ETHI Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique
|
l |
|
l |
|
TÉMOIGNAGES
Le mardi 27 septembre 2016
[Enregistrement électronique]
[Traduction]
Chers collègues, commençons.
Bonjour.
Nous en sommes à la 24e réunion du Comité. Il s'agit de la troisième ou quatrième réunion dans le cadre de notre étude sur la Loi sur la protection des renseignements personnels. Nous sommes ravis aujourd'hui d'accueillir encore une fois des témoins de haut calibre.
Nous entendrons Colin Bennett, professeur du Secteur sciences politiques de l'Université de Victoria, et Michel Drapeau, professeur de la Faculté de droit de l'Université d'Ottawa, qui a déjà comparu ici sur la Colline.
Nous entendrons également Gary Dickson et Kellie Krake de l'Association du Barreau canadien.
Je vous souhaite tous la bienvenue. Nous avons bien hâte de vous entendre. Chaque organisation ou intervenant disposera de 10 minutes. Nous avons un service d'interprétation et afin que nous puissions en bénéficier, je vous demanderais de parler lentement et de bien articuler.
C'est vous, monsieur Bennett, qui commencerez. Vous avez jusqu'à 10 minutes.
Merci beaucoup, monsieur le président. Je suis heureux de comparaître aujourd'hui.
Je suis professeur de sciences politiques à l’Université de Victoria. Je suis actuellement en congé sabbatique à l'Université de Toronto, ce qui fait que je ne suis pas venu d'aussi loin que Victoria aujourd'hui.
Je suis l'auteur et l'éditeur de plusieurs ouvrages sur le sujet de la protection des renseignements personnels, à la fois dans un contexte comparatif et historique; c'est ma spécialisation. Je suis généralement connu pour mes travaux comparatifs sur la gouvernance en matière de protection de la vie privée dans le secteur public et le secteur privé.
J'aimerais commencer en vous parlant de l'historique de la Loi sur la protection des renseignements personnels et la raison pour laquelle elle a vu le jour, car il me semble que le contexte historique est important.
Lorsque la Loi sur la protection des renseignements personnels a été adoptée, seulement quelques pays, dont la majorité était en Europe, avaient adopté un texte législatif quelconque sur la protection de la vie privée. La promulgation de cette loi a suscité peu de débats publics, médiatiques ou parlementaires. Elle était motivée en grande partie par l’adoption connexe de la Loi sur l’accès à l’information et par la nécessité de veiller à ce que les deux régimes soient pleinement compatibles au chapitre des exemptions.
Cependant, son titre est erroné. La loi régit seulement un sous-ensemble des nombreuses questions et préoccupations qui concernent les « renseignements personnels ». En fait, il s’agit davantage d’une loi sur la protection des données. C'est le terme qui est utilisé normalement en Europe pour parler de la réglementation visant la collecte, le traitement, le stockage et la communication de renseignements permettant d’identifier des personnes.
Comme le commissaire à la protection de la vie privée et d’autres personnes l’ont souligné, la Loi sur la protection des renseignements personnels a grandement besoin d’être modernisée. Il s’agit d’une loi de première génération, mais nous sommes désormais deux ou trois générations plus tard. En raison de l’absence de réforme, une grande partie du contenu de la loi se trouve dans diverses directives du Secrétariat du Conseil du Trésor, qui peuvent parfois être ignorées ou interprétées de façon sélective.
Selon moi, la loi est également fondée sur l’hypothèse désuète selon laquelle les renseignements gouvernementaux sont contenus dans des banques de données bien définies qu’il est possible de répertorier, de gérer et de régir. Elle se fonde également sur la fausse hypothèse selon laquelle la principale menace à la vie privée émane de la bureaucratie et non du secteur privé. Actuellement, plus d’une centaine de pays dans le monde ont une solide loi en matière de protection des données et la quasi-totalité de ces lois régissent les pratiques à la fois des organismes gouvernementaux et des sociétés privées.
Compte tenu de la complexité de notre régime fédéral, cette solution n'allait jamais convenir au Canada. Nous sommes pris avec un legs dont il est difficile de se débarrasser. À mon avis, il faut modifier la loi d'une façon qui assure le maintien des principes fondamentaux de protection de la vie privée et englobe les idées contemporaines sur les meilleurs moyens de protéger les données personnelles dans un environnement réseauté, permettant ainsi à des organismes de communiquer plus librement et instantanément des données personnelles au sein de leur propre organisation et à d’autres organismes. La principale différence entre les lois sur la protection des données des années 1980 et 1990 et celles du XXIe siècle réside dans le fait que ces dernières comportent un ensemble plus diversifié d'outils ou d’instruments servant à protéger la vie privée.
De façon générale, je suis d’accord avec toutes les recommandations proposées par le commissaire à la protection de la vie privée dans son mémoire déposé en mars dernier. Je ne m'oppose à aucune de ses suggestions, mais j’aimerais me concentrer, pendant les minutes qu'il me restent, sur quatre aspects de la réforme mentionnés dans son mémoire: la déclaration des atteintes à la vie privée, les évaluations des facteurs relatifs à la vie privée, les pouvoirs du commissaire à la protection de la vie privée et la communication de renseignements.
En guise de conclusion, je formulerai aussi quelques commentaires sur la collecte de données personnelles par les partis politiques fédéraux. Je sais que vous avez posé des questions à ce sujet aux témoins lors de vos séances précédentes. J'ai effectué des recherches et j'ai beaucoup publié dans ce domaine. J'aimerais faire quelques observations.
Tout d'abord, en ce qui concerne la déclaration des atteintes à la vie privée, la fréquence des atteintes au sein du gouvernement fédéral est frappante. Ces atteintes coûtent de l’argent, et elles ébranlent la confiance et entachent la réputation. La déclaration obligatoire des atteintes à la vie privée est une caractéristique des lois modernes en matière de protection de la vie privée. La LPRPDE, qui a été modifiée, exige désormais dans certaines circonstances la déclaration de ces atteintes dans le secteur privé au Canada.
Il est également essentiel de jumeler le bâton de la déclaration obligatoire des atteintes à la vie privée et la carotte, qui prévoit que la déclaration n'est pas nécessaire si les données sont chiffrées et qu'on a pris les mesures techniques nécessaires pour protéger les données. À ce moment-là, on n'est pas exonéré de toute responsabilité, mais il y a moins à faire pendant le processus de déclaration.
Les agences et organisations doivent avoir un incitatif pour chiffrer leurs données. Je recommande donc fortement que tout régime de déclaration obligatoire des atteintes à la vie privée soit assorti d'exigences législatives expresses prévoyant des mesures de protection physiques, organisationnelles et techniques, semblables à celles qui sont prévues aux termes de la LPRPDE.
Deuxièmement, les évaluations des facteurs relatifs à la vie privée font partie de la protection de la vie privée depuis la fin des années 1990, et le Canada était l'un des premiers pays à les examiner sérieusement, ainsi que leur rôle. Idéalement, elles devraient être effectuées en continu ou à répétition, et non uniquement faire partie d'une liste de contrôle. Elles sont conçues pour servir d'alerte rapide, et elles sont particulièrement importantes lorsque de nouveaux programmes et services pouvant entraîner des répercussions importantes sur la vie privée sont envisagés ou font l'objet de modifications. L'expérience montre, cependant, qu'elles sont plus susceptibles d'être efficaces si elles sont intégrées à des procédures administratives déjà en vigueur, comme l'approvisionnement en outils technologiques, les demandes budgétaires, et ainsi de suite.
Le Commissariat à la vie privée a signalé que la qualité des évaluations effectuées au gouvernement fédéral est très inégale, car aucune disposition législative ne les exige, au contraire de ce qui se passe dans d'autres pays et dans certaines provinces. Par conséquent, j'appuie fortement la recommandation du commissariat selon laquelle les directives actuelles du SCT devraient avoir force de loi.
Troisièmement, en ce qui concerne les pouvoirs du commissaire à la vie privée, lorsque la Loi sur la protection des renseignements personnels a été adoptée, on ne pensait pas que le commissaire assumerait un rôle différent de celui d'un ombudsman habituel, conformément à la tradition parlementaire générale, et une bonne partie des dispositions de la Loi portent sur le processus d'enquête sur les plaintes. C'est extrêmement important.
Ce que j'aimerais vous dire, en me fiant à mon expérience et à ma recherche, c'est que les pouvoirs les plus importants d'un commissaire à la protection de la vie privée sont ceux qui, comparativement, sont proactifs et de nature générale ou systématique, plutôt que ceux qui sont réactifs et centrés sur l'individu. J'aimerais que la Loi soit modifiée de façon à prévoir davantage de pouvoirs proactifs. Cela comprend l'autorité de rendre des ordonnances. Le commissaire peut uniquement formuler des recommandations non contraignantes; il ne peut obliger un organisme public à prendre des mesures ou à mettre fin à des mesures sans l'intervention des tribunaux.
Je sais qu'on en a beaucoup parlé au cours des dernières années. Je suis encouragé par le fait que le commissaire à la protection de la vie privée a épousé le point de vue selon lequel il doit détenir l'autorité de prendre des ordonnances, telle qu'elle est exercée par les commissaires en Colombie-Britannique et en Alberta. Je crois que c'est une progression naturelle.
Le commissaire devrait manifestement se voir confier un mandat clair en matière de recherche et d'éducation du public, comme celui prévu dans la LPRPDE. Il occupe ce rôle de toute façon. Ce n'est pas contre la loi et cette activité ne devrait pas être controversée. Une agence gouvernementale devrait également être tenue de le consulter sur les ébauches de projet de loi et de règlement contenant des dispositions portant sur la protection de la vie privée avant que ces textes ne soient déposés. C'est le commissaire qui l'a suggéré et cela va de soi. On ne devrait y voir aucune controverse.
Enfin, en ce qui concerne la communication de renseignements, à mon avis, la Loi sur la protection des renseignements personnels s'est avérée inefficace pour ce qui est de réglementer la communication de renseignements personnels entre des organismes gouvernementaux. Je ne m'y attarderai pas maintenant; mon mémoire fournit une analyse plus détaillée. Le Commissariat à la protection de la vie privée a recommandé que toute communication de renseignements entre organismes se fasse par écrit. Le problème, c'est l'exemption « usages compatibles » qui devait à l'origine servir dans des circonstances exceptionnelles, uniquement lorsque les organismes devaient communiquer des données à des fins non prévues, et ces données ne figuraient donc pas dans Info Source.
Si l'on consulte le site Info Source maintenant, vous y verrez toute une liste d'usages compatibles. Je crois que c'est excessif et il va falloir faire un bon ménage. Les exigences devraient être consignées par écrit.
En guise de conclusion, j'aimerais vous parler de la collecte et du traitement des données personnelles par les partis politiques fédéraux. Si j'ai bien compris, le Comité s'y est déjà intéressé. Je me ferais un plaisir de répondre à vos questions à ce sujet. J'ai rédigé un rapport sur la question pour le compte du Commissariat à la protection de la vie privée en 2012, et j'ai témoigné devant votre Comité il y a deux ou trois ans lorsque vous vous êtes penchés sur les médias sociaux et le réseautage social en marge d'une étude à ce sujet.
Les partis politiques sont en grande partie exemptés de l'application des lois canadiennes en matière de protection de la vie privée. Ils ne sont pas régis par la LPRPDE ni par d'autres lois provinciales semblables, à l'exception de la Personal Information Protection Act de la Colombie-Britannique. Comme il ne s'agit pas d'organismes gouvernementaux, ils ne sont pas régis par la Loi sur la protection des renseignements personnels, et ils sont en grande partie exemptés de l'application de la nouvelle loi antipourriel, ainsi que de la réglementation concernant les abonnés exclus administrées par le CRTC.
De ce fait, la plupart des gens n'ont pas légalement le droit de savoir quels renseignements figurent dans les bases de données des partis politiques, qui sont bien garnies, ni d'accéder à ces données et de les rectifier, ni de retirer leurs noms des systèmes ou de limiter la collecte, l'utilisation et la communication de leurs renseignements personnels. La plupart des partis ne sont pas légalement obligés d'assurer la sécurité de ces renseignements, de les conserver seulement pendant la période nécessaire, ou d'exercer un contrôle sur ceux qui y ont accès.
Je ne soutiens pas que la Loi sur la protection des renseignements personnels est l'instrument législatif approprié pour remédier à ce problème, car il serait également problématique de faire respecter la LPRPDE par les partis, mais comme j'ai effectué énormément de recherches à ce sujet, je voulais vous prévenir qu'il s'agit d'une lacune immense du régime canadien de protection de la vie privée, et à mon avis, il faut y remédier de toute urgence.
Je vais m'arrêter maintenant. Merci de votre attention. Je me ferai un plaisir de répondre à vos questions et j'espère vous présenter un mémoire plus détaillé ultérieurement.
Monsieur le président, mesdames et messieurs, merci de m'avoir donné l'occasion de commenter la proposition avancée par le commissaire à la protection de la vie privée dans ses lettres datées du 22 mars et du 13 septembre.
Je me ferai bref, mais permettez-moi d'énumérer les recommandations avec lesquelles je suis d'accord, sans les commenter toutefois.
Je suis d'accord en principe avec 11 des recommandations avancées par le commissaire, c'est-à-dire les recommandations allant de 1 à 4, 6 à 8 et 11, 12, 14 et 16.
Je m'oppose toutefois à six de ces recommandations. Permettez-moi de vous expliquer rapidement pourquoi.
Commençons par la recommandation 5, qui porte sur l'utilisation accrue des recours judiciaires et des remèdes en vertu de l'article 41. La seule raison pour laquelle je m'y oppose c'est qu'elle ne va pas assez loin. Je crois que l'un des recours les plus importants dont peut se saisir un plaignant, c'est de faire traiter sa plainte dans un délai raisonnable. Or, ce n'est pas ce qui se passe actuellement. Je recommande qu'un délai soit imposé au Commissariat à la protection de la vie privée pour ce qui est des conclusions et des recommandations.
La recommandation 9 consiste à fournir au commissariat un mandat très clair pour ce qui est de la recherche et de l'éducation du public. Je ne suis pas d'accord. La Loi sur la protection de la vie privée existe depuis 33 ans. Ce n'est pas un texte juridique compliqué. Sa portée, plutôt limitée, vise exclusivement les renseignements personnels détenus par le gouvernement fédéral. Je ne crois pas qu'il faille éduquer les membres du public sur le droit d'accéder à leurs renseignements personnels. Je prévois qu'une telle tâche supplémentaire contribuerait considérablement à la bureaucratie déjà lourde du commissariat.
Je suis d'avis que l'éducation du public et la recherche, si elles s'avèrent nécessaires, devraient être confiées aux universités et aux établissements de recherche, ou encore aux associations du barreau.
La recommandation 10 prévoit un examen quinquennal de la Loi. Je ne crois pas qu'il soit nécessaire d'en faire l'examen aussi fréquemment. Je ne dis pas qu'il faille le faire tous les 10 ans, mais 5 ans, c'est certainement trop fréquent.
La recommandation 13 vise à accorder au commissariat le pouvoir discrétionnaire d'interrompre ou de refuser les plaintes dans des circonstances particulières. Aux termes de la Loi sur la protection de la vie privée, les Canadiens jouissent d'un droit quasi constitutionnel qui consiste à accéder à leurs renseignements personnels et à se plaindre auprès du Commissariat à la protection de la vie privée s'ils estiment que leurs droits ont été violés. Il me semble que nous aurions tort d'accorder un tel pouvoir au commissaire, qui aurait le pouvoir discrétionnaire de refuser d'enquêter sur une plainte, car le plaignant se trouverait privé de son droit et de tout recours éventuel devant les tribunaux.
La recommandation 15 vise à étendre la portée de la Loi. Le commissaire recommande que le droit d'accès soit accordé aux étrangers. Je ne suis pas d'accord, du moins pour l'instant.
À l'heure actuelle, le Commissariat à la protection de la vie privée est l'un des tribunaux qui traitent le plus lentement les plaintes au Canada. À titre d'exemple, j'ai déposé une plainte qui est en cours de traitement depuis juin 2012. Nous avons appris récemment que nous ne devrions pas nous attendre à recevoir les conclusions avant décembre 2016. Il a fallu attendre quatre ans. Je reconnais que le cas est fort complexe, mais il a tout de même fallu attendre quatre ans.
Si l'on lit le rapport du commissariat de l'année dernière, car le rapport de cette année sera déposé quelque temps aujourd'hui, nous savons déjà que le traitement des dossiers accuse un retard d'un an. Quiconque dépose une plainte aujourd'hui devra attendre au moins un an pour se trouver à la tête de la file. Je vous dis que ce serait de la folie d'étendre la portée de la Loi aux étrangers avant que nous ne puissions fournir aux Canadiens le service qu'ils méritent.
Je dois maintenant vous parler du fait que dans sa lettre datée du 13 septembre, le commissaire rejette la recommandation qu'il a faite six mois plus tôt.
J'ai déjà indiqué que j'étais d'accord avec la recommandation, proposée le 22 mars, selon laquelle on instaurerait un système hybride pour les enquêtes sur les plaintes. Je suis d'accord. Je m'oppose fortement toutefois à ce que le commissaire propose dans sa lettre de septembre dans laquelle il demande le pouvoir de rendre des ordonnances.
[Français]
Je m'explique mal la volte-face faisant en sorte que le commissaire demande maintenant l'octroi du pouvoir de rendre des ordonnances plutôt que le modèle hybride. Comme lui, je cite le rapport du juge LaForest. Ce dernier nous a prévenu qu'une telle transformation serait coûteuse, qu'elle pourrait retarder encore davantage le processus d'enquête et que, pis encore, cela pourrait mener à une audience à huis clos.
Je vais maintenant citer des propos du juge LaForest qui figurent dans le document du commissaire à la protection de la vie privée. La citation va comme suit:
Un modèle quasi judiciaire prévoyant la délivrance d’ordonnances risque de devenir trop formaliste, et d’aboutir à un processus presque aussi coûteux et gruge-temps que les instances judiciaires. On peut également soutenir que l’absence du pouvoir de rendre des ordonnances permet à l’ombudsman conventionnel d’adopter une position plus ferme à l’égard du gouvernement qu’une autorité quasi judiciaire. Il y a également un certain intérêt à confier le règlement des questions litigieuses d’accès et de protection de la vie privée aux tribunaux, où les instances sont généralement publiques.
Je vous remercie de votre attention.
[Traduction]
Merci beaucoup, monsieur Drapeau.
Nous passons maintenant à M. Dixon, qui parlera au nom de l'Association du Barreau. Vous aurez 10 minutes. Ou est-ce Mme...?
Merci de nous avoir invités à présenter l'opinion de l'ABC sur les modifications à la Loi sur la protection des renseignements personnels.
L'ABC est une association nationale qui regroupe environ 36 000 juristes, étudiants en droit, notaires et professeurs. Le mandat de l'ABC vise notamment l'amélioration du droit et l'administration de la justice. C'est donc dans cette perspective que nous comparaissons aujourd'hui.
Notre mémoire sur les modifications à la Loi sur la protection des renseignements personnels a été rédigé par la Section du droit de la vie privée et de l'accès à l'information de l'Association du Barreau canadien. Je suis accompagnée de Gary Dickson, directeur de cette section. Il a été le premier commissaire à la protection de la vie privée de la Saskatchewan, poste qu'il a occupé pendant 10 ans. Il a également siégé à l'Assemblée législative de l'Alberta pendant neuf ans, et avait la responsabilité particulière du portefeuille des lois en matière d'accès à l'information et de protection de la vie privée.
M. Dickson vous présentera maintenant l'essentiel de notre mémoire et répondra à vos questions.
Vous avez sans doute déjà pris connaissance du mémoire écrit de l'Association du Barreau canadien (ABC) en réponse aux 16 recommandations formulées par le commissaire à la protection de la vie privée, tout au moins dans la forme où elles se présentaient lorsque le commissaire a écrit à votre Comité le 22 mars dernier.
L'ABC demeure persuadée que cette loi adoptée en 1983 aurait dû être modifiée depuis longtemps. La Loi sur la protection des renseignements personnels s'applique à plus de 200 organisations gouvernementales qui recueillent, utilisent et diffusent de grandes quantités de renseignements personnels concernant les Canadiens. L'ABC appuie 13 des recommandations formulées. Permettez-moi de vous exposer notre façon de voir les choses relativement aux trois recommandations au sujet desquelles nous avons quelques réserves.
La recommandation 6 est peut-être la plus importante. On y traite en effet du rôle et des pouvoirs du commissaire à la protection de la vie privée. L'ABC est parfaitement d'accord avec le commissaire lorsqu'il dit que le modèle actuel de l'ombudsman doit être changé. Rappelons qu'en vertu de ce modèle, le commissaire dispose de vastes pouvoirs d'enquête, lesquels ne lui permettent toutefois en définitive que de proposer des recommandations pouvant être acceptées en tout ou en partie ou carrément rejetées. C'est le modèle actuellement en place au Yukon, dans les Territoires du Nord-Ouest, au Nunavut, en Saskatchewan, au Manitoba, en Nouvelle-Écosse et au Nouveau-Brunswick.
Si le Comité convient qu'un changement s'impose effectivement, il y a essentiellement deux modèles envisageables dans le contexte canadien pour appuyer ce rôle des plus important. Il y a d'abord le modèle fondé sur un pouvoir d'ordonnance en vertu duquel le commissaire agit en fait à titre de tribunal administratif. Il peut alors rendre des ordonnances contraignantes pour les organisations gouvernementales. C'est le modèle qui a été adopté en Colombie-Britannique, en Alberta, en Ontario, au Québec et à l'Île-du-Prince-Édouard.
Nous préconisons comme solution de rechange le nouveau modèle conçu et mis en oeuvre à Terre-Neuve-et-Labrador au moyen des modifications apportées en juin 2015 à la loi provinciale sur l'accès à l'information et la protection des renseignements personnels. Vous trouverez d'ailleurs une description de ce modèle amélioré d'ombudsman à la page 10 de notre mémoire.
Je sais que vous avez eu l'occasion d'entendre les auteurs du rapport charnière produit à Terre-Neuve par le comité présidé par Clyde Wells, et que vous êtes donc au fait des motifs justifiant les recommandations mises de l'avant. À la lumière de l'analyse que nous en avons faite, nous pouvons vous dire que le modèle amélioré d'ombudsman est celui qui est privilégié par l'ABC.
En n'oubliant pas que le commissaire à la protection de la vie privée vient tout juste de se raviser pour accorder son appui au modèle fondé sur un pouvoir d'ordonnance, plutôt qu'au modèle amélioré d'ombudsman, nous avons pensé qu'il serait utile de vous présenter un aperçu des avantages et des inconvénients des deux modèles considérés.
Le modèle fondé sur un pouvoir d'ordonnance aurait pour avantage de permettre une harmonisation plus étroite avec les modèles internationaux utilisés pour la protection des données. C'est ce que l'on peut constater aux États-Unis avec les commissions fédérales du commerce et des communications, de même qu'au Royaume-Uni et au Mexique. La plupart des instances européennes de protection des données ont également opté pour un tribunal semblable doté de pouvoirs d'ordonnance.
Il va de soi que l'autorité de surveillance pourra obtenir des réponses plus rapidement une fois l'enquête officiellement enclenchée. Dans les provinces qui ont opté pour les pouvoirs d'ordonnance, le commissaire obtient en effet des réponses plus facilement et plus rapidement lorsqu'il fait enquête. Bien évidemment, les institutions gouvernementales seraient plus nombreuses à donner suite à une telle démarche alors qu'elles ne l'auraient pas nécessairement fait pour une recommandation du commissaire. Cela dit, j'ai déjà entendu la commissaire à l'information indiquer que la plupart de ses recommandations sont désormais acceptées sans qu'une ordonnance soit nécessaire.
Pour ce qui est des inconvénients, le processus est généralement plus structuré et moins dynamique dans le cas d'un tribunal administratif. Le plus souvent, l'obligation stricte d'assurer l'équité procédurale a pour effet de prolonger les délais de traitement d'un dossier. Il pourrait s'ensuivre des retards encore plus longs que ce que l'on connaît actuellement, et assurément une marge de manoeuvre plus restreinte pour le commissaire. Le processus sera moins convivial pour vos commettants et pourrait être plus intimidant pour les gens qui auraient à formuler une plainte auprès d'un commissaire doté de pouvoirs d'ordonnance. Il y aurait probablement scission du personnel en deux groupes distincts, soit d'une part les agents de réception des plaintes et les médiateurs, et d'autre part les arbitres et les agents d'audience. Il y aurait pour ainsi dire un mur entre ces deux groupes au sein du même bureau.
Le modèle amélioré de l'ombudsman a pour principal avantage un processus moins structuré et plus souple qui devrait selon nous être plus convivial pour vos commettants. En permettant au commissaire de demander des comptes aux organisations gouvernementales afin qu'elles fournissent des réponses et des documents pertinents dans les délais prescrits, ce que la loi en vigueur ne l'autorise pas à faire, on contribuera grandement à accélérer le processus. Comme on vous l'a déjà indiqué, le processus est souvent long et ardu, surtout lorsqu'il s'agit d'obtenir la collaboration des institutions gouvernementales pour avoir accès aux documents et aux renseignements dont on a besoin. Nous estimons que les nouveaux pouvoirs proposés pour un meilleur contrôle du processus d'enquête permettront de réaliser des gains d'efficience.
Le modèle amélioré d'ombudsman transfère aux organisations gouvernementales le fardeau d'établir qu'il y a effectivement eu atteinte à la vie privée. Il s'agit selon nous d'un changement tout à fait approprié. Si une institution gouvernementale n'est pas satisfaite de la décision rendue par le commissaire, c'est à elle qu'il incombe de s'adresser aux tribunaux pour obtenir une décision finale.
Par ailleurs, nous croyons qu'il sera plus facile pour le commissariat de faire la transition vers le modèle amélioré d'ombudsman que vers un modèle qui s'appuie sur des pouvoirs d'ordonnance. À ce sujet, l'un des gestionnaires du Commissariat à l'accès à l'information et à la protection de la vie privée de Terre-Neuve-et-Labrador avec lequel je discutais récemment m'indiquait que le nouveau système en place depuis un an seulement fonctionnait très bien. À son avis, les résultats sont excellents.
Le fait que le système n'est en place que depuis un an est aussi le principal inconvénient. Comme Terre-Neuve n'a mis en oeuvre le nouveau processus qu'en juin 2015, le temps d'évaluation est plutôt limité. Nous devons toutefois noter que le système semble pour l'instant bien fonctionner.
La recommandation 8, soit l'exigence de consultation préalable, nous pose également des difficultés. Il faut noter que l'article 6.2.12 de la Politique sur la protection de la vie privée du Conseil du Trésor exige déjà que l'on avise le commissaire
de toute initiative prévue (loi, règlement, politique, programme) pouvant avoir rapport avec la Loi sur la protection des renseignements personnels ou l'une de ses dispositions, ou pouvant avoir une incidence sur la vie privée des Canadiens et des Canadiennes. Cet avis doit être transmis suffisamment tôt pour permettre au commissaire d'examiner les enjeux et d'en discuter.
Nous ne savons pas dans quelle mesure les organisations gouvernementales se conforment à ces dispositions, mais celles-ci demeurent tout à fait claires et bien avisées.
Nous convenons qu'il est important de mener des consultations sans tarder, mais nous nous demandons s'il est réaliste de vouloir en faire une condition préalable à la première lecture d'un projet de loi. À la lumière de mon expérience comme leader à la Chambre de l'opposition officielle au sein d'une législature provinciale, je peux vous dire qu'il arrive de temps à autre que des projets de loi doivent être présentés malgré un court préavis. C'est peut-être parce que la session tire à sa fin ou qu'il est nécessaire de présenter rapidement le projet de loi, non pas pour écourter sa période d'étude, mais plutôt pour permettre de plus amples consultations. Dans la plupart des cas, il convient effectivement d'offrir un préavis suffisant, mais je peux penser à certaines situations où il ne serait pas utile ou réaliste d'imposer des exigences quant à la période de préavis.
Pour ce qui est de la recommandation 16 concernant les exceptions en ce qui a trait aux demandes d'accès aux renseignements personnels, je me contenterai de vous dire que nous ne sommes pas parvenus à dégager un consensus au sein de l'ABC. C'est l'un des rares cas où il y a divergence d'opinions entre la commissaire à l'information et le commissaire à la protection de la vie privée. Nous reconnaissons que la plupart des provinces s'appuient sur un critère à deux volets de la sorte. Il faut d'abord établir qu'il y a eu atteinte à la protection des renseignements personnels pour ensuite déterminer si la divulgation constituerait une violation illégale ou injustifiée de la vie privée. Nous ne sommes donc pas arrivés à nous entendre à ce sujet. Il faut dire que l'ABC regroupe un large éventail d'avocats dont les clientèles et les points de vue peuvent être fort variés. Dans les circonstances, il nous est impossible d'aider le Comité sur cette question en lui soumettant une recommandation ou une proposition concrète.
Je vous remercie du temps que vous nous consacrez et de l'occasion que vous nous donnez de prendre la parole aujourd'hui. Je me ferai un plaisir de répondre à toutes vos questions avec ma collègue de l'Association du Barreau canadien.
Un grand merci à nos éminents témoins
Nous passons maintenant à un premier tour de questions avec quatre membres du Comité.
Le premier sera M. Massé. Vous avez la parole.
[Français]
Mesdames et messieurs les témoins, je vous remercie de participer à cet exercice important pour nous.
J'aimerais vous poser une question de nature pratique. Nous avons le souci évident de protéger les renseignements personnels dans un contexte que vous connaissez. Le gouvernement fédéral est une organisation immense, qui compte plusieurs ministères et agences. Dans le cadre de plusieurs programmes, on recueille des renseignements personnels.
De façon pratique, dans un tel contexte, comment fait-on pour combiner la nécessité de protéger les renseignements personnels avec la nécessité d'offrir aux citoyennes et aux citoyens canadiens des services qui soient efficaces, moins coûteux et plus modernes grâce à la technologie?
Je pose la question à l'ensemble du groupe d'experts.
Je pense que notre fonction publique est très bien renseignée. Elle est très bien outillée pour fournir des renseignements et des soumissions en tenant compte des questions de vie privée. Ce n'est pas la mer à boire.
Les gens savent que certains de leurs renseignements personnels sont inscrits dans des documents qui appartiennent aux différents ministères. De par ma pratique, je fais affaire régulièrement avec différentes instances gouvernementales. Dans les échanges de correspondance ou de documents, tout un chacun est conscient de cette nécessité d'appliquer la loi telle qu'elle est.
Un peu plus tôt, je mentionnais que la loi n'était pas particulièrement complexe. En réalité, elle ne l'est pas. Il faut faire attention à certaines nuances, mais en réalité, on connaît les composantes d'un document qui contient de l'information personnelle. Il faut se fier au bon jugement de chacun des fonctionnaires, qui peuvent appeler des experts, si nécessaire, pour demander s'ils peuvent divulguer cette parcelle d'information.
[Traduction]
Merci pour cette question vraiment importante.
Lorsqu'il s'agit de légiférer aux fins de la protection de la vie privée, comment trouver le juste équilibre entre les droits de l'individu et les besoins légitimes des agences gouvernementales qui doivent servir la population?
La Loi sur la protection des renseignements personnels est fondée sur le principe théorique suivant lequel les particuliers qui fournissent des renseignements à une organisation le font dans un but précis, circonscrit et connu de tous. Ce principe est mis en péril par les activités de traitement des données des instances gouvernementales et privées qui semblent croire en cette ère de l'analyse des mégadonnées qu'elles peuvent puiser des renseignements dans différents silos et les mettre en corrélation de manière à appuyer les efforts déployés dans la mise en oeuvre des politiques publiques.
Comme je l'ai indiqué, la Loi sur la protection des renseignements personnels est fondée sur la présomption désuète voulant que les renseignements soient catégorisés et conservés en silos dans des banques de données. Je pense qu'il est de plus en plus difficile de prêter foi à une telle présomption. Info Source est un outil qui a fait son temps et qui est adapté à la réalité d'il y a 30 ans.
Enfin, le gouvernement pourrait améliorer grandement la situation s'il pouvait mettre en oeuvre ses politiques publiques et offrir ses services sans utiliser des renseignements personnels permettant d'identifier une personne. Pour répondre à votre question, il faut dépersonnaliser l'information en la rendant anonyme de façon appropriée afin qu'elle ne puisse pas servir à toutes les fins. Il s'agit d'intégrer la protection de la vie dès l'étape de la conception. Le commissaire à la protection de la vie privée devrait pouvoir compter sur des outils semblables, et le tout devrait être mieux balisé dans la Loi.
[Français]
Merci, monsieur Bennett.
Monsieur Dickson, si vous me le permettez, j'aimerais poser une sous-question à M. Bennett à propos d'un élément dont il a parlé en réponse à ma question.
Vous dites que de préparer un répertoire des banques de renseignements personnels, ce qu'on appelle Info Source, est possiblement une énorme perte de temps et d'énergie. J'aimerais comprendre davantage ce que vous voulez dire exactement. Quelles seraient les propositions tangibles pour pouvoir améliorer cet aspect des besoins?
[Traduction]
Des spécialistes de la protection des renseignements personnels ainsi que du commissariat indiquent que c'est un outil qui est généralement peu utilisé. Il est rarement à jour et cause bien des tracas aux ministères qui doivent l'alimenter et définir ses modalités d'utilisation.
Je vois certes l'utilité que peut avoir un mécanisme semblable lorsqu'on essaie de réglementer les échanges de renseignements, mais je me demande parfois s'il ne s'agit pas d'une exigence bureaucratique qui n'a plus sa raison d'être.
[Français]
[Traduction]
Merci de me permettre de répondre.
Votre question est sans doute assez semblable à celle que les législateurs et les parlementaires ont dû se poser il y a 30 ans lorsqu'ils s'employaient à mettre en place un régime capable de protéger adéquatement la vie privée des Canadiens tout en permettant la cueillette, l'utilisation et la divulgation des renseignements personnels nécessaires pour assurer la sécurité des citoyens et leur offrir les services dont ils ont besoin et auxquels ils s'attendent.
En 1980, une commission royale ontarienne a produit un rapport en sept volumes traitant de cette même question. Comme la loi est en vigueur depuis plus de 30 ans, ce n'est certes pas l'expérience qui manque.
Nous nous efforçons d'être à la hauteur dans ce monde en constante évolution qui regorge de menaces et de défis en matière de protection de la vie privée. Pour ce faire, nous faisons montre de souplesse et nous misons sur des mesures de protection tous azimuts. Il faut adopter des lois permettant d'agir en ce sens, un exercice auquel vous vous livrez actuellement avec vos collègues. Vous avez besoin d'une agence de surveillance des renseignements personnels ou, comme le dirait Colin, d'une agence de protection des données, qui doit avoir la flexibilité suffisante pour pouvoir s'adapter en fonction de l'évolution des menaces et de l'apparition incessante de nouvelles technologies pouvant remettre en question le droit à la vie privée.
Il y a un autre constat qu'il faut absolument faire. La loi en vigueur n'est pas la seule chose qui importe. J'aime à penser que nous avons un régime de protection de la vie privée qui comporte différentes composantes. Nous nous intéressons actuellement à l'une de ces composantes, à savoir la loi, mais j'estime que nous commettrions une grave erreur en nous limitant à ce seul aspect. On peut ainsi penser à la loi sud-africaine, l'une des meilleures au monde, qui n'a aucune utilité dans la pratique en raison de l'absence d'une infrastructure administrative. On ne retrouve aucune autre composante de soutien.
Dans le contexte canadien, il faut considérer le rôle joué par le Conseil du Trésor. Nous devons aussi nous intéresser au rôle des coordonnateurs à l'information et à la protection des renseignements personnels pour nous assurer qu'ils ont la formation appropriée et qu'ils se retrouvent à un niveau assez élevé au sein de leur organisation pour pouvoir conseiller en temps utile les législateurs et les dirigeants gouvernementaux. Bien évidemment, il faut aussi prendre en compte le rôle du commissaire à la protection de la vie privée.
J'en reviens à parler de la notion de flexibilité. Si l'ABC penche du côté du modèle amélioré d'ombudsman, c'est notamment parce que nous croyons qu'il nous offrira en partie la flexibilité nécessaire pour relever les défis nouveaux et différents en matière de protection de la vie privée que nous propose un monde en pleine évolution.
Merci, monsieur le président.
Ma question s'adresse à M. Bennett qui a fait quelques commentaires au sujet des partis politiques à la toute fin de son exposé. J'aimerais en entendre davantage à ce sujet. Comment croyez-vous que les partis devraient être réglementés? Devraient-ils être assujettis aux mêmes règles que tout le monde ou devrait-on prévoir une autre forme de réglementation?
Je suis membre d'un parti depuis assez longtemps déjà et j'ai pu observer le comportement de mes homologues d'autres partis qui ont souvent tendance à se montrer malveillants. Je sais que certains peuvent se demander si la chose est possible, mais c'est bel et bien le cas: ils peuvent être malveillants, surtout lorsqu'ils sont dans l'opposition. Ils aiment bien obliger les fonctionnaires à faire des choses qui ne sont pas vraiment nécessaires. Ce n'est qu'un exemple; il y en a sans doute d'autres.
Voici ma question. D'après ce que j'ai pu observer — malgré que certains collègues seront en désaccord — j'ai l'impression qu'une réglementation s'impose, et j'aimerais savoir ce que vous en pensez.
Merci d'avoir accepté mon invitation.
J'ai rédigé en 2012 un rapport pour le compte de la commissaire à la protection de la vie privée. À l'époque, Jennifer Stoddart recevait différentes plaintes concernant les partis politiques. Comme elle ne pouvait pas y donner suite, elle m'a demandé d'effectuer des recherches sur les pratiques des principaux partis politiques fédéraux pour ce qui est des renseignements personnels.
C'est plutôt complexe, mais disons essentiellement que les renseignements figurant sur la liste électorale sont diffusés en vertu des pouvoirs conférés par la Loi sur les élections. On leur ajoute ensuite des informations tirées d'un nombre croissant d'autres sources variées: sondages téléphoniques, porte-à-porte, médias sociaux, bases de données commerciales, etc. Certaines techniques observées aux États-Unis migrent lentement vers les sphères politiques canadiennes. C'est une situation qui préoccupe bien des gens. Les partis politiques figurent parmi les rares organisations au Canada qui n'ont pas à respecter les principes logiques visant un traitement juste de l'information. Bien des cas ne prêtent pas à controverse. Les trois principaux partis ont un code en matière de protection de la vie privée et réalisent certains progrès à cet égard.
Il est un peu difficile de déterminer la façon de s'y prendre du fait que les partis politiques sont des cas d'espèce. Ce ne sont pas des agences gouvernementales, ce qui fait qu'ils ne peuvent pas vraiment être visés par l'application de la Loi sur la protection des renseignements personnels. Comme ce ne sont pas non plus des organisations commerciales, on peut difficilement faire intervenir la LPRPDE.
Lorsque la question a été soulevée il y a quelques années, j'ai conseillé au commissaire à la protection de la vie privée et au directeur général des élections de négocier l'adoption d'un code de pratique à titre de mesure provisoire. En fonction des 10 principes établis dans la LPRPDE, on demanderait aux principaux partis politiques de se donner un code de pratique permettant de respecter le droit fondamental de chacun d'avoir accès aux renseignements personnels le concernant et obligeant les nombreux employés et bénévoles travaillant pour les partis pendant les campagnes électorales à gérer ces renseignements de façon sécuritaire. Les partis qui ne respecteraient pas leur code de pratique ne pourraient pas recevoir la liste électorale conformément à la Loi sur les élections.
C'était selon moi une mesure provisoire efficace pour permettre tout au moins aux dirigeants des partis et de se pencher sur la question. On éviterait ainsi les complications associées à des modifications législatives, lesquelles ne manqueraient pas de soulever des objections.
Merci à tous d'être présents aujourd'hui.
Monsieur Bennett, mon collègue vient un peu de me couper l'herbe sous le pied, car j'avais moi aussi des questions au sujet des partis politiques.
Vous avez parlé de la loi adoptée en Colombie-Britannique. Pourriez-vous nous en dire plus long sur ce modèle en particulier? Est-ce que l'on met davantage l'accent sur la protection des données, plutôt que sur l'accès à celles-ci?
Vous nous avez aussi servi l'argument de la carotte et du bâton. C'est un peu la même chose ici quand on dit aux partis politiques « Ou bien vous vous conformez ou bien vous n'aurez pas accès à la liste électorale. » Il va de soi que la liste électorale est un outil précieux, même si je m'interroge sur son utilité politique par rapport à la possibilité de parler directement aux gens.
Pouvez-vous nous dire ce que vous en pensez et nous glisser un mot de la situation en Colombie-Britannique?
Les partis politiques jouent un rôle essentiel au sein de notre démocratie en mobilisant les électeurs et en sensibilisant la population. On ne voudrait certes pas adopter des règles de protection des renseignements personnels qui pourraient faire obstacle à ce rôle.
La Colombie-Britannique est la seule province au Canada où les partis politiques sont visés par la loi. Cette particularité est attribuable au libellé de notre loi sur la protection des renseignements personnels qui a été adoptée dans la foulée de la LPRPDE et qui est largement similaire à celle-ci. Si je ne m'abuse, l'ancien commissaire provincial à la protection de la vie privée a mené trois enquêtes sur les partis politiques. Les partis provinciaux ont dû se donner des codes de pratique, un peu comme je le suggérais.
Je ne sais pas si les différents points de vue doivent vraiment être confrontés. Nous avons dans ce pays un principe suivant lequel nous ne devrions pas constituer de bases de données secrètes. C'est d'ailleurs le principe qui sous-tend la Loi sur la protection des renseignements personnels. À moins d'une exception pour des motifs de sécurité nationale, les bases ne devraient pas être secrètes. Les citoyens devraient avoir le droit de savoir quels renseignements on recueille à leur sujet, de quelle façon ces renseignements sont traités et à qui ils sont communiqués.
Dans la plupart des autres pays, exception faite des États-Unis, les partis politiques sont visés par ces lois. Il y a donc une lacune à corriger au Canada. Je pense qu'il faudrait d'abord engager les principaux partis dans un processus mettant de l'avant les 10 principes de base établis dans la LPRPDE pour que l'on discute de la manière de les appliquer dans le contexte particulier d'une campagne politique afin d'en arriver en quelque sorte à un code de pratique acceptable pour tous. Il ne devrait pas y avoir nivellement par le bas.
J'ai beaucoup écrit à ce sujet et je me ferai un plaisir de transmettre le tout au Comité, si la chose vous intéresse.
Je sais que nous avons dépassé le temps prévu, mais j'aimerais bien que M. Dixon puisse profiter du prochain tour pour nous dire ce qu'il pense de ces questions.
J'aimerais remercier tous les témoins d'être ici aujourd'hui.
Pour le moment, je poserai moi aussi la plupart de mes questions à M. Bennett. Je m'en excuse donc auprès des autres témoins.
Vous avez mentionné que sur le plan historique, certaines raisons systémiques expliquent pourquoi la loi canadienne est divisée entre les sphères publique et privée, et que cette distinction a permis aux partis politiques de passer entre les mailles du filet.
Quelles sont ces raisons? Si j'ai bien compris votre exposé, la situation actuelle du Canada ne nous permet pas de fusionner ces deux lois pour en faire une seule loi applicable. Pourquoi? À votre avis, est-ce possible? Et est-ce souhaitable?
À l'époque, on présumait que la menace principale émanait du gouvernement. C'était l'époque de Big Brother. Sur le plan historique, l'adoption de la Loi sur les renseignements personnels a été motivée par l’adoption connexe de la Loi sur l'accès à l'information et par la nécessité de veiller à ce que les exceptions visant les renseignements personnels dans les deux lois étaient compatibles.
À l'époque, on pensait que le secteur privé pouvait être régi par l'autoréglementation volontaire. De la fin des années 1980 à la fin des années 1990, c'est ce qu'on a fait. L'Association canadienne de normalisation a lancé un processus, auquel j'ai participé, qui a convaincu les principales associations du secteur privé d'accepter les normes de la CSA, qui sont ensuite devenues le fondement de la LPRPDE.
Différents enjeux sont liés aux organismes gouvernementaux et au secteur privé. Dans les entreprises, le rôle du consentement est plus important qu'il a tendance à l'être dans les organismes gouvernementaux, où l'on stipule qu'il faut que la loi l'exige. Aujourd'hui, la plupart des pays commencent à partir de zéro et croient qu'ils n'ont qu'à adopter une seule loi exhaustive. Pourquoi? Parce qu'il est très difficile de déterminer où s'arrête le secteur privé et où commence le gouvernement. C'est le produit de la technologie. Les renseignements personnels traversent sans cesse ces frontières par des moyens difficiles à réglementer.
Cela dit, nous devons vivre avec ces précédents. Je ne crois pas qu'on souhaite éliminer la LPRPDE ou la Loi sur la protection des renseignements personnels pour créer un tout nouveau régime de protection des renseignements personnels.
Nous vivons avec ces précédents. Je crois que dans la mesure du possible — et cela revient à ce qu'ont dit mes collègues —, les pouvoirs accordés au commissaire à la protection de la vie privée par la Loi sur la protection des renseignements personnels devraient correspondre à ceux prévus dans la LPRPDE.
La recommandation no 15 du commissaire à la protection de la vie privée propose d'élargir la portée de la loi pour qu'elle englobe le Cabinet du premier ministre et les cabinets de ministres. Étant donné que ce n'est pas le cas dans la situation actuelle, les renseignements privés sont-ils en grande partie non réglementés dans ces bureaux, tout comme ils ne sont pas réglementés au sein des partis politiques?
Oui, je le crois. C'est un problème, car lorsqu'un de vos électeurs vous consulte au sujet d'un enjeu, par exemple, il présume que la conversation se déroule en toute confidentialité et que les renseignements communiqués ne se retrouveront pas dans la base de données du NPD, pour des raisons évidentes.
Toutefois, dans certaines circonstances, la technologie crée certains problèmes à cet égard. Par exemple, les députés ont maintenant une capacité accrue, dans l'exercice de leurs fonctions, de recueillir des données qui pourraient être utiles en période d'élections. Je crois que cela renforce la nécessité de faire quelque chose au sujet de cette grande catégorie de bases de données qui ne sont tout simplement pas visées par notre régime de protection des renseignements personnels.
S'il est vrai que les renseignements personnels ne sont pas réglementés au sein du CPM et des partis politiques et qu'aucun règlement ne vise le transfert de renseignements gouvernementaux... Les députés ordinaires n'ont pas accès aux bases de données du gouvernement. Il est vrai que nos électeurs nous consultent et que nous avons la responsabilité — du moins sur le plan éthique — de respecter ces renseignements, mais le CPM a accès aux données du gouvernement, et aucun règlement ne régit leur utilisation au sein du CPM et le transfert de ces renseignements aux partis politiques, qui représentent un autre milieu non réglementé. Est-ce que j'ai bien compris?
Il faudrait examiner certaines des exceptions prévues dans la Loi sur la protection des renseignements personnels. Certaines dispositions de l'article 8 concernent la divulgation de données gouvernementales aux députés dans l'exercice de leurs fonctions, ce qui revient à votre question, mais il y a une lacune. J'appuie ce qu'a dit le commissaire à la protection de la vie privée en ce qui concerne l'élargissement de la portée de la Loi sur la protection des renseignements personnels pour englober ces bureaux. Cela ne devrait pas soulever la controverse.
Monsieur Drapeau, si je me souviens bien... En fait, je ne sais plus qui a dit quoi, mais je sais que quelqu'un, aujourd'hui, a fait la promotion du modèle amélioré d'ombudsman. Le commissaire à la protection de la vie privée en faisait aussi la promotion à un certain moment, mais depuis ce temps, il a changé d'avis. J'aimerais savoir si les gens qui appuient cette solution aujourd'hui pourraient expliquer pourquoi, à leur avis, le commissaire à la protection de la vie privée a changé d'avis et pourquoi, toujours selon eux, ses raisons ne sont pas adéquates.
Je ne suis manifestement pas d'accord avec la raison donnée par le commissaire à la protection de la vie privée dans sa lettre de septembre. Je crois que nous devrions revenir à la lettre qu'il a écrite en mars et dans laquelle il soutenait — et j'appuie cette position — qu'il faudrait adopter une position hybride. Ma position est la même que celle de l'ABC.
D'accord. Quelles raisons particulières a-t-il invoquées pour expliquer ce changement? À votre avis, que lui est-il venu à l'esprit pour...
Je ne sais pas. Je ne peux pas lire dans les pensées. Je présume qu'il est allé prendre un café avec la commissaire à l'information et qu'ils se sont entendus. C'est réellement une explication plausible.
Honnêtement, on devrait adopter des approches semblables. J'ai déjà dit devant votre Comité qu'on ne devrait pas donner au commissaire à l'information le pouvoir de prendre des arrêtés. Par souci d'uniformité, ils pourraient tous les deux utiliser un modèle hybride. Ce modèle semble d'ailleurs gagner en popularité et en efficacité.
Merci beaucoup, monsieur Blaikie.
Nous abordons maintenant la dernière série de questions de sept minutes. Allez-y, monsieur Erskine-Smith.
Merci beaucoup. J'aimerais reprendre où M. Blaikie s'est arrêté.
Il est intéressant de constater que le modèle hybride gagne en popularité. L'une de nos provinces l'utilise, mais plusieurs autres utilisent le modèle exécutoire.
Monsieur Dickson, j'aimerais revenir à quelque chose que vous avez dit. Je crois que vous avez dit que ce modèle était plus formel et modéré, qu'il exigerait un processus plus équitable, qu'il serait moins convivial et qu'il faudrait peut-être diviser le personnel. La Colombie-Britannique, l'Alberta, le Québec et l'Ontario utilisent ce modèle, et plusieurs autres pays l'utilisent également. A-t-on des preuves qui appuient ces préoccupations?
Je crois que si vous prenez l'approche privilégiée par l'ABC — c'est-à-dire que les Canadiens ont des droits quasi constitutionnels en matière de protection de leur vie privée et d'accès aux documents et renseignements gouvernementaux —, il faut mettre l'accent sur l'accessibilité et habituellement, cela requiert un processus simple plutôt qu'un processus complexe.
Lorsqu'on examine le type de plaintes présentées dans les différentes provinces, on se rend compte qu'elles portent souvent sur les retards. Ce n'est pas tellement que les décisions des commissaires ne sont pas respectées — la plupart du temps, elles sont honorées dans toutes les provinces, ainsi qu'à l'échelon fédéral. Le problème est plutôt lié aux retards. Je crois que la proposition du comité de Terre-Neuve, qui est enchâssée dans la loi terre-neuvienne, propose une façon d'accélérer les processus afin de réduire les délais par l'entremise d'un processus plus informel.
Lorsque nous examinons le modèle utilisé en Colombie-Britannique, en Alberta, au Québec et en Ontario, et ensuite le modèle utilisé à Terre-Neuve, peut-on cerner des différences sur le plan des processus formels? Le processus utilisé dans les quatre premières provinces ressemble-t-il à celui des tribunaux ou le modèle avec commissaire est-il plutôt informel?
Il ne fait aucun doute que le processus est plus formel. Par exemple, l'Alberta et la Colombie-Britannique ont des employés qui s'occupent expressément de la médiation. Dans ces bureaux, d'autres employés sont uniquement responsables d'écrire des ordonnances formelles pour la province. Il y a donc une division des tâches, ce qui complique les choses.
Une disposition de la Loi sur la protection des renseignements personnels prévoit que le commissaire crée ses propres règles de procédures. Une autre disposition indique que personne n'a le droit d'être en mesure d'entendre ce que dit l'autre partie. Ces gens n'ont pas le droit d'être dans la pièce lorsque d'autres personnes passent une entrevue ou un examen.
Je crois que la position de l'Association du Barreau canadien, c'est que le modèle amélioré d'ombudsman présente un avantage important sur le plan de la flexibilité et de l'accessibilité.
Je vais poser ma dernière question, et j'aimerais ensuite avoir l'avis de M. Bennett sur le même sujet.
En ce qui concerne l'équité procédurale, quatre provinces utilisent le modèle exécutoire et Terre-Neuve utilise le modèle hybride. Les mêmes préoccupations en matière d'équité procédurale ne se posent-elles pas?
Je peux imaginer un cas dans lequel je présente une plainte dans le cadre du modèle hybride de Terre-Neuve et qu'on n'est pas d'accord avec moi. Je souhaite présenter ma plainte devant les tribunaux, ce qui signifie que je dois avoir été traité de façon équitable par le modèle hybride dès le départ. Pourquoi l'équité procédurale est-elle différente dans le modèle hybride et dans le modèle exécutoire?
En Alberta et en Colombie-Britannique, par exemple, le processus est nettement plus formel. Les parties ont davantage l'occasion de prendre connaissance des arguments présentés par les autres parties. Cela fait manifestement partie de l'équité procédurale.
Ce qui se produit dans le modèle d'ombudsman, c'est que le bureau d'un commissaire à l'information ou d'un commissaire à la protection de la vie privée offre une plus grande souplesse. Si une question est soulevée dans le cadre d'une enquête menée en Alberta ou en Colombie-Britannique, il faut presque revenir au point de départ. Il faut écrire une série d'avis, etc., et repartir de zéro. Cela prend plus de temps.
Dans le cadre du modèle d'ombudsman, si une autre question importante est soulevée au cours de l'enquête, on envoie un avis plus informel à l'organisme public. On lui donne moins de temps pour fournir des réponses supplémentaires. On juge que c'est un processus équitable, mais cette équité procédurale n'est pas aussi rigide que dans le cas d'un tribunal administratif.
Merci beaucoup.
Monsieur Bennett, j'ai encore de la difficulté à comprendre pourquoi il nous faut un tribunal administratif complet dans le cadre d'un modèle exécutoire. Les quatre provinces qui utilisent le modèle exécutoire au Canada ont-elles des tribunaux administratifs complets? Est-ce la façon dont elles fonctionnent? Est-ce extrêmement formel? Pourquoi défendriez-vous le modèle exécutoire?
Je crois qu'il faut établir une distinction entre le modèle fondé sur les tribunaux utilisé au Québec et les modèles fondés sur les commissions utilisés en Colombie-Britannique et en Alberta. Je fais partie du comité consultatif externe pour le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, et il est donc possible que j'aie un parti pris. J'accepte certainement l'analyse de Gary sur les avantages et les inconvénients. Il ne fait aucun doute qu'il s'agit d'une question complexe.
Nous devrions également être très prudents lorsque nous généralisons l'application des processus utilisés dans les provinces au gouvernement fédéral et lorsque nous croyons que des modèles qui fonctionnent en Colombie-Britannique ou au Québec fonctionneront également à Ottawa.
Toutefois, quelques raisons me poussent à préférer le modèle exécutoire. Par exemple, je crois qu'il permet de mieux rassembler les idées. Si la commissaire de la Colombie-Britannique était ici — en fait, nous n'en avons pas pour le moment, donc si l'ancienne commissaire était ici —, elle dirait que le fait de savoir qu'on a ce pouvoir permet d'orienter davantage l'organisme vers la médiation. Les types de processus utilisés en médiation devraient donc se dérouler plus rapidement et plus sérieusement.
Je ne crois pas que le pouvoir d'émettre des ordonnances ralentit nécessairement le processus. Encore une fois, on compare des pommes et des oranges, mais ce n'est pas nécessairement... L'autre facteur à prendre en considération au sujet du pouvoir d'émettre des ordonnances, c'est que la loi est claire, ce qui n'est pas nécessairement le cas dans le processus d'ombudsman.
Il me reste seulement quelques secondes.
Monsieur Dickson, la province de Terre-Neuve ne reçoit pas un grand nombre de plaintes. C'est différent dans le cas du gouvernement fédéral et de la quantité de ressources nécessaires. Ne sommes-nous pas préoccupés à l'idée de tenir des audiences de novo devant les tribunaux et de perdre notre efficacité?
Je présume qu'on espère qu'un nombre relativement petit de plaintes se retrouveront devant les tribunaux, et c'est le cas d'un bout à l'autre du Canada, ainsi qu'à l'échelon fédéral.
La grande partie de ces questions sont réglées, au bout du compte, par l'entremise de recommandations acceptées et mises en oeuvre par l'organisme public; c'est l'essentiel du travail, et c'est la raison pour laquelle on se concentre tellement sur le processus. Le processus et les retards liés au processus représentent probablement, selon moi, le plus gros problème des bureaux de surveillance du pays.
M. Nathaniel Erskine-Smith: Merci beaucoup.
Merci beaucoup.
Nous passons maintenant à la série de questions de cinq minutes. La parole est d'abord à M. Jeneroux.
Merci.
J'aimerais revenir en arrière, monsieur Dickson. Nous avons des antécédents similaires, car nous avons tous les deux été élus à l'Assemblée législative provinciale de l'Alberta. Je ne sais pas si nous pourrions nous entendre sur un grand nombre de sujets si nous nous retrouvions dans la même situation, mais étant donné vos antécédents, j'aimerais avoir votre avis sur la question liée aux partis politiques dont vous parliez avec M. Bennett.
Tout d'abord, je dirais que Colin Bennett est très convaincant. Je pense qu'à la suite de certains de ses travaux, la Section nationale du droit de la vie privée et de l'accès à l'information de l'Association du Barreau canadien s'est penchée sur cette question. Cela a non seulement fourni l'occasion d'entendre le professeur Bennett parler de certains des enjeux, mais la Section nationale du droit de la vie privée et de l'accès à l'information a également présenté cet enjeu au ministère de la Justice et au Bureau du directeur général des élections pour explorer les solutions possibles.
L'ABC n'a adopté aucune position officielle et nous ne sommes certainement pas ici pour proposer une solution, mais nous sommes conscients que l'ancien directeur général des élections du Canada a recommandé d'apporter des changements à la Loi électorale qui viseraient l'adoption de certaines normes en vue de protéger les renseignements personnels recueillis par les partis politiques. Nous savons que cela pourrait être attribuable au pouvoir de persuasion de mon ami Colin Bennett, mais j'ai remarqué que le directeur général des élections de la Colombie-Britannique a indiqué, dans un rapport annuel, qu'il était grand temps de songer à prendre des règlements à cet égard.
Je crois que la difficulté, c'est de déterminer la meilleure façon de le faire. Je pense qu'on appuie de plus en plus la réglementation dans ce domaine en raison des énormes fuites qui se sont produites aux États-Unis lorsque des partis politiques et des organismes politiques qui avaient amassé d'énormes quantités de renseignements personnels les ont ensuite perdus. Les gens commencent à s'inquiéter à ce sujet.
Comme M. Bennett l'a dit, il s'agit de déterminer le meilleur moyen d'y arriver. Je crois que ce ne serait certainement pas par l'entremise de la Loi sur la protection des renseignements personnels, car elle vise surtout les institutions du gouvernement. On pourrait apporter certaines modifications à la Loi électorale du Canada. On pourrait même élaborer une loi distincte qui viserait cet enjeu. En effet, il n'est pas directement visé par la LPRPDE, la Loi sur la protection des renseignements personnels et les documents électroniques. Il s'agirait peut-être même d'une toute nouvelle loi...
J'aimerais simplement ajouter qu'on reconnaît de plus en plus qu'il faut trouver le moyen de protéger les citoyens lorsque leurs renseignements personnels sont recueillis, utilisés et divulgués par des partis politiques.
Lorsque nous avons parlé de l'évolution de la technologie et de l'impossibilité de prévoir les changements à venir, ainsi que de l'importance d'adapter la loi en conséquence, monsieur Drapeau, vous avez dit que 5 ans ne suffiraient pas, mais que ce serait possible sur 10 ans. Il nous reste seulement environ deux minutes. Serait-il plus efficace d'apporter ces changements dans le cadre de politiques prises au sein des ministères ou est-il nécessaire d'ajouter à la loi certaines exigences liées à la technologie?
Les bases devraient demeurer assez stables. Aux cinq ans, cela me semble trop prudent et trop fréquent. Je ne sais pas quelle devrait être la formule: 10 ans, 15 ans, et on verra comment vont aller les choses. Je ne vois pas l'urgence de le faire tous les cinq ans.
Quand il est question de confidentialité, surtout dans le cadre de la Loi sur la protection des renseignements personnels, nous devons nous rappeler que le sujet forme une grande mosaïque, et que la loi n'en couvre qu'une infime partie, soit les renseignements contenus dans les dossiers du gouvernement fédéral. C'est tout. Il n'est pas question des renseignements personnels, privés et confidentiels transmis verbalement. Il n'est pas question des renseignements détenus par les professionnels de la santé, les banques ou les forces de l'ordre. Et je pourrais vous donner encore plein d'exemples. La plupart de ces exemples ont un lien avec la protection et la divulgation des renseignements personnels.
Le volet qui fait défaut au gouvernement fédéral dans l'administration de la Loi sur la protection des renseignements personnels, c'est la divulgation, de même que la notion d'« usage compatible », à laquelle fait référence le commissaire à la protection de la vie privée.
Je vois des cas d'abus dans ma propre pratique. Une fois que le gouvernement détient l'information, il a tendance à l'utiliser et à la divulguer aux différentes institutions fédérales, conformément au consentement donné par la personne concernée, qui est au courant qu'elle peut être utilisée à diverses fins. C'est là que le problème se pose. C'est particulièrement le cas dans les ministères qui ont accès aux données médicales des personnes. Ils veulent par exemple s'en servir, et ils le font, dans le règlement d'un grief relatif au milieu de travail. Je mets en doute cette pratique, mais pour le moment, la Loi sur la protection des renseignements personnels permet à un ministère de prendre une telle décision, c'est-à-dire d'utiliser les données médicales de la personne concernée, même si elles ont été obtenues à d'autres fins.
D'accord. Nous arrivons à près de six minutes.
Monsieur Dickson, nous allons revenir à vous. Je suis forcé d'enchaîner. M. Jeneroux aura l'occasion de poser d'autres questions.
M. Saini est notre prochain intervenant.
Merci beaucoup à vous tous d'être ici.
Je veux revenir sur un point soulevé par M. Dickson. Il a parlé des principes de la LPRPDE. Le principe numéro un est celui de la responsabilité. Je sais, monsieur Bennett, que vous avez aussi parlé de l'échange de renseignements. Ma question va un peu plus loin que cela.
À l'échelle nationale, il peut y avoir des ententes écrites d'échange de renseignements entre les institutions et les organismes gouvernementaux, que les parties concernées sauront respecter, j'en suis sûr. Ce qui me préoccupe, ce sont les ententes de divulgation de renseignements conclues avec un gouvernement étranger.
Certains principes veulent que le gouvernement étranger énumère les raisons justifiant l'échange et l'utilisation de l'information, ou prévoit peut-être un test de nécessité pour déterminer pourquoi l'information est requise. Si vous divulguez de l'information à propos d'un citoyen canadien au Canada, et que vous avez une entente avec un gouvernement étranger, je crains que rien ne garantira que ces renseignements seront protégés s'ils sont transmis à un organisme gouvernemental de l'autre côté de la frontière — sécurité nationale, défense, revenu —, et ce, même si tous les principes de la Loi sur la protection des renseignements personnels sont respectés.
Comment maintenir l'intégrité de cette information pour qu'elle ne soit pas divulguée au grand public ou au sein des organismes ou établissements du gouvernement étranger? Comment nous assurer que les renseignements seront protégés une fois qu'ils auront traversé la frontière?
C'est pour cela que j'ai posé la question. La plupart des pays qui ont une loi exhaustive sur la protection des données ont aussi un organisme semblable au Commissariat à la protection de la vie privée du Canada auquel le commissaire peut s'adresser. Si un Canadien dépose une plainte, il y a un processus en place dans cet autre pays pour faire enquête.
Ce qui pose problème au Canada, c'est qu'une grande quantité de données se retrouvent de l'autre côté de la frontière, aux États-Unis. Il n'y a pas d'organisme équivalent aux États-Unis. La loi américaine sur la protection des renseignements personnels a été adoptée avant la nôtre, soit en 1974. Elle date à peu près de la même époque. Elle n'est pas administrée par un commissaire à la protection de la vie privée, mais par différents organismes de réglementation.
Votre question renvoie également à l’accord relatif à la sphère de sécurité qui a été invalidé par la Cour européenne. Il a été remplacé par le bouclier de protection des données, qui couvre principalement les données commerciales.
Tout cela pour dire que votre question est très, très pertinente.
Je reviens aux évaluations des facteurs relatifs à la vie privée. Si elles sont effectuées correctement des deux côtés de la frontière, ces évaluations peuvent s'avérer très efficaces pour garantir le respect des principes prévus par la Loi sur la protection des renseignements personnels, peu importe à quel pays les données sont transmises. Il existe quelques bons exemples de cela. Il y a entre autres les processus entourant le permis de conduire Plus. Des évaluations ont été faites au Canada et d'autres par les organismes concernés aux États-Unis, et le tout a été examiné par le Commissariat à la protection de la vie privée du Canada. Je ne sais pas si Gary a participé à l'exercice à l'époque.
Les évaluations des facteurs relatifs à la vie privée sont très utiles pour alerter le Commissariat à la protection de la vie privée du Canada lorsque des choses sont susceptibles de poser problème de l'autre côté de la frontière.
J'ajouterais seulement qu'à la recommandation 12, le commissaire à la protection de la vie privée parle de la nécessité de communiquer avec ses homologues étrangers. Il est tout simplement question de coordonner l'application de la loi afin de remédier aux problèmes liés à la transmission de données en dehors des frontières canadiennes.
Comment assurer la protection des Canadiens? Entre autres en concluant des ententes comme celles dont vous avez parlé, mais aussi en veillant à ce que les organismes de protection aient la capacité de mener des enquêtes en collaboration. Le bureau canadien a pu prendre part à différentes enquêtes de concert avec d'autres organismes nationaux de protection des données. Je crois que la recommandation 12 est tout à fait justifiée.
J'aimerais poursuivre dans la même veine.
Monsieur Dickson, je veux premièrement vous féliciter pour votre mémoire. L'Association du Barreau canadien nous soumet toujours des mémoires très complets, et c'est toujours un plaisir de les recevoir.
Pour ce qui est de l'information qui pourrait être transmise à des gouvernements étrangers — il a été question des États-Unis en particulier —, je me demande s'il est possible de faire appliquer la loi en l'absence d'un contrat qui précise ce qui est permis et ce qui ne l'est pas, et les sanctions prévues en cas de non-conformité.
Vous en faites mention brièvement dans votre mémoire, monsieur Dickson. Pourriez-vous nous donner rapidement votre point de vue sur certains aspects de la question qui n'ont pas encore été abordés?
Vous pourriez prendre exemple sur la Colombie-Britannique et la Nouvelle-Écosse, c'est-à-dire d'adopter une loi qui interdit la divulgation de certaines données à l'extérieur du Canada. Ces provinces avaient tenté d'imposer des restrictions à l'acquisition initiale, mais ce n'est pas toujours très efficace. Il se peut que des entreprises choisissent de s'établir ailleurs en raison des restrictions imposées notamment par la Colombie-Britannique et la Nouvelle-Écosse.
Je répète ce qui a été dit tout à l'heure, mais il faut mettre en place des ententes d'échange d'information qui sont extrêmement efficaces, et s'assurer que les organismes internationaux de protection de données collaborent de près.
Je présume que les gouvernements doivent surveiller l'information échangée. Les commissaires à la protection de la vie privée doivent suivre ces ententes et vérifier qu'on s'y conforme.
Pour revenir à la technologie, monsieur Dickson, vous alliez expliquer comment vous vous assurez que la loi reste à l'affût de la technologie, et comment vous déterminez que c'est nécessaire d'apporter des précisions dans la loi ou ailleurs.
Par rapport à ce qui se passe au Canada, notons que votre comité se réunit pour discuter d'une loi élaborée en 1983 et qui n'a pas subi d'énormes modifications depuis plus de 30 ans.
Je comprends que M. Drapeau trouve que cinq ans soit trop court. Les lois de l'Alberta et de la Colombie-Britannique en matière d'accès à l'information et de protection des renseignements personnels — qui comprennent, si je ne m'abuse, cinq de vos dispositions — prévoient des examens aux cinq ans. Dans les deux provinces, des comités législatifs multipartites ont généralement dressé une liste de recommandations à la suite de ces examens.
Ce qui pose surtout problème dans ces provinces, c'est que bien des recommandations sont laissées en plan. L'examen quinquennal a lieu, cela suscite un peu de visibilité, puis des recommandations sont formulées. Cependant, pour une raison ou une autre, les gouvernements ne mettent pas en oeuvre ces recommandations.
Je crois tout de même que cinq ans est un délai raisonnable, parce que cela correspond non seulement à ce qui se fait dans certaines provinces canadiennes, mais cela évite aussi que la loi ne tombe dans l'oubli. Si on confie au ministère de la Justice, ou à un autre, la tâche de procéder à un examen interne, cela n'offre pas la même visibilité. Quand il est question de lois quasi constitutionnelles et des droits de tous les Canadiens, l'Association du Barreau canadien est d'avis que la plus grande transparence est de mise.
Nous accordons certainement de la valeur aux examens publics qui sont effectués régulièrement. S'il n'y a pas eu beaucoup de changements, peut-être qu'il n'y aura pas lieu d'apporter de grandes modifications. Cependant, dans un monde où la technologie évolue sans cesse et présente toujours de nouveaux risques pour la protection des renseignements personnels, il est préférable de tenter de se tenir à jour.
Merci, monsieur le président, et merci à tous les témoins. Vos exposés étaient très intéressants, et je crois que nous avons entendu d'excellentes questions aujourd'hui.
Je voulais poser quelques questions à M. Bennett concernant son livre, mais je crois que je vais m'adresser à M. Dickson. Aussi, je crois que les membres du Comité pourraient tous apprendre quelque chose...
Une voix: C'est un excellent livre.
M. Wayne Long: Je ne l'ai pas lu encore, mais je le ferai.
Je crois que le Comité pourrait tirer profit de votre expérience à titre de commissaire à la protection de la vie privée. Avez-vous occupé ce poste de 2003 à 2014 en Saskatchewan?
Dans un des articles que j'ai lus à votre sujet, on vous décrivait comme un critique tenace des politiciens, des bureaucrates et des responsables de la santé. Êtes-vous d'accord avec cette description?
Là où je veux en venir, en fait, c'est que vous deviez remplir le mandat du commissaire à la protection de la vie privée et à l'information, et je respecte cela. Vous étiez membre de l'assemblée législative. Vous faisiez également partie d'un comité qui supervisait le commissariat à la protection de la vie privée.
Pourriez-vous nous dire comment cette expérience vous a préparé pour le poste? Vous avez vu les deux côtés de la médaille.
Je vous dirais que dans ce domaine, la difficulté est que le processus devient toujours trop complexe, trop technique et trop formel.
Lorsque le poste d'ombudsman parlementaire a été créé en Alberta, en 1967, l'objectif était d'offrir aux citoyens un instrument simple et accessible qui leur évitait de faire appel à un avocat pour déclencher une enquête s'ils jugeaient que le gouvernement s'était montré injuste ou qu'il avait agi de façon inappropriée.
L'expérience que j'ai acquise me pousse à redoubler d'efforts constamment pour éviter que les systèmes en place et les processus ne deviennent à ce point complexes et fastidieux qu'ils nous détournent de notre mission première, soit celle d'offrir aux Canadiens les services qu'ils méritent et qui sont prévus par les lois qui ont été créées et adoptées à cet effet.
Cela demande aux commissaires, aux législateurs et aux parties prenantes de s'assurer de demeurer aussi accessibles qu'ils devraient l'être, et de voir à ce que leurs processus rendent la tâche aussi facile que possible aux Canadiens. Si nous n'arrivons pas à faire cela, nous n'atteignons pas l'objectif de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.
Là-dessus, je cède le micro.
Très bien, et merci pour cette réponse. Évidemment, en tant que commissaire, vous avez de nombreuses réalisations à votre actif et avez surmonté bien des épreuves. Pourriez-vous me dire quelle serait votre plus grande recommandation — ou peut-être les deux plus grandes — dans l'immédiat pour réformer la Loi sur la protection des renseignements personnels?
Il y a premièrement notre proposition d'adopter le modèle amélioré d'ombudsman et de voir à partir de là. Je crois que le modèle exécutoire a certainement ses forces, et j'ai travaillé pour des administrations qui appliquent ce modèle, mais si l'objectif est d'offrir les plus hautes normes de service aux Canadiens et le mode de prestation le plus efficace, je pense que le modèle amélioré d'ombudsman est la meilleure option.
Au-delà de cela, il faut s'assurer que le commissaire dispose d'une plus grande gamme de pouvoirs. Le Parlement a accordé divers pouvoirs au commissaire par l'entremise de la LPRPDE, et ce sont des pouvoirs pertinents qui sont fréquemment appliqués. Le commissaire à la protection de la vie privée doit avoir à sa disposition un arsenal semblable de recours, d'outils et de ressources lorsqu'il traite de dossiers relatifs à la Loi sur la protection des renseignements personnels.
Je sais qu'en 2010, des dossiers médicaux avaient été télécopiés au mauvais endroit, et vous avez formulé une recommandation à ce sujet. En 2013, la situation n'avait toujours pas été réglée. Évidemment, vous étiez très contrarié de cela. Vous n'aviez aucune recommandation non contraignante. Pourriez-vous nous dire quelles sont les implications à n'avoir aucun pouvoir de rendre des ordonnances, pas seulement relativement à cette affaire, mais en général?
C'est assez intéressant. Quand on ne peut rendre des ordonnances, on passe beaucoup de temps à réfléchir au meilleur moyen de persuader les institutions gouvernementales qu'elles doivent mieux protéger les renseignements personnels. Je crois qu'il faut puiser dans sa créativité, son imagination et son entregent, car il ne sert à rien de produire des rapports et de formuler toutes sortes de belles recommandations s'il est très peu probable qu'elles soient mises en oeuvre.
Cela revient à ce que je disais tout à l'heure, soit qu'il faut veiller à ce que les commissariats demeurent à l'écoute des besoins des Canadiens et qu'ils leur soient accessibles, puis à ce qu'ils aient les pouvoirs voulus pour prendre des recours lorsque la situation le justifie.
Merci beaucoup, monsieur Long.
La dernière question officielle de ce tour va à M. Blaikie. Par la suite, si d'autres députés aimeraient poser des questions, il nous restera un peu de temps.
Monsieur Blaikie, c'est à vous.
Merci beaucoup.
Monsieur Bennett, vous avez indiqué que les évaluations des facteurs liés à la vie privée peuvent être plus efficaces si elles sont effectuées en début de processus.
Est-ce qu'on doit passer par une loi pour que ces évaluations soient effectuées plus tôt? Faut-il plutôt recourir à des directives du Conseil du Trésor? Comment faire passer ces évaluations à l'avant-plan?
C'est prévu par les directives du Conseil du Trésor. J'ai cru comprendre de la part du commissaire à la protection de la vie privée que certains ministères effectuent beaucoup de ces évaluations, alors que d'autres en font très peu. Et la qualité varie énormément.
J'ai analysé certaines de ces évaluations il y a quelques années, et j'en conclus qu'elles sont presque inutiles si elles se limitent à une liste de vérification obligatoire visant à déterminer la légalité de quelque chose. Elles sont beaucoup plus pertinentes lorsqu'elles tiennent compte d'un contexte beaucoup plus vaste, allant au-delà de la loi, et lorsque les agents s'investissent dans le processus et font des analyses de façon récurrente.
L'analyse est soumise au commissaire à la protection de la vie privée, qui émet ses commentaires, mais il est entendu que si des modifications sont par la suite apportées au programme, l'évaluation elle-même doit être ajustée en conséquence. C'est en quelque sorte un système de détection qui permet de prévenir certaines choses, et dans un monde idéal, cela devrait réduire les risques de fuite des données. Par définition, cela devrait favoriser la protection des renseignements personnels. Cela devrait favoriser l'établissement de mesures de sauvegarde dès le départ, au moment de la conception du programme et du modèle de prestation des services, plutôt que de les reléguer à la fin du processus.
Il y a beaucoup d'exemples au Canada de très bonnes évaluations qui cadrent avec ce modèle, dont certaines dans le domaine des services frontaliers, mais elles se limitent trop souvent à de simples listes de vérification.
Je pense qu'une partie de ma question concerne, évidemment, la culture organisationnelle. Nous examinons les dispositions législatives parce qu'il faudrait ajouter ou modifier quelque chose qui appuierait ou faciliterait le changement organisationnel, ou est-ce vraiment au Conseil du Trésor que revient la lourde tâche de...
Je pense qu'il existe des modèles. On inclut de plus en plus souvent les évaluations des facteurs relatifs à la vie privée dans les dispositions législatives. Elles sont incluses, par exemple, dans le nouveau règlement général sur la protection des données de l'Union européenne. Tous les pays et organismes européens doivent faire des évaluations dans la plupart des situations. Il s'agit d'une bonne pratique organisationnelle, mais si elle n'est pas officialisée par la loi, l'application et la qualité varieront. C'est, je crois, ce que le commissaire à la protection de la vie privée a constaté.
Certains organismes prennent cette obligation et les directives du Conseil du Trésor au sérieux, d'autres moins. C'est pour cette raison que j'appuie la suggestion du commissaire d'inclure dans la Loi sur la protection des renseignements personnels des dispositions qui obligent les organisations à faire des EFVP et à consulter le commissaire à la protection de la vie privée lorsqu'il y a des risques réels et substantiels en matière de vie privée.
Un des termes ou des concepts qui pose le plus problème dans l'élaboration des lois, c'est « pouvoir discrétionnaire ».
Monsieur Drapeau, vous avez mentionné la recommandation 13: « Conférer au commissaire à la protection de la vie privée le pouvoir discrétionnaire de mettre fin à l'examen d'une plainte ou de la rejeter ».
Pouvez-vous me rappeler ce que vous avez dit à ce sujet?
En fait, je m'oppose à cette recommandation. Le commissaire à la protection de la vie privée aurait le pouvoir discrétionnaire de refuser d'examiner une plainte qu'il considérerait comme frivole ou répétitive ou quoi que ce soit. Il jugerait qu'elle ne correspond pas à sa définition d'une plainte raisonnable. D'après moi, il est question ici d'un droit quasi constitutionnel, le droit de déposer une plainte en vertu de la Loi sur la protection des renseignements personnels. C'est un droit de la personne.
Derrière des portes closes et à huis clos, ce pouvoir discrétionnaire permettrait au commissaire à la protection de la vie privée de refuser à une personne le droit non seulement de faire une plainte, mais aussi de présenter un recours à la cour. Je suis contre ce pouvoir. Je sais très bien que dans certaines provinces, les commissaires l'ont.
Le commissaire à la protection de la vie privée reçoit des plaintes depuis 33 ans; nul doute que certaines étaient frivoles. Je présume qu'on n'y consacre pas les mêmes ressources et qu'elles ne font pas l'objet d'enquêtes aussi poussées et détaillées que d'autres.
Au football, avant, l'arbitre avait un pouvoir discrétionnaire absolu. Maintenant, nous avons la reprise instantanée et les drapeaux rouges, et ils nuisent parfois au jeu. Dans certains cas, le pouvoir discrétionnaire est une bonne chose.
J'aimerais parler du processus de la plainte que vous avez déposée qui dure depuis quatre ans.
Pouvez-vous nous parler de cet aspect de façon générale? Vous devez en savoir tellement à ce sujet, vous devez connaître les pierres d'achoppement et vous devez savoir pourquoi le processus s'éternise. Avez-vous de l'aide à nous offrir à cet égard?
Je pense qu'au fil des ans, le processus d'enquête sur le respect de la vie privée est devenu de plus en plus compliqué. Peut-être que le monde se dirige de plus en plus dans cette direction, et que les processus sont plus équitables. Quoi qu'il en soit, nous avons maintenant un processus d'enquête qui prend beaucoup de temps. Ma suggestion, c'est de ne pas le prolonger davantage, parce que si vous déposez une plainte, ce sera une plainte en matière de droits de la personne et vous voudrez obtenir réparation ou une résolution quelconque dès que possible.
Pour la plupart des plaintes, le processus ne prend pas quatre ans, mais il n'est pas rare qu'il prenne deux ou trois ans. Est-ce à cause d'un manque de ressources? Est-ce une question de priorisation de la plainte? Je ne sais pas quel est le problème, je l'ignore vraiment, mais je trouve inquiétant que ce soit si long. À l'heure actuelle, le Commissariat à la protection de la vie privée a un arriéré de 1 000 plaintes. Il faudra au moins un an pour assigner ces dossiers à un enquêteur et pour que l'enquêteur émette des conclusions et des recommandations. Il y a donc un problème même avec le système actuel. L'ajout du pouvoir d'ordonnances, comme le recommande le juge LaForest, est non seulement coûteux, mais aussi long; c'est comme une procédure judiciaire. Ce que je vous dirais, c'est qu'actuellement, le processus d'enquête du Commissariat à la protection de la vie privée est en fait plus long que la plupart des procédures judiciaires.
Les ressources posent problème. Devrions-nous prioriser les demandes? Nous recevons, notamment, des questions internationales; puisque les Canadiens doivent être servis en premier et étant donné l'arriéré dont on nous a parlé, est-ce que certaines demandes devraient être retardées pour permettre d'en traiter d'autres?
Avant de passer à cela, nous devons nous assurer de ne pas surcharger le commissaire à la protection de la vie privée avec des tâches qui ne sont pas essentielles à sa fonction principale. Selon la Loi sur la protection des renseignements personnels, sa fonction principale est de faire enquête sur les plaintes. C'est une des raisons pour lesquelles je m'oppose à lui confier les tâches de sensibilisation du public et de recherche. Ces tâches indéfinies pourraient accaparer des ressources nécessaires à sa fonction d'enquête. Son rôle principal est de faire enquête sur les plaintes, et c'est à cela que la majorité de ses ressources devraient servir.
Je dirais simplement ceci. C'est sûr que les plaintes des citoyens sont importantes, et un organisme de surveillance a l'obligation de les traiter rapidement. Or, s'il a la possibilité de contribuer à l'élaboration d'une nouvelle mesure législative ou d'un nouveau programme qui pourrait avoir une incidence sur des centaines de milliers, voire des millions de Canadiens, cela a certainement aussi beaucoup de valeur.
Bien que le Commissariat ait probablement été créé presque exclusivement pour traiter les plaintes des citoyens, avec le temps, son rôle a évolué; aujourd'hui, une partie importante et, selon moi, absolument essentielle de son mandat est de fournir des conseils et des commentaires aux organismes publics gouvernementaux qui créent de nouvelles technologies, de nouvelles lois et de nouveaux programmes risquant de porter atteinte à la vie privée. D'après moi, cette fonction est aussi valable que le traitement des plaintes.
Bien sûr, l'accumulation de plaintes peut permettre de cerner les problèmes systémiques; de bons commissaires réussiraient à le faire.
D'un côté, je comprends les commentaires de mon collègue au sujet de l'exemption des plaintes frivoles et vexatoires. De l'autre, c'est vrai que des personnes abusent de la loi et déposent d'innombrables plaintes les unes après les autres. Nous avons dû prendre des mesures à cet égard en Colombie-Britannique; le commissaire a décidé de prioriser les plaintes — pour répondre à votre question — en déclarant qu'une personne pouvait seulement avoir trois plaintes actives à la fois. Cela a plus ou moins réglé le problème.
J'appuie les mandats de sensibilisation du public et de recherche. On travaille déjà dans ces secteurs. On le fait en vertu de la LPRPDE, et de nos jours, c'est très difficile de faire la différence entre un dossier du secteur privé et un dossier du secteur public. Le commissaire à la protection de la vie privée a un programme de contributions très efficace et il octroie des fonds pour la recherche, ce qui est précieux pour en apprendre plus au sujet des nouvelles technologies et des nouvelles pratiques. On le fait pour des dossiers du secteur public et du secteur privé; il est donc vraiment question d'officialiser ce qui est devenu la pratique du Commissariat au cours des 10 ou 15 dernières années.
Nous devrions peut-être nous pencher sur les 10 ou 20 dernières années, disons, pour voir quel pourcentage de l'ensemble des ressources — financières et humaines — a été affecté aux enquêtes et si ce nombre a diminué. Je pense que oui. Or, si le nombre de plaintes augmente avec le temps et nous affectons moins de ressources à leur traitement, le résultat sera que de nombreuses personnes baisseront les bras et ne déposeront pas leur plainte parce qu'elles savent dès le début qu'elle ne recevra pas l'attention qu'elle mérite si elles doivent attendre deux ou trois ans avant qu'elle soit examinée. Ce n'est pas une solution, et je crois que c'est là où nous en sommes maintenant.
Merci.
J'ai une question très vaste.
Monsieur Dickson, dans l'analyse de l'ABC et dans d'autres documents que j'ai lus, on parle de concilier la LPRPDE avec un régime de protection de la vie privée afin de mieux les harmoniser. Une des deux différences les plus frappantes qui ont été soulignées dans la LPRPDE, c'est que le cabinet d'un ministre et une entreprise privée n'ont pas la même responsabilité: du côté du gouvernement, il y a un recours relatif à la responsabilité ministérielle, tandis que du côté des entreprises privées, le recours est que le consommateur trouve un autre fournisseur de services.
Il y a aussi la question du consentement, parce que du côté du secteur privé, le consentement est donné, mais du côté du secteur public, c'est plutôt prévu par la loi.
Pour gagner en efficacité, y a-t-il d'autres différences frappantes que vous ou que M. Bennett ou que n'importe qui pourrait souligner, ou croyez-vous que le Comité devrait travailler à la conciliation afin qu'il n'y ait pas deux régimes différents, un pour le secteur privé et un pour le secteur public; ainsi, il serait plus facile pour les Canadiens de comprendre un seul régime et les responsabilités des secteurs public et privé?
Je dirais, respectueusement, que le commissaire à la protection de la vie privée a réussi, depuis l'entrée en vigueur de la LPRPDE, à accomplir cette partie de son mandat et à répondre aux préoccupations liées aux entreprises et aux organismes du secteur privé, tout en s'acquittant des obligations prévues par la Loi sur la protection des renseignements personnels en ce qui touche les dossiers relatifs au secteur public.
Je ne sens pas ou je ne comprends pas le besoin d'une plus grande intégration ou harmonisation que celle qui existe à l'heure actuelle. Je pense que de nombreux éléments sont tout aussi importants, comme la protection des renseignements, les pouvoirs du commissaire et autres. À part la responsabilité et le consentement, ce sont des enjeux divergents déterminés par la loi, et je ne vois pas le besoin d'essayer de les concilier ou de les réduire à une seule approche. Les deux ont de bonnes raisons d'exister qui ont été confirmées par l'application des deux lois.
Ma question principale est la suivante: à part ces deux-là, voyez-vous d'autres différences frappantes? Est-ce que tout, sauf les petites différences qui peuvent sembler évidentes entre le secteur public et le secteur privé, pourrait suivre un régime de 80 ou 90 % — je propose n'importe quel chiffre — et pourrait être semblable afin que les gens comprennent facilement les petites différences et comment concilier les deux?
Du point de vue de l'ABC, ce sont les deux domaines principaux où il y a des différences pour de bonnes raisons. Je pense que la plupart des autres éléments de la LPRPDE fonctionnent aussi bien dans la Loi sur la protection des renseignements personnels. Je n'ai pas relevé toutes les différences, mais ces deux-là sont les plus grandes, et je dirais respectueusement qu'il faut continuer à les respecter.
J'attire votre attention sur deux autres points. Le premier est le critère relatif à la collecte. Le commissaire à la protection de la vie privée a recommandé de ne permettre la collecte que lorsqu'elle est nécessaire à un programme gouvernemental. J'appuie fortement cette recommandation. À mon avis, c'est aussi pertinent dans le contexte des discussions sur les modifications du projet de loi C-51.
Le second, c'est que les deux lois convergent sur le plan des principes fondamentaux en matière de protection de la vie privée. Il y a une grande lacune dans la Loi sur la protection des renseignements personnels concernant les mesures de sécurité. La Loi sur la protection des renseignements personnels ne contient pas de disposition équivalant à l'article 4.7 de l'annexe 1 de la LPRPDE, et c'est une importante lacune.
À part cela, je pense que toutes les autres questions sont liées aux pouvoirs du commissaire, ainsi qu'aux outils et aux instruments dont il dispose, ce qui comprend les déclarations obligatoires des atteintes à la vie privée et les EFVP.
J'ai une dernière question. La loi sur l'information et la Loi sur la protection des renseignements personnels ont été adoptées en même temps afin de les harmoniser. Pensez-vous que les deux commissaires devraient avoir des pouvoirs différents ou les mêmes pouvoirs?
Revenons un peu en arrière.
Nous avons terminé un rapport, et la recommandation du Comité était de conférer à la commissaire à l'information le pouvoir de rendre des ordonnances. Je pense qu'après le café que M. Drapeau a mentionné, le commissaire à la protection de la vie privée a décidé qu'il voulait avoir le même pouvoir.
Devons-nous leur donner les mêmes pouvoirs pour éviter un déséquilibre entre les deux?
Je pense que les deux devraient avoir les mêmes pouvoirs. J'ignore comment le commissaire à la protection de la vie privée en est venu à cette conclusion. De nombreuses analyses ont été faites à ce sujet.
Je soulignerais que le Canada est probablement le seul pays au monde où l'accès à l'information et la protection de la vie privée sont considérés comme les deux côtés de la même médaille. Presque partout ailleurs, soit les pays ont une loi sur la protection des données et pas d'accès à l'information, soit ils ont accès à l'information et pas de protection des données.
Dans les années 1980, c'était très logique de procéder ainsi. Depuis, les deux régimes ont divergé, surtout depuis la promulgation de la LPRPDE, qui rend le commissaire à la protection de la vie privée responsable d'une variété d'institutions du secteur de la protection des renseignements personnels et d'une variété d'enjeux qui n'avaient jamais été envisagés lorsque la Loi sur la protection des renseignements personnels a été promulguée.
Je crois que cela met fin à notre séance. Je remercie les témoins et mes collègues. Peut-être me permettrez-vous, en ma qualité de président, de poser la question qui nous préoccupe tous, mais qui n'a pas été soulevée: selon le débat d'hier soir, est-ce que ce sera M. Trump ou Mme Clinton?
Je blague, bien sûr.
Blague à part, M. Saini a posé la question que j'avais concernant le rapport que le Comité vient de publier, et nous attendons la réponse du gouvernement et la mesure législative. Je vous remercie de votre réponse, monsieur Bennett. C'était la question que je voulais poser. Si le pouvoir d'ordonnance existe dans la loi sur l'information, il faudrait probablement le contrebalancer avec le même pouvoir. Reste à voir si nous avons eu raison ou tort.
Je pense que M. Drapeau aurait quelque chose à dire à ce sujet, mais nous savons déjà ces choses-là.
Je vous remercie, mesdames et messieurs, de votre présence. Je sais que vous continuerez à suivre les travaux du Comité de près. Si vous pensez à d'autres renseignements qui pourraient nous servir dans notre étude, veuillez nous en faire part.
Merci, chers collègues. Nous nous réunirons à nouveau jeudi.
La séance est levée.
Explorateur de la publication
Explorateur de la publication