organisation a agi de manière raisonnable.

    Cela s'applique à beaucoup de situations au travail, par exemple à la vidéosurveillance. Il peut être raisonnable d'installer des caméras de surveillance aux caisses d'une banque, mais il ne serait pas raisonnable d'en installer dans la salle de bain. Cette disposition s'applique déjà, et cette exception doit elle aussi satisfaire le critère du caractère raisonnable.

    Il y a aussi le fait que l'utilisation des renseignements doit concorder avec l'objectif dans lequel le renseignement a été recueilli. Je vous donne un exemple. Je suis un employé d'Industrie Canada; mon patron me demande si je veux apparaître dans une vidéo qui décrit combien il est fantastique de travailler dans la fonction publique. Si j'accepte d'y participer, le ministère peut décider un an plus tard de réutiliser cette vidéo et mes renseignements personnels, mon image. Il n'a pas nécessairement besoin de me redemander mon consentement, tant que la vidéo produite respecte l'objectif d'origine, qui est de promouvoir la fonction publique. Par contre, le ministère ne pourrait pas prendre cette vidéo et la vendre à un publicitaire qui utiliserait mon image pour offrir de la formation aux fonctionnaires, quelque chose du genre, parce que ce n'est pas le but dans lequel l'information a été recueillie au départ.

    Madame Sgro.

    Monsieur le président, qu'en est-il des relevés de frappes sur un clavier d'ordinateur pour punir un employé?

    Si une organisation recueille des renseignements personnels et qu'elle les utilise aux fins pour lesquelles ils ont été recueillis... Qu'elle examine des relevés de frappe ou les documents que la personne a tapés, cela revient au même . Si elle utilise le document aux fins pour lesquelles il a été créé au départ, l'exception s'appliquerait. Si elle utilise des relevés de frappe à d'autres fins que le but d'origine, leur utilisation ne serait pas permise aux termes de cette exception. Si un tribunal juge la mesure déraisonnable, autrement dit, s'il juge qu'il y a eu injustice, que l'organisation n'a pas fait preuve de bon jugement, qu'il était clair que ce n'était pas raisonnable, alors l'exception ne s'appliquerait pas non plus.

    Merci.

    Y a-t-il d'autres interventions?

    (L'amendement est rejeté. [Voir le Procès-verbal]

    Le président: Nous passons à l'amendement NDP-2.

     Merci, monsieur le président.

    L'amendement qui est proposé correspond exactement au témoignage du commissaire à la protection de la vie privée du Canada. Je crois que son témoignage est essentiel et doit être considéré alors qu'on étudie un projet de loi qui porte directement sur le secteur dont il est responsable. Le commissaire à la vie privée a suggéré qu'il faudrait augmenter le seuil touchant le partage de renseignements sans consentement. Il faudrait que ce soit davantage qu'une simple suspicion.

    Grâce à cet amendement, je propose d'augmenter le seuil pour que l'organisation soit obligée d'avoir des motifs raisonnables de croire que les renseignements sont liés à une enquête.

     Je pense que cet amendement est tout à fait nécessaire. J'espère que le gouvernement l'acceptera, même si on sait qu'il n'a pas l'intention de changer le projet de loi et qu'il désire simplement ignorer les témoignages que l'on a entendus.

    Merci, madame Borg.

    Monsieur Lake.

    Toujours pour gagner du temps, je pense que nous pourrions regrouper les six amendements du NPD qui traitent de ces questions d'enquête privée et de prévention de la fraude. Il y a aussi un amendement du Parti vert à ce sujet. Peut-être que nos fonctionnaires pourraient nous présenter leurs observations sur ces amendements dans leur ensemble, plutôt que d'avoir à intervenir à sept reprises.

    Merci, monsieur le président.

    Il y a un thème qui revient dans au moins quatre de ces amendements. On veut remplacer le critère proposé dans le projet de loi S-4, suivant lequel la communication des renseignements doit être raisonnable aux fins d'une enquête ou de la prévention de la fraude, par un autre critère exigeant de l'organisation qu'elle ait des motifs raisonnables de croire qu'il s'est produit quelque chose justifiant la tenue d'une enquête ou d'activités de détection, de répression ou de prévention de la fraude.

    La seconde partie correspond à la précision apportée quant au critère proposé dans le projet de loi S-4, à savoir qu'il serait raisonnable de s'attendre à ce qu'une communication effectuée au su ou avec le consentement de l'intéressé compromettrait de telles activités.

    Ce groupe d'amendements vise à remplacer le critère du « caractère raisonnable au vu des fins visées » par celui des « motifs raisonnables de croire ». Comme je l'indiquais dans ma réponse précédente, les deux seuils sont différents. Le « caractère raisonnable au vu des fins visées » est un critère objectif. Le tribunal ou le commissaire à la protection de la vie privée examinerait la façon dont l'organisation a agi dans les circonstances pour déterminer s'il était raisonnable que l'information soit communiquée. A-t-on fait preuve de jugement? A-t-on agi équitablement? On prendrait en compte des facteurs comme le caractère confidentiel de l'information communiquée et la gravité des agissements ayant donné lieu à une enquête ou encore de la fraude commise.

    En adoptant le critère des « motifs raisonnables de croire », on hausserait le seuil à un point tel que l'organisation devrait avoir des preuves probantes et crédibles qu'il s'est produit des choses justifiant la tenue d'une enquête ou qu'il y a eu fraude. C'est un seuil plus élevé. Si le projet de loi S-4 propose un seuil moins élevé, c'est que, dans bon nombre des cas, les enquêtes et les activités de prévention et de répression de la fraude visent précisément à recueillir des preuves claires et probantes pour satisfaire aux critères des « motifs raisonnables de croire ». À partir d'un doute ou d'une allégation d'acte répréhensible, l'organisation peut ainsi mener une forme quelconque d'enquête interne pour déterminer s'il y a des éléments montrant clairement et de façon probante qu'il y a effectivement eu des agissements condamnables, avant de passer à l'étape suivante. Si un crime a été commis, il faut alors en informer les forces de l'ordre. S'il y a entente au sein d'une association professionnelle, comme chez les médecins ou les avocats, des mesures disciplinaires peuvent être prises contre le membre fautif.

    Y a-t-il d'autres observations à ce sujet?

    Tous ceux qui sont en faveur de l'amendement NDP-2?

    (L'amendement est rejeté. [ Voir le Procès-verbal])

    Le président: Monsieur Lake, vous avez proposé un regroupement. Comme une telle possibilité n'a pas été portée à ma connaissance, nous allons maintenant traiter de l'amendement NDP-3.

    Est-ce que ce qui vient d'être dit s'applique également à cet amendement?

     Effectivement, le même raisonnement s'applique à l'amendement NPD-2 que j'ai présenté auparavant et à l'amendement NPD-4. L'objectif visé est d'augmenter le seuil et de s'assurer que ces informations seront partagées uniquement dans des situations où cela serait jugé raisonnable.

    Je répète que cela fait partie des recommandations du commissaire à la protection de la vie privée. Il en va de même pour les amendements NPD-4 et NPD-5. Il est extrêmement important de tenir compte de ces commentaires étant donné qu'il est question ici d'un projet de loi qui est censé protéger la vie privée.

    D'autres intervenants concernant NDP-3?

    Monsieur Hyer.

    Merci, monsieur le président.

    Nos amendements PV-7 et PV-8 portent sur le même article. Je me demandais si vous vouliez que je parle maintenant de ces amendements avant que celui-ci soit examiné plus à fond ou mis aux voix.

    Si tout le monde est d'accord, nous allons traiter du même coup des amendements NDP-3, NDP-4, NDP-5 et des deux vôtres. S'il n'y a pas d'objection, c'est ce que nous allons faire.

    À vous la parole, monsieur Hyer.

    Monsieur le président, ces amendements visent à supprimer les nouvelles dispositions concernant les communications sans mandat entre deux organisations. Selon le libellé actuel du projet de loi S-4, les entreprises pourront se communiquer entre elles des renseignements sur des citoyens à l'insu de ceux-ci et sans leur consentement. C'est un aspect du projet de loi qui préoccupe beaucoup les experts en matière de protection de la vie privée.

    On note un récent afflux de cas de « chasse aux droits d'auteur », pour employer l'expression utilisée par certains. Ainsi, des clients reçoivent de longues lettres juridiques en provenance d'entreprises qui les menacent de lourdes amendes pour avoir téléchargé des films dont ils n'ont jamais entendu parler.

    Dans sa forme actuelle, le projet de loi S-4 permettrait aux fournisseurs de service de transmettre ces renseignements à n'importe qui sans le consentement de la personne concernée. Nous estimons donc que l'on devrait expurger ce projet de loi des dispositions permettant les communications volontaires sans mandat et sans notification.

    Monsieur Claire, vous avez quelque chose à ajouter à ce sujet?

    Monsieur le président, je veux seulement souligner la différence qui existe entre ces amendements-ci et ceux du NDP. Les amendements du NDP proposent de changer le seuil. Les communications de la sorte seraient encore autorisées dans certaines circonstances, mais le seuil à partir duquel cela deviendrait possible ne serait plus le même. L'amendement proposé ici supprimerait complètement l'exception, de telle sorte que le consentement serait requis dans tous les cas, qu'il s'agisse d'activités de prévention, de détection ou de répression de la fraude, ou d'enquêtes privées.

    Il convient de noter que la modification apportée via le projet de loi S-4 pour permettre ces exceptions... Ces exceptions ne sont pas nouvelles. On change simplement les modalités suivant lesquelles de telles communications sont possibles. Certaines dispositions actuelles de la LPRPDE permettent la tenue d'enquêtes privées. C'est ce que nous appelons le cadre des organismes d'enquête. Le projet de loi S-4 supprime ce cadre pour le remplacer par les exceptions prévues. Cet amendement retire les exceptions du projet de loi S-4, mais ne rétablit pas le statu quo.

    Y a-t-il d'autres observations au sujet de ces amendements?

    Je rappelle à tous que nous traitons des amendements NDP-3, NDP-4, NDP-5 et PV-8.

     J'aimerais clarifier un aspect à cet égard.

     Il a été question de regrouper tous les amendements. Toutefois, pour que cela soit un peu plus simple, nous pourrions les soumettre à un vote à la fois.

    Certainement. NDP-3 est le premier à être mis aux voix. L'amendement est-il adopté?

    (L'amendement est rejeté [Voir le Procès-verbal])

    Le président: Nous allons maintenant mettre aux voix l'amendement PV-8.

    (L'amendement est rejeté [Voir le Procès-verbal])

    Le président: Nous passons à NDP-4.

    (L'amendement est rejeté. [Voir le Procès-verbal])

    Le président: L'amendement suivant est le NDP-5.

    (L'amendement est rejeté [Voir le Procès-verbal])

    Le président: Nous passons à NDP-6.

    Madame Borg.

    Je ne vais pas prendre trop de temps pour traiter de cette question. Il s'agit vraisemblablement du même amendement, outre le fait qu'on a l'alinéa d.2) plutôt que l'alinéa d.1).

    Vous avez déjà entendu ce que j'avais à dire à ce sujet. J'estime que c'est un amendement important pour assurer la protection de la vie privée des Canadiens.

    Je vous remercie.

    Y a-t-il d'autres commentaires?

    (L'amendement est rejeté. [Voir le Procès-verbal])

    Le président: Nous en sommes à NDP-7.

    Par l'entremise de cet amendement et des mots « les motifs raisonnables de croire », nous avons l'intention de hausser le seuil. Cela correspond un peu aux amendements précédents. Je pense que ce seuil, comme l'a proposé le commissaire à la protection de la vie privée du Canada, respecterait de manière plus importante la vie privée des Canadiens.

    Tous ceux qui sont en faveur de NDP-7?

    (L'amendement est rejeté. [Voir le Procès-verbal])

    Le président: L'amendement suivant est le PV-10 qui nous vient, je crois, de M. Hyer.

    Merci, monsieur le président.

    Cet amendement vise les dispositions qui permettraient la communication de renseignements personnels à un proche parent de l'intéressé ou à son représentant. Certains arguments valables ont été soumis en faveur de ces dispositions. Nous proposons tout de même leur suppression en nous appuyant sur l'avis exprimé par les sections du droit des aînés et du droit de la vie privée et de l'accès à l'information de l'Association du Barreau canadien pour les trois raisons qui suivent.

    Premièrement, ces dispositions visent les aînés et pourraient donc être discriminatoires. Chaque journée qui passe me rend plus sensible aux préoccupations de cette portion de notre population.

    Deuxièmement, la liste des personnes et des organisations qui pourraient recevoir de telles communications sans consentement est beaucoup trop étendue et pas assez ciblée.

    Troisièmement, la communication à « un proche parent de l'intéressé ou à son représentant autorisé » est problématique, car ce sont plus souvent qu'autrement ces personnes qui abusent financièrement des aînés.

    Merci, monsieur le président.

    Merci, monsieur Hyer.

    Monsieur Lake, voulez-vous entendre les commentaires de nos fonctionnaires?

    Seulement s'ils le souhaitent.

    Je pense que M. Hyer a bien expliqué son amendement.

    Très bien.

    (L'amendement est rejeté. [Voir le Procès-verbal])

    Le président: Nous passons à l'amendement PV-12.

    Monsieur Hyer.

    Merci.

    Cet amendement fait suite aux préoccupations exprimées par Michael Geist concernant l'« omission flagrante » qu'il a détectée dans la LPRPDE, à savoir que les organisations ne sont pas tenues de faire rapport du nombre de leurs communications sans mandat au bénéfice des instances gouvernementales, pas plus que d'aviser la personne concernée par ces communications. Le nombre de demandes adressées aux entreprises de télécommunications est absolument stupéfiant — plus d'un million et 750 000 communications de renseignements personnels — et la majorité de ces communications se font sans l'intervention des tribunaux et sans mandat.

    Premièrement, la loi devrait exiger des organisations qu'elles présentent à tous les 90 jours un rapport public indiquant le nombre total de leurs communications. Deuxièmement, les organisations devraient être tenues d'aviser dans un délai raisonnable les personnes visées par de telles communications.

    Merci, monsieur le président.

    Monsieur Lake.

    J'aimerais seulement que les fonctionnaires nous parlent des répercussions d'un tel changement.

    Ces dispositions obligeraient toutes les organisations régies par la LPRPDE qui communiquent des renseignements aux forces de l'ordre, à une agence gouvernementale ou à un organisme d'enquête à tenir un registre de toutes ces communications, à aviser les personnes concernées dans un délai de 60 jours et à produire un rapport public à tous les trimestres.

    Il s'agit d'un fardeau administratif considérable. Ces mesures s'appliqueraient à toutes les organisations visées par la loi, y compris les très petites entreprises. Comme l'amendement proposé est de portée très générale, il s'appliquerait à toutes les formes d'interactions ou d'échanges. Il pourrait suffire simplement qu'un policier demande au préposé d'une beignerie des renseignements au sujet d'un client qui vient de passer par là pour que le propriétaire de l'établissement soit tenu de consigner les renseignements fournis et de s'efforcer d'aviser le client concerné pour devoir ensuite faire rapport trimestriellement des échanges de la sorte.

     Merci, monsieur Padfield.

    D'autres observations au sujet de l'amendement PV-12?

    (L'amendement est rejeté. [Voir le Procès-verbal])

    Le président: C'était le dernier des amendements portant sur l'article 6.

    (L'article 6 est adopté.)

    Le président: L'amendement NDP-8 propose un nouvel article 6.1.

    Madame Borg.

     Monsieur le président, cet amendement est lié à l'amendement NPD-1. Il serait illogique de le présenter alors que l'amendement NPD-1 n'a pas été adopté. Je vais donc le retirer.

    Je vous remercie.

    Merci.

    (Article 7)

    Le président: Nous avons Mme Borg qui va nous parler de l'amendement NDP-9.

    Cet amendement vise à ajouter le mot « raisonnable » au mot « nécessaire », qui est proposé. Je crois que c'est un témoin, soit le professeur Levin, qui avait proposé cela. C'est un amendement très simple, mais il permet de s'assurer qu'on agira de façon raisonnable en matière de renseignements personnels. Encore une fois, il s'agit d'augmenter les seuils.

    Merci beaucoup.

    Merci, madame Borg.

    Écoutons ce que nos fonctionnaires ont à nous dire.

    Merci, monsieur le président.

    Pour que les choses soient bien claires, selon le libellé proposé dans le projet de loi S-4, la communication doit être nécessaire pour établir ou gérer la relation d'emploi, ou pour y mettre fin, et l'amendement propose d'ajouter « et raisonnable ».

    Nous avons déjà parlé du seuil du caractère raisonnable et de ce que cela suppose. Comme le paragraphe 5(3) de la loi en vigueur prévoit déjà que l'on ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins raisonnables dans les circonstances, nous avons convenu d'utiliser dans le projet de loi le qualificatif « nécessaire » pour établir un seuil plus élevé que le caractère raisonnable.

    Autrement dit, la cueillette, l'utilisation et la communication des renseignements personnels doit être nécessaire au vu des fins visées. Il s'agirait donc seulement ici des renseignements nécessaires pour établir et gérer une relation d'emploi, ou pour y mettre fin. On ne pourrait pas communiquer les autres renseignements touchant l'emploi de la personne concernée.

    Merci, monsieur Clare.

    D'autres interventions concernant NDP-9?

    (L'amendement est rejeté.)

    Le président: Madame Borg, concernant NDP-10.

     Merci, monsieur le président.

    Selon moi, c'est probablement l'amendement le plus important que je vais présenter aujourd'hui. De fait, cet amendement assure une meilleure transparence. Si on doit inclure des exceptions dans la LPRPDE relativement au partage de renseignements sans consentement, je pense qu'il serait essentiel qu'on fasse preuve de transparence et qu'il y ait un mécanisme pour que les Canadiens sachent à quelle fréquence cela se produit.

    La commissaire à la vie privée par intérim a dit que 1,2 million de demandes ont été soumises à des organisations pour des renseignements personnels sans consentement et sans mandat. Je sais que les gens sont inquiets parce qu'il y a eu des lacunes et des abus. C'est clair à cet égard. La commissaire par intérim a dit que cela manquait de transparence et qu'il n'y avait pas de moyens d'obliger les organisations à dévoiler cette information. Même les agences gouvernementales n'ont pas l'obligation de dévoiler à quelle fréquence ces demandes leur sont soumises. Nous devons donc nous assurer qu'il n'y a pas d'abus. Je pense que cela est essentiel.

    L'amendement demande spécifiquement qu'un rapport soit publié à ce sujet. Il ne s'agit pas nécessairement d'informer les individus, mais on peut faire d'une pierre deux coups parce qu'on dévoilera publiquement combien de fois cela se sera produit. Je pense que c'est ce que demandent les Canadiens. Il est selon moi très important de présenter cet amendement aujourd'hui pour respecter de la vie privée des Canadiens.

    Monsieur Lake.

    De nombreux témoins se sont exprimés à ce sujet et je dirais que ces témoignages confirment que nous avons su trouver dans ce projet de loi le juste équilibre recherché. Certains témoins souhaitaient que nous en demandions davantage et d'autres voulaient que nous soyons moins exigeants. J'ai l'impression que le projet de loi propose une approche tout à fait équilibrée. Je vais bien sûr laisser à nos témoins l'occasion de nous en dire plus long s'ils ont quelque chose à ajouter.

    L'amendement proposé ne viserait pas uniquement les communications. Il s'appliquerait à toutes les fois qu'une organisation recueille, utilise ou communique des renseignements personnels sous quelque forme que ce soit. L'amendement viserait ces trois activités. Les rapports trimestriels requis des organisations seraient donc de très large portée. Ils devraient faire état d'absolument tous les renseignements recueillis, utilisés ou communiqués par l'entreprise.

    Encore là, à cause de la portée très générale de cette disposition, les journalistes seraient également visés. Ils devraient produire des rapports trimestriels faisant état des renseignements qu'ils ont recueillis, utilisés et communiqués.

    Y a-t-il d'autres observations concernant l'amendement NDP-10?

    (L'amendement est rejeté.)

    (L'article 7 est adopté.)

    (L'article 8 est adopté.)

    (Article 9)

    Le président: Concernant l'article 9, nous avons l'amendement NDP-11.

    Monsieur le président, cet amendement correspond à un amendement qui a déjà été rejeté. Je vais donc le retirer.

    D'accord. Est-ce que l'article 9 est adopté?

    (L'article 9 est adopté.)

    (Article 10)

    Le président: Nous allons d'abord traiter de l'amendement LIB-3.

    Monsieur le président, je crois que je vais traiter en même temps des amendements LIB-3 et LIB-4, car ils portent sur le même article.

    Ces deux amendements ont été proposés à la suggestion ou avec l'appui ou la contribution de plusieurs témoins, y compris les représentants du Bureau d'assurance du Canada. Ils portent sur le seuil de déclaration et les recours en cas d'atteinte aux mesures de sécurité.

    L'amendement LIB-3 touchant l'article 10 exigerait la déclaration de toute atteinte aux mesures de sécurité pour autant que ladite atteinte présente un risque réel de préjudice grave pour la personne concernée. L'amendement proposé apporte également des précisions quant aux recours possibles en cas d'atteinte.

    Si vous me permettez de parler aussi de l'amendement LIB-4 portant sur le même article, je vous dirais qu'il a lui aussi été proposé à la suggestion et avec l'appui de plusieurs témoins, y compris ceux du Bureau d'assurance du Canada. Il prévoit qu'une organisation est tenue, à moins qu'une règle de droit ne l'interdise, de tenir et conserver, conformément aux règlements, un registre de toutes les atteintes importantes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion. Cet amendement permet de préciser une disposition précédemment de portée générale tout en reconnaissant que cette loi doit s'appliquer dans le contexte d'un système juridique plus complexe.

    J'aimerais entendre les observations des représentants du ministère concernant les deux amendements proposés et le but qu'ils visent, à savoir apporter des éclaircissements.

    Pourriez-vous nous dire ce que vous en pensez?

    L'amendement comporte deux parties. De nombreux témoins ont parlé devant le comité du seuil à partir duquel les organisations devraient être tenues de déclarer au commissaire une atteinte à la vie privée et de celui à compter duquel il leur faudrait aviser les personnes concernées. C'est sur cet aspect que porte le premier amendement.

    L'amendement proposé établirait deux seuils. Pour que le commissaire à la protection de la vie privée soit mis au courant, il faudrait que l'atteinte soit importante. Essentiellement, une atteinte sera considérée importante s'il y a un certain risque de préjudice, ce qui constituerait selon moi un critère moins objectif. On prend en considération le caractère confidentiel de l'information, mais surtout le nombre de personnes qui sont touchées. L'organisation procède alors à un examen interne pour déterminer si le problème est systémique et d'une ampleur telle que le commissaire à la protection de la vie privée devrait en être informé.

    L'autre seuil s'applique, comme il est proposé dans le projet de loi S-4, à la notification des personnes concernées. Celui-ci demeure inchangé. Il intervient lorsqu'il est déterminé que l'atteinte pose un risque réel de préjudice grave. C'est donc un seuil fondé sur le risque. Il s'agit d'évaluer les circonstances, le degré de sensibilité des renseignements et les risques que l'information soit mal utilisée en jaugeant les préjudices que cela pourrait causer. Le cas échéant, la personne concernée serait informée de l'atteinte.

    Comme on établit deux seuils distincts, les atteintes portées à la connaissance du commissaire à la vie privée ne seraient pas nécessairement les mêmes que celles dont les personnes concernées sont informées.

    Je retiens personnellement des témoignages entendus par le comité que, d'une part, les organisations sont favorables à ces dispositions, car elles ne veulent pas avoir à aviser le commissaire à la protection de la vie privée toutes les fois qu'il y a atteinte ne touchant que quatre ou cinq personnes, même si elle peut être vraiment grave. Elles se demandent pourquoi le commissaire devrait être informé en pareil cas. Elles préféreraient pouvoir régler directement les problèmes semblables avec leurs clients et n'aviser le commissaire que lorsque la situation est plus grave.

    Pour leur part, les défenseurs de la vie privée ne voient pas nécessairement la différence entre ces deux seuils. Ils considèrent en quelque sorte que les deux seuils s'imbriquent. Selon eux, l'atteinte importante serait en fait un seuil inférieur et le commissaire à la protection de la vie privée serait mis au fait de toutes ces atteintes qui ne touchent que deux ou trois personnes. Pour ce qui est de la notification de la personne concernée, ils jugent que le seuil est plus élevé du fait qu'il exige un risque de préjudice grave.

    Dans la perspective stratégique de ceux qui ont à administrer la loi, le fait que différents groupes d'intéressés interprètent ces dispositions de différentes manières laisse à penser qu'elles ne sont pas nécessairement aussi efficaces et aussi claires qu'elles pourraient l'être.

    Comme les membres du comité le savent sans doute, ces deux seuils, celui de l'atteinte importante comme celui du risque réel, étaient déjà proposés dans des versions antérieures de projets de loi gouvernementaux modifiant la LPRPDE. Lors de l'examen mené pour la rédaction du projet de loi S-4, il a toutefois été déterminé, à la lumière de ces points de vue divergents, qu'il serait plus simple et plus efficace de n'avoir qu'un seuil. En cas d'atteinte aux règles de protection des renseignements personnels, une organisation n'aurait ainsi qu'à se demander s'il y a risque de préjudice. Dans l'affirmative, elle aurait à aviser à la fois le commissaire à la protection de la vie privée et la personne concernée.

    On s'assure de cette manière que le commissaire est mis au fait de toutes les atteintes dont la personne visée est informée. Afin de garantir une reddition de comptes appropriée et de veiller à ce que les organisations effectuent ces évaluations des risques en toute bonne foi, le projet de loi S-4 crée toutefois une nouvelle exigence qui ne figurait pas dans les versions précédentes, à savoir l'obligation de tenir des registres.

    Le processus est très simple. Il y a atteinte à la sécurité des données. On détermine si cela pose un risque. Le cas échéant, une notification est émise. S'il est déterminé qu'il n'y a pas de risque, mais que l'atteinte peut être le symptôme d'un problème systémique ou de quelque chose de semblable, on doit tenir un registre. Du point de vue stratégique, ce changement est justifié du fait qu'une organisation qui est tenue de consigner et conserver des renseignements à ce sujet va nécessairement y porter une attention plus soutenue, ce qui lui permettra d'être mieux à même de déterminer s'il y a ou non un problème systémique.

    Le projet de loi S-4 autorise le commissaire à la protection de la vie privée à exiger la production de ces registres à n'importe quel moment. Il n'y a pas de seuil applicable. Il n'est pas nécessaire que le commissaire ait des soupçons. Il peut simplement demander à voir les registres de l'entreprise.

    Cela nous amène à la seconde partie de l'amendement qui porte sur l'obligation de tenir un registre.

    Des témoins ont dit au comité que cette disposition les inquiétait. Quelle information allaient-ils devoir conserver dans le registre? Pendant combien de temps? Ils étaient préoccupés par le fardeau créé par cette mesure. La seule chose que je signalerais au comité, c'est que toutes ces dispositions précises seront établies dans la réglementation et qu'il sera possible de mener de vastes consultations.

    La disposition sur la tenue d'un registre vise à conserver uniquement les renseignements qui sont nécessaires pour atteindre les deux objectifs dont j'ai parlé: s'assurer que l'entreprise y porte attention et donner au commissaire un mécanisme lui permettant d'exiger que l'entreprise rende des comptes sur l'évaluation du risque.

    Quant à savoir si l'obligation de garder une trace d'une atteinte à la sécurité des données est incompatible avec d'autres dispositions, à notre connaissance, aucune loi fédérale n'interdit à une entreprise de conserver de l'information sur une atteinte à la protection des données. Pour ce qui est des dispositions précises, si l'on craignait qu'il y ait conflit, si par exemple, selon certaines dispositions, il faut conserver l'information pendant cinq ans et que selon une autre disposition, il faut la détruire après deux ans, tout cela se réglerait au cours du processus de réglementation. Il ne serait alors pas nécessaire d'inscrire « à moins qu'une règle de droit ne l'interdise » dans le projet de loi.

    Monsieur Hanson.

    J'aimerais ajouter un autre point qui peut être utile à mon avis concernant la discussion sur l'atteinte à la protection des données de façon générale. Quand on parle des dispositions sur la protection des renseignements personnels dans le secteur privé, on a souvent tendance à penser aux capacités des grandes entreprises de télécommunications ou aux institutions financières, mais je crois qu'il est important que le comité ne perde pas de vue que les petites et moyennes entreprises sont tenues elles aussi de respecter la LPRPDE.

    Pour ajouter un élément aux raisons que mon collègue vous a expliquées, je dirais qu'en établissant un seuil unique, on ne force pas les petites et moyennes entreprises, qui n'ont peut-être pas, entre autres, les mêmes capacités, ni accès à des conseils juridiques, à devoir en quelque sorte faire un choix ou trancher sur différentes normes; elles n'auront qu'une seule norme claire à suivre. Je pense que c'est une autre explication quant au seuil unique.

    Merci, monsieur Hanson.

    Y a-t-il d'autres observations au sujet des amendements LIB-3 et LIB-4?

    Nous tiendrons deux votes. Nous allons d'abord mettre l'amendement LIB-3 aux voix.

    (L'amendement est rejeté. [Voir le Procès-verbal])

    Le président: Nous mettons maintenant l'amendement LIB-4 aux voix.

    (L'amendement est rejeté. [Voir le Procès-verbal])

    Le président:Il s'agit toujours de l'article 10. Nous passons à l'amendement NDP-12.

     Merci, monsieur le président.

    Dans le cadre des témoignages au sujet du projet de loi S-4, nous avons entendu beaucoup d'opinions divergentes sur la mise en oeuvre d'un mécanisme d'avertissement concernant les atteintes aux données. C'est un point litigieux. Je me suis d'ailleurs longuement penchée sur cette question lors de la rédaction de mon projet de loi. Je parle ici du projet de loi C-475, qui a malheureusement été défait à cause du Parti conservateur.

    Au moyen de cet amendement, je veux proposer un seuil plus objectif. En effet, je souhaite que le commissaire à la protection de la vie privée du Canada soit responsable d'évaluer le préjudice que pourrait subir la personne dont les données ont été perdues, atteintes et ainsi de suite.

    Cette loi ne touche pas seulement les grandes entreprises, mais également les petites entreprises. Or ces dernières ne disposent pas nécessairement des moyens nécessaires pour déterminer si l'atteinte aux données est sérieuse. Ces entreprises pourraient s'adresser au commissaire à la protection de la vie privée du Canada. Celui-ci connaît ces questions et est en mesure d'évaluer si l'atteinte aux données justifie que la personne soit avertie.

    D'autre part, cet amendement permettrait au commissaire à la protection de la vie privée du Canada d'ordonner aux organisations d'informer les personnes concernées. Cela forcerait également les organisations à avertir les personnes et donnerait un peu plus de pouvoirs au commissaire. En effet, celui-ci pourrait s'assurer que la vie privée des individus faisant affaire avec les organisations est respectée.

     Je pense que ce seuil est plus objectif, que cela permettrait une meilleure protection de la vie privée et que le fardeau incombant aux petites entreprises serait moins lourd.

    Je vous remercie.

    Je veux seulement demander aux représentants du ministère s'ils ont quelque chose à ajouter à ce qu'ils ont dit précédemment.

    Permettez-moi d'expliquer au comité en quoi les mesures sont différentes de ce qui est proposé ici, c'est-à-dire que l'organisation effectue une évaluation de deux seuils pour prendre cette décision. Comme l'a dit Mme Borg, l'amendement présenté par le NPD crée un processus à deux volets, de sorte qu'une organisation aurait d'abord à déterminer s'il existe un risque de préjudice en raison d'une atteinte, et elle s'adresserait au commissaire à la protection de la vie privée à cet égard. Le commissaire examinerait l'atteinte aux données et déterminerait s'il est justifié d'informer toute personne concernée.

    La norme appliquée par le commissaire à la vie privée se traduirait probablement par un risque appréciable de préjudice. L'organisation a la responsabilité d'informer le commissaire à la vie privée, qui est alors responsable d'effectuer une évaluation des risques et de déterminer s'il est justifié d'aviser les personnes concernées. Dans le projet de loi S-4, c'est l'organisation qui est responsable des deux.

    Le deuxième point qu'a soulevé Mme Borg, c'est que l'amendement permettrait au commissaire d'ordonner à une entreprise d'informer les personnes concernées. La LPRPDE et le projet de loi S-4 ne lui donnent pas ce pouvoir.

    Merci.

    Y a-t-il d'autres observations au sujet de l'amendement NDP-12?

    (L'amendement est rejeté. [Voir le Procès-verbal])

    Nous en sommes maintenant à l'amendement PV-14.

    Monsieur Hyer.

    L'amendement nous ramène au libellé proposé pour ce qui est d'aviser le commissaire à la vie privée d'atteintes à la sécurité, qui se trouve dans les projets de loi  C-12 et C-29 sur la réforme de la LPRPDE, mais celui-ci est meilleur et plus clair. Pourquoi? C'est qu'il crée une obligation de communiquer les atteintes à la sécurité à l'échelle fédérale, une mesure attendue depuis longtemps. Devant le comité sénatorial, M. Geist a dit que le projet de loi S-4 établit la même norme d'un « risque réel de préjudice grave » pour aviser le commissaire et les personnes concernées, mais il a dit également que c'est très curieux. Cela signifie qu'il n'y a pas d'avis concernant les problèmes systémiques de sécurité dans une organisation. Il en résultera très vraisemblablement qu'un grand nombre d'atteintes ne seront pas déclarées. Notre amendement incite les organisations à mieux protéger cette information et permet aux Canadiens de prendre des mesures pour prévenir les risques, dont celui de vol d'identité.

    Merci, monsieur Hyer.

    Je cède la parole aux représentants du ministère.

    Je veux seulement souligner au comité que trois amendements présentés par le Parti vert portent sur les dispositions relatives aux atteintes à la sécurité des données, et comme M. Hyer l'a dit, cela crée un seuil spécifique pour l'avis du commissaire à la vie privée, comme dans l'amendement libéral.

    Tous ceux qui sont pour l'amendement PV-14?

    (L'amendement est rejeté. [Voir le Procès-verbal])

    Voulez-vous parler de l'amendement PV-16, monsieur Hyer?

    Ces amendements abaissent le seuil à partir duquel une organisation doit aviser une personne qu'il y a eu atteinte. Plutôt que de déterminer s'il y a un grand risque de préjudice, on doit aviser une personne si ses renseignements ont été obtenus par une personne non autorisée

    Par exemple, en Californie, la loi sur le signalement des atteintes exige la communication de toute atteinte à la sécurité de renseignements personnels non chiffrés lorsqu'il est raisonnable de croire qu'une personne non autorisée les a obtenus.

    Monsieur Lake.

    Je demande encore une fois aux fonctionnaires d'intervenir.

    Monsieur le président, la seule chose que je dirais au comité, c'est que comme M. Hyer le souligne, l'amendement consiste à éliminer un seuil fondé sur les risques et à le remplacer essentiellement par une obligation d'aviser les personnes concernées si l'organisation croit qu'une personne non autorisée a eu accès à l'information.

    Je veux soulever deux points. Premièrement, le commissaire à la vie privée a comparu devant votre comité et il préconise depuis longtemps une approche fondée sur les risques, en tenant compte du fait que nous ne voulons pas parler aux personnes des atteintes à la protection des renseignements personnels qui ne présentent pas de risque de préjudice. On veut qu'elles soient mises au courant de celles auxquelles elles doivent faire attention, car l'objectif d'aviser les gens est en partie de faire en sorte qu'ils prennent des mesures pour réduire les risques de préjudice, comme changer leur NIP, appeler leur banque et surveiller leurs relevés de carte de crédit. En créant un système par lequel on avise constamment les gens des atteintes qui ne présentent pas nécessairement de risque de préjudice, on risque de faire en sorte que les gens n'y prêteront plus attention et ne prendront plus les mesures voulues.

    Deuxièmement, je veux parler de la loi sur le signalement des atteintes de la Californie. Les renseignements personnels couverts par cette loi sont limités comparativement à la LPRPDE. Dans le cadre de la LPRPDE, la définition de « renseignements personnels » inclut « tout renseignement concernant un individu identifiable », ce qui veut dire qu'un grand nombre de renseignements non sensibles sont inclus. Par opposition, la loi adoptée en Californie contient un sous-ensemble très précis de renseignements personnels, ce qui comporte des risques. Il s'agit de renseignements très sensibles. Si l'on regarde les deux, il est plus sensé que la loi californienne s'applique à toutes les atteintes à la protection des données et qu'elle ne comprenne pas cette approche axée sur le risque, car elle est déjà limitée quant aux renseignements personnels qu'elle couvre.

    Merci, monsieur Clare.

    Tous ceux qui sont pour l'amendement PV-16?

    (L'amendement PV-16 est rejeté. [Voir le Procès-verbal])

    Le président: Nous avons terminé d'étudier tous les amendements proposés pour l'article 10. L'article 10 est-il adopté?

    N'en reste-t-il pas un? Il en a un autre à présenter.

    Excusez-moi, monsieur Hyer. Allez-y.

    Aucun problème, monsieur le président.

    Ces amendements portent sur les lignes qui élargissent considérablement les dispositions relatives à la communication de renseignements sans mandat à des organismes d'application de la loi et à des organismes gouvernementaux. Toutes les 27 secondes, on demande aux fournisseurs canadiens de services de télécommunications qui recueillent d'énormes quantités de données au sujet de leurs abonnés de divulguer des renseignements de base sur les abonnés à des agents d'application de la loi. En 2011 seulement, le nombre de divulgations s'élevait à un million.

    La communication de renseignements sans mandat, qui figure dans le paragraphe 10.2(3) et le projet de loi C-13, et également les dispositions sur la communication d'information du projet de loi C-51 créent un système de surveillance extrêmement inquiétant et ouvre la porte à un gouvernement « Big Brother ».

    Merci, monsieur Hyer.

    Monsieur Clare.

    Merci, monsieur le président.

    Je signale au comité que cette exception à l'obligation d'obtenir le consentement de l'intéressé est très restreinte. Elle se rapporte très spécifiquement à une situation d'atteinte à la protection des renseignements personnels. L'expérience a démontré que lorsqu'il y a une telle atteinte, si une organisation peut aviser des tiers que la sécurité de l'information a été compromise, cela lui permet de réduire le risque de préjudice.

    Un exemple qui l'illustre parfaitement, c'est celui où la sécurité des numéros de carte de crédit des clients d'un détaillant est compromise. En avertissant la société émettrice de carte de crédit, le détaillant peut réduire le risque de préjudice en disant que la protection des numéros de 50 000 cartes de crédit est compromise. La société émettrice peut alors surveiller ces comptes pour s'assurer qu'il n'y a pas d'activités inhabituelles, et elle aide en fait le détaillant à trouver les coordonnées des personnes concernées de sorte qu'elles puissent être avisées directement de l'atteinte à la sécurité des données.

    La disposition ne fournit une exception que dans cette situation. Lorsque dans une situation où il y a eu atteinte à la sécurité des renseignements personnels, on communique des renseignements personnels à un tiers de sorte qu'il puisse contribuer à réduire le risque de préjudice, il n'est pas nécessaire d'obtenir le consentement de l'intéressé au préalable. Dans l'exemple que j'ai donné, il n'est pas nécessaire de demander au client s'il consent à ce que l'on dise à la société émettrice que sa carte de crédit a été volée.

    Y a-t-il d'autres observations? Tous ceux qui sont pour l'amendement PV-18...?

    (L'amendement PV-18 est rejeté. [Voir le Procès-verbal])

    Le président: Mesdames et messieurs, je suis maintenant certain que nous avons terminé d'étudier les amendements proposés pour l'article 10.

    (L'article 10 est adopté.)

    (Articles 11 et 12)

    Le président: Nous en sommes maintenant à l'amendement NDP-13.

    Je veux seulement préciser qu'il s'agit d'un amendement correspondant à un prochain amendement. C'est un peu embêtant, car l'autre amendement n'a pas encore été mis aux voix. L'objectif général est d'accorder des pouvoirs supplémentaires au commissaire à la vie privée, plus précisément le pouvoir de rendre des ordonnances, de sorte que nous puissions forcer les organisations qui ne respectent pas la LPRPDE à s'y conformer; l'examen effectué par le commissaire ne conduirait pas qu'à une simple recommandation — l'organisation devrait plutôt se conformer à une ordonnance.

    Cela dit, je comprends qu'il y a de bons acteurs et que nous voulons certes faire en sorte que les organisations n'en arrivent pas à un point où une ordonnance est rendue, ou que certaines agissent de bonne foi. Beaucoup de gens agissent de bonne foi. Je crois que les amendements que je propose permettraient aux organisations de bénéficier d'une certaine période de temps pour se conformer à l'ordonnance du commissaire sans qu'il y ait de répercussions. Une fois que le délai est écoulé, il y aurait évidemment une certaine marge de manoeuvre pour des exceptions et des prolongations, mais si après une certaine période, l'organisation ne s'est toujours pas conformée à l'ordonnance, le commissaire aurait le droit d'intenter une action contre l'organisation, à qui la cour imposerait une sanction. Divers défenseurs du droit à la vie privée nous l'ont dit. C'est très important, car comme nous le voyons en ce moment, en particulier dans cette ère des mégadonnées où des organisations internationales viennent au Canada, des Canadiens utilisent ces services, mais ne tiennent pas du tout compte des recommandations du Commissariat à la protection de la vie privée. C'est extrêmement grave

    Je vois que je suis censée parler de cet amendement, mais je suppose que je vais parler également de l'amendement NDP-14, car ils sont liés. Je crois qu'il nous faut plus que des accords de conformité. Ils constituent un bon point de départ, mais ce n'est pas suffisant. Ils ne permettent pas de garantir que le commissaire à la vie privée a les pouvoirs dont il a besoin pour s'assurer que la LPRPDE est respectée et ils n'incitent pas vraiment les organisations à respecter la vie privée des Canadiens, comme c'est le cas, malheureusement, en ce moment. Des témoins nous ont dit que l'accord de conformité est un bon départ. Je crois que tout le monde le dira, mais nous devons aller plus loin pour nous assurer qu'en cette ère des mégadonnées, le droit à la vie privée est protégé.

    Je préciserais peut-être que je parlerai de l'amendement NDP-14 et, je suppose, de l'amendement NDP-15 également. Je parle des amendements NDP-13, NDP-14 et NDP-15, puisqu'ils sont fortement liés.

    Merci.

    Comme vous pouvez vous y attendre, je vais demander aux représentants du ministère de faire des observations sur les trois amendements — NDP-13, NDP-14 et NDP-15.

    Il pourrait aussi être utile de se pencher sur les amendements NDP-16 et NDP-18. Je crois qu'ils portent également sur les ordonnances.

    Le pouvoir de rendre des ordonnances a fait l'objet de discussions durant le premier examen parlementaire. Durant cet examen, on a constaté que le modèle d'ombudsman, qui implique que le commissaire travaille en collaboration avec les organismes, est très efficace.

    Je crois que c'est évident quand on examine le cas récent de Bell. Les gens connaissent bien le programme de publicité de Bell, qui s'appuyait sur des renseignements personnels que la société recueillait à propos de ses clients, précisément au sujet de leurs habitudes liées à l'utilisation de la télévision, du téléphone et d'Internet, et qui lui permettait de créer des profils qui étaient associés à des données démographiques. Après avoir reçu 170 plaintes en 2013, le commissaire a décidé de procéder à un vaste examen. Je sais, pour avoir discuté avec des représentants de Bell, qu'il y a eu beaucoup d'échanges entre Bell et le bureau du commissaire. Le commissaire a fait certaines constatations et a demandé à Bell de changer fondamentalement son modèle, selon lequel les gens devaient faire savoir qu'ils ne voulaient pas que leurs renseignements soient utilisés et ne pouvaient pas décider de faire partie du programme.

    On avait aussi demandé au commissaire de formuler une série de recommandations, qui ont toutes été adoptées par Bell. Depuis que la LPRPDE existe, le commissaire a dû avoir recours aux tribunaux à seulement 17 reprises. Dans l'ensemble, 16 des 17 dossiers ont été réglés en cour, et dans le cas du 17^e dossier, le commissaire a perdu sa cause en cour. Dans le cadre du modèle actuel, il n'a pas été souvent nécessaire de recourir aux tribunaux, ce qui démontre à mon avis qu'il est efficace. Le cas de Bell le montre bien.

    Quelqu'un d'autre veut-il intervenir?

    Madame Borg.

    Je vous remercie.

    Je tiens à ajouter, pour faire suite au commentaire de M. Padfield, que d'anciens commissaires à la protection de la vie privée ont déclaré que le processus judiciaire actuel est extrêmement complexe et qu'il est souvent très problématique pour le bureau du commissaire à la protection de la vie privée.

    Vous pouvez me dire si ce n'est pas... Nous avons peut-être une divergence d'opinion à ce sujet également, et c'est correct.

    Je crois que c'est en partie la raison d'être du projet de loi S-4 et des pouvoirs supplémentaires qui sont conférés au commissaire en prolongeant la période durant laquelle il peut décider de s'adresser aux tribunaux. Actuellement, la LPRPDE prévoit 45 jours, mais le projet de loi S-4 propose de faire passer cette période à un an. Cela donne davantage de temps au commissaire.

    Le projet de loi vise aussi à accroître le pouvoir qu'a le commissaire de dénoncer publiquement. Le commissaire sera davantage en mesure de rendre publiques une vaste gamme d'activités menées par des entreprises. Je crois que c'était l'une des choses qui posaient problème dans le cas de Bell. Le commissaire a publié ses constatations, ce qu'il n'était pas obligé de faire, mais il a jugé que c'était dans l'intérêt du public.

    Je pense que le projet de loi S-4 confère des pouvoirs supplémentaires qui cadrent bien avec le modèle d'ombudsman qui s'est révélé très efficace et qu'il ne lui attribue pas un rôle de régulateur et ne crée pas de conflit avec le secteur privé.

    J'aurais peut-être un autre commentaire à faire.

    Je me demande s'il conviendrait d'examiner maintenant l'amendement NDP-16 puisque nous devrions l'examiner après l'article 16.

    Je ne sais pas comment vous voulez...

    Nous pouvons voter là-dessus maintenant.

    D'accord.

    J'aimerais prendre la parole au sujet précisément de l'amendement NDP-16, si vous le voulez bien.

    Je pense que les témoins ont parlé de tous les amendements jusqu'à l'amendement NDP-18, alors voulez-vous intervenir en même temps au sujet des amendements NDP-16 et NDP-18?

    Les amendements NDP-17 et NDP-18 ne sont pas...

    L'amendement NDP-17 porte sur un aspect différent, mais l'amendement NDP-18 est en quelque sorte dans la même catégorie, n'est-ce pas?

    Oui.

    C'est très bien. Nous pouvons les regrouper.

    Je n'étais pas certaine. Ils portent sur des articles différents... C'est la seule raison pour laquelle je les aurais examinés séparément.

    J'aimerais intervenir au sujet de l'amendement NDP-16 parce qu'il est important parmi les amendements que je propose en vue de donner au commissaire le pouvoir de rendre des ordonnances. Nous savons tous que le commissaire peut mener une vérification s'il y a lieu de croire qu'il y a une infraction à la LPRPDE. Cet amendement vise à inclure toutes les ordonnances et recommandations, à l'issue d'une vérification, qui doivent être rendues publiques. Il s'agit dans un certain sens d'un amendement correspondant, et je crois qu'il est important parce qu'il permettrait de faire en sorte que ces ordonnances soient rendues publiques. Je le répète, le pouvoir de dénoncer publiquement est important, alors les deux amendements sont liés.

    Je vous remercie.

    Qu'en est-il de l'amendement NDP-18, madame Borg?

    C'est un amendement très technique. Il n'est pas nécessaire que je prenne la parole à ce sujet.

    D'accord.

    Nous allons donc maintenant voter sur les amendements NDP-13, NDP-14, NDP-15 et NDP-16, mais séparément.

    Qui est en faveur de l'amendement NDP-13?

    (L'amendement est rejeté. [Voir le Procès-verbal])

    Les articles 13 et 14 sont adoptés.

    Le président: Passons maintenant au vote sur l'amendement NDP-14.

    (L'amendement est rejeté. [Voir le Procès-verbal])

    (Article 15)

    Le président: Nous votons maintenant sur l'amendement NDP-15, dont on a déjà parlé.

    (L'amendement est rejeté. [Voir le Procès-verbal])

    Le président: Nous allons maintenant passer à l'amendement PV-20.

    Je vous remercie.

    Monsieur le président, cet amendement reprend essentiellement le projet de loi C-475 de Mme Borg, qui est un excellent modèle à notre avis. Nous voulons la féliciter pour sa compétence et son travail acharné dans ce dossier.

    La mise en place d'accords de conformité constitue un pas dans la bonne direction, mais le pouvoir de rendre des ordonnances nécessite des mesures réglementaires comme des sanctions administratives et pécuniaires. En l'absence de ce genre d'incitatifs — vous pourriez même appeler cela une menace — il est difficile de comprendre pourquoi un organisme conclurait un tel accord. Des réformes s'imposent, notamment la création de véritables sanctions afin d'assurer la conformité.

    Je vous remercie, monsieur le président.

    (L'amendement est rejeté. [Voir le Procès-verbal])

    (L'article 15 est adopté avec dissidence.)

    (L'article 16 est adopté avec dissidence.)

    Mme Borg a parlé de l'amendement NDP-16. Pensez-vous que nous pouvons voter sur cet amendement, madame Borg?

    Oui.

    (L'amendement est rejeté. [Voir le Procès-verbal])

    (Les articles 17 à 20 inclusivement sont adoptés avec dissidence.)

    (Article 21)

    Nous en sommes à l'article 21 et nous sommes saisis de l'amendement NDP-17.

    Madame Borg.

    Étant donné que les amendements NDP-17 et NDP-18 sont des amendements liés à d'autres amendements que j'ai proposés et qui ont été rejetés, ils ne sont plus du tout pertinents. Je vais donc les retirer.

    Je vous remercie, madame Borg.

    (L'article 21 est adopté avec dissidence.)

    (Les articles 22 à 27 inclusivement sont adoptés avec dissidence.)

    Le président: Le titre abrégé est-il adopté?

    Des voix: D'accord.

    Une voix: Avec dissidence.

    Le titre est-il adopté?

    Des voix: D'accord.

    Une voix: Avec dissidence.

    Le président: Le projet de loi est-il adopté?

    Des voix: D'accord.

    Le président: Le président doit-il faire rapport de l'adoption du projet de loi à la Chambre?

    Des voix: D'accord.

    Le président: Chers collègues, je vous remercie beaucoup, et je remercie également les représentants du ministère pour leur expertise.

    Comme il n'y a pas d'autres points à l'ordre du jour, la séance est levée.