ETHI Réunion de comité

    Bonjour à vous tous.

    Nous reprenons notre étude sur la Loi sur la protection des renseignements personnels. Nous en sommes à la 26^e réunion du comité.

    Nous sommes ravis que certaines des personnes ayant participé au comité lors de l'examen du dossier de l'accès à l'information prennent part à la vidéoconférence d'aujourd'hui. Je suis heureux du retour de Donovan Molloy, commissaire à la vie privée, et de Sean Murray, directeur exécutif de l'Assemblée législative à St. John's, à Terre-Neuve-et-Labrador. Je vous remercie de votre présence.

    Se joignent également à nous Catherine Tully, qui occupe le poste de commissaire à l'information et à la protection de la vie privée pour la Nouvelle-Écosse, et Drew McArthur, qui pour sa part remplit la fonction de commissaire intérimaire pour la Colombie-Britannique.

    Les représentants de la Colombie-Britannique ne sont par encore connectés. J'espère que Drew sera en mesure d'être des nôtres au moment où vous commencerez votre présentation.

    Nous allons procéder de la même manière que lors des réunions précédentes, c'est-à-dire que les participants vont en premier lieu nous faire part de leurs observations préliminaires pendant environ 10 minutes, selon l'ordre qu'on leur a attribué dans l'ordre du jour.

    C'est l'un ou l'autre des représentants de Terre-Neuve-et-Labrador qui commencera. Nous donnerons ensuite la parole à Catherine.

    Bonjour.

    M. Murray et moi-même sommes ravis de pouvoir prendre la parole devant vous. Nous savons que vous avez déjà entendu parler du comité de révision de la législation, qui est composé de Clyde Wells, de Doug Letto et de Jennifer Stoddart. Celui-ci s'est sans aucun doute penché sur la raison d'être des changements récemment apportés aux lois sur l'accès à l'information et la protection des renseignements personnels de Terre-Neuve-et-Labrador.

    Je remplis les fonctions de commissaire depuis à peine plus de trois mois et, à titre de néophyte en matière d'accès à l'information et de protection des renseignements personnels, je trouve tout à fait remarquable de voir à quel point la capacité liée à la collecte, à l'analyse et, malheureusement, à l'usage abusif d'information, a pris de l'ampleur, et continue d'en prendre. Cependant, j'ai été surpris d'apprendre que la Loi sur la protection des renseignements personnels du Canada n'avait pas vraiment été modifiée depuis plus de 30 ans.

    Auparavant, le fait de nous sentir en sécurité dans notre maison et dans notre vie en général était dû au rôle de forteresse que remplissait notre demeure. À l'heure actuelle, en raison de la prolifération de l'information, ainsi qu'à son stockage et à son utilisation, la clé de cette forteresse se trouve dans l'univers numérique: on peut se voir privé de notre intimité et de notre sentiment de bien-être sans que personne n'ait à franchir le pas de notre porte. C'est la situation à laquelle nous faisons actuellement face au sein de l'univers numérique. Il est absolument essentiel que l'ensemble des institutions fédérales ne collectent que les renseignements dont elles ont besoin et mettent tout en oeuvre pour qu'ils ne soient pas utilisés de façon inappropriée par des sources extérieures à l'administration fédérale, et pour que ces dernières ne puissent pas y accéder.

    Nous nous trouvons dans une situation très enviable à Terre-Neuve-et-Labrador en raison de la Loi sur l'accès à l'information et la protection des renseignements personnels de 2015, que nous considérons comme l'une des meilleures mesures législatives du pays. Cependant, nous sommes conscients du fait que les solutions que nous avons mises en oeuvre et utilisons dans notre province pourraient ne pas s'appliquer partout et, plus particulièrement, pourraient ne pas s'appliquer au système fédéral. Le règlement de problèmes liés à la quantité de signalements effectués et aux ressources pourrait nécessiter le recours à des solutions différentes.

    Par exemple, dans notre province, l'ensemble des atteintes à la vie privée doit obligatoirement faire l'objet de signalements, et non seulement les atteintes substantielles à la vie privée. Toutefois, en raison du nombre moins élevé de signalements effectués au sein d'un territoire de compétence comme le nôtre, cette manière de faire est plus pratique pour nous, mais serait moins efficace au sein d'une institution de la taille du gouvernement.

    Nous considérons que les recommandations qui ont été émises par le commissaire fédéral à la vie privée en ce qui a trait à la nécessité d'établir un mandat en matière de collecte de renseignements, de sensibilisation du public et de recherche sont toutes extrêmement positives. Je considère qu'en majeure partie nous respectons l'ensemble des recommandations formulées par le commissaire à la protection de la vie privée.

    Nous croyons que l'expérience que nous avons acquise pourra être utile au comité. En effet, nous respectons cette mesure législative depuis plus d'un an, en plus de prendre en compte les réactions en découlant et d'accumuler des données la concernant. M. Murray et moi-même espérons être en mesure de répondre à toutes vos questions.

    Merci.

    Merci beaucoup, monsieur Molloy.

    Je donne maintenant la parole à Catherine, pour 10 minutes. Allez-y, madame Tully.

    Merci.

    Comme c'est la première fois que je comparais devant le comité, j'aimerais vous en dire un peu plus sur moi. Ainsi, vous aurez une idée du genre de questions auxquelles je suis en mesure de répondre.

    Je pratique dans le domaine de l'accès à l'information et de la protection des renseignements personnels depuis 15 ans. J'ai travaillé au sein du gouvernement. J'ai administré l'accès à l'information, soit le programme d'accès à l'information et de protection des renseignements personnels, pour le compte du procureur général, du solliciteur général et des services responsables des relations avec les Autochtones en Colombie-Britannique pendant six ans. Mon équipe traitait entre 2 000 et 3 000 demandes par année et produisait des centaines d'évaluations des facteurs relatifs à la vie privée. Elle appliquait la loi au sein d'un ministère.

    Je suis par la suite allée travailler pour l'organisme de surveillance se trouvant en Colombie-Britannique, où j'ai occupé le poste de commissaire adjointe à la protection de la vie privée. Dans le cadre de mes fonctions, j'ai dirigé un groupe d'enquêteurs et de médiateurs qui a mené des enquêtes sur des centaines d'atteintes à la vie privée et a traité des milliers de plaintes se rapportant à l'accès à l'information. Comme la Colombie-Britannique dispose d'un pouvoir de rendre des ordonnances, le petit pourcentage de dossiers non réglés étaient transférés à l'unité de règlement. Donc, je connais bien ce modèle de supervision.

    J'ai ensuite travaillé pendant quelques années à Postes Canada, où j'ai administré l'accès à l'information et la protection des renseignements personnels au nom de cette institution fédérale en vertu de la Loi sur la protection des renseignements personnels et de la Loi sur l'accès à l'information, à titre de directrice de l'accès à l'information et de la protection des renseignements personnels. À l'heure actuelle, j'occupe le poste de commissaire à l'information et à la protection de la vie privée en Nouvelle-Écosse. Comme cette fonction est assortie d'un pouvoir de formuler des recommandations au sein de la province, j'ai oeuvré au sein et à l'extérieur de régimes d'ordonnances et de recommandations.

    Je crois que bon nombre de personnes vous ont dit qu'il était nécessaire de moderniser la Loi sur la protection des renseignements personnels. En fait, je partage les mêmes préoccupations qu'eux en raison de ce qui se passe en Nouvelle-Écosse. Je suis en train d'élaborer une série de recommandations visant à moderniser la loi de la Nouvelle-Écosse. Les dernières modifications considérables qu'elle a subies remontent à 1993. Même si elle a 10 ans de moins que la Loi sur la protection des renseignements personnels, elle partage bon nombre de lacunes avec celle-ci.

    En prévision de cette audience, j'ai examiné les propositions de mon collègue, le commissaire Therrien, et je peux dire en toute honnêteté que la quasi-totalité des suggestions qu'il a faites à votre comité sont similaires à celles que je ferai à la législature de la Nouvelle-Écosse. On peut assurément observer une cohérence entre les orientations que nous souhaitons voir adopter par ces types de lois afin qu'elles soient efficaces.

    J'ai décidé de vous faire trois suggestions dans le cadre de mes observations préliminaires.

    Je vous recommande tout d'abord de faire du mieux que vous pouvez pour que les changements apportés soient, autant que possible, dans le même esprit que les normes du secteur privé en matière de protection des renseignements personnels, en raison de la perception des citoyens. Ils ne comprennent pas que le gouvernement et les entreprises sont assujettis à des règles différentes. Ils considèrent souvent que les règles respectées par les entreprises sont plus sensées.

    En ce qui a trait aux éléments tels que la collecte de renseignements personnels, je sais que le commissaire Therrien vous a recommandé d'ajouter une exigence de nécessité. Au sein du secteur privé, c'est ce à quoi on s'attend. Le respect de cette exigence est bien entendu tout à fait logique au sein du secteur public et constitue une norme commune dans d'autres territoires de compétence, mais pas dans celui de la Loi sur la protection des renseignements personnels.

    Ensuite, je vous suggère d'envisager l'ajout d'un énoncé d’intention. Je vous fais cette recommandation, car la Nouvelle-Écosse a établi un énoncé d’intention détaillé. En fait, il constitue l’un des meilleurs éléments de l’ancienne loi. Cet énoncé très riche a beaucoup aidé les tribunaux à l'interpréter. Il donne un très bon aperçu des objectifs que la législature de la Nouvelle-Écosse souhaitait atteindre par la mise en oeuvre d’une loi sur l’accès à l’information et la protection des renseignements personnels.

    Ma troisième recommandation se rapporte pour sa part au signalement des atteintes à la vie privée. La Nouvelle-Écosse doit respecter une exigence particulière liée au signalement des atteintes en vertu de la Loi sur les renseignements médicaux personnels. Dans le cadre de l’ancienne Loi sur l'accès à l'information et la protection de la vie privée, il n’y avait aucune exigence de ce genre à observer. Toutefois, la Loi sur les renseignements médicaux personnels exige que les dépositaires de renseignements sur la santé informent mon bureau des atteintes mineures à la vie privée. À l’échelle fédérale, seules les personnes concernées ont à être informées des risques réels de préjudice grave ou des atteintes substantielles à la vie privée. Par conséquent, je recommande sans hésiter à la législature d’établir une exigence liée au signalement des atteintes substantielles à la vie privée, ce qui s'apparente beaucoup à ce que vous a recommandé le commissaire Therrien. Je considère également qu’il serait profitable d’exiger que les institutions dressent une liste de toutes les atteintes à la vie privée qui s'agirait au fond d'un journal des atteintes à la vie privée.

    C’est l’exigence que doivent respecter les Européens dans le cadre de règlements généraux de protection des données en Europe. En effet, ils doivent tenir une liste de toutes les atteintes à la vie privée et en assurer la disponibilité au cas où le commissaire souhaiterait la consulter. De plus, ils doivent également signaler les atteintes substantielles à la vie privée aux autorités de protection des données européennes.

    Cette façon de faire me semble tout à fait sensée. Et je vais vous dire pourquoi. Le seul fait d’examiner les atteintes mineures à la vie privée permet d’avoir une idée de ce qui se passe et de savoir où se situent les risques touchant les renseignements personnels sur la santé.

    Par exemple, en Nouvelle-Écosse, les atteintes mineures à la vie privée commises par des dépositaires de renseignements sur la santé ont connu une hausse de 75 % l’an dernier. Les tendances à ce sujet sont fort inquiétantes. Grâce à l’examen des atteintes mineures à la vie privée, il est possible d’obtenir des renseignements de qualité permettant de déterminer où des formations doivent être fournies et des solutions techniques doivent être mises en oeuvre pour prévenir non seulement les atteintes mineures à la vie privée, mais également les atteintes majeures à la vie privée.

    Ce sont les trois suggestions dont je souhaitais vous faire part en guise d’introduction. Je me ferai un plaisir de répondre à toute question que vous pourriez vous poser à leur sujet.

    Merci beaucoup, madame Tully.

    Comme les représentants de la Colombie-Britannique ne se sont toujours pas joints à la vidéoconférence, nous allons passer aux périodes de questions. Si M. McArthur de la Colombie-Britannique se joint à nous, nous passerons immédiatement à ses observations préliminaires, avant de poursuivre les séries de questions.

    Si vous n'y voyez pas d'objection, chers collègues, nous allons commencer la première série de questions de sept minutes avec M. Erskine-Smith.

    Merci beaucoup.

    Mes premières questions se rapportent aux pouvoirs de rendre des ordonnances. Je crois savoir qu'il existe un modèle hybride à Terre-Neuve-et-Labrador. Madame Tully, vous possédez de l'expérience sur les pouvoirs de rendre des ordonnances. Pouvez-vous nous dire dans quelle mesure le processus est strict? Doit-on tenir une audience en bonne et due forme devant un tribunal? Quel niveau d'équité procédurale doit être atteint dans le cadre d'un modèle d'ordonnances?

    J'ai acquis de l'expérience sur les pouvoirs de rendre des ordonnances lorsque je travaillais en Colombie-Britannique. La situation là-bas se comparait à ce qui a cours présentement en Nouvelle-Écosse en raison des recommandations devant être formulées.

    Lorsque des questions étaient portées en arbitrage, il y avait un mur entre la médiation informelle et l'arbitrage. Le processus d'ordonnances était plutôt strict par rapport au processus de recommandations. Les parties étaient généralement représentées par des avocats. Elles fournissaient les mémoires des témoins. Il y avait des échanges de mémoires. De façon générale, les audiences se déroulaient presque exclusivement par voie de mémoires devant un arbitre. En raison de cette manière de faire, le bureau de la Colombie-Britannique a dû créer un groupe d'arbitres distinct du reste du personnel qui menait les audiences et produisait des rapports écrits.

    Les recommandations formulées dans mon champ de compétences permettraient d'éliminer le mur entre le processus informel de règlement des plaintes et les rapports de recommandations que je rédige. Les parties n'auraient donc plus à se faire représenter par des avocats. Toutefois, cela aurait des répercussions sur la qualité des mémoires: de façon générale, elles ne seraient pas bien étoffées et ne contiendraient pas assez de preuves. Il est assez difficile de rédiger ces recommandations.

    Je vois.

    J'ai constaté que la nécessité de tenir une consultation sur les lois ayant des répercussions sur la protection des renseignements personnels était énoncée dans la loi de Terre-Neuve-et-Labrador. Je crois que c'est l'article 112 qui en fait mention. Vous avez de l'expérience en la matière. À quelle fréquence avez-vous tenu des consultations? Est-ce que vous nous recommandez d'adopter cette disposition?

    Je vous demande pardon, me posez-vous la question?

    Non. La question s'adresse au commissaire de Terre-Neuve-et-Labrador.

    Je vais répondre à celle-ci.

    Nous sommes fermement en faveur de l'article 112 de la Loi. Nous croyons qu'il donne de très bons résultats. Depuis l'entrée en vigueur du PCICA en juin 2015, nous avons été consultés à de nombreuses reprises. Nous avons donné des conseils sur la rédaction des projets de loi et avons eu une certaine influence sur le projet de loi par la suite déposé et débattu à la Chambre d'assemblée.

    Il existait auparavant une pratique occasionnelle ad hoc qui consistait à consulter le bureau du commissaire. Cette pratique était inadéquate parce que parfois, les projets de loi étaient déposés à la Chambre sans que nous le sachions parce que nous n'en étions pas avisés, et cela avait un impact important sur la protection des renseignements personnels et l'accès à l'information. C'était alors une occasion ratée d'avoir cette information.

    Peut-être pourriez-vous également en parler aux responsables de l'article 72 qui requiert également des évaluations des facteurs relatifs à la vie privée.

    En outre, madame Tully, monsieur Molloy et monsieur Murray, vous pourriez peut-être expliquer s'il faut incorporer cette exigence ou si, selon vous, il y a une différence entre l'ajouter à la loi ou aux règles qui régissent le Conseil du Trésor.

    Je peux en parler du point de vue de Terre-Neuve-et-Labrador.

    L'exigence en matière d'évaluation des facteurs relatifs à la vie privée incluse dans notre PCICA de 2015 était nouvelle. Elle est limitée en raison du fait que l'évaluation doit être fournie au bureau du commissaire qui en prend connaissance seulement pour un « programme commun ou intégré ». Malheureusement, il existe un certain désaccord entre nous et le gouvernement sur la définition de « programme commun ou intégré », si bien que nous n'en avons pas examiné beaucoup.

    Il y a toutefois une condition voulant que les organismes publics effectuent une évaluation des facteurs relatifs à la vie privée ou une évaluation préliminaire de ces facteurs qui est ensuite remise au ministre. Nous croyons qu'il s'agit d'un processus utile permettant aux organismes publics de se faire une bonne idée des risques pour les renseignements personnels et d'éliminer ou d'atténuer ces derniers. Il est indéniable que cela fera en sorte que les programmes et les initiatives ciblés respecteront davantage les renseignements personnels.

    Ma dernière question concerne l'utilisation secondaire. Vous avez parlé de l'importance d'une exigence sur la nécessité de la cueillette. Une fois ces renseignements recueillis par le gouvernement... La semaine dernière, des témoins ont parlé de différentes normes; il semble donc qu'il s'agisse dans le secteur privé d'une norme uniforme une fois accordé le consentement original. Le secteur public pourrait avoir une norme uniforme sur l'utilisation secondaire, avec une norme sur la compatibilité, ou simplement une exigence sur la nécessité et la proportionnalité pour un nouveau programme.

    Je me demande si vous pourriez parler de la question des règles dans vos sphères de compétences à propos d'une utilisation secondaire possible et de la norme qui pourrait y être adoptée.

    Je peux en parler du point de vue de la Nouvelle-Écosse et en fait du point de vue des trois sphères de compétences où j'ai travaillé.

    Je suis une partisane d'une utilisation uniforme. Je crois que les critères énoncés dans les lois favorisent l'uniformité et la compatibilité et que ces règles favorisent une utilisation secondaire dans ces circonstances particulières. C'est la définition de l'incorporation de la nécessité et de la proportionnalité dans certains de ces textes de loi. Une tentative d'uniformiser le plus possible l'utilisation secondaire dans les deux, la LPRPDE et la Loi sur la protection des renseignements personnels, serait certainement utile.

    J'ai essayé le critère sur l'utilisation uniforme et j'estime qu'il fonctionne très bien pour une utilisation secondaire.

    Des commentaires, monsieur Molloy ou monsieur Murray?

    Je crois que Mme Tully a bien résumé la question.

    Pour pousser un peu plus loin, je me demande si le gouvernement recueille des renseignements... L'exemple que j'ai utilisé la semaine dernière est la cueillette de renseignements à la frontière sur les gens qui quittent le pays et la durée de leur séjour à l'étranger. Si ces renseignements doivent ensuite être partagés avec d'autres ministères qui évaluent l'admissibilité de ces gens à certaines prestations, ou leur refusent ces prestations lorsqu'ils sont trop longtemps hors du pays. Je me demande s'il s'agit bien d'utilisation uniforme, ou si ce type de partage de renseignements soulève une certaine inquiétude. Si nous avons un critère similaire au critère énoncé dans l'arrêt Oakes concernant un objectif urgent et réel du gouvernement, où le partage de renseignements est nécessaire et à la hauteur de cet objectif, et où les bénéfices l'emportent sur les coûts, devrions-nous nous préoccuper de ce partage secondaire de renseignements?

    Selon moi, ce n'est pas une question d'utilisation; il s'agit plutôt d'une question de divulgation. Si cela se fait entre deux institutions distinctes, ces dernières doivent respecter la règle sur la divulgation; elles doivent donc tout d'abord en avoir l'autorisation. L'idée d'ajouter à toute divulgation une considération de proportionnalité et de nécessité est, je crois, une très bonne idée sur la question...Ces dispositions tendent à être discrétionnaires et le fait d'établir un certain cadre, même si vous disposez du pouvoir, sur ce que vous considérez comme un pouvoir discrétionnaire, notamment sur le partage entre ministères, serait une excellente idée.

    Nous avons largement dépassé les sept minutes allouées à M. Erskine-Smith.

    Avant de passer à M. Jeneroux, nous avons au moins les gens de Colombie-Britannique au téléphone.. Il semble que nous n'aurons que la voix de M. McArthur, sans vidéo.

    Monsieur McArthur, vous devrez de temps en temps nous interrompre parce que nous ne vous voyons pas lorsque vous parlez ou répondez à une question.

    Je tiens à rappeler à tous nos témoins que durant une conversation, même si quelqu'un d'autre parle, nous vous entendons également. Si vous avez un bouton ou une fonction de discrétion, elle peut vous être utile.

    Passons maintenant à M. McArthur. Merci de vous joindre à nous. Désolé pour les problèmes techniques.

    Est-ce Bradley?

    C'est Drew McArthur et Bradley Weldon.

    Merci beaucoup.

    Nous avons M. McArthur et M. Weldon de Colombie-Britannique.

    Vous avez dix minutes pour vos mots d'ouverture; nous passerons ensuite aux questions. Veuillez commencer s'il vous plaît.

    Merci beaucoup de l'invitation.

    Mon bureau assure une surveillance et une application indépendantes en matière de lois d'accès à l'information et de protection des renseignements personnels en Colombie-Britannique. La surveillance et l'application touchent plus de 2 900 organismes publics, dont des ministères, administrations locales, écoles, sociétés de la Couronne, hôpitaux et corps policiers. Ceux-ci sont assujettis à la Loi sur la protection des renseignements personnels dans le secteur public de la Colombie-Britannique, à la Loi sur l'accès à l'information et la protection de la vie privée ou à la PIPA.

    Cela touche plus de 380 000 organisations du secteur privé, notamment des entreprises, organisations caritatives, associations, syndicats et fiducies assujettis à la PIPA (Personal Information Protection Act) de Colombie-Britannique.

    J'ai l'intention aujourd'hui de traiter de trois thèmes abordés dans les délibérations de ce Comité auxquels l'expérience de la Colombie-Britannique pourrait être utile: les pouvoirs d'ordonnance des commissaires, l'obligation explicite de protéger les renseignements personnels et la notification des atteintes à la vie privée. En Colombie-Britannique, en vertu du pouvoir d'ordonnance, de la médiation et de la consultation, le mandat de l'office couvre la promotion des droits sur la protection des renseignements personnels, l'éducation du public, les conseils aux organismes publics et aux entreprises, le traitement des plaintes, la médiation et l'arbitrage indépendant. Ces fonctions sont complémentaires et, selon moi, sont mieux assurées par une seule entité. Il serait extrêmement difficile pour un autre tribunal administratif d'acquérir le même degré d'expertise avec des résolutions efficaces et rapides pour les citoyens.

    Dans notre monde numérique, les questions touchant la protection des renseignements personnels et l'accès à l'information sont dynamiques. Il est dans l'intérêt des organisations, des particuliers et des organismes publics que les personnes responsables des décisions juridiques et exécutoires aient les compétences nécessaires et des connaissances à jour sur ce qui se déroule sur le terrain. La responsabilité de l'arbitrage, de la défense des droits, de l'éducation et des enquêtes nous assure la connaissance nécessaire des lois. Nos arbitres reçoivent la même formation technique et le même perfectionnement professionnel que nos enquêteurs, et ils sont couramment exposés aux nouvelles technologies, idées émergentes et tendances mondiales dans les lois sur la protection des renseignements personnels et l'accès à l'information.

    La conduite des enquêtes et de l'arbitrage par un même bureau procure de nets avantages aux citoyens. Cela leur assure un guichet unique. Cette clarté et cette commodité sont importantes. Les citoyens n'hésitent pas à savoir auprès de quel organisme superviseur ou tribunal ils doivent déposer leur plainte. Il suffit de s'adresser à notre bureau. Et les citoyens n'ont pas l'impression qu'ils sont perdus dans les dédales d'un système bureaucratique inutile.

    Nous n'avons pas remarqué que l'éducation du public ou les fonctions consultatives confiées à un commissaire risquent de saper la fonction décisionnelle. Nous prenons les moyens pour protéger l'intégrité du processus décisionnel. Par exemple, aucun renseignement sur les dossiers d'enquête ou les tentatives de résolutions officieuses n'est divulgué aux arbitres. Ces derniers ne relèvent pas du même superviseur et leurs bureaux et ceux des enquêteurs sont sur des étages différents.

    Lorsque nous donnons des consultations ou des conseils publics, nous précisons que notre opinion se fonde sur les renseignements dont nous disposions à ce moment, et qu'ils ne contraignent pas le commissaire qui peut en arriver à un résultat officiel d'après une plainte déposée ultérieurement.

    Dans le cadre de nos consultations, nous communiquons des principes généraux et recommandons des pratiques exemplaires sans préjugé aucun en faveur de cas particuliers. Nous pouvons nous acquitter efficacement de ces différents rôles parce que notre législation nous confère explicitement ces pouvoirs en les énonçant en détail.

    Le processus décisionnel renforce notre capacité de résoudre les problèmes grâce à la médiation. La fonction décisionnelle confère plus de pouvoirs à nos enquêteurs parce qu'elle sensibilise les parties en les incitant à éviter le processus décisionnel officiel. Si bien que 90 % des plaintes et des demandes d'examen que nous recevons se résolvent par la médiation. Au cours de la dernière année, nous avons reçu 1 056 plaintes et demandes d'examen et dont 109 à peine se sont rendues au stade de l'enquête. Parmi elles, un maigre 1 % est allé devant les tribunaux.

    Le fait que nous assumons l'éducation du public et donnons des conseils, en plus de jouir du pouvoir d'enquête, avec la capacité ultime d'imposer l'observation grâce à notre fonction décisionnelle, nous procure ce degré d'autorité capable d'influencer le public comme le gouvernement. Sans tout cet éventail de fonctions, nous n'aurions pas autant d'influence.

    Les lois relatives à la protection de la vie privée en C.-B. comportent une exigence explicite stipulant que les organismes publics doivent protéger les renseignements personnels. Nous considérons cette exigence législative comme faisant partie intégrante de la responsabilité d'un organisme public envers les renseignements personnels qu’il recueille de la part de ses citoyens. Compte tenu des répercussions défavorables que peuvent subir les citoyens dans le cas où leurs renseignements personnels sont divulgués, il est presque incroyable qu’un acte législatif portant sur la protection de la vie privée n’intègre pas cette exigence.

    L’article 30 de notre loi stipule que :

    Les citoyens s’appuient sur cet article et s’attendent à ce qu’un organisme public prenne les mesures appropriées pour protéger leurs renseignements personnels. Il s’agit de l’exigence législative en vigueur dans la plupart des juridictions canadiennes et internationales. Intégrer cette exigence à la loi est important du point de vue de la confiance du public, à titre d’exigence contraignante claire pour les organismes publics. Une telle mesure témoignerait de l’importance que les gouvernements accordent à cette exigence.

    Bien que les lois de la C.-B. ne couvrent pas explicitement les mesures physiques, organisationnelles et technologiques correspondant au caractère sensible des données, notre bureau a défini des attentes similaires en matière de rapports et d’ordonnances d’investigation. À mon avis, inclure clairement ces attentes dans la loi serait conforme aux normes internationales en matière de protection des renseignements personnels.

     De plus, nous avons clairement indiqué qu’à titre d'organisme de réglementation de notre province, nous évaluons les « mesures de sécurité raisonnables » de manière objective, et que la définition de ce qui est raisonnable dépend du contexte. La norme ne porte pas sur la perfection, mais varie en fonction du caractère sensible des renseignements personnels en question et de leur quantité.

    Au sujet des signalements de violation des renseignements personnels, on considère qu’une telle violation a lieu lorsque des renseignements personnels sont recueillis, utilisés ou divulgués de manière non autorisée ou qu’on y accède de manière non autorisée. On définit que ces gestes sont non autorisés s’ils contreviennent à l’une de nos lois relatives à la protection de la vie privée. Un aspect important de la protection des renseignements personnels consiste à garantir que le commissaire à la protection de la vie privée et les personnes touchées sont informées en cas de violation des renseignements personnels.

    Les violations de renseignements personnels peuvent entraîner des coûts considérables. Elles exposent les gens à des risques d’usurpation d’identité et peuvent nuire gravement à leurs finances ou à leur réputation. Elles peuvent aussi causer une perte de dignité et une perte de confiance envers les organismes publics. Nous confions aux organismes publics certains de nos renseignements personnels les plus complets et les plus sensibles: nos dossiers d’assurance sociale, nos données fiscales, des renseignements sur notre santé et sur nos finances, etc. Nous n’avons d'autre choix que de fournir ces renseignements aux organismes publics.

     Il semble que des violations de renseignements personnels sont signalées par les médias chaque semaine. Nous entendons parler de vols ou de pertes d’ordinateurs portables et d’appareils de stockage portatifs, d’erreurs humaines ayant conduit à la divulgation de renseignements personnels ou à un accès non autorisé à de tels renseignements, d’espionnage et de cyberattaques.

    Les signalements de violations de renseignements personnels en C.-B. sont actuellement volontaires, à la fois dans le secteur public et dans le secteur privé. Cependant, mon bureau a recommandé que ces rapports deviennent une exigence obligatoire; permettez-moi de vous expliquer pourquoi. En Colombie-Britannique, nous avons examiné le processus de gestion des violations de renseignements personnels, et nous avons publié les résultats de cet examen en 2015. Nous avons appris que près de 3 000 violations avaient été signalées au gouvernement entre 2010 et 2013, mais que seules 30 d’entre elles avaient été signalées à mon bureau. Cette réalité nous a montré que, dans un contexte où les rapports de violations sont volontaires, mon bureau n’était mis au fait que d’environ 1 % de toutes les violations se produisant au sein de ministères gouvernementaux. De ce nombre, 72 % étaient classées comme des « erreurs administratives ». La répartition des autres types de violations comportait des divulgations non autorisées (16 %), des renseignements perdus ou volés (  %), des accès non autorisés (3 %) et des cyberattaques ou de l’hameçonnage (moins de 1 %).

    Ces constats indiquent qu’il est important de définir un seuil clair en vertu duquel les rapports de violations doivent être produits. Nous ne souhaitons pas entendre parler de toutes les violations, mais nous devons être mis au fait des plus importantes. En Colombie-Britannique, nous avons recommandé que ce seuil consiste en toute situation où on pourrait s’attendre à ce que la violation porte préjudice à une personne, ou toute situation où la violation touche un grand nombre de personnes.

     Le signalement obligatoire de violations à un commissaire à la vie privée signifie également que le bureau de ce commissaire peut travailler de concert avec les organismes publics pour qu’ils apprennent de leurs erreurs et mettent en place des stratégies de prévention durables. De plus, ce signalement obligatoire permettra de garantir que les personnes touchées sont informées des violations sans retard justifié, de manière à ce qu’elles puissent prendre des mesures importantes pour se protéger.

     Pour toutes ces raisons, mon bureau a recommandé aux comités législatifs qui examinent les actes législatifs liés à la protection de la vie privée que le signalement obligatoire des violations de renseignements personnels soit ajouté à ces actes comme exigence. Ces deux comités ont donné leur accord à notre demande et ont recommandé, dans leurs rapports définitifs, que les lois relatives à la protection de la vie privée dans les secteurs public et privé soient abrogées pour exiger que les violations de renseignements personnels, lorsqu’elles ont lieu, soient signalées au commissaire et aux personnes touchées. Le gouvernement de la Colombie-Britannique a indiqué qu’il s’engage à régler la question du signalement obligatoire des violations de renseignements personnels dès que l’occasion se présentera au niveau législatif.

     Le projet de loi fédéralS-4 a ajouté des exigences relatives au signalement de violations de renseignements personnels à la loi sur la protection des renseignements personnels du secteur privé du Canada, et il m’est difficile de comprendre pourquoi le gouvernement ne se soumettrait pas à la même norme que celle qu’elle impose au secteur privé.

    Cela met fin à mes observations.

     Merci beaucoup. Il s’agissait de vous, M. McArthur. Est-ce exact?

     C’est exact.

     M. McArthur et M. Weldon, aux fins de notre processus d’enregistrement ici, à Ottawa, veuillez vous nommer au début des commentaires que vous formulez, afin que nous puissions nous assurer que nous attribuons ces commentaires à la bonne personne. Nous ne pouvons pas voir la personne qui parle, alors cela nous serait utile.

     Collègues, je vous demanderais d’être précis si vous posez une question à un témoin, afin qu’il puisse être clairement identifié. Si vous posez votre question à tous les témoins, je m’assurerai alors que cela soit clairement compris.

     Nous poursuivrons maintenant nos périodes de 7 minutes, et nous donnerons la parole à M. Kelly pour un maximum de 7 minutes, s’il vous plaît.

    Merci, monsieur le président.

     J’aimerais que chaque témoin formule une remarque brève — un peu comme l’ont fait le témoin de la Colombie-Britannique — et de décrire un peu la nature des violations de renseignements personnels que vous recevez. Nous parlons en ce moment de signalements obligatoires, et le nombre de violations pourrait être plutôt élevé, du moins en fonction de l’expérience de la Colombie-Britannique, qui mentionnait avoir reçu des signalements pour environ 1 % des violations. Si toutes les violations doivent être signalées, une violation de la vie privée peut être plusieurs choses, que ce soit le fait que quelqu’un laisse traîner un bout de papier de façon négligente, une cyberattaque complexe, ou la perte d’un ordinateur portable contenant des milliers, voire des millions de dossiers différents.

    Plus précisément en lien avec la façon dont la vie de personnes impliquées pourrait être touchée par de telles violations, chacun de vous pourrait-il nous présenter une description rapide, voire anecdotique, de ce à quoi nous avons affaire? Je commencerai par nos témoins de Terre-Neuve-et-Labrador, M. Molloy et M. Murray.

     La plupart du temps, la majorité des violations qui nous sont signalées — et, en vertu de l’ATIPPA — sont des imprévus, des accidents ou des négligences, et sont généralement des situations qui n’impliquent aucune intention de faire un usage abusif des renseignements personnels, de les partager ou de les divulguer.

    Nous avons bien eu quelques cas où des gens ont accédé aux renseignements personnels d’autres personnes et où ces renseignements ont été communiqués à autrui ou divulgués. Les répercussions sur les personnes touchées sont graves. Une fois que vous avez été privé de votre sentiment d’intimité et de votre dignité, selon la nature des renseignements, il est difficile de progresser au sein de votre relation avec un organisme public en particulier ou le gouvernement en général.

    À l’inverse, nous pouvons signaler que nous avons vécu des situations où le fait d’informer inutilement des personnes que leurs renseignements personnels avaient été violés peut aussi causer beaucoup de torts. Une fois que la personne a été informée, c’est difficile de revenir en arrière. On a du mal à convaincre les gens que la violation n’a eu aucune incidence sur eux.

     En Nouvelle-Écosse, nous n’avons pas l’obligation de signaler les importantes violations de renseignements personnels. Nous observons plutôt les petites violations que j’ai mentionnées. Je crois que nous avons reçu des signalements pour environ 900 violations mineures de renseignements personnels liés à la santé l’année dernière. Environ le tiers de ces signalements sont des télécopies envoyées par erreur ou son pendant haute technologie, qui est de sélectionner le mauvais code de fournisseur dans une base de données, ce qui fait que les renseignements liés à la santé sont envoyés au mauvais fournisseur. C’est ce type de violation qui a tendance à ne pas causer de tort important. Parfois, nous entendons parler de violations plus importantes. Par exemple, il existe des cas d’espionnage de bases de données. Dans les petites collectivités, il s’agit de violations plutôt considérables, à la fois en termes de localisation des individus et de repérage de renseignements médicaux, y compris des renseignements sur la santé mentale, ce qui est assez embarrassant.

     J’ai brièvement mentionné les types de violations dont nous avons été témoins au gouvernement. J’aimerais en souligner quelques-unes qui ont conduit à des enquêtes. L’une d’elles portait sur l’université de Victoria et était liée à un disque dur non crypté qui contenait les renseignements personnels d’employés. L’autre était liée à notre ministère de l’Éducation et impliquait aussi un disque dur non crypté. Même si ce disque dur a été perdu, il contenait des données sur plus de 300 000 étudiants en Colombie-Britannique. Il s’agit de circonstances graves où les gens devront peut-être prendre certaines mesures.

     J’aimerais ajouter une remarque sur le besoin d’adopter des seuils de signalement. Nous avons déjà défini que dans le secteur public, ce seuil est atteint lorsqu’on pourrait raisonnablement s’attendre à ce qu’une violation cause un préjudice à une personne ou lorsqu’une violation touche un grand nombre de personnes. Nous avons défini ce seuil comme seuil de signalement au commissaire, et lorsque nous informons les personnes, nous avons recommandé que ce seuil consiste en tout cas où la violation pourrait avoir des répercussions défavorables graves sur la personne. Une fois de plus, ces répercussions défavorables graves dépendent du contexte. Nous n’avons pas encore d’expérience en la matière. Nous avons défini ces deux seuils pour qu’ils soient légèrement différents, en ce sens qu’un seuil moins élevé pour le signalement au commissaire nous permettrait de travailler de concert avec les organismes publics pour nous assurer qu’ils aient des programmes en place pour prévenir la divulgation de ces renseignements personnels à un utilisateur qui n’a pas l’autorisation d’y accéder. Cela garantirait aussi que les personnes touchées soient informées rapidement afin qu’elles puissent se protéger.

    Quelles infrastructures supplémentaires faudrait-il mettre en place pour adopter le signalement obligatoire?

     Je comprends qu’à Terre-Neuve-et-Labrador, le signalement est déjà obligatoire. Compte tenu du nombre limité de signalements actuels dans un contexte où ces signalements ne sont pas obligatoires, de quelles infrastructures le gouvernement fédéral aurait-il possiblement besoin de mettre en place, en n’oubliant pas que les institutions fédérales sont, dans bien des cas, très différentes des institutions provinciales? Les institutions provinciales ont tendance à être davantage axées sur les services, alors qu’il existe des agences où les gens ont un rapport obligatoire, comme c’est le cas à l’ARC ou à l’Agence des services frontaliers du Canada.

     Je demanderais peut-être à chacun de vous de prendre un petit moment pour commenter les changements qui devraient être apportés au sein des institutions fédérales pour permettre le signalement obligatoire des violations de renseignements personnels.

    Nous avons déjà dépassé sept minutes, mais si quelqu’un a un commentaire rapide à ce sujet, allons-y.

    M. McArthur?

    En matière d’infrastructures, d’un point de vue technique, rien n’est nécessaire. Il s’agit simplement d’un processus permettant de recevoir les plaintes. Je signale qu’en Colombie-Britannique, même si ce n’est pas encore obligatoire, nous recevons déjà des signalements volontaires, en faisons le suivi et faisons des enquêtes, au besoin. Nos processus administratifs sont déjà en place. Je sais également que le Bureau du Comissaire fédéral à la protection de la vie privée a un processus en place pour recevoir des signalements, puisque, malheureusement, j’ai fait de tels signalements à l’occasion lorsque je faisais partie du secteur privé.

    Nous devrons maintenant passer au prochain intervenant. Nous nous approchons de huit minutes.

    M. Dusseault, je vous prie, vous avez sept minutes.

     Merci, monsieur le président.

    Ma première question touche un aspect qui a été mentionné par nos amis de Terre-Neuve-et-Labrador au sujet du régime obligatoire qui existe dans cette province. Le gouvernement provincial doit obligatoirement faire rapport au commissaire lorsqu'il y a une entrave à la vie privée.

    Si vous découvrez que cette obligation n'a pas été remplie et que le ministère n'a pas rapporté cette entrave à la vie privée, est-ce qu'il y a une conséquence qui s'ensuit? Un suivi est-il fait à cet égard? Que se passe-t-il lorsqu'il y a une entrave à la vie privée, mais qu'aucun rapport ne vous a été remis à ce sujet?

    Je ne crois pas qu'il y ait eu des cas de violation notoires qui n'ont pas été rapportés à nos bureaux. Vous avez raison de dire que les pénalités ne sont pas inscrites dans la loi dans les cas où un organisme public s'abstiendrait de signaler une violation à nos bureaux. Notre nouvelle loi est en vigueur depuis un an et demi environ et nous avons remarqué que certains organismes publics semblent signaler un plus grand nombre de violations que d'autres. Nous avons posé des questions à ce propos et il semblerait que nous devrons faire un suivi en temps et lieu, mais à ce jour, je ne suis pas en mesure de conclure qu'un organisme public n'a volontairement pas rapporté de cas de violations à nos bureaux. Peut-être devrons-nous nous pencher sur cette question.

     Merci.

    J'aimerais revenir au témoin en provenance de la Colombie-Britannique au sujet de l'obligation d'informer les citoyens lorsqu'il y a une atteinte à leur vie privée. J'aimerais revenir sur ce dont vous avez aussi fait mention, c'est-à-dire les possibles atteintes à la réputation, les atteintes financières et même celles qui touchent à l'identité des gens.

    Chez vous, existe-t-il un moyen pour les citoyens de poursuivre le gouvernement, d'obtenir des dédommagements ou même des mesures de redressement? Le commissaire canadien propose des mesures de redressement, y compris des dommages et intérêts pour une atteinte à la vie privée. Est-il possible pour un citoyen en Colombie-Britannique d'utiliser un tel recours juridique afin d'obtenir une compensation?

    À l'heure actuelle, nous attendons encore la législation pour déterminer comment elle sera concrètement mise en oeuvre. Nous pouvons toutefois ordonner à un organisme public de prendre les mesures appropriées pour atténuer les préjudices. Dans certains cas, les mesures d'atténuation peuvent comporter la surveillance du crédit ou d'autres mesures, selon les circonstances.

    Merci, c'est très intéressant. C'est quand même une mesure que le gouvernement peut prendre dans ces circonstances.

    Je vais maintenant m'adresser à la commissaire de la Nouvelle-Écosse et cela pourrait intéresser les autres provinces.

    Je me demande si un effort est fait pour éduquer, non seulement la population — ce qui est très louable —, mais surtout les employés de l'État à cet égard? Ceux-ci doivent connaître leurs obligations en vertu de la Loi sur la protection des renseignements personnels. Ils doivent être informés de qu'ils font quotidiennement et qui pourrait avoir un impact sur la vie privée des citoyens de leur province ou du Canada. Des mesures de sécurité sont-elles mises en place pour, par exemple, informer les employés si des pourriels circulent? Y a-t-il des mesures en vue d'informer les employés de l'État du fait qu'il ne faut pas ouvrir certains courriels et de les renseigner pour éviter qu'il y ait des atteintes à la vie privée des citoyens?

    En tant que commissaire à l'information et à la protection de la vie privée, j'ai un mandat d'enseignement, mais le gouvernement même a aussi un groupe central qui administre l'accès à l'information sur la protection des renseignements personnels et qui offre de la formation sur la protection de la vie privée au sein des ministères. J'offre principalement de la formation aux plus petits organismes publics, aux municipalités, aux conseils d'organismes et aux commissions, puisqu'ils n'ont accès à aucune source de formation. J'ai à ma disposition plusieurs outils, notamment les normes et recommandations en matière de sécurité pour que des mesures soient prises. J'ai également des outils expliquant la façon de gérer les cas d’atteinte à la vie privée. Nous offrons de la formation sur la protection de la vie privée à tout organisme public, y compris aux ministères. Nous venons tout juste de terminer ce type de formation. Je sais que le gouvernement émet des avertissements concernant les pourriels. Le groupe central d'informatique au gouvernement transmet des messages d'avertissement réguliers sur les activités à éviter. Cela se produit également au niveau de gouvernement, mais la sensibilisation à la protection de la vie privée est un enjeu important qui nécessite beaucoup de formation.

    Puisqu'il me reste un peu de temps, je voudrais aussi parler de certaines provinces qui ont peut-être une loi qui couvre un plus grand nombre d'institutions ou d'organisations gouvernementales.

    Je me demande si certains d'entre vous peuvent commenter à propos de la possibilité d'élargir la Loi sur la protection des renseignements personnels pour qu'elle s'applique aux sociétés d'État, par exemple, et à d'autres organisations publiques assujetties à certaines lois fédérales. Je veux connaître votre avis à cet égard et obtenir des exemples, si cela est possible.

    Je crois qu'en Colombie-Britannique, un plus grand nombre d'organisations sont soumises à la loi. J'aimerais d'abord entendre les commentaires du commissaire de cette province. Quelles organisations sont soumises à cette loi? Est-ce que cela comprend les entreprises et les sociétés d'État et tous les organismes publics et même parapublics?

    Comme je l'ai dit tout à l'heure, la supervision dans le secteur public en Colombie-Britannique rejoint plus de 2 900 organismes publics, notamment, les activités centrales du gouvernement ainsi que les gouvernements municipaux, les établissements scolaires, les sociétés d'État, les hôpitaux et les services de police municipaux.

    Je dois préciser qu'un secteur n'est pas couvert actuellement et que nous avons fait des recommandations pour que des modifications soient apportées. Certaines organisations sont associées aux organismes publics et elles sont généralement associées aux universités. Certaines entreprises sont créées par des universités, mais ne sont pas actuellement visées par la loi et nous estimons qu'elles devraient l'être. Il s'agit d'une lacune dans notre loi.

     Madame...

    Je suis désolé monsieur Dusseault, nous avons terminé. Nous reviendrons toutefois sur le sujet.

    Madame Tully et les gens de Terre-Neuve-et-Labrador, si vous avez des commentaires à ce sujet, je suis convaincu que vous aurez une occasion de nous en faire part.

    Allez-y, s'il vous plaît monsieur Saini, vous disposez de sept minutes. Merci.

    En premier lieu, merci à vous tous de votre présence.

    J'ai plutôt une question unique qui s'adresse à chacun de vous parce que vous avez tous les trois recours à différents modèles. La Colombie-Britannique a le pouvoir de rendre des ordonnances; la Nouvelle-Écosse a un pouvoir exécutoire; Terre-Neuve a recours à un modèle hybride.

    Vous remplissez tous les trois des rôles de commissaires à l'information et à la vie privée et, comme vous le savez, le bureau pour obtenir de l'information et le bureau pour obtenir de l'information liée à la protection de la vie privée au gouvernement fédéral sont deux entités indépendantes. En mars, le commissaire à la protection de la vie privée a présenté une demande à l'effet d'utiliser des types de procurations hybrides et ce comité, dans le cadre de son examen de la Loi sur l’accès à l’information, a recommandé des pouvoirs exécutoires pour le commissaire à l’information. Le commissaire à la protection de la vie privée, sachant que le commissaire à l'information avait obtenu le plein pouvoir exécutoire a demandé qu'on lui accorde les mêmes pouvoirs.

    Imaginez que vos deux bureaux soient divisés, comment parviendriez-vous à concilier tout cela? Croyez-vous qu'il soit nécessaire que les deux bureaux, à savoir celui du commissaire à l'information et celui du commissaire à la protection de la vie privée aient les mêmes pouvoirs ou devraient-ils être différents? Cette question s'adresse à vous tous.

    Je crois qu'il est difficile d'exprimer une opinion au sujet du commissaire à la protection de la vie privée fédéral.

    En ce qui a trait à notre expérience, cette séparation est difficilement réalisable puisque nos ressources sont limitées. Par conséquent, j'estime qu'une séparation dans notre bureau nous empêcherait d'effectuer pleinement notre mandat en vertu de la Loi sur l’accès à l’information et la protection des renseignements personnels.

    Le modèle que nous utilisons, dans le cadre duquel nous faisons une recommandation qui peut constituer un ordre si celle-ci n'est pas portée en appel auprès de la cour dans les 10 jours, est très efficace. Le fardeau de la preuve incombe à l'organisme public. Nous pouvons ainsi participer aux audiences, ce qui est très utile, puisque nous donnons une perspective unique lors des audiences. Lorsqu'une personne n'a pas les ressources nécessaires pour utiliser les services d'un avocat, il s'agit vraiment du seul argument de la qualité important pouvant être entendu par la cour, autre que les arguments présentés au nom de l'organisme public.

    Si j'ai bien compris votre question, j'imagine une séparation au sein de mon bureau où il y a à la fois accès à l'information et à la vie privée et que ces deux entités possèdent les mêmes pouvoirs de surveillance

    Oui.

    Pour avoir travaillé au fédéral, et en y réfléchissant du point de vue de la Nouvelle-Écosse, deux bureaux gèrent en fait les mêmes organismes. Je pense qu'il serait très important que les deux exercent les mêmes pouvoirs, qu'ils rendent des ordonnances ou non, puisqu’au quotidien, nous exerçons nos activités avec deux organismes de surveillance. J'estime que cela minerait l'autorité de l'un si l'autre organisme exerçait entièrement son pouvoir, ce qui n'est pas le cas. Par conséquent, je ne vois pas pourquoi les deux bureaux devraient exercer les mêmes pouvoirs. Certainement, de mon point de vue en tant qu'organisme de surveillance, je m’attends à une cohérence dans ces deux rôles.

    Évidemment, notre expérience en Colombie-Britannique, réside dans le fait d'avoir accès à l'information et à la protection de la vie privée dans une même loi en jouissant de pouvoirs exécutoires.

     Je ne peux pas me prononcer sur le fait d'avoir deux organismes indépendants, mais dans notre cas, nous avons un point de vue global des activités du gouvernement, dans les deux perspectives. En outre, nous veillons à ce que les recommandations appropriées soient faites, et lorsque nécessaire, nous avons la possibilité d'instaurer des ordres.

     Croyez-vous que la solution idéale serait d'avoir deux bureaux dans un seul?

    Dans notre cas, nos deux bureaux n'ont jamais été séparés. En raison du travail que nous faisons, il arrive fréquemment que des enjeux liés à l'accès à l'information et à la vie privée fassent partie de la même enquête. Nos gens possèdent l'expertise nécessaire pour aborder les deux aspects.

    Est-ce le cas pour d'autres?

    Je suis d'accord avec Drew.

    Au niveau provincial, cette façon de faire fonctionne très bien puisqu'il s'agit du système auquel nous sommes habitués. Toutefois, au niveau fédéral, il s'agit de deux énormes enjeux qui requièrent beaucoup d'attention. L'idée d'avoir deux bureaux indépendants semble bien fonctionner. C'est ce que j'en pense.

    Je crois que nos amis de Terre-Neuve-et-Labrador tentent d'exprimer leurs opinions, mais qu’ils se font discrets.

    Non, nous sommes bien à l'écoute.

    Au niveau national, particulièrement, je crois que la présence d'un champion pour accéder à l'information et celle d'un autre champion pour accéder à la vie privée est importante; ils peuvent être reconnus et s'exprimer séparément concernant ces enjeux, être des dirigeants partout au pays et des représentants à l'échelle internationale aussi. Je crois que, dans ce point de vue, le fait d'avoir deux bureaux a bien fonctionné jusqu'à présent. Au niveau provincial, fonctionnellement, je ne pense pas qu'une séparation soit nécessaire.

    Ma deuxième question porte sur des pièges potentiels liés au trop grand partage de données. Certains ont soulevé des préoccupations concernant le transfert des données actuel, d'un format papier à un format numérique. Il peut y avoir parfois une trop grande cueillette de données, voire un trop grand partage des données, non seulement au sein du gouvernement, mais aussi dans d'autres juridictions. L'un des moyens de remédier à cette situation dans le secteur privé est l'utilisation d'un modèle de participation et d'abstention.

    Pouvez-vous expliquer comment nous pouvons trouver un équilibre entre l'exigence du gouvernement ou le besoin d'effectuer nos activités de manière efficace et la nécessité de ne pas partager une trop grande quantité de données?

    Ma première réponse à cette question est que notre législation provinciale comporte un seuil selon lequel les données doivent être nécessaires pour veiller au fonctionnement d'un programme.

    L'inclusion du mot « nécessaire » dans notre législation [Note de la rédaction: difficultés techniques], la trop grande cueillette de données agit à titre de protection contre le trop grand partage de données. L'inclusion du mot « nécessaire » aborde la question à savoir s'il y a un trop grand partage d'information dans un sens. D'autre part, dans le cas qui nous occupe, notre législation comporte une exigence liée aux Arrangements concernant l’échange d’information et de données, qui rend généralement le processus transparent — ou dans le cas d'information dite sensible pour des raisons de sécurité nationale — permet au moins d'assurer que des mesures de protection appropriées sont prises lorsque les Arrangements concernant l’échange d’information sont mis en place.

    Nous sommes maintenant rendus à la fin de notre tour de table de sept minutes.

    Merci beaucoup, monsieur Saini.

    Passons maintenant à notre tour de table de cinq minutes en commençant par M. Jeneroux.

    Merci beaucoup.

    Merci aux trois groupes de leur présence aujourd'hui dans le cadre de cette vidéoconférence. Je vous remercie de nous avoir consacré du temps.

    Avant de passer à mes questions, je pense que M. Saini vous a laissé tranquille un peu trop rapidement en ce qui concerne certaines réponses en lien avec la combinaison des bureaux. Si je me souviens bien, madame Tully, vous avez mentionné que ces enjeux sont importants au niveau fédéral. Ne le sont-ils pas également au niveau provincial?

    Les gens de Terre-Neuve-et-Labrador ont parlé des champions. N'y a-t-il pas une promotion au niveau provincial aussi?

    Monsieur McArthur, je crois que vous avez mentionné que vous ne connaissez pas une autre façon de faire, alors j'estime que cela fonctionne bien.

    Vous pouvez peut-être expliquer un peu plus vos points de vue. L'autre argument est la réduction des coûts liée à la combinaison des deux bureaux, et vous n'avez rien mentionné à ce sujet dans vos réponses. Pourriez-vous nous fournir des précisions à ce sujet avant que je passe à ma prochaine question? Merci beaucoup.

    Le premier point qui me vient à l'esprit est la taille de nos effectifs en Colombie-Britannique, soit approximativement 40 personnes. Il ne s'agit pas d'une grande exploitation par rapport à la taille du bureau du commissaire à la protection de la vie privée ou du commissaire à l’information du Canada. Il peut y avoir des possibilités à plus grande échelle, mais dans notre cas, pour des questions de taille et de juridictions, il est préférable d'avoir accès à l'information et à la vie privée aux termes d'une seule loi.

    Dans certains cas, sur le plan international, les deux bureaux sont séparés. Il peut y avoir des différences en abordant des enjeux à l'échelle internationale.

    J'aimerais ajouter que les enjeux sur le plan de la vie privée sont complexes. Aussi, les technologies afférentes et le fait que les données soient transmises partout au monde sont des questions qui sont entièrement gérées par les bureaux de sécurité de données, soit l’équivalent de notre bureau du commissaire à la protection de la vie privée. Puisque nous avons un chef de file en la matière au Canada, j'estime que c'est très important pour notre gouvernement ainsi que nos provinces. Nous nous distinguons par le fait d'avoir un commissionnaire à la vie privée identifiable relevant d'une approche cohérente par rapport aux autres juridictions. Il en va de même pour l'accès à l'information, où il y a également un chef de file.

    Alors, vous ne pensez pas que le ministre de la Justice, sous la compétence duquel tombe la Loi sur la protection des renseignements personnels, aurait suffisamment de poids sur le plan international pour faire cela.

    Je pense que ce sont indéniablement des voix très importantes, mais il y a toute une série d'organismes de surveillance qui participent largement à la conversation autour de ce que sont les normes sur la vie privée. Non seulement cela, mais ils disposent de ces autorités d'exécution de la loi, ces autorités qui infligent une amende, qui garantissent que les règles sont suivies. Ils contribuent grandement à la tâche. Les deux doivent exister, c'est certain.

    M. Molloy ou M. Murray, avez-vous des commentaires à faire à ce sujet?

    Je ne pense pas que nous sommes en train de dire qu'ils ne peuvent pas être réalisés ensemble et qu'ils ne devraient jamais l'être. C'est juste que dans certains cas, il semble préférable que les deux soient séparés. Si vous parlez d'économies d'échelle, lorsque vous abordez par exemple, le pouvoir de rendre des ordonnances, alors vous parlez de l'extension des deux bureaux.

    Cela dépend du niveau de vos valeurs et dans tous les cas, du fait que vous possédiez une Cadillac ou une Civic, je suppose.

    Merci. C'est une bonne transition pour ma question suivante.

    Concernant le modèle du pouvoir de rendre des ordonnances, nous avons entendu récemment dire qu'un modèle hybride pourrait être une option pour aller de l'avant.

    Si nous faisons le tour du groupe, nous n'aurons probablement pas assez de temps, mais nous pouvons y revenir dans mes prochaines questions. Qu'est-ce qui selon vous fonctionne le mieux, et que recommanderiez-vous dans le cadre des recommandations du commissaire à la protection de la vie privée?

    Concernant le pouvoir de rendre des ordonnances, mentionné précédemment, la législation régissant notre secteur nous accorde ce pouvoir. Nous avons saisi l'occasion de l'utiliser de temps à autre, et le trouvons efficace. Comme nous l'avons indiqué, cela incite également les parties, à travers le processus de médiation, à mieux comprendre les sensibilités de chacune d'entre elles. Cela nous aide à parvenir à la résolution des plaintes en phase de médiation, plutôt que de devoir poursuivre, mais cela nous donne la possibilité d'émettre des ordonnances au cas où nous devrions aller au-delà de la phase de médiation ou si cette dernière n'est pas acceptée.

    Cela nous amène à M. Long.

    Vous disposez de cinq minutes, merci.

    Merci, monsieur le président.

    Merci à tous nos participants de ce matin. Je pense que ceci est très instructif.

    M. McArthur, je suis désolé que nous ne puissions pas vous voir, mais j'ai lu un grand nombre de vos articles et j'ai lu avec beaucoup d'intérêt ce que l'on a écrit à votre sujet. Vous avez un parcours très intéressant. Si je ne me trompe pas, vous êtes un membre fondateur du Conseil canadien des chefs de la protection des renseignements personnels. Vous avez été responsable de la conformité chez Telus et je pense que la politique de confidentialité de Telus a été une norme de référence pour les politiques de ce genre.

    Manifestement, vous avez travaillé dans le secteur public et le secteur privé. Je me demande si vous pourriez nous dire en quoi le fait d'avoir travaillé dans le secteur privé vous donne peut-être un point de vue différent sur les choses maintenant que vous travaillez dans le secteur public.

    Dans une présentation que j'ai récemment faite, j'ai souligné certains des changements dus au fait de passer du statut de réglementé à celui de chargé de la réglementation. Cela a été une courbe d'apprentissage intéressante pour moi et je suis devenu plus sensible à certaines questions.

    Je parlerai en particulier de la déclaration obligatoire des atteintes à la sécurité des données. Lorsque j'étais dans le secteur privé, nous avons travaillé dur à l'élaboration des lignes directrices sur la notification volontaire en cas d'atteinte à la vie privée, et nous avons travaillé avec les commissaires à la protection de la vie privée du pays pour mettre en oeuvre ces lignes directrices pour les organisations. Je vois maintenant qu'elles ont été intégrées à la législation fédérale existante sur la protection de la vie privée, projet de loi S-4. Lorsque les règlements seront appliqués, nous verrons cela pour les organisations fédérales du secteur privé. Nous le voyons déjà en Alberta et nous l'avons recommandé en Colombie-Britannique et le gouvernement de la Colombie-Britannique a accepté.

    Ce qui était autrefois volontaire dans le secteur privé devient de facto une norme obligatoire. Nous notons également qu'en Europe, l'autorité générale de protection des données a indiqué que la déclaration obligatoire des atteintes à la sécurité des données est requise. J'ai noté également qu'ils sont allés un peu plus loin que ça et ce sera important pour le Canada de continuer à être sensiblement semblables aux exigences du GDPR pour la libre circulation de l'information en ce qui a trait dans le secteur privé aux organisations qui fonctionnent dans un cadre multinational.

    Merci bien.

    M. McArthur, nous allons encore rester un peu avec vous, puis nous passerons à nos autres participants. J'aimerais juste avoir votre point de vue sur le scandale de la triple suppression qui a eu lieu en Colombie-Britannique et l'autre fait sur lequel j'ai lu indiquant qu'il y avait eu une intrusion chez Island Health. Un chef de cabinet du gouvernement a été essentiellement mis en cause. Corrigez-moi si je fais erreur, mais il a été réellement accusé d'avoir menti pour couvrir les faits, mais pas vraiment de la triple suppression. Pour ceux qui ne sont pas au courant, ils ont supprimé des courriels de leur boîte de réception, puis ils les ont supprimés de la corbeille, et enfin ils les ont supprimés du serveur. Je sais que vous avez déclaré qu'il devait y avoir des pénalités et des amendes. Vous pensez qu'ils devraient être davantage réprimandés. Je veux juste avoir votre point de vue sur la triple suppression, puis celui des autres membres sur la sévérité des amendes.

    Je dirais que l'enquête sur la triple suppression, on parle de scandale ici en Colombie-Britannique, a engendré un nombre important de recommandations pour le gouvernement et a joué un rôle de catalyseur de changement, cette enquête a donc eu un côté positif. Concernant la situation particulière de l'individu, vous avez raison sur le fait qu'il s'est parjuré au cours du témoignage qu'il a déposé devant mon ancienne collègue Elizabeth Denham, alors commissaire à la protection de la vie privée, et il a été accusé en vertu de la loi. C'était la première fois que ceci se produisait.

    Nous avons recommandé une augmentation importante des amendes infligées aux personnes et la raison de cette recommandation s'explique par les incidents d'espionnage, comme les appellent les médias, qui ont récemment eu lieu sur des dossiers médicaux personnels, faits au cours desquels des employés des autorités sanitaires qui ont accès aux données des patients, mais qui n'ont nullement besoin d'accéder à certains dossiers en particulier, accèdent et jettent un oeil aux données. Nous pensons que d'importantes mesures dissuasives sont nécessaires pour empêcher la quantité d'espionnage que l'on constate, pas seulement en Colombie-Britannique, mais dans tout le pays.

    Rapidement. Je sais que vous avez dit que les amendes devraient être augmentées de manière significative. Corrigez-moi si je me trompe, sont-elles actuellement de 5 000 $ pour une intrusion?

    C'est exact. Nous avons recommandé à notre comité de les augmenter à 50 000 $ et le Comité a recommandé à l'Assemblée législative de les augmenter à 25 000 $.

    Vous avez dit 25 000 $?

    C'est cela.

    M. Long, je sais que vous souhaitiez entendre l'opinion d'autres personnes, mais nous avons largement dépassé les cinq minutes, nous allons donc revenir à M. Jeneroux. N'oubliez pas, chers collègues, que nous aurons un petit peu de temps à la fin de la réunion. Si vous avez des affaires inachevées ou des questions non résolues que vous souhaiteriez voir abordées, nous devrions pouvoir le faire.

    M. Jeneroux, nous vous accordons cinq minutes.

    Fantastique. Merci à vous. Si nous pouvions poursuivre avec Mme Tully, M. Molloy et M. Murray sur le modèle que vous préféreriez, ce serait parfait.

    Est-ce que la question nous ramène à la version hybride du pouvoir de rendre des ordonnances?

    Oui. Je suis désolé. Pour être plus précis, nous avons plusieurs modèles devant nous, dont un que le commissaire à la protection de la vie privée préfère. Quels sont vos commentaires à propos de ce qui est selon vous le meilleur modèle que nous devrions mettre en œuvre au niveau fédéral?

    Ayant eu l'expérience de rendre des ordonnances et de formuler des recommandations, je peux dire sans hésitation que faire une recommandation toute simple n'est pas un bon modèle. Je dirais que l'un des deux autres est assurément ce que je recommanderais vivement. Comme je l'ai déjà dit, je pense que l'uniformité entre ces deux bureaux est très importante.

    Rendre des ordonnances a très bien fonctionné en Colombie-Britannique, je pense, pour une quantité de raisons que Drew a mentionnées. Lorsque des ordonnances sont rendues, les résolutions informelles vont plus vite, l'organisme public est pris plus au sérieux, les choses traînent moins, les individus souhaitent davantage s'investir et s'investir plus vite, et ils ont de meilleures propositions.

    Si vous ne faites qu'une recommandation à la fin, il y a un certain degré d'incohérence en termes de qui accepte et qui n'accepte pas, il est donc difficile de définir une bonne norme pour tous les organismes publics, car certains souhaitent suivre les recommandations et d'autres pas. Il est sans aucun doute nécessaire de faire plus.

    J'aime le modèle hybride pour une petite administration. Je pense que ça devrait vraiment marcher. Mon bureau est très petit. Nous ne sommes que sept. Il n'y a aucun moyen pour que nous ayons des ressources nous permettant d'avoir une sous-section du règlement distincte, tandis que les bureaux fédéraux sont grands et probablement plus aptes à absorber cette responsabilité.

    Un modèle de recommandation pure est totalement inefficace. De notre point de vue, le fait qu'une recommandation puisse devenir une ordonnance en 10 jours incite les organismes publics et d'autres autorités à coopérer et à faire en sorte que les choses soient conclues, car si l'on en vient à un rapport formel et qu'ils ne sont pas prêts à suivre la recommandation, ils devront s'adresser aux tribunaux et justifier pourquoi. Je pense que le modèle hybride est assez puissant également.

    Monsieur le président, si vous me le permettez, je vais mettre fin au temps imparti à M. Jeneroux, si cela est possible.

    Je vais revenir sur quelque chose que M. Molloy a mentionné. Je pense que c'était en réponse à la question de M. Erskine-Smith ou peut-être était-ce dans votre déclaration préliminaire. Vous avez mentionné des cas dans lesquels la déclaration peut aggraver les préjudices causés par une atteinte à la vie privée, si j'ai bien compris.

    Pourriez-vous nous en dire plus sur les dangers de déclaration dans un cas où le respect de la vie privée peut avoir été enfreint? Il est possible que l'infraction n'ait pas constitué de préjudice, mais en revanche que le processus de déclaration en constitue un.

    La tendance est de privilégier la prudence en ce qui concerne la déclaration de personnes. Nous ne voulons certainement pas décourager la déclaration, mais la question se pose sur ce qu'est l'interprétation correcte de ce qu'est une violation substantielle, et s'il s'agit de quelque chose ayant le potentiel de nuire à quelqu'un.

    Si vous constatez une intrusion et décidez d'avertir les personnes que la confidentialité de leurs données a été enfreinte et qu'elles encourent un risque, si elles n'ont jamais réellement encouru de risque, les déclarations à ces personnes n'auraient jamais dû sortir. Alors elles viennent dans notre bureau, et nous tentons de leur faire comprendre que, non, il s'agissait d'une situation pour laquelle nous avons établi qu'elle était sans danger pour elles. Une fois que l'on vous a dit que vous avez été mis en danger par une atteinte à votre vie privée, il est très difficile de convaincre quiconque qu'ils ne courent aucun danger et que la notification était inutile.

    Les personnes se font du souci et commencent à craindre d'être victime d'un vol d'identité, d'être mis dans l'embarras, etc., toutes des choses qu'elles n'avaient jamais risqué de subir.

    Merci.

    Je vous remercie M. Kelly.

    Nous allons passer maintenant à l'intervenant des cinq dernières minutes.

    M. Bratina.

    Merci.

    Je crois avoir entendu que les témoins de Terre-Neuve et de la Nouvelle-Écosse sont en général d'accord avec les recommandations formulées.

    Je me demande, M. McArthur, si vous avez eu l'occasion de revoir les recommandations et si vous avez une opinion générale.

    J'ai eu l'occasion d'examiner. Dans les domaines qui touchent la Colombie-Britannique, dans les domaines dont j'ai parlé — c'est-à-dire les rapports de violation obligatoires, les pouvoirs de donner des ordres et la nécessité de protéger les renseignements personnels — ce sont des domaines généraux où nous avons vu que nous pouvions donner un aperçu en ce qui concerne les opérations ici en Colombie-Britannique.

    De façon plus globale, je voudrais simplement dire qu'un grand nombre d'années se sont écoulées depuis que la Loi sur la protection des renseignements personnels a été modifiée. Il est probablement très opportun que vous saisissiez, à ce moment-ci, la possibilité de voir que celle-ci concorde avec les autres activités qui se déroulent partout au pays et à l'étranger. Il y a eu des progrès significatifs. J'ai mentionné les règles générales de protection des données en Europe.

    Je voudrais donner à Bradley un moment pour lui permettre de faire un commentaire aussi.

    M. Weldon.

    Je m'appelle Brad Weldon.

    À ce stade-ci, mon observation serait tout simplement que notre loi est examinée tous les six ans, et tous les six ans, des modifications importantes sont recommandées. Je pense qu'il est beaucoup plus sensé que notre loi prévoit ce genre d'examen. Je pense qu'il est remarquable qu'il y ait si longtemps que des changements importants ont été apportés à la Loi sur la protection des renseignements personnels.

    Permettez-moi de poursuivre.

    Le commissaire à la protection de la vie privée a recommandé « d'accorder au commissaire la discrétion de faire rapport publiquement sur les questions de la vie privée du gouvernement quand cela est dans l'intérêt public ». Je suis curieux à ce sujet, parce que la commissaire a le pouvoir de produire des rapports spéciaux. Généralement, il s'agit de rapports annuels au Parlement.

    Peut-être que je vais adresser ceci d'abord à Terre-Neuve-et-Labrador, sachant toutefois que le commissaire à la vie privée peut faire des commentaires tout au long de l'année, à sa discrétion, je me demande s'il subirait des pressions, presque tous les jours ou chaque semaine, pour trouver des réponses à donner aux médias pour un certain nombre de questions. Voyez-vous un danger à cela?

    Personnellement, non. La possibilité de faire des commentaires en général et d'éduquer le public fait partie de notre mandat visant à sensibiliser et à éduquer le public. Il y a des choses... Par exemple, la semaine dernière était la semaine du Droit à l'information. J'ai fait quelques commentaires publics au sujet du gouvernement ouvert, des contrats ouverts. Nous essayons d'éduquer les gens sur la façon dont le système pourrait fonctionner mieux.

    Il n'est vraiment pas nécessaire d'aller à la recherche d'une occasion de faire un rapport individuel, à moins que quelque chose ayant des conséquences précises se soit produit. Nous serions très réticents à commencer à faire un bulletin hebdomadaire avec « voici la dernière ». Je pense qu'il faudrait que cela soit réellement justifié, que ce soit évalué en détail et que cela soit effectivement dans l'intérêt public, par opposition à, peut-être, souhaitable.

    Mme Tully, les recommandations comprennent d'étendre la « couverture à toutes les institutions gouvernementales, y compris les cabinets des ministres et le Cabinet du premier ministre, et d'étendre les droits d'accès aux étrangers ». En ce qui a trait à cette recommandation, votre premier ministre provincial/territorial est-il couvert par la présente de la manière que le premier ministre le serait?

    Oui. Les cabinets des premiers ministres provinciaux-territoriaux sont couverts en tant que chef d'organisme public.

    Est-ce que cela fonctionne bien, à votre avis, selon votre expérience?

    Assurément, cela présente certains défis, mais je pense que c'est une partie très importante du droit d'accès.

    En Colombie-Britannique, la législation couvre effectivement le gouvernement et les cabinets de ministres. Il y a une exception concernant les documents confidentiels du cabinet et un certain nombre d'autres exceptions. Le seuil est assez élevé et permet au gouvernement de retenir des informations, mais il s'applique à toutes les activités du gouvernement.

    Merci.

    Notre dernière question est pour M. Dusseault, pour un maximum de trois minutes, s'il vous plaît.

    Est-ce que quelqu'un d'autre souhaite faire ajouter son nom sur la liste? D'accord, j'ajoute celui de M. Lightbound.

    Monsieur Dusseault, s'il vous plaît.

     Merci, monsieur le président.

    Je vais revenir sur l'aspect qui vient d'être soulevé par M. Bratina, soit la recommandation du commissaire d'élargir la portée de la loi pour l'appliquer aux bureaux des ministres et à celui du premier ministre.

    Au Canada, par le passé, il suffisait d'accéder au site Web du premier ministre pour que notre adresse courriel ou certaines autres informations nous soient demandées. Le gouvernement du Canada recueille des données. En fait, c'est non seulement le gouvernement, mais parfois les bureaux des ministres et le bureau du premier ministre qui le font.

    Dans vos différentes provinces, le bureau du premier ministre est-il soumis à la Loi sur la protection des renseignements personnels?

    Ma question va d'abord s'adresser au représentant de Terre-Neuve-et-Labrador.

    À Terre-Neuve-et-Labrador, le premier ministre et tous les ministres sont soumis à la législation sur la vie privée.

     Quelle la situation en Nouvelle-Écosse à cet égard?

    Il en est de même pour la Nouvelle-Écosse.

    Qu'en est-il pour ce qui est de la Colombie-Britannique?

    Oui.

    D'accord.

    J'ai une autre question qui est liée à la possibilité d'élargir la portée de la loi.

     Les partis politiques sont-ils couverts par cette loi? Au palier fédéral plus particulièrement, on sait que les partis politiques se retrouvent souvent dans un néant où ils ne sont pas considérés comme des entités publiques, ni non plus évidemment comme des entreprises privées.

    Quelle est votre expérience à cet égard dans vos provinces respectives en ce qui concerne la situation des partis politiques, plus précisément en vertu des lois sur la protection des renseignements personnels ?

    Je vais commencer par le représentant de Terre-Neuve-et-Labrador.

    Les partis politiques ne sont pas des organismes publics. Ils ne sont pas assujettis à la loi.

     Est-ce qu'ils sont assujettis à des dispositions qui touchent les entreprises privées?

    Je n'avais pas vraiment...

    Pas à ma connaissance.

    Non, pas à notre connaissance.

    Est-ce la même situation en Nouvelle-Écosse?

    C'est la même chose.

    Quelle est la situation en Colombie-Britannique à ce sujet?

    En Colombie-Britannique, tous les partis politiques (fédéraux, provinciaux et municipaux) sont couverts en vertu de la législation sur la vie privée en Colombie-Britannique du secteur privé, la PIPA.

    Merci.

    C'est intéressant de savoir qu'il y a peut-être une différence entre les provinces à ce sujet.

    Comme le temps dont je dispose est presque écoulé, j'aimerais revenir sur le rôle que vous jouez au sein des ministères et des organismes publics pour vérifier le niveau de protection qui existe au chapitre des renseignements personnels.

    Êtes-vous impliqués directement dans l'évaluation des risques? Nous savons que, de nos jours, en cette ère technologique, les risques sont croissants. Êtes-vous impliqués vous-mêmes, en tant que commissaires, dans l'évaluation des risques de vols de données ou d'atteintes à la vie privée des citoyens? Est-ce qu'une forme d'évaluation est faite par vos bureaux au sujet des risques dans chaque ministère en ce qui a trait à l'information?

    Comment cela se passe-t-il en Colombie-Britannique?

    En Colombie-Britannique, il y a plusieurs façons dont nous effectuons la consultation avec le gouvernement.

    Premièrement, nous sommes effectivement consultés quand un projet de loi est en cours d'examen pour s'assurer que des protections de la vie privée sont incluses. Deuxièmement, lorsque les gouvernements mettent en œuvre de nouveaux programmes, nous sommes également consultés. Dans certains cas, des évaluations d'impact sur la vie privée sont nécessaires, et nous travaillons avec le gouvernement afin de comprendre et d'atténuer les risques associés à cela. Enfin, dans notre législation, nous avons la capacité d'effectuer des vérifications. Nous avons utilisé cette capacité pour examiner une opération afin de déterminer si les protections en place et les processus sont considérés comme les pratiques exemplaires.

    Cela nous amène à notre temps libre, chers collègues. Nous n'avons rien d'autre à l'ordre du jour, mais je sais que M. Lightbound aimerait poser quelques questions. Si l'un de vous a d'autres questions supplémentaires que vous aimeriez poser....

    Je souhaite donc prendre quelques minutes à la fin, si vous le voulez bien, pour parler de la liste des témoins qui sont à venir pour le reste de l'étude.

    M. Lightbound.

    Merci, monsieur le président.

    Tout d'abord, je remercie tous les témoins de leur contribution à cette discussion.

     Ma première question concerne une des recommandations qu'a faites le commissaire Therrien, à savoir qu'il aimerait que le partage d'informations entre les institutions et agences gouvernementales soit gouverné par des ententes et des accords de partage de l'information qui soient détaillés et publics. J'aimerais savoir si, dans vos provinces respectives, en ce qui a trait au partage de l'information entre les différentes institutions gouvernementales, vous avez de telles ententes et si elles sont publiques. J'aimerais que vous puissiez nous en parler davantage.

     Notre législation comprend l'obligation de créer et de mettre en oeuvre des « ententes sur l'échange de renseignements » en conformité avec les lignes directrices du ministre responsable de notre loi. En fait, ces directives n'ont pas encore été émises, mais jusqu'à présent, le gouvernement est [Difficultés techniques — Rédacteur en chef] des lignes directrices sur ce que devrait être l'information dans une entente sur l'échange de renseignements et quand une entente sur l'échange de renseignements devrait être terminée.

    Nous croyons qu'elles sont un outil utile pour assurer la conformité avec la législation sur la vie privée. Elles documentent les responsabilités de chacune des parties face à l'entente et les conditions pour la collecte et la divulgation des renseignements personnels. Nous les considérons comme une bonne mesure pour la responsabilité alors que des quantités croissantes d'informations sont partagées.

     Je vous remercie.

    Est-ce que la commissaire à l'information et à la vie privée de la Nouvelle-Écosse souhaite ajouter quelque chose à ce sujet?

    J'étais habituée au régime que Drew vient de décrire en Colombie-Britannique. Ensuite, je suis venue en Nouvelle-Écosse où il n'y a pas d'obligation concernant les ententes sur l'échange de renseignements. Il n'y a pas de direction spécifique du gouvernement qui est suivie régulièrement, pour autant que je sache, parce qu'il n'y a pas de consultation obligatoire avec mon bureau, et je ne les vois donc pas. Je suis un grand amateur des ententes sur l'échange de renseignements. Ils obligent les organismes et les ministères à réfléchir à ce qu'ils partageront, à la raison pour laquelle ils le partageront, à leur autorité et au niveau de sécurité qu'ils appliqueront. Ils sont un très bon outil. Ils tendent à les obliger à réduire ce qu'ils font, à être clairs sur les raisons de le faire et à surveiller la façon dont ça se passe.

    Si je peux parler de notre point de vue, nous sommes dans une situation similaire à celle de la commissaire Tully. Nous ne disposons pas d'une exigence en vertu de notre législation pour les ententes sur l'échange de renseignements. Je ne pourrais pas vous dire à quel point ils sont employés. Je crois que sur une base ad hoc, ils sont utilisés de temps en temps, mais nous n'aurions pas la possibilité de les examiner, car cela n'est pas obligatoire en vertu de notre législation.

    Nous avons, à l'occasion, recommandé une entente sur l'échange de renseignements lorsque nous avons eu l'occasion d'y participer. Par exemple, nous recommandons ce genre de chose quand nous participons à la tenue d'un audit ou d'une enquête ou si un organisme public se tourne vers nous volontairement pour une consultation.

    Si je le puis, je n'ai qu'une seule dernière question pour Mme Tully. Je pense que c'était dans votre discours d’ouverture que vous avez mentionné quelque chose à propos de la disposition de déclaration d’objet détaillée que vous avez en Nouvelle-Écosse. Je me demandais si vous pourriez préciser ce que cela représente.

    En ce qui concerne la disposition de déclaration d’objet en Nouvelle-Écosse, cela concerne plus l'aspect de l'accès en termes de son utilité passée, mais je pense que cela pourrait fonctionner de manière similaire concernant l'aspect de la vie privée. Elle énonce une série de choses qui sont destinées à être accomplies par la loi, des choses comme faciliter la participation éclairée à la formulation des politiques, veiller à l'équité dans le processus décisionnel gouvernemental et permettre l'expression et le rapprochement des points de vue divergents.

    Il est intéressant, quand une législature déclare ces objets si clairement que, quand il y a plusieurs façons possibles d'interpréter certaines sections, ces objets guident vraiment les tribunaux et les décideurs. Ceci est une occasion unique pour votre comité et le Parlement d'anticiper certaines choses et d'installer des poteaux de signalisation pour l'avenir parce que, bien sûr, il faut beaucoup d'efforts pour modifier ces lois.

    D'accord.

    Merci beaucoup.

    Chers collègues, cela met un terme à cette discussion avec nos témoins estimés, nos invités ici aujourd'hui. Je vous remercie, M. Molloy et M. Murray, d'être revenus. Je sais que vous étiez ici à notre précédente étude. M. McArthur et M. Weldon, ce fut un plaisir de vous avoir ici. Nous nous excusons si quoi que ce soit de notre côté nous a empêchés de nous connecter à l'aspect vidéo des choses, mais nous avons certainement apprécié votre témoignage. Bien sûr, Mme Tully, nous apprécions aussi vos points de vue. Je sais que cela va nous aider alors que nous faisons des recommandations et rédigeons un rapport final. Nous espérons voir la législation dans ce Parlement qui abordera cette loi archaïque. J'ai tout lieu de croire que cela aura lieu.

    Je vous remercie encore pour votre temps et votre patience, et nous savons que nous pouvons compter sur vous si nous avons besoin de plus de précisions. S'il y a autre chose que vous souhaitez discuter avec nous, veuillez le transmettre au comité pour examen.

    Chers collègues, je dois vous faire part de quelques points administratifs. Nous recevrons des témoins ce jeudi. Mme Chantal Bernier, qui est une ancienne commissaire à la vie privée, sera parmi nous. L'Agence du revenu du Canada et Services partagés Canada nous enverront également des représentants. Le mardi après notre retour de l'Action de grâce, nous recevrons le SCRS, l'ASFC et la GRC. Nous préparons la liste des témoins pour le 20. Nous n'avons toujours pas reçu de confirmation de la part des ministres, mais nous travaillons encore sur cette question et attendons leurs réponses.

    À un certain moment donné après notre retour, je pense que nous aurons une discussion sur ce que nous allons faire ensuite. Je sais qu'il y a une motion visant à proposer ce que nous allons faire ensuite, mais nous devons aussi avoir cette discussion.

    Je vais simplement faire savoir au comité que j'ai déjà parlé à M. Lightbound, qui présidera la réunion de jeudi. Je dois retourner en Alberta pour des affaires personnelles dont je dois m'occuper jeudi, et je suis donc conscient de cela. Je sais que vous êtes entre bonnes mains.

    Cela m'amène au point où je vous souhaite à tous une excellente Action de grâce, et je vous souhaite une semaine de relâche sécuritaire. Je me réjouis de vous revoir à la Chambre pour les deux prochains jours, mais je retournerai en Alberta demain soir.

    Quelqu'un a-t-il des questions ou des commentaires ou toute autre chose qu'il souhaite porter à l'attention du comité?

    M. Jeneroux

    Nous avons récemment reçu un décret de Mme Chagger, leader du gouvernement à la Chambre des communes concernant les nominations du commissaire aux conflits d’intérêts et à l’éthique et du commissaire au lobbying. J'ai une copie ici si vous voulez la voir, monsieur le président. Il s'agit d'un décret normal.

    J'ai pensé que ce ne serait pas une mauvaise idée, si le Comité est d'accord, de faire venir la commissaire aux conflits d’intérêts et à l’éthique et la commissaire au lobbying — je crois qu'elles ont été nommées pour six mois — pour avoir une idée de ce qu'elles comptent faire. Ce serait aussi peut-être la dernière occasion de faire venir Mme Dawson avant qu'elle ne prenne sa retraite.

    Je ne sais pas si nous avons besoin d'une motion pour cela ou tout simplement d'une discussion générale.

    C'est quelque chose que ce comité a fait dans le passé.

    Monsieur Dusseault, vous êtes l'ancien président de ce comité. Puisqu'il s'agit d'une question de protocole, lorsque le comité traitait ce genre de décret, profitait-il de cette occasion pour les faire venir et se présenter?

     C'était vraiment à la discrétion du Comité. Il nous revenait d'inviter ou non les personnes nouvellement nommées à comparaître devant Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique afin de leur poser des questions au sujet de leur mandat.

    Dans ce cas-ci, il s'agit d'un renouvellement de mandat pour une période de six mois. Ces personnes occupent un poste de façon intérimaire. Je ne sais pas si c'est nécessaire dans ce cas-ci de les inviter à comparaître. Il revient toutefois au Comité de prendre la décision à cet égard.

    Je ne pense pas que M. Jeneroux se soit effectivement prononcé sur la motion officielle dans ce cas-ci. Je pense qu'il demande si le Comité souhaite recevoir et écouter Mme Shepherd et Mme Dawson concernant le renouvellement de leur mandat; ce n'était que des prolongations de six mois, je pense.

    Monsieur Lightbound.

    Ne serait-il pas plus intéressant de les inviter à comparaître vers la fin de leur mandat, ce qui nous permettrait de connaître leurs impressions alors qu'elles se préparent à quitter leurs fonctions? Il leur reste encore six mois. Ce n'est qu'une suggestion que je formule. Selon moi, ce serait intéressant de les inviter à ce moment-là pour entendre leurs recommandations.

    Je ne me sentirai pas blessé dans mes sentiments si nous le faisons au début ou à la fin.

    Je suis d'accord qu'il y a probablement un avantage à les faire venir ici, surtout avec tout ce que nous avons discuté. Je pense que la dernière fois qu'elles étaient ici, nous étions tous assez nouveaux au Comité aussi, donc ça ne me dérangerait pas de prendre une heure vers la fin.

    Est-ce que la date à laquelle se termine leur mandat est connue? Serait-ce au mois de mars?

    J'ai la nomination par décret. Il y avait un autre morceau de papier qui portait sur la durée réelle. Je me souviens de l'avoir vu. Je crois que tous les deux étaient des prolongements de six mois.

    Est-ce que quelqu'un d'autre sur le Comité se souvient d'avoir lu cela? J'aimerais ne pas être obligé de le chercher.

    Il faudra aussi vérifier s'il y a une période limite pour inviter les commissaires afin de discuter de leur nomination. Il pourrait être intéressant de les recevoir vers la fin de leur mandat, mais de le faire avant l'arrivée des nouveaux commissaires. Ce serait sans doute intéressant de savoir comment s'est déroulé leur mandat et de leur poser des questions sur les défis qu'ils entrevoient à l'avenir.

    Par la suite, lorsque les nominations permanentes auront été faites, il deviendra particulièrement approprié d'inviter les nouveaux commissaires afin de connaître leur vision de l'avenir et la façon dont ils envisagent exercer leur mandat respectif.

    Les nominations ont été faites à la fin de juillet pour une durée de six mois. Était-ce pour Mme Dawson, ou était-ce pour Mme Shepherd?

    C'était pour Mme Dawson.

    Encore une fois, monsieur le président, il pourrait y avoir, par exemple, un délai de 30 jours pour ce qui est de les inviter. Si nous pouvions les inviter pour qu'elles se présentent à la fin de leur mandat, je serais d'accord avec cela. Je veux simplement m'assurer que nous respectons ces 30 jours.

    Je dois être clair, monsieur Jeneroux, sur votre intention. Si l'intention est d'examiner ou de discuter du décret, dans ce cas, nous devrions le faire plus tôt que tard, ou votre intention est-elle, pour des raisons de courtoisie, de les entendre à la fin de leur mandat? Je vous saurais gré de nous éclairer, monsieur.

    Je crois que nous pouvons procéder des deux façons. Je serais heureux de faire les deux.

    C'est simplement que cela ne fait pas de sens de scruter la nomination du décret, après que le décret ait déjà été exécuté.

    Je ne me plains pas du décret. C'est une nomination de six mois. Cela me semble logique. J'aimerais simplement entendre leurs pensées sur la direction qu'elles ont l'intention de prendre dans leurs fonctions et ce qu'elles pensent devrait être changé au sujet de leur poste pour l'avenir, dans le cas où leur mandat n'est pas renouvellé comme dans le cas de la commissaire au lobbying.

    Elles ont toutes deux reçu des prolongements de six mois à peu près à la fin de juin ou au début de juillet, ce qui signifie qu'elles sont déjà à mi-chemin de leur mandat de six mois. Il ne reste que la moitié de leur prolongement.

    Je pense que c'est une question de courtoisie et je ne vois pas d'opinions dissidentes à ce sujet. Il serait peut-être agréable de leur demander de donner un discours sur l’état de l’Union quant à leur poste respectif...

    En fin de compte, vous souhaitez les inviter pour une entrevue de départ, n'est-ce pas?

    Oui.

    Vous voulez savoir ce qu'ont été leurs expériences et ce qu'elles pourraient recommander... Alors, ce serait très bien.

    Nous voulons savoir où nous en sommes.

    Raj, est-ce que cela vous convient?

    Oui, c'est parfait.

    D'accord, nous aurons simplement un engagement d'honneur à la table visant à poursuivre cela.

    Je vais les inviter.

    Merci beaucoup.

    Merci, chers collègues.

    Je vous souhaite une très bonne Action de grâce et nous nous reverrons dans deux semaines.

    La séance est levée.