:
Bonjour, chers collègues.
[Français]
Bonjour à toutes et à tous.
[Traduction]
Je vous souhaite la bienvenue à la 40e séance du Comité permanent de l'industrie, des sciences et de la technologie. Aujourd'hui, nous examinons le projet de loi , Loi modifiant la Loi sur la protection des renseignements personnels et des documents électroniques et une autre loi en conséquence.
Nous avons le plaisir de recevoir trois experts, des fonctionnaires du ministère de l'Industrie. Lawrence Hanson est sous-ministre adjoint pour la science et l'innovation. Christopher Padfield est directeur général à la Direction générale des politiques numériques, et John Clare, directeur à la Direction de la politique sur la vie privée et la protection des données.
Je vous remercie infiniment de vous joindre à nous, messieurs, et d'être ici pour répondre à nos questions.
Chers collègues, comme vous pouvez le constater à la vue de la pile qui se dresse devant vous, il y a passablement d'amendements proposés au projet de loi. Je disais justement à mon bon personnel, ici, qu'un président ne fait jamais ce genre de choses assez souvent pour être parfaitement à l'aise, donc nous allons, avec votre patience, passer en revue tous les articles du projet de loi. Le personnel a gentiment procédé au regroupement des amendements.
À moins que vous n'ayez des instructions particulières à me donner sur la façon de procéder, je vais commencer par les premiers articles, sur lesquels il n'y a pas d'amendement, après quoi nous allons nous pencher sur les articles faisant l'objet d'amendements.
Est-ce que tout le monde est d'accord?
Une voix: Oui.
Le président: Cela semble convenu. Vous êtes toujours très volubiles en cette heure si matinale.
Les articles 2 à 5 inclusivement sont-ils adoptés? Il n'y a pas d'amendement au sujet de ces articles.
(Les articles 2 à 5 inclusivement sont adoptés.)
(Article 6)
Le président: Sur l'article 6, il y a un certain nombre d'amendements proposés, une vingtaine.
Je dois vous dire que si l'amendement NDP-1 est adopté, aucun autre ne pourra être examiné, puisqu'on ne peut évidemment pas modifier plusieurs fois la même ligne.
Nous allons étudier l'amendement NDP-1 pour commencer, il se trouve directement sur le dessus de notre pile. Il s'agit de la page 1 de la documentation.
Madame Borg.
:
Merci, monsieur le président.
À la suite des différents témoignages que nous avons entendus et de plusieurs révélations dans les médias, les parlementaires et la société se sont rendu compte que, malheureusement, il y a beaucoup trop de cas où les exceptions prévues à la LPRPDE sont utilisées de façon trop large et trop vague. Il n'y a aucune transparence en ce qui concerne les exceptions qui permettent le partage de renseignements personnels sans consentement et sans mandat.
Je pense que nous devons, aujourd'hui, élargir notre examen et ne pas étudier uniquement le projet de loi et la LPRPDE. C'est ce qu'on doit faire quand on étudie un projet de loi en deuxième lecture.
Cela dit, je propose que l'article 7 de la LPRPDE soit abrogé pour remédier aux lacunes de cette loi qui permettent que des renseignements personnels soient partagés sans consentement et sans mandat.
:
Merci, monsieur le président.
En effet, cet amendement aurait essentiellement pour effet d'abroger l'article 7 de la LPRPDE, qui prévoit toutes les exceptions à l'obligation d'obtenir le consentement de l'intéressé pour recueillir, utiliser ou communiquer des renseignements personnels à son sujet. Cet amendement éliminerait toutes les exceptions à l'obligation d'obtenir le consentement qu'on trouve dans le projet de loi et signifierait qu'une entreprise ou une organisation devrait obtenir un consentement et informer la personne chaque fois qu'elle recueille, utilise ou communique des renseignements personnels dans quelque contexte que ce soit.
Les exceptions établies sont là pour diverses raisons. Dans certaines circonstances, il n'est pas pratique d'obtenir le consentement de la personne si elle est blessée, malade ou décédée, et l'obtention du consentement peut parfois créer un conflit en droit. Par exemple, le paragraphe 7(3) permet de communiquer des renseignements sans le consentement de l'intéressé lorsque cette communication est exigée par assignation, mandat ou ordonnance d'un tribunal. Cet amendement viendrait éliminer toutes ces exceptions.
:
Merci, monsieur le président.
Ce problème a été mis en relief lors du premier examen législatif de la LPRPDE, en 2006-2007. La recommandation du comité, à l'époque, était que le gouvernement consulte les intervenants et le commissaire à la protection de la vie privée au sujet de l'utilisation des renseignements personnels contenus dans la déclaration d'un témoin pour le traitement d'une réclamation d'assurance.
Des inquiétudes avaient été exprimées à l'époque, et il en avait été question pendant les consultations. Par exemple, si je suis témoin d'un accident, que j'affirme avoir vu une personne avoir une conduite dangereuse à une intersection et que cette déclaration de témoin est fournie à la police, certaines personnes dans l'industrie de l'assurance craignent que la personne ayant eu une conduite dangereuse à une intersection puisse refuser de consentir à l'utilisation de ses renseignements personnels — sur sa présence sur les lieux au moment de l'accident —- pour le traitement de la réclamation d'assurance.
D'après les consultations, les intervenants (y compris les défenseurs de la protection de la vie privée) semblaient assez majoritairement d'accord, pour dire qu'on ne voulait pas créer de situations où des personnes pourraient se protéger de la responsabilité d'un accident en invoquant le respect de leur vie privée, sous prétexte que la déclaration du témoin ne pourrait pas être utilisée parce qu'elle contiendrait des renseignements personnels à leur sujet. Le but de la modification proposée dans le projet de loi est de prévoir une exception très limitée, pour que les sociétés d'assurance aient accès aux déclarations de témoins qui renferment des renseignements personnels, mais seulement pour le traitement d'une réclamation d'assurance.
Ce groupe d'amendements porte sur la structure de la LPRPDE. Il y a toujours une exception à la collecte, à l'utilisation et à la communication de renseignements. Ce groupe d'amendements porte sur les exceptions à la collecte et à l'utilisation de renseignements personnels qui sont le produit du travail d'une personne, de son emploi.
Pris dans leur ensemble, les amendements proposés limitent l'exception prévue pour qu'elle ne s'applique qu'aux renseignements personnels créés au su ou avec le consentement de la personne et seulement aux renseignements personnels liés au produit de cette activité et non à son objet principal.
Il faudrait d'abord que l'organisation veille à ce que le renseignement personnel créé dans le cadre de cette activité professionnelle... que la personne sache qu'elle l'a créée et qu'il s'agit d'un renseignement personnel qu'elle intègre au produit.
Ensuite, le renseignement personnel doit être lié au produit de cette activité. Le terme utilisé en anglais est « incidental ». Il y a deux définitions d'« incidental » dans le dictionnaire Oxford. Selon la première, le mot qualifierait une chose moins importante, secondaire ou accessoire. Selon l'autre définition, il qualifierait une chose liée ou associée à une autre. Il faudrait donc faire une distinction entre la partie principale du produit du travail et ce qui y est lié.
:
Merci, monsieur le président.
Il est clair que c'est une question qui préoccupe bon nombre d'entre nous ce côté-ci de la table. L'ABC, entre autres, a signalé les problèmes potentiels que présentent ces dispositions. Il est clair que l'exception à la définition de « renseignements personnels » sur les produits du travail est généralement interprétée comme désignant les renseignements personnels non sensibles créés dans le cadre de l'emploi d'une personne, comme vous l'avez dit.
Mais c'est toute la question du consentement qui continue de poser problème. Encore une fois, mon amendement va restreindre l'exception aux circonstances où l'employé serait au courant que le renseignement est recueilli et où l'utilisation prévue de ce renseignement serait conforme avec l'intention du travail original, comme dans le contexte d'une entrevue d'emploi.
Le problème est le même ici. Vous devez savoir que nous sommes tous inquiets de cette question, ce côté-ci de la table. Ne croyez-vous pas qu'il y aurait moyen de clarifier la situation pour que la définition soit bien claire?
:
Je pense qu'il y a deux dispositions qui préviennent les problèmes que vous soulevez. La première se trouve à l'article 5 de la LPRPDE, qui dicte que toute collecte, utilisation et communication de renseignement doit être raisonnable dans les circonstances. Qu'on ait ou non obtenu le consentement d'une personne, que des exceptions s'appliquent ou non, le tribunal ou le commissaire à la vie privée qui examine la plainte dans le contexte de l'une de ces exceptions doit d'abord déterminer si l'organisation a agi de manière raisonnable.
Cela s'applique à beaucoup de situations au travail, par exemple à la vidéosurveillance. Il peut être raisonnable d'installer des caméras de surveillance aux caisses d'une banque, mais il ne serait pas raisonnable d'en installer dans la salle de bain. Cette disposition s'applique déjà, et cette exception doit elle aussi satisfaire le critère du caractère raisonnable.
Il y a aussi le fait que l'utilisation des renseignements doit concorder avec l'objectif dans lequel le renseignement a été recueilli. Je vous donne un exemple. Je suis un employé d'Industrie Canada; mon patron me demande si je veux apparaître dans une vidéo qui décrit combien il est fantastique de travailler dans la fonction publique. Si j'accepte d'y participer, le ministère peut décider un an plus tard de réutiliser cette vidéo et mes renseignements personnels, mon image. Il n'a pas nécessairement besoin de me redemander mon consentement, tant que la vidéo produite respecte l'objectif d'origine, qui est de promouvoir la fonction publique. Par contre, le ministère ne pourrait pas prendre cette vidéo et la vendre à un publicitaire qui utiliserait mon image pour offrir de la formation aux fonctionnaires, quelque chose du genre, parce que ce n'est pas le but dans lequel l'information a été recueillie au départ.
:
Merci, monsieur le président.
L'amendement qui est proposé correspond exactement au témoignage du commissaire à la protection de la vie privée du Canada. Je crois que son témoignage est essentiel et doit être considéré alors qu'on étudie un projet de loi qui porte directement sur le secteur dont il est responsable. Le commissaire à la vie privée a suggéré qu'il faudrait augmenter le seuil touchant le partage de renseignements sans consentement. Il faudrait que ce soit davantage qu'une simple suspicion.
Grâce à cet amendement, je propose d'augmenter le seuil pour que l'organisation soit obligée d'avoir des motifs raisonnables de croire que les renseignements sont liés à une enquête.
Je pense que cet amendement est tout à fait nécessaire. J'espère que le gouvernement l'acceptera, même si on sait qu'il n'a pas l'intention de changer le projet de loi et qu'il désire simplement ignorer les témoignages que l'on a entendus.
:
Merci, monsieur le président.
Il y a un thème qui revient dans au moins quatre de ces amendements. On veut remplacer le critère proposé dans le projet de loi , suivant lequel la communication des renseignements doit être raisonnable aux fins d'une enquête ou de la prévention de la fraude, par un autre critère exigeant de l'organisation qu'elle ait des motifs raisonnables de croire qu'il s'est produit quelque chose justifiant la tenue d'une enquête ou d'activités de détection, de répression ou de prévention de la fraude.
La seconde partie correspond à la précision apportée quant au critère proposé dans le projet de loi , à savoir qu'il serait raisonnable de s'attendre à ce qu'une communication effectuée au su ou avec le consentement de l'intéressé compromettrait de telles activités.
Ce groupe d'amendements vise à remplacer le critère du « caractère raisonnable au vu des fins visées » par celui des « motifs raisonnables de croire ». Comme je l'indiquais dans ma réponse précédente, les deux seuils sont différents. Le « caractère raisonnable au vu des fins visées » est un critère objectif. Le tribunal ou le commissaire à la protection de la vie privée examinerait la façon dont l'organisation a agi dans les circonstances pour déterminer s'il était raisonnable que l'information soit communiquée. A-t-on fait preuve de jugement? A-t-on agi équitablement? On prendrait en compte des facteurs comme le caractère confidentiel de l'information communiquée et la gravité des agissements ayant donné lieu à une enquête ou encore de la fraude commise.
En adoptant le critère des « motifs raisonnables de croire », on hausserait le seuil à un point tel que l'organisation devrait avoir des preuves probantes et crédibles qu'il s'est produit des choses justifiant la tenue d'une enquête ou qu'il y a eu fraude. C'est un seuil plus élevé. Si le projet de loi propose un seuil moins élevé, c'est que, dans bon nombre des cas, les enquêtes et les activités de prévention et de répression de la fraude visent précisément à recueillir des preuves claires et probantes pour satisfaire aux critères des « motifs raisonnables de croire ». À partir d'un doute ou d'une allégation d'acte répréhensible, l'organisation peut ainsi mener une forme quelconque d'enquête interne pour déterminer s'il y a des éléments montrant clairement et de façon probante qu'il y a effectivement eu des agissements condamnables, avant de passer à l'étape suivante. Si un crime a été commis, il faut alors en informer les forces de l'ordre. S'il y a entente au sein d'une association professionnelle, comme chez les médecins ou les avocats, des mesures disciplinaires peuvent être prises contre le membre fautif.
:
Y a-t-il d'autres observations à ce sujet?
Tous ceux qui sont en faveur de l'amendement NDP-2?
(L'amendement est rejeté. [ Voir le Procès-verbal])
Le président: Monsieur Lake, vous avez proposé un regroupement. Comme une telle possibilité n'a pas été portée à ma connaissance, nous allons maintenant traiter de l'amendement NDP-3.
Est-ce que ce qui vient d'être dit s'applique également à cet amendement?
:
Certainement. NDP-3 est le premier à être mis aux voix. L'amendement est-il adopté?
(L'amendement est rejeté [Voir le Procès-verbal])
Le président: Nous allons maintenant mettre aux voix l'amendement PV-8.
(L'amendement est rejeté [Voir le Procès-verbal])
Le président: Nous passons à NDP-4.
(L'amendement est rejeté. [Voir le Procès-verbal])
Le président: L'amendement suivant est le NDP-5.
(L'amendement est rejeté [Voir le Procès-verbal])
Le président: Nous passons à NDP-6.
Madame Borg.
:
Merci, monsieur le président.
Cet amendement vise les dispositions qui permettraient la communication de renseignements personnels à un proche parent de l'intéressé ou à son représentant. Certains arguments valables ont été soumis en faveur de ces dispositions. Nous proposons tout de même leur suppression en nous appuyant sur l'avis exprimé par les sections du droit des aînés et du droit de la vie privée et de l'accès à l'information de l'Association du Barreau canadien pour les trois raisons qui suivent.
Premièrement, ces dispositions visent les aînés et pourraient donc être discriminatoires. Chaque journée qui passe me rend plus sensible aux préoccupations de cette portion de notre population.
Deuxièmement, la liste des personnes et des organisations qui pourraient recevoir de telles communications sans consentement est beaucoup trop étendue et pas assez ciblée.
Troisièmement, la communication à « un proche parent de l'intéressé ou à son représentant autorisé » est problématique, car ce sont plus souvent qu'autrement ces personnes qui abusent financièrement des aînés.
Merci, monsieur le président.
Cet amendement fait suite aux préoccupations exprimées par Michael Geist concernant l'« omission flagrante » qu'il a détectée dans la LPRPDE, à savoir que les organisations ne sont pas tenues de faire rapport du nombre de leurs communications sans mandat au bénéfice des instances gouvernementales, pas plus que d'aviser la personne concernée par ces communications. Le nombre de demandes adressées aux entreprises de télécommunications est absolument stupéfiant — plus d'un million et 750 000 communications de renseignements personnels — et la majorité de ces communications se font sans l'intervention des tribunaux et sans mandat.
Premièrement, la loi devrait exiger des organisations qu'elles présentent à tous les 90 jours un rapport public indiquant le nombre total de leurs communications. Deuxièmement, les organisations devraient être tenues d'aviser dans un délai raisonnable les personnes visées par de telles communications.
Merci, monsieur le président.
:
Merci, monsieur le président.
Pour que les choses soient bien claires, selon le libellé proposé dans le projet de loi , la communication doit être nécessaire pour établir ou gérer la relation d'emploi, ou pour y mettre fin, et l'amendement propose d'ajouter « et raisonnable ».
Nous avons déjà parlé du seuil du caractère raisonnable et de ce que cela suppose. Comme le paragraphe 5(3) de la loi en vigueur prévoit déjà que l'on ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins raisonnables dans les circonstances, nous avons convenu d'utiliser dans le projet de loi le qualificatif « nécessaire » pour établir un seuil plus élevé que le caractère raisonnable.
Autrement dit, la cueillette, l'utilisation et la communication des renseignements personnels doit être nécessaire au vu des fins visées. Il s'agirait donc seulement ici des renseignements nécessaires pour établir et gérer une relation d'emploi, ou pour y mettre fin. On ne pourrait pas communiquer les autres renseignements touchant l'emploi de la personne concernée.
:
Merci, monsieur le président.
Selon moi, c'est probablement l'amendement le plus important que je vais présenter aujourd'hui. De fait, cet amendement assure une meilleure transparence. Si on doit inclure des exceptions dans la LPRPDE relativement au partage de renseignements sans consentement, je pense qu'il serait essentiel qu'on fasse preuve de transparence et qu'il y ait un mécanisme pour que les Canadiens sachent à quelle fréquence cela se produit.
La commissaire à la vie privée par intérim a dit que 1,2 million de demandes ont été soumises à des organisations pour des renseignements personnels sans consentement et sans mandat. Je sais que les gens sont inquiets parce qu'il y a eu des lacunes et des abus. C'est clair à cet égard. La commissaire par intérim a dit que cela manquait de transparence et qu'il n'y avait pas de moyens d'obliger les organisations à dévoiler cette information. Même les agences gouvernementales n'ont pas l'obligation de dévoiler à quelle fréquence ces demandes leur sont soumises. Nous devons donc nous assurer qu'il n'y a pas d'abus. Je pense que cela est essentiel.
L'amendement demande spécifiquement qu'un rapport soit publié à ce sujet. Il ne s'agit pas nécessairement d'informer les individus, mais on peut faire d'une pierre deux coups parce qu'on dévoilera publiquement combien de fois cela se sera produit. Je pense que c'est ce que demandent les Canadiens. Il est selon moi très important de présenter cet amendement aujourd'hui pour respecter de la vie privée des Canadiens.
:
Monsieur le président, je crois que je vais traiter en même temps des amendements LIB-3 et LIB-4, car ils portent sur le même article.
Ces deux amendements ont été proposés à la suggestion ou avec l'appui ou la contribution de plusieurs témoins, y compris les représentants du Bureau d'assurance du Canada. Ils portent sur le seuil de déclaration et les recours en cas d'atteinte aux mesures de sécurité.
L'amendement LIB-3 touchant l'article 10 exigerait la déclaration de toute atteinte aux mesures de sécurité pour autant que ladite atteinte présente un risque réel de préjudice grave pour la personne concernée. L'amendement proposé apporte également des précisions quant aux recours possibles en cas d'atteinte.
Si vous me permettez de parler aussi de l'amendement LIB-4 portant sur le même article, je vous dirais qu'il a lui aussi été proposé à la suggestion et avec l'appui de plusieurs témoins, y compris ceux du Bureau d'assurance du Canada. Il prévoit qu'une organisation est tenue, à moins qu'une règle de droit ne l'interdise, de tenir et conserver, conformément aux règlements, un registre de toutes les atteintes importantes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion. Cet amendement permet de préciser une disposition précédemment de portée générale tout en reconnaissant que cette loi doit s'appliquer dans le contexte d'un système juridique plus complexe.
J'aimerais entendre les observations des représentants du ministère concernant les deux amendements proposés et le but qu'ils visent, à savoir apporter des éclaircissements.
Pourriez-vous nous dire ce que vous en pensez?
:
L'amendement comporte deux parties. De nombreux témoins ont parlé devant le comité du seuil à partir duquel les organisations devraient être tenues de déclarer au commissaire une atteinte à la vie privée et de celui à compter duquel il leur faudrait aviser les personnes concernées. C'est sur cet aspect que porte le premier amendement.
L'amendement proposé établirait deux seuils. Pour que le commissaire à la protection de la vie privée soit mis au courant, il faudrait que l'atteinte soit importante. Essentiellement, une atteinte sera considérée importante s'il y a un certain risque de préjudice, ce qui constituerait selon moi un critère moins objectif. On prend en considération le caractère confidentiel de l'information, mais surtout le nombre de personnes qui sont touchées. L'organisation procède alors à un examen interne pour déterminer si le problème est systémique et d'une ampleur telle que le commissaire à la protection de la vie privée devrait en être informé.
L'autre seuil s'applique, comme il est proposé dans le projet de loi , à la notification des personnes concernées. Celui-ci demeure inchangé. Il intervient lorsqu'il est déterminé que l'atteinte pose un risque réel de préjudice grave. C'est donc un seuil fondé sur le risque. Il s'agit d'évaluer les circonstances, le degré de sensibilité des renseignements et les risques que l'information soit mal utilisée en jaugeant les préjudices que cela pourrait causer. Le cas échéant, la personne concernée serait informée de l'atteinte.
Comme on établit deux seuils distincts, les atteintes portées à la connaissance du commissaire à la vie privée ne seraient pas nécessairement les mêmes que celles dont les personnes concernées sont informées.
Je retiens personnellement des témoignages entendus par le comité que, d'une part, les organisations sont favorables à ces dispositions, car elles ne veulent pas avoir à aviser le commissaire à la protection de la vie privée toutes les fois qu'il y a atteinte ne touchant que quatre ou cinq personnes, même si elle peut être vraiment grave. Elles se demandent pourquoi le commissaire devrait être informé en pareil cas. Elles préféreraient pouvoir régler directement les problèmes semblables avec leurs clients et n'aviser le commissaire que lorsque la situation est plus grave.
Pour leur part, les défenseurs de la vie privée ne voient pas nécessairement la différence entre ces deux seuils. Ils considèrent en quelque sorte que les deux seuils s'imbriquent. Selon eux, l'atteinte importante serait en fait un seuil inférieur et le commissaire à la protection de la vie privée serait mis au fait de toutes ces atteintes qui ne touchent que deux ou trois personnes. Pour ce qui est de la notification de la personne concernée, ils jugent que le seuil est plus élevé du fait qu'il exige un risque de préjudice grave.
Dans la perspective stratégique de ceux qui ont à administrer la loi, le fait que différents groupes d'intéressés interprètent ces dispositions de différentes manières laisse à penser qu'elles ne sont pas nécessairement aussi efficaces et aussi claires qu'elles pourraient l'être.
Comme les membres du comité le savent sans doute, ces deux seuils, celui de l'atteinte importante comme celui du risque réel, étaient déjà proposés dans des versions antérieures de projets de loi gouvernementaux modifiant la LPRPDE. Lors de l'examen mené pour la rédaction du projet de loi , il a toutefois été déterminé, à la lumière de ces points de vue divergents, qu'il serait plus simple et plus efficace de n'avoir qu'un seuil. En cas d'atteinte aux règles de protection des renseignements personnels, une organisation n'aurait ainsi qu'à se demander s'il y a risque de préjudice. Dans l'affirmative, elle aurait à aviser à la fois le commissaire à la protection de la vie privée et la personne concernée.
On s'assure de cette manière que le commissaire est mis au fait de toutes les atteintes dont la personne visée est informée. Afin de garantir une reddition de comptes appropriée et de veiller à ce que les organisations effectuent ces évaluations des risques en toute bonne foi, le projet de loi crée toutefois une nouvelle exigence qui ne figurait pas dans les versions précédentes, à savoir l'obligation de tenir des registres.
Le processus est très simple. Il y a atteinte à la sécurité des données. On détermine si cela pose un risque. Le cas échéant, une notification est émise. S'il est déterminé qu'il n'y a pas de risque, mais que l'atteinte peut être le symptôme d'un problème systémique ou de quelque chose de semblable, on doit tenir un registre. Du point de vue stratégique, ce changement est justifié du fait qu'une organisation qui est tenue de consigner et conserver des renseignements à ce sujet va nécessairement y porter une attention plus soutenue, ce qui lui permettra d'être mieux à même de déterminer s'il y a ou non un problème systémique.
Le projet de loi autorise le commissaire à la protection de la vie privée à exiger la production de ces registres à n'importe quel moment. Il n'y a pas de seuil applicable. Il n'est pas nécessaire que le commissaire ait des soupçons. Il peut simplement demander à voir les registres de l'entreprise.
Cela nous amène à la seconde partie de l'amendement qui porte sur l'obligation de tenir un registre.
Des témoins ont dit au comité que cette disposition les inquiétait. Quelle information allaient-ils devoir conserver dans le registre? Pendant combien de temps? Ils étaient préoccupés par le fardeau créé par cette mesure. La seule chose que je signalerais au comité, c'est que toutes ces dispositions précises seront établies dans la réglementation et qu'il sera possible de mener de vastes consultations.
La disposition sur la tenue d'un registre vise à conserver uniquement les renseignements qui sont nécessaires pour atteindre les deux objectifs dont j'ai parlé: s'assurer que l'entreprise y porte attention et donner au commissaire un mécanisme lui permettant d'exiger que l'entreprise rende des comptes sur l'évaluation du risque.
Quant à savoir si l'obligation de garder une trace d'une atteinte à la sécurité des données est incompatible avec d'autres dispositions, à notre connaissance, aucune loi fédérale n'interdit à une entreprise de conserver de l'information sur une atteinte à la protection des données. Pour ce qui est des dispositions précises, si l'on craignait qu'il y ait conflit, si par exemple, selon certaines dispositions, il faut conserver l'information pendant cinq ans et que selon une autre disposition, il faut la détruire après deux ans, tout cela se réglerait au cours du processus de réglementation. Il ne serait alors pas nécessaire d'inscrire « à moins qu'une règle de droit ne l'interdise » dans le projet de loi.
:
Merci, monsieur Hanson.
Y a-t-il d'autres observations au sujet des amendements LIB-3 et LIB-4?
Nous tiendrons deux votes. Nous allons d'abord mettre l'amendement LIB-3 aux voix.
(L'amendement est rejeté. [Voir le Procès-verbal])
Le président: Nous mettons maintenant l'amendement LIB-4 aux voix.
(L'amendement est rejeté. [Voir le Procès-verbal])
Le président:Il s'agit toujours de l'article 10. Nous passons à l'amendement NDP-12.
:
Merci, monsieur le président.
Dans le cadre des témoignages au sujet du projet de loi , nous avons entendu beaucoup d'opinions divergentes sur la mise en oeuvre d'un mécanisme d'avertissement concernant les atteintes aux données. C'est un point litigieux. Je me suis d'ailleurs longuement penchée sur cette question lors de la rédaction de mon projet de loi. Je parle ici du projet de loi , qui a malheureusement été défait à cause du Parti conservateur.
Au moyen de cet amendement, je veux proposer un seuil plus objectif. En effet, je souhaite que le commissaire à la protection de la vie privée du Canada soit responsable d'évaluer le préjudice que pourrait subir la personne dont les données ont été perdues, atteintes et ainsi de suite.
Cette loi ne touche pas seulement les grandes entreprises, mais également les petites entreprises. Or ces dernières ne disposent pas nécessairement des moyens nécessaires pour déterminer si l'atteinte aux données est sérieuse. Ces entreprises pourraient s'adresser au commissaire à la protection de la vie privée du Canada. Celui-ci connaît ces questions et est en mesure d'évaluer si l'atteinte aux données justifie que la personne soit avertie.
D'autre part, cet amendement permettrait au commissaire à la protection de la vie privée du Canada d'ordonner aux organisations d'informer les personnes concernées. Cela forcerait également les organisations à avertir les personnes et donnerait un peu plus de pouvoirs au commissaire. En effet, celui-ci pourrait s'assurer que la vie privée des individus faisant affaire avec les organisations est respectée.
Je pense que ce seuil est plus objectif, que cela permettrait une meilleure protection de la vie privée et que le fardeau incombant aux petites entreprises serait moins lourd.
Je vous remercie.
:
Monsieur le président, la seule chose que je dirais au comité, c'est que comme M. Hyer le souligne, l'amendement consiste à éliminer un seuil fondé sur les risques et à le remplacer essentiellement par une obligation d'aviser les personnes concernées si l'organisation croit qu'une personne non autorisée a eu accès à l'information.
Je veux soulever deux points. Premièrement, le commissaire à la vie privée a comparu devant votre comité et il préconise depuis longtemps une approche fondée sur les risques, en tenant compte du fait que nous ne voulons pas parler aux personnes des atteintes à la protection des renseignements personnels qui ne présentent pas de risque de préjudice. On veut qu'elles soient mises au courant de celles auxquelles elles doivent faire attention, car l'objectif d'aviser les gens est en partie de faire en sorte qu'ils prennent des mesures pour réduire les risques de préjudice, comme changer leur NIP, appeler leur banque et surveiller leurs relevés de carte de crédit. En créant un système par lequel on avise constamment les gens des atteintes qui ne présentent pas nécessairement de risque de préjudice, on risque de faire en sorte que les gens n'y prêteront plus attention et ne prendront plus les mesures voulues.
Deuxièmement, je veux parler de la loi sur le signalement des atteintes de la Californie. Les renseignements personnels couverts par cette loi sont limités comparativement à la LPRPDE. Dans le cadre de la LPRPDE, la définition de « renseignements personnels » inclut « tout renseignement concernant un individu identifiable », ce qui veut dire qu'un grand nombre de renseignements non sensibles sont inclus. Par opposition, la loi adoptée en Californie contient un sous-ensemble très précis de renseignements personnels, ce qui comporte des risques. Il s'agit de renseignements très sensibles. Si l'on regarde les deux, il est plus sensé que la loi californienne s'applique à toutes les atteintes à la protection des données et qu'elle ne comprenne pas cette approche axée sur le risque, car elle est déjà limitée quant aux renseignements personnels qu'elle couvre.
:
Aucun problème, monsieur le président.
Ces amendements portent sur les lignes qui élargissent considérablement les dispositions relatives à la communication de renseignements sans mandat à des organismes d'application de la loi et à des organismes gouvernementaux. Toutes les 27 secondes, on demande aux fournisseurs canadiens de services de télécommunications qui recueillent d'énormes quantités de données au sujet de leurs abonnés de divulguer des renseignements de base sur les abonnés à des agents d'application de la loi. En 2011 seulement, le nombre de divulgations s'élevait à un million.
La communication de renseignements sans mandat, qui figure dans le paragraphe 10.2(3) et le projet de loi , et également les dispositions sur la communication d'information du projet de loi créent un système de surveillance extrêmement inquiétant et ouvre la porte à un gouvernement « Big Brother ».
:
Merci, monsieur le président.
Je signale au comité que cette exception à l'obligation d'obtenir le consentement de l'intéressé est très restreinte. Elle se rapporte très spécifiquement à une situation d'atteinte à la protection des renseignements personnels. L'expérience a démontré que lorsqu'il y a une telle atteinte, si une organisation peut aviser des tiers que la sécurité de l'information a été compromise, cela lui permet de réduire le risque de préjudice.
Un exemple qui l'illustre parfaitement, c'est celui où la sécurité des numéros de carte de crédit des clients d'un détaillant est compromise. En avertissant la société émettrice de carte de crédit, le détaillant peut réduire le risque de préjudice en disant que la protection des numéros de 50 000 cartes de crédit est compromise. La société émettrice peut alors surveiller ces comptes pour s'assurer qu'il n'y a pas d'activités inhabituelles, et elle aide en fait le détaillant à trouver les coordonnées des personnes concernées de sorte qu'elles puissent être avisées directement de l'atteinte à la sécurité des données.
La disposition ne fournit une exception que dans cette situation. Lorsque dans une situation où il y a eu atteinte à la sécurité des renseignements personnels, on communique des renseignements personnels à un tiers de sorte qu'il puisse contribuer à réduire le risque de préjudice, il n'est pas nécessaire d'obtenir le consentement de l'intéressé au préalable. Dans l'exemple que j'ai donné, il n'est pas nécessaire de demander au client s'il consent à ce que l'on dise à la société émettrice que sa carte de crédit a été volée.
:
Je veux seulement préciser qu'il s'agit d'un amendement correspondant à un prochain amendement. C'est un peu embêtant, car l'autre amendement n'a pas encore été mis aux voix. L'objectif général est d'accorder des pouvoirs supplémentaires au commissaire à la vie privée, plus précisément le pouvoir de rendre des ordonnances, de sorte que nous puissions forcer les organisations qui ne respectent pas la LPRPDE à s'y conformer; l'examen effectué par le commissaire ne conduirait pas qu'à une simple recommandation — l'organisation devrait plutôt se conformer à une ordonnance.
Cela dit, je comprends qu'il y a de bons acteurs et que nous voulons certes faire en sorte que les organisations n'en arrivent pas à un point où une ordonnance est rendue, ou que certaines agissent de bonne foi. Beaucoup de gens agissent de bonne foi. Je crois que les amendements que je propose permettraient aux organisations de bénéficier d'une certaine période de temps pour se conformer à l'ordonnance du commissaire sans qu'il y ait de répercussions. Une fois que le délai est écoulé, il y aurait évidemment une certaine marge de manoeuvre pour des exceptions et des prolongations, mais si après une certaine période, l'organisation ne s'est toujours pas conformée à l'ordonnance, le commissaire aurait le droit d'intenter une action contre l'organisation, à qui la cour imposerait une sanction. Divers défenseurs du droit à la vie privée nous l'ont dit. C'est très important, car comme nous le voyons en ce moment, en particulier dans cette ère des mégadonnées où des organisations internationales viennent au Canada, des Canadiens utilisent ces services, mais ne tiennent pas du tout compte des recommandations du Commissariat à la protection de la vie privée. C'est extrêmement grave
Je vois que je suis censée parler de cet amendement, mais je suppose que je vais parler également de l'amendement NDP-14, car ils sont liés. Je crois qu'il nous faut plus que des accords de conformité. Ils constituent un bon point de départ, mais ce n'est pas suffisant. Ils ne permettent pas de garantir que le commissaire à la vie privée a les pouvoirs dont il a besoin pour s'assurer que la LPRPDE est respectée et ils n'incitent pas vraiment les organisations à respecter la vie privée des Canadiens, comme c'est le cas, malheureusement, en ce moment. Des témoins nous ont dit que l'accord de conformité est un bon départ. Je crois que tout le monde le dira, mais nous devons aller plus loin pour nous assurer qu'en cette ère des mégadonnées, le droit à la vie privée est protégé.
Je préciserais peut-être que je parlerai de l'amendement NDP-14 et, je suppose, de l'amendement NDP-15 également. Je parle des amendements NDP-13, NDP-14 et NDP-15, puisqu'ils sont fortement liés.
Merci.
:
Il pourrait aussi être utile de se pencher sur les amendements NDP-16 et NDP-18. Je crois qu'ils portent également sur les ordonnances.
Le pouvoir de rendre des ordonnances a fait l'objet de discussions durant le premier examen parlementaire. Durant cet examen, on a constaté que le modèle d'ombudsman, qui implique que le commissaire travaille en collaboration avec les organismes, est très efficace.
Je crois que c'est évident quand on examine le cas récent de Bell. Les gens connaissent bien le programme de publicité de Bell, qui s'appuyait sur des renseignements personnels que la société recueillait à propos de ses clients, précisément au sujet de leurs habitudes liées à l'utilisation de la télévision, du téléphone et d'Internet, et qui lui permettait de créer des profils qui étaient associés à des données démographiques. Après avoir reçu 170 plaintes en 2013, le commissaire a décidé de procéder à un vaste examen. Je sais, pour avoir discuté avec des représentants de Bell, qu'il y a eu beaucoup d'échanges entre Bell et le bureau du commissaire. Le commissaire a fait certaines constatations et a demandé à Bell de changer fondamentalement son modèle, selon lequel les gens devaient faire savoir qu'ils ne voulaient pas que leurs renseignements soient utilisés et ne pouvaient pas décider de faire partie du programme.
On avait aussi demandé au commissaire de formuler une série de recommandations, qui ont toutes été adoptées par Bell. Depuis que la LPRPDE existe, le commissaire a dû avoir recours aux tribunaux à seulement 17 reprises. Dans l'ensemble, 16 des 17 dossiers ont été réglés en cour, et dans le cas du 17e dossier, le commissaire a perdu sa cause en cour. Dans le cadre du modèle actuel, il n'a pas été souvent nécessaire de recourir aux tribunaux, ce qui démontre à mon avis qu'il est efficace. Le cas de Bell le montre bien.
Nous allons donc maintenant voter sur les amendements NDP-13, NDP-14, NDP-15 et NDP-16, mais séparément.
Qui est en faveur de l'amendement NDP-13?
(L'amendement est rejeté. [Voir le Procès-verbal])
Les articles 13 et 14 sont adoptés.
Le président: Passons maintenant au vote sur l'amendement NDP-14.
(L'amendement est rejeté. [Voir le Procès-verbal])
(Article 15)
Le président: Nous votons maintenant sur l'amendement NDP-15, dont on a déjà parlé.
(L'amendement est rejeté. [Voir le Procès-verbal])
Le président: Nous allons maintenant passer à l'amendement PV-20.
Monsieur le président, cet amendement reprend essentiellement le projet de loi de Mme Borg, qui est un excellent modèle à notre avis. Nous voulons la féliciter pour sa compétence et son travail acharné dans ce dossier.
La mise en place d'accords de conformité constitue un pas dans la bonne direction, mais le pouvoir de rendre des ordonnances nécessite des mesures réglementaires comme des sanctions administratives et pécuniaires. En l'absence de ce genre d'incitatifs — vous pourriez même appeler cela une menace — il est difficile de comprendre pourquoi un organisme conclurait un tel accord. Des réformes s'imposent, notamment la création de véritables sanctions afin d'assurer la conformité.
Je vous remercie, monsieur le président.
(L'amendement est rejeté. [Voir le Procès-verbal])
(L'article 15 est adopté avec dissidence.)
(L'article 16 est adopté avec dissidence.)
:
Le titre est-il adopté?
Des voix: D'accord.
Une voix: Avec dissidence.
Le président: Le projet de loi est-il adopté?
Des voix: D'accord.
Le président: Le président doit-il faire rapport de l'adoption du projet de loi à la Chambre?
Des voix: D'accord.
Le président: Chers collègues, je vous remercie beaucoup, et je remercie également les représentants du ministère pour leur expertise.
Comme il n'y a pas d'autres points à l'ordre du jour, la séance est levée.